本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Macie 管理員和成員帳戶關係
如果您以組織形式集中管理多個 Amazon Macie 帳戶,Macie 管理員可以存取 Amazon Simple Storage Service (Amazon S3) 庫存資料、政策發現項目,以及關聯成員帳戶的特定 Macie 設定和資源。管理員還可以啟用自動化敏感資料探索,並執行敏感資料探索任務,以偵測成員帳戶所擁有的 S3 儲存貯體中的敏感資料。對特定工作的 Support 會因 Macie 管理員帳戶是透過 AWS Organizations 還是邀請與成員帳戶建立關聯而有所不同。
下表提供有關 Macie 管理員和成員帳戶之間關係的詳細資訊。它指示了每種類型的帳戶的默認權限。若要進一步限制對 Macie 功能和作業的存取,您可以使用自訂 AWS Identity and Access Management (IAM) 原則。
在資料表中:
-
S@@ elf 表示帳戶無法針對任何關聯的帳戶執行工作。
-
「任何」表示帳戶可針對個別關聯帳戶執行工作。
-
「全部」表示帳戶可以執行工作,且工作適用於所有相關聯的帳戶。
破折號 (—) 表示帳戶無法執行工作。
| 任務 | 通過 AWS Organizations | 通過邀請 | ||
|---|---|---|---|---|
| 管理員 | 成員 | 管理員 | 成員 | |
| 啟用馬西 | 任何 | – | 自我 | 自我 |
| 複查組織的科目存貨 1 | 全部 | – | 全部 | – |
| 新增會員帳戶 | 任何 | – | 任何 | – |
| 檢閱 S3 儲存貯體的統計資料和中繼 | 全部 | 自我 | 全部 | 自我 |
| 檢討政策發現 | 全部 | 自我 | 全部 | 自我 |
| 隱藏 (封存) 原則發現項目 2 | 全部 | – | 全部 | – |
| 公佈原則發現項目 3 | 自我 | 自我 | 自我 | 自我 |
| 設定敏感資料探索結果的存放庫 4 | 自我 | 自我 | 自我 | 自我 |
| 建立並使用允許清單 | 自我 | 自我 | 自我 | 自我 |
| 建立和使用自訂資料識別碼 | 自我 | 自我 | 自我 | 自我 |
| 設定自動化敏感資料探索設定 | 全部 | – | 全部 | – |
| 啟用或停用自動化敏感資料探索 | 任何 | – | 任何 | – |
| 檢閱自動化敏感資料探索統計資料、資料和結果 5 | 全部 | 自我 | 全部 | 自我 |
| 建立並執行敏感性資料探索工作 6 | 任何 | 自我 | 任何 | 自我 |
| 檢閱敏感資料探索工作的詳細資料 7 | 自我 | 自我 | 自我 | 自我 |
| 檢閱敏感資料發現 8 | 自我 | 自我 | 自我 | 自我 |
| 隱藏 (封存) 敏感資料發現項目 8 | 自我 | 自我 | 自我 | 自我 |
| 發佈敏感資料發現項目 8 | 自我 | 自我 | 自我 | 自我 |
| 設定 Macie 以擷取發現項目的敏感資料範例 | 自我 | 自我 | 自我 | 自我 |
| 擷取發現項目 9 的敏感資料範例 | 自我 | 自我 | 自我 | 自我 |
| 設定發現項目的地的發佈 | 自我 | 自我 | 自我 | 自我 |
| 設定發現項目的發佈頻率 | 全部 | 自我 | 全部 | 自我 |
| 建立範例發現項 | 自我 | 自我 | 自我 | 自我 |
| 檢閱帳戶配額和預估使用成本 | 全部 | 自我 | 全部 | 自我 |
| 暫停馬西 10 | 任何 | – | 任何 | 自我 |
| 禁用馬西耶 11 | 自我 | 自我 | 自我 | 自我 |
| 移除 (取消關聯) 成員帳戶 | 任何 | – | 任何 | – |
| 取消與管理員帳戶的關聯 | – | – | – | 自我 |
| 刪除與其他帳號的關聯 12 | 任何 | – | 任何 | 自我 |
-
中組織的管理員 AWS Organizations 可以檢閱組織中的所有帳戶,包括尚未啟用 Macie 的帳戶。以邀請為基礎的組織的管理員只能檢閱他們新增至其詳細目錄的帳號。
-
只有管理員可以隱藏發現的策略。如果管理員建立了抑制規則,Macie 會將規則套用至組織中所有帳號的策略發現項目,除非規則設定為排除特定帳號。如果成員建立了抑制規則,Macie 不會將該規則套用至該成員帳戶的策略發現項目。
-
只有擁有受影響資源的帳號才能將資源的策略發現項目發佈到 AWS Security Hub。管理員和成員帳戶都會自動將受影響資源的政策發現項目發佈到 Amazon EventBridge。
-
如果管理員啟用自動化敏感資料探索,或設定工作以分析成員帳戶所擁有的 S3 儲存貯體中的物件,Macie 會將敏感資料探索結果儲存在管理員帳戶的儲存庫中。
-
只有管理員才能存取自動化敏感資料探索產生的敏感資料發現項目。系統管理員和成員都可以檢閱其他類型的資料,這些資料會自動化為成員帳戶產生的敏感資料探索。
-
成員可以將任務設定為僅在其帳戶擁有的 S3 儲存貯體中分析物件。管理員可以設定工作,以分析其帳戶所擁有的值區或成員帳戶擁有的物件。有關如何套用配額和計算多帳戶作業成本的資訊,請參閱了解預估用量成本。
-
只有建立工作的帳戶才能存取工作的詳細資料。這包括 S3 儲存貯體庫存中的工作相關詳細資訊。
-
只有建立工作的帳戶可以存取、隱藏或發佈工作產生的機密資料發現項目。只有管理員可以存取、隱藏或發佈自動化敏感資料探索產生的機密資料發現項目。
-
如果敏感資料發現適用於成員帳戶擁有的 S3 物件,則管理員可能可以擷取發現項目所報告之敏感資料的範例。這取決於發現項目的來源,以及管理員帳戶和成員帳戶中的組態設定和資源。如需詳細資訊,請參閱擷取機密資料範例的組態選項。
-
管理員若要為自己的帳戶暫停 Macie,管理員必須先取消其帳戶與所有成員帳戶的關聯。
-
管理員若要為自己的帳戶停用 Macie,管理員必須先取消其帳戶與所有成員帳戶的關聯,並刪除其帳戶與所有帳戶之間的關聯。中組織的管理員 AWS Organizations 可以透過使用組織的管理帳戶將不同的帳戶指定為管理員帳戶來執行此操作。
若要讓 AWS Organizations 組織成員停用 Macie,管理員必須先取消成員帳戶與其管理員帳戶的關聯。在以邀請為基礎的組織中,成員可以取消其帳戶與其管理員帳戶的關聯,然後停用 Macie。
-
中組織的管理員 AWS Organizations 可以在取消帳戶與其管理員帳戶的關聯後刪除與成員帳戶的關聯。帳號會繼續顯示在管理員的帳號詳細目錄中,但其狀態表示該帳號不是成員帳戶。在以邀請為基礎的組織中,管理員和成員可以在取消其帳戶與其他帳戶的關聯後刪除與其他帳戶的關聯。然後,另一個帳戶就會停止出現在其帳戶清單中。
