将 Macie 搭配使用时的注意事项 AWS Organizations - Amazon Macie
指定管理员账户更改或移除管理员账户的指定添加和移除成员账户从基于邀请的组织过渡

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

将 Macie 搭配使用时的注意事项 AWS Organizations

在你将 Amazon Macie 与 AWS Organizations 并在 Macie 中配置您的组织,请考虑以下要求和建议。此外还应确保您了解 Macie 管理员账户和成员账户之间的关系

指定 Macie 管理员账户

在确定哪个账户应为组织委派的 Macie 管理员账户时,请记住以下几点:

  • 一个组织只能有一个委派的 Macie 管理员账户。

  • 一个账户不能同时是 Macie 管理员账户和成员账户。

  • 只有 AWS Organizations 组织的管理帐户可以为该组织指定委派的 Macie 管理员帐户。只有管理账户随后才能更改或删除该指定。

  • 这些区域有: AWS Organizations 组织的管理帐户也可以是该组织委派的 Macie 管理员帐户。但是,我们不建议根据以下条件进行此配置 AWS 安全最佳做法和最低权限原则。出于计费目的有权访问管理账户的用户可能与出于信息安全目的需要访问 Macie 的用户不同。

    如果您更喜欢这种配置,则必须至少在一个中为组织的管理账户启用 Macie AWS 区域 在您将该账户指定为委托的 Macie 管理员帐户之前。否则,该账户将无法访问和管理 Macie 成员账户的设置和资源。

  • 不像 AWS Organizations,Macie 是一项区域服务。这意味着 Macie 管理员账户的指定是区域指定。这也意味着 Macie 管理员和成员账户之间的关联是区域性的。例如,如果管理账户指定了在美国东部(弗吉尼亚州北部)地区的 Macie 管理员账户,则 Macie 管理员只能为该地区的成员账户管理 Macie。

    要集中管理多个 Macie 账户 AWS 区域,管理账户必须登录到该组织当前使用或将要使用 Macie 的每个区域,然后在每个区域中指定 Macie 管理员帐户。然后,Macie 管理员账户可以在每个区域中配置组织。有关当前可用 Macie 的区域列表,请参阅中的 Amazon Macie 终端节点和配额 AWS 一般参考.

  • 一个账户一次只能与一个 Macie 管理员账户关联。如果您的组织在多个区域使用 Macie,则在所有这些区域中指定的 Macie 管理员账户必须相同。但是,组织的管理账户必须在每个地区分别指定管理员账户。

  • 一个账户一次只能是为一个组织委派的 Macie 管理员账户。如果您在中管理多个组织 AWS Organizations,则必须为每个组织指定不同的 Macie 管理员帐户。这是由于 AWS Organizations 要求-一个账户一次只能是一个组织的成员。

如果 Macie 管理员的 AWS 账户 处于暂停状态、隔离状态或关闭状态时,所有关联的 Macie 成员账户都将自动移除为 Macie 成员账户,但仍会为这些账户启用 Macie。如果为一个或多个成员账户启用了自动敏感数据发现功能,则会对这些账户禁用自动发现敏感数据。这还会禁止访问 Macie 在自动发现账户时生成和直接提供的统计数据、库存数据和其他信息。要恢复对这些数据的访问权限,必须在 30 天内完成以下操作:

  1. Macie 管理员的 AWS 账户 已恢复。

  2. 这些区域有: AWS Organizations 管理帐户再次将该帐户指定为 Macie 管理员帐户。

  3. Macie 管理员配置组织并重新启用对相应帐户的自动发现。

30 天后,Macie 会永久删除之前在自动发现适用账户时生成并直接提供的数据。

更改或移除 Macie 管理员账户的指定

只有 AWS Organizations 组织的管理帐户可以更改或删除该组织委托的 Macie 管理员帐户的指定。

如果管理账户更改或删除了指定:

  • 所有关联的成员账户都将作为 Macie 成员账户删除,但继续为这些账户启用 Macie。这些账户将变成独立的 Macie 账户。要暂停或停止使用 Macie,成员账户的用户必须暂停(暂停)或禁用(停止)该账户的 Macie。

  • 启用自动敏感数据发现功能的每个帐户都处于禁用状态。这还会禁止访问 Macie 在自动发现每个账户时生成和直接提供的统计数据、库存数据和其他信息。要恢复对这些数据的访问权限,管理帐户必须在 30 天内再次指定相同的 Macie 管理员帐户。此外,Macie 管理员必须在 30 天内重新配置组织并重新启用每个账户的自动发现。30 天后,数据会过期,Macie 会将其永久删除。

添加和移除 Macie 成员账户

在为您的组织添加、移除和以其他方式管理成员账户时,请注意以下几点:

  • 一个 Macie 管理员账号中每个账号只能与不超过 10,000 个 Macie 成员账号相关联 AWS 区域。 如果您的组织超出此配额,Macie 管理员将无法添加成员账户,直到他们删除该地区必要数量的现有成员账户。当组织达到此配额时,我们会通过创建一个,通知 Macie 管理员 AWS Health 他们账户的活动。我们也会发送电子邮件到与他们的账户相关联的地址。

    如果您是组织的 Macie 管理员,则可以通过亚马逊 Macie 主机上的账户页面或ListMembers亚马逊 Macie 的操作来确定当前有多少成员账户与您的账户关联。API有关更多信息,请参阅 查看组织的 Macie 账户

  • 一个账户一次只能与一个 Macie 管理员账户关联。这意味着,如果一个账户已经与组织的 Macie 管理员账户关联,则该账户无法接受来自其他账户的 Macie 邀请 AWS Organizations.

    同样,如果某个账户已经接受了邀请,则该组织的 Macie 管理员在 AWS Organizations 无法将该账户添加为 Macie 成员账户。该账户必须先取消与其当前基于邀请的管理员账户的关联。

  • 要添加 AWS Organizations 管理账户作为 Macie 成员账户,管理账户的用户必须先为该账户启用 Macie。不允许 Macie 管理员为管理账户启用 Macie。

  • 如果 Macie 管理员删除了 Macie 成员账号:

    • Macie 继续为该账户启用。该账户将变为独立的 Macie 账户。要暂停或停止使用 Macie,该帐户的用户必须暂停(暂停)或禁用(停止)该帐户的 Macie。

    • 如果已启用自动敏感数据发现,则会禁用该账户的自动敏感数据发现。这还会禁止访问 Macie 在自动发现账户时生成和直接提供的统计数据、库存数据和其他信息。

  • 成员账户无法与 Macie 管理员账户取消关联。只有 Macie 管理员才能将账户移除为 Macie 成员账户。

从基于邀请的组织过渡

如果您已经使用 Macie 成员资格邀请将某个 Macie 管理员账户与成员账户相关联,我们建议您将该账户指定为组织委托的 Macie 管理员账户 AWS Organizations。 这简化了从基于邀请的组织的过渡。

如果您这样做,则所有当前关联的成员账户都将继续成为成员。如果成员账户是您的组织的一部分 AWS Organizations,该账户的关联会自动从 “通过邀请” 更改为 “Via” AWS Organizations在 Macie 中。如果成员账户不属于您的组织 AWS Organizations,则该账户的关联仍为受邀者。在这两种情况下,账户都将继续作为成员账户与委派的 Macie 管理员账户关联。

我们建议采用这种方法,因为一个账户不能同时与多个 Macie 管理员账户关联。如果您将其他帐户指定为组织的 Macie 管理员帐户 AWS Organizations,则指定的管理员将无法通过邀请管理已与其他 Macie 管理员账户关联的账户。每个成员账户必须首先与其当前的基于邀请的管理员账户解除关联。您所在组织的 Macie 管理员 AWS Organizations 然后可以将该帐户添加为 Macie 成员帐户并开始管理该帐户。

在你将 Macie 与 AWS Organizations 然后在 Macie 中配置您的组织,则可以选择为该组织指定不同的 Macie 管理员帐户。您也可以继续使用邀请来关联和管理不属于您的组织的成员账户 AWS Organizations.