在 Macie 中以邀請為基礎的組織的考量 - Amazon Macie
選擇管理員帳戶發送邀請和管理會員帳戶回應及管理會員邀請過渡到 AWS Organizations

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

在 Macie 中以邀請為基礎的組織的考量

注意

我們建議使用 AWS Organizations 而不是 Macie 邀請來管理會員帳戶。如需詳細資訊,請參閱管理多個 Macie 帳戶 AWS Organizations

在 Amazon Macie 中建立或開始管理以邀請為基礎的組織之前,請考慮下列需求和建議。還要確保您了解 Macie 管理員和成員帳戶之間的關係

選擇一個 Macie 管理員帳戶

當您決定哪個帳戶應該是組織的 Macie 管理員帳戶時,請謹記下列事項:

  • 一個組織只能有一個 Macie 管理員帳戶。

  • 一個帳戶不能同時是 Macie 管理員和會員帳戶。

  • 馬西是一個區域服務。這表示 Macie 管理員帳戶與成員帳戶之間的關聯為區域 — 關聯僅存在於 AWS 區域 邀請是從中傳送並接受的。例如,如果 Macie 管理員在美國東部 (維吉尼亞北部) 區域傳送邀請,且接受這些邀請,Macie 管理員只能管理該區域中的成員帳戶。

  • 集中管理多個 Macie 帳戶 AWS 區域時,Macie 管理員必須登入組織目前使用或計劃使用 Macie 的每個區域,並傳送邀請至每個區域中的適當帳戶。如需目前提供 Macie 的區域清單,請參閱中的 Amazon Macie 端點和配額 AWS 一般參考.

  • 一個會員帳戶一次只能與一個 Macie 管理員帳戶關聯。如果您的組織在多個區域中使用 Macie,這表示這些區域中的 Macie 管理員帳戶必須相同。但是,管理員和成員帳戶必須分別在每個區域中發送和接受邀請。

如果馬西管理員 AWS 帳戶 暫停、隔離或關閉時,所有相關聯的成員帳戶都會自動移除為成員帳戶,但 Macie 會繼續為這些帳戶啟用。這些帳戶成為獨立的 Macie 帳戶。如果為成員帳戶啟用了自動敏感資料探索功能,該帳戶就會停用該帳戶。這也會停用對 Macie 產生並直接提供的統計資料、庫存資料和其他資訊的存取,同時為帳戶執行自動化探索。30 天後,此數據將過期,Macie 將永久刪除它。要在數據到期之前恢復對數據的訪問,請恢復 Macie 管理員的 AWS 帳戶,然後使用該帳戶再次建立和設定組織。

發送邀請和管理 Macie 成員帳戶

身為以邀請為基礎之組織的 Macie 管理員,在傳送邀請和管理組織中的帳戶時,請記住下列事項:

  • 如果您傳送邀請,相關資料可能會傳輸到 AWS 區域。 這是因為 Macie 會使用僅在美國東部 (維吉尼亞北部) 區域運作的電子郵件驗證服務,驗證收件人帳戶的電子郵件地址。

  • 您可以向任何活躍的人發送邀請 AWS 帳戶,包括尚未啟用 Macie 的帳戶。不過,若要接受或拒絕邀請,接收帳戶必須在傳送邀請的地區中啟用 Macie。

  • 在每個 AWS 區域,一個 Macie 管理員帳戶可以通過邀請與不超過 1,000 個帳戶相關聯。這包括尚未回應邀請的帳戶。如果您的帳戶符合此限額,您就無法新增或邀請其他帳戶。若要確定目前與您的帳戶相關聯的帳戶數量,您可以使用 Amazon Macie 主控台上的「戶」頁面或 Amazon Mac API ie 的ListMembers操作。如需詳細資訊,請參閱檢閱以邀請為基礎的組織的 Macie 帳戶

    若要減少關聯帳戶的數量,您可以:刪除與目前不是成員帳戶之帳戶的關聯、移除必要數量的成員帳戶或兩者的組合。如果帳戶退出組織或拒絕您傳送的邀請,也會減少與您帳戶相關聯的帳戶數量。

  • 一個帳戶一次只能與一個 Macie 管理員帳戶關聯。這表示如果某個帳戶已與另一個 Macie 管理員帳戶建立關聯,則該帳戶無法接受您的邀請。該帳戶必須先取消與其當前 Macie 管理員帳戶的關聯。

  • 在以邀請為基礎的組織中,成員帳戶可隨時取消與其 Macie 管理員帳戶的關聯。如果發生這種情況,Macie 會繼續為該帳戶啟用,但該帳戶將成為獨立的 Macie 帳戶。如果成員帳戶與您的管理員帳戶斷開關聯,Macie 不會通知您。但是,該帳戶會繼續顯示在您的帳戶清單中,並且狀態為「會員已辭職」。

  • 如果您從組織中移除成員帳戶,Macie 會繼續為該帳戶啟用。該帳戶將成為一個獨立的 Macie 帳戶。

回應及管理會員邀請

身為邀請的收件者或邀請型組織的成員,在回應及管理收到的邀請時,請記住下列事項:

  • 在您接受邀請之前,請確定您瞭解 Macie 管理員和成員帳戶之間的關係

  • 您的帳戶一次只能與一個 Macie 管理員帳戶關聯。如果您接受邀請,並隨後想要加入其他組織 (透過邀請或透過 AWS Organizations),您必須首先取消您的帳戶與其當前 Macie 管理員帳戶的關聯。然後,您可以加入其他組織。

  • 若要接受或拒絕邀請,您必須在 AWS 區域 邀請是從發送的。傳送邀請的帳戶無法在該地區為您啟用 Macie。拒絕邀請是選擇性的。如果您拒絕邀請,您可以在拒絕邀請後選擇性地區中停用 Macie。

  • 如果您是 Macie 管理員,則無法接受成為會員帳戶的邀請 — 帳戶不能同時是 Macie 管理員和成員帳戶。若要成為會員帳戶,您必須先從目前組織中移除所有成員帳戶,以取消帳戶與其所有成員帳戶的關聯。

  • 馬西是一個區域服務。如果您接受邀請,您的帳戶與 Macie 管理員帳戶之間的關聯為區域 — 關聯僅存在於 AWS 區域 邀請是從中發送並接受的。

  • 如果您在多個地區使用 Macie,您帳戶的 Macie 管理員帳戶在所有這些區域中必須相同。不過,Macie 管理員必須在每個地區分別傳送邀請給您,而且您必須在每個地區分別接受邀請。

  • 您可以隨時取消帳戶與 Macie 管理員帳戶的關聯。同樣地,您的 Macie 管理員可以隨時從其組織移除您的帳戶。如果任何一種情況:

    • Macie 會繼續為您的帳戶啟用。您的帳戶將成為一個獨立的 Macie 帳戶。

    • 如果您的帳戶已啟用自動敏感資料探索功能,就會停用該帳戶。這也會停用存取現有的統計資料、庫存資料以及 Macie 產生並直接提供的其他資訊,同時為您的帳戶執行自動化探索。您可以再次為您的帳戶啟用自動探索功能。但是,這不會恢復對現有數據的訪問權限。相反地,Macie 會在為您的帳戶執行自動化探索時產生並維護新資料。

過渡到 AWS Organizations

在 Macie 中建立以邀請為基礎的組織之後,您可以轉換為使用 AWS Organizations 而不是。若要簡化轉換作業,建議您將以邀請為基礎的現有管理員帳戶指定為中組織的 Macie 管理員帳戶 AWS Organizations.

如果您這麼做,所有目前關聯的成員帳戶都會繼續成為成員。如果成員帳戶是組織的一部分 AWS Organizations,帳戶的關聯會自動從「依邀請」變更為「Via」 AWS Organizations在馬西。如果成員帳戶不是組織的一部分 AWS Organizations,帳戶的關聯仍然是「受邀請」。在這兩種情況下,帳戶仍會繼續與 Macie 管理員帳戶作為成員帳戶關聯。

我們建議使用這種方法,因為一個成員帳戶一次只能與一個 Macie 管理員帳戶建立關聯。如果您指定不同的帳戶作為組織的 Macie 管理員帳戶 AWS Organizations,指定的管理員將無法透過邀請來管理已與另一個 Macie 管理員帳戶相關聯的帳戶。每個成員帳戶必須先取消與其目前、以邀請為基礎的管理員帳戶的關聯。只有這樣,Macie 管理員才能 AWS Organizations 組織會將成員帳戶新增至其組織,並開始管理該帳戶的 Macie。

之後你整合麥西與 AWS Organizations 並在 Macie 中配置您的組織,您可以選擇性地為組織指定不同的 Macie 管理員帳戶。您也可以繼續使用邀請來關聯和管理不屬於您組織的成員帳戶 AWS Organizations.

有關集成與 Macie 的信息 AWS Organizations,請參閱管理多個 Macie 帳戶 AWS Organizations