Überlegungen zur Verwendung von Macie mit AWS Organizations - Amazon Macie
Benennen eines AdministratorkontosÄnderung oder Entfernung der Bezeichnung des AdministratorkontosMitgliedskonten hinzufügen und entfernenÜbergang von einer Organisation, die auf Einladungen basiert

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Überlegungen zur Verwendung von Macie mit AWS Organizations

Bevor Sie Amazon Macie integrieren mit AWS Organizations Beachten Sie bei der Konfiguration Ihrer Organisation in Macie die folgenden Anforderungen und Empfehlungen. Stellen Sie außerdem sicher, dass Sie die Beziehung zwischen Macie-Administrator- und Mitgliedskonten verstehen.

Benennen eines Macie-Administratorkontos

Beachten Sie bei der Entscheidung, welches Konto das delegierte Macie-Administratorkonto für Ihre Organisation sein soll, Folgendes:

  • Eine Organisation kann nur über ein delegiertes Macie-Administratorkonto verfügen.

  • Ein Konto kann nicht gleichzeitig Macie-Administrator und Mitgliedskonto sein.

  • Nur der AWS Organizations Das Verwaltungskonto für eine Organisation kann das delegierte Macie-Administratorkonto für die Organisation festlegen. Nur das Verwaltungskonto kann diese Bezeichnung anschließend ändern oder entfernen.

  • Das Tool AWS Organizations Das Verwaltungskonto für eine Organisation kann auch das delegierte Macie-Administratorkonto für die Organisation sein. Wir empfehlen diese Konfiguration jedoch nicht auf der Grundlage von AWS Bewährte Sicherheitsmethoden und das Prinzip der geringsten Rechte. Benutzer, die zu Abrechnungszwecken Zugriff auf das Verwaltungskonto haben, unterscheiden sich wahrscheinlich von Benutzern, die aus Gründen der Informationssicherheit Zugriff auf Macie benötigen.

    Wenn Sie diese Konfiguration bevorzugen, müssen Sie Macie für das Verwaltungskonto der Organisation in mindestens einem aktivieren AWS-Region bevor Sie das Konto als delegiertes Macie-Administratorkonto festlegen. Andernfalls kann das Konto nicht auf die Macie-Einstellungen und Ressourcen für Mitgliedskonten zugreifen und diese verwalten.

  • Im Gegensatz zu AWS Organizations, Macie ist ein Regionaldienst. Dies bedeutet, dass die Bezeichnung eines Macie-Administratorkontos eine regionale Bezeichnung ist. Dies bedeutet auch, dass die Verknüpfungen zwischen Macie-Administrator- und Mitgliedskonten regional sind. Wenn das Verwaltungskonto beispielsweise ein Macie-Administratorkonto in der Region USA Ost (Nord-Virginia) festlegt, kann der Macie-Administrator Macie nur für Mitgliedskonten in dieser Region verwalten.

    Zur zentralen Verwaltung von Macie-Konten in mehreren AWS-Regionen müssen Sie sich mit dem Verwaltungskonto in jeder Region anmelden, in der das Unternehmen Macie derzeit verwendet oder verwenden wird. Anschließend muss das Macie-Administratorkonto für jede dieser Regionen zugewiesen werden. Der Macie-Administrator kann dann die Organisation in jeder dieser Regionen konfigurieren. Eine Liste der Regionen, in denen Macie derzeit verfügbar ist, finden Sie unter Amazon Macie Macie-Endpunkte und Kontingente in der Allgemeine AWS-Referenz.

  • Ein Konto kann jeweils nur einem Macie-Administratorkonto zugeordnet werden. Wenn Ihre Organisation Macie in mehreren Regionen verwendet, muss das angegebene Macie-Administratorkonto in all diesen Regionen identisch sein. Das Verwaltungskonto Ihrer Organisation muss das Administratorkonto jedoch in jeder Region separat angeben.

  • Ein Konto kann das delegierte Macie-Administratorkonto für jeweils nur eine Organisation sein. Wenn Sie mehrere Organisationen verwalten in AWS Organizations, müssen Sie für jede Organisation ein anderes Macie-Administratorkonto angeben. Dies ist auf eine zurückzuführen AWS Organizations Anforderung: Ein Konto kann jeweils nur Mitglied einer Organisation sein.

Wenn der Macie-Administrator AWS-Konto gesperrt, isoliert oder geschlossen ist, werden alle zugehörigen Macie-Mitgliedskonten automatisch als Macie-Mitgliedskonten entfernt, Macie bleibt jedoch weiterhin für die Konten aktiviert. Wenn die automatische Erkennung sensibler Daten für ein oder mehrere Mitgliedskonten aktiviert wurde, ist sie für die Konten deaktiviert. Dadurch wird auch der Zugriff auf statistische Daten, Inventardaten und andere Informationen deaktiviert, die Macie bei der automatischen Erkennung der Konten erstellt und direkt bereitgestellt hat. Um den Zugriff auf diese Daten wiederherzustellen, muss innerhalb von 30 Tagen Folgendes geschehen:

  1. Die des Macie-Administrators AWS-Konto ist wiederhergestellt.

  2. Das Tool AWS Organizations Das Verwaltungskonto kennzeichnet das Konto erneut als Macie-Administratorkonto.

  3. Der Macie-Administrator konfiguriert die Organisation und aktiviert wieder die automatische Suche nach den entsprechenden Konten.

Nach 30 Tagen löscht Macie Daten, die es zuvor erstellt und direkt bereitgestellt hat, dauerhaft und führt gleichzeitig eine automatische Erkennung der entsprechenden Konten durch.

Änderung oder Entfernung der Bezeichnung eines Macie-Administratorkontos

Nur der AWS Organizations Das Verwaltungskonto für eine Organisation kann die Bezeichnung eines delegierten Macie-Administratorkontos für die Organisation ändern oder entfernen.

Wenn das Verwaltungskonto die Bezeichnung ändert oder entfernt:

  • Alle zugehörigen Mitgliedskonten werden als Macie-Mitgliedskonten entfernt, Macie ist jedoch weiterhin für die Konten aktiviert. Die Konten werden zu eigenständigen Macie-Konten. Um die Nutzung von Macie zu pausieren oder zu beenden, muss ein Nutzer eines Mitgliedskontos Macie für das Konto sperren (pausieren) oder deaktivieren (beenden).

  • Die automatische Erkennung sensibler Daten ist für jedes Konto, für das sie aktiviert wurde, deaktiviert. Dadurch wird auch der Zugriff auf statistische Daten, Inventardaten und andere Informationen deaktiviert, die Macie bei der automatischen Erkennung für jedes Konto erstellt und direkt bereitgestellt hat. Um den Zugriff auf diese Daten wiederherzustellen, muss das Verwaltungskonto innerhalb von 30 Tagen erneut dasselbe Macie-Administratorkonto angeben. Darüber hinaus muss der Macie-Administrator die Organisation erneut konfigurieren und die automatische Erkennung für jedes Konto innerhalb von 30 Tagen erneut aktivieren. Nach 30 Tagen laufen die Daten ab und Macie löscht sie dauerhaft.

Hinzufügen und Entfernen von Macie-Mitgliedskonten

Beachten Sie beim Hinzufügen, Entfernen und anderweitigen Verwalten von Mitgliedskonten für Ihre Organisation Folgendes:

  • Ein Macie-Administratorkonto kann jeweils nicht mehr als 10.000 Macie-Mitgliedskonten zugeordnet werden AWS-Region. Wenn Ihre Organisation dieses Kontingent überschreitet, kann der Macie-Administrator erst dann Mitgliedskonten hinzufügen, wenn er die erforderliche Anzahl vorhandener Mitgliedskonten in der Region entfernt hat. Wenn eine Organisation dieses Kontingent erreicht, benachrichtigen wir den Macie-Administrator, indem wir ein AWS Health Ereignis für ihr Konto. Wir senden auch E-Mails an die Adresse, die mit ihrem Konto verknüpft ist.

    Wenn Sie der Macie-Administrator einer Organisation sind, können Sie mithilfe der Kontoseite in der Amazon Macie-Konsole oder über den ListMembersBetrieb von Amazon Macie ermitteln, wie viele Mitgliedskonten derzeit mit Ihrem Konto verknüpft sind. API Weitere Informationen finden Sie unter Macie-Konten für eine Organisation überprüfen.

  • Ein Konto kann jeweils nur einem Macie-Administratorkonto zugeordnet werden. Das bedeutet, dass ein Konto keine Macie-Einladung von einem anderen Konto annehmen kann, wenn es bereits mit dem Macie-Administratorkonto für eine Organisation in verknüpft ist AWS Organizations.

    Ähnlich verhält es sich, wenn ein Konto bereits eine Einladung angenommen hat, der Macie-Administrator für eine Organisation in AWS Organizations kann das Konto nicht als Macie-Mitgliedskonto hinzufügen. Das Konto muss zuerst von seinem aktuellen Administratorkonto getrennt werden, das auf Einladung basiert.

  • Um das hinzuzufügen AWS Organizations Verwaltungskonto als Macie-Mitgliedskonto muss ein Benutzer des Verwaltungskontos zuerst Macie für das Konto aktivieren. Der Macie-Administrator darf Macie nicht für das Verwaltungskonto aktivieren.

  • Wenn der Macie-Administrator ein Macie-Mitgliedskonto entfernt:

    • Macie ist weiterhin für das Konto aktiviert. Das Konto wird zu einem eigenständigen Macie-Konto. Um die Nutzung von Macie zu pausieren oder zu beenden, muss ein Nutzer des Accounts Macie für das Konto sperren (pausieren) oder deaktivieren (beenden).

    • Die automatische Erkennung sensibler Daten ist für das Konto deaktiviert, sofern sie aktiviert wurde. Dadurch wird auch der Zugriff auf statistische Daten, Inventardaten und andere Informationen deaktiviert, die Macie bei der automatischen Erkennung des Kontos erstellt und direkt bereitgestellt hat.

  • Ein Mitgliedskonto kann nicht von seinem Macie-Administratorkonto getrennt werden. Nur der Macie-Administrator kann ein Konto als Macie-Mitgliedskonto entfernen.

Umstellung von einer Organisation, die auf Einladungen basiert

Wenn Sie mithilfe von Macie-Mitgliedschaftseinladungen bereits ein Macie-Administratorkonto mit Mitgliedskonten verknüpft haben, empfehlen wir Ihnen, dieses Konto als delegiertes Macie-Administratorkonto für Ihre Organisation zu definieren AWS Organizations. Dies vereinfacht den Übergang von einer Organisation, die auf Einladungen basiert.

Wenn Sie dies tun, bleiben alle derzeit verknüpften Mitgliedskonten weiterhin Mitglieder. Wenn ein Mitgliedskonto Teil Ihrer Organisation ist in AWS Organizations, die Zuordnung des Kontos ändert sich automatisch von „Auf Einladung“ zu „Via“ AWS Organizationsbei Macie. Wenn ein Mitgliedskonto nicht Teil Ihrer Organisation ist in AWS Organizations, die Zuordnung des Kontos erfolgt weiterhin auf Einladung. In beiden Fällen werden die Konten weiterhin dem delegierten Macie-Administratorkonto als Mitgliedskonten zugeordnet.

Wir empfehlen diesen Ansatz, da ein Konto nicht mit mehr als einem Macie-Administratorkonto gleichzeitig verknüpft werden kann. Wenn Sie in Ihrem Unternehmen ein anderes Konto als Macie-Administratorkonto angeben AWS Organizations, kann der angegebene Administrator auf Einladung keine Konten verwalten, die bereits mit einem anderen Macie-Administratorkonto verknüpft sind. Jedes Mitgliedskonto muss zunächst von seinem aktuellen Administratorkonto getrennt werden, das auf Einladung basiert. Der Macie-Administrator für Ihre Organisation in AWS Organizations kann das Konto dann als Macie-Mitgliedskonto hinzufügen und mit der Verwaltung des Kontos beginnen.

Nachdem Sie Macie integriert haben AWS Organizations und wenn Sie Ihre Organisation in Macie konfigurieren, können Sie optional ein anderes Macie-Administratorkonto für die Organisation festlegen. Sie können Einladungen auch weiterhin verwenden, um Mitgliedskonten zuzuordnen und zu verwalten, die nicht Teil Ihrer Organisation sind AWS Organizations.