本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Macie 中基于邀请的组织的注意事项
注意
我们建议使用邀请来 AWS Organizations 代替 Macie 来管理成员账户。有关更多信息,请参阅 使用管理多个 Macie 账户 AWS Organizations。
在 Amazon Macie 中创建或开始管理基于邀请的组织之前,请考虑以下要求和建议。此外还应确保您了解 Macie 管理员账户和成员账户之间的关系。
选择 Macie 管理员账户
在确定哪个账户应为组织的 Macie 管理员账户时,请记住以下几点:
-
一个组织只能有一个 Macie 管理员账户。
-
一个账户不能同时是 Macie 管理员账户和成员账户。
-
Macie 是一项区域性服务。这意味着 Macie 管理员账户和成员账户之间的关联是区域性的,关联仅存在于从中 AWS 区域 发送和接受邀请的关联中。例如,如果 Macie 管理员向美国东部(弗吉尼亚州北部)区域发送邀请并且这些邀请被接受,Macie 管理员只能管理该区域中的成员账户。
-
要集中管理多个 Macie 账户 AWS 区域,Macie 管理员必须登录该组织当前使用或计划使用 Macie 的每个区域,然后向每个区域的相应账户发送邀请。有关当前已推出 Macie 的所有区域的列表,请参阅 AWS 一般参考 中的 Amazon Macie 端点和配额。
-
一个成员账户一次只能与一个 Macie 管理员账户关联。如果您的组织在多个区域使用 Macie,则在所有这些区域中的 Macie 管理员账户必须相同。但是,管理员和成员账户必须在每个地区分别发送和接受邀请。
如果 Macie 管理员的账户 AWS 账户 被暂停、隔离或关闭,则所有关联的成员账户都将作为成员账户自动删除,但仍会为这些账户启用 Macie。这些账户都将成为独立的 Macie 账户。如果成员账户启用了自动敏感数据发现,则该账户将禁用该功能。这也禁止了对统计数据、库存数据以及 Macie 在对账户进行自动发现时生成和直接提供的其他信息的访问。30 天后,这些数据就会过期,Macie 会将其永久删除。要在数据过期之前恢复对数据的访问权限,请恢复 Macie 管理员的 AWS 账户,然后使用该账户重新创建和配置组织。
发送邀请和管理 Macie 成员账户
作为基于邀请的组织的 Macie 管理员,在组织中发送邀请和管理账户时,请记住以下几点:
-
如果您发送邀请,相关数据可能会被传输 AWS 区域。之所以如此,是因为 Macie 使用仅在美国东部(弗吉尼亚州北部)地区运营的电子邮件验证服务来验证接收账户的电子邮件地址。
-
您可以向任何活跃用户发送邀请 AWS 账户,包括尚未启用 Macie 的账户。但是,要接受或拒绝邀请,您必须在发出邀请的地区启用 Macie。
-
在每个账户中 AWS 区域,一个 Macie 管理员账户只能通过邀请与不超过 1,000 个账户相关联。这包括尚未回复邀请的账户。如果您的账户满足此限额,则无法添加或邀请其他账户。要确定当前有多少账户与您的账户关联,您可以使用亚马逊 Macie 控制台上的账户页面或亚马逊 Macie ListMembersAPI 的操作。有关更多信息,请参阅 查看基于邀请的组织的 Macie 账户。
要减少关联账户的数量,您可以:删除与当前不是成员账户的账户的关联,删除必要数量的成员账户,或两者结合等。如果某个账户从您的组织辞职或拒绝您发出的邀请,则与您的账户关联的账户数量也会减少。
-
一个账户一次只能与一个 Macie 管理员账户关联。这意味着如果一个账户已经与另一个 Macie 管理员账户关联,则该账户将无法接受您的邀请。该账户必须先解除与其当前 Macie 管理员账户的关联。
-
在基于邀请的组织中,成员账户可以随时取消与其 Macie 管理员账户的关联。如果发生这种情况,则该账户将继续启用 Macie,但该账户将变为独立的 Macie 账户。如果成员账户与您的管理员账户取消关联,Macie 不会通知您。但是,该账户会继续出现在您的账户库存中,并且其状态为成员已退出。
-
如果从组织中删除成员账户,Macie 将继续为该账户启用。账户成为独立的 Macie 账户。
回复和管理成员邀请
作为邀请的接收者或基于邀请的组织的成员,在回复和管理收到的邀请时,请记住以下几点:
-
在接受邀请之前,请确保您了解 Macie 管理员账户和成员账户之间的关系。
-
您的账户一次只能与一个 Macie 管理员账户关联。如果您接受邀请并随后想加入其他组织(通过邀请或通过 AWS Organizations),则必须先取消您的账户与其当前 Macie 管理员帐户的关联。然后,您可以加入另一个组织。
-
要接受或拒绝邀请,您必须在发出邀请的 AWS 区域 中启用 Macie。发送邀请的账户无法在该地区为您启用 Macie。拒绝邀请是可选的。如果您拒绝邀请,则可以选择在拒绝邀请后在适用的地区禁用 Macie。
-
如果您是 Macie 管理员,则不能接受成为成员账户的邀请,一个账户不能同时是 Macie 管理员和成员账户。要成为成员账户,您必须先从当前组织中移除所有成员账户,从而取消账户与其所有成员账户的关联。
-
Macie 是一项区域性服务。如果您接受邀请,则您的账户与 Macie 管理员账户之间的关联是区域性的,关联仅存在于发出和接受邀请的所在地。 AWS 区域
-
如果您在多个区域中使用 Macie,则您的账户的 Macie 管理员账户必须在所有这些区域中相同。但是,Macie 管理员必须在每个区域分开向您发送邀请,并且您必须在每个区域分别接受邀请。
-
您可以随时取消您的账户与 Macie 管理员账户的关联。同样,您的 Macie 管理员也可以随时从他们的组织中删除您的账户。如果出现任何一种情况:
-
Macie 继续为您的账户启用。您的账户成为独立的 Macie 账户。
-
自动敏感数据发现已禁用(如果已启用)。这也禁止了对现有的统计数据、库存数据以及 Macie 在对您的账户进行自动发现时生成和直接提供的其他信息的访问。您可以再次启用账户的自动发现功能。不过,这无法恢复对现有数据的访问。相反,Macie 在对您的账户执行自动发现时生成和维护新数据。
-
转换到 AWS Organizations
在 Macie 中创建基于邀请的组织后,可以改为使用。 AWS Organizations 为了简化过渡,我们建议您将现有的基于邀请的管理员账户指定为 AWS Organizations中组织的 Macie 管理员账户。
如果您这样做,则所有当前关联的成员账户都将继续成为成员。如果成员账户是组织的一部分 AWS Organizations,则该账户的关联会自动从 “受邀请” 更改为 Macie AWS Organizations中的 Via。如果成员账户不是组织的一部分 AWS Organizations,则该账户的关联仍为受邀者。在这两种情况下,账户都将继续作为成员账户与 Macie 管理员账户关联。对于敏感数据发现,这也意味着账户可以继续访问 Macie 生成和直接提供的统计数据和其他数据,同时对账户执行自动敏感数据发现。此外,如果 Macie 管理员配置敏感数据发现任务来分析账户的数据,则后续的作业运行将继续包括账户拥有的资源。
我们建议使用这种方法,因为一个成员账户一次只能与一个 Macie 管理员账户相关联。如果您将其他帐户指定为中组织的 Macie 管理员帐户 AWS Organizations,则指定的管理员将无法通过邀请管理已与其他 Macie 管理员帐户关联的帐户。每个成员账户必须首先与其当前的基于邀请的管理员账户解除关联。只有这样,该 AWS Organizations 组织的 Macie 管理员才能将成员帐户添加到其组织中,并开始为该帐户管理 Macie。
将 Macie 与 Macie 集成 AWS Organizations 并在 Macie 中配置您的组织后,您可以选择为该组织指定不同的 Macie 管理员帐户。您也可以继续使用邀请来关联和管理 AWS Organizations中不属于您的组织的成员账户。
有关将 Macie 与集成的信息 AWS Organizations,请参阅使用管理多个 Macie 账户 AWS Organizations。
