Administrar las cuentas de los miembros de Macie para una organización - Amazon Macie
Adición de cuentas de miembrosSuspender Macie para cuentas de miembrosEliminar cuentas de miembro

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Administrar las cuentas de los miembros de Macie para una organización

Una vez integrada y configurada una AWS Organizations organización en Amazon Macie, el administrador de Macie delegado de la organización puede acceder a determinados ajustes, datos y recursos de Macie para las cuentas de los miembros. Como administrador de Macie de una organización, puede utilizar Macie para realizar determinadas tareas de administración y administración de cuentas de forma centralizada. Por ejemplo, puede hacer lo siguiente:

  • Añada y elimine cuentas como cuentas de miembros de Macie.

  • Administre el estado de Macie para cuentas individuales, por ejemplo, habilite o suspenda Macie para una cuenta.

  • Supervise las cuotas de Macie y los costes de uso estimados de las cuentas individuales y de la organización en general.

También puede consultar los datos de inventario de Amazon Simple Storage Service (Amazon S3) y los resultados de las políticas de las cuentas de los miembros de Macie. Además, puede encontrar datos confidenciales en los buckets de S3 que son propiedad de las cuentas. Para obtener una lista detallada de las tareas que puede realizar, consulteRelaciones entre el administrador y la cuenta de los miembros de Macie.

De forma predeterminada, Macie le ofrece visibilidad de los datos y recursos relevantes de todas las cuentas de miembros de Macie de su organización. También puede profundizar para revisar los datos y los recursos de las cuentas individuales. Por ejemplo, si utiliza el panel Resumen para evaluar la postura de seguridad de Amazon S3 de su organización, puede filtrar los datos por cuenta. Del mismo modo, si monitoriza los costos de uso estimados, puede acceder a los desgloses de los costos estimados de las cuentas de los miembros individuales.

Además de las tareas que son comunes a las cuentas de administrador y de miembros, puede realizar diversas tareas administrativas para su organización.

Como administrador de Macie de una organización, puede realizar estas tareas mediante la consola Amazon Macie o Amazon Macie. API Si prefiere usar la consola, debe poder realizar la siguiente AWS Organizations acción:. organizations:ListAccounts Esta acción le permite recuperar y mostrar información sobre cuentas que forman parte de su organización en AWS Organizations.

Agregar cuentas de miembros de Macie a una organización

En algunos casos, es posible que tengas que añadir manualmente una cuenta como cuenta de miembro de Amazon Macie. Este es el caso de las cuentas que previamente eliminó (desasoció) como cuentas de miembro. Este también es el caso si no configuraste Macie para que habilitara y añadiera automáticamente nuevas cuentas de miembros cuando se añadan cuentas a tu organización. AWS Organizations

Al añadir una cuenta como cuenta de miembro de Macie:

  • Macie está habilitada para la cuenta actual Región de AWS, si aún no lo está en la región.

  • La cuenta está asociada a su cuenta de administrador de Macie como cuenta de miembro en la región. La cuenta de miembro no recibe ninguna invitación ni ninguna otra notificación en la que se indique que usted ha establecido esta relación entre sus cuentas.

  • Es posible que la detección automática de datos confidenciales esté habilitada para la cuenta de la región. Esto depende de los ajustes de configuración que haya especificado para la organización. Para obtener más información, consulte Configuración del descubrimiento automatizado de datos confidenciales.

Tenga en cuenta que no puede añadir una cuenta que ya esté asociada a otra cuenta de administrador de Macie. La cuenta primero debe desasociarse de su cuenta de administrador actual. Además, no puedes añadir la cuenta de AWS Organizations administración como cuenta de miembro a menos que Macie ya esté habilitada para ella. Para obtener más información sobre los requisitos adicionales, consulte Consideraciones sobre el uso de Macie con AWS Organizations.

Añadir una cuenta de miembro de Macie a una organización

Para añadir una o más cuentas de miembros de Macie a su organización, puede utilizar la consola Amazon Macie o Amazon Macie. API

Console

Siga estos pasos para añadir una o más cuentas de miembro de Macie mediante la consola de Amazon Macie.

Añadir una cuenta de miembro de Macie

  1. Abra la consola Amazon Macie en. https://console.aws.amazon.com/macie/

  2. Con el Región de AWS selector situado en la esquina superior derecha de la página, elija la región en la que desee añadir una cuenta de miembro.

  3. En el panel de navegación, elija Accounts (Cuentas). Se abre la página Cuentas y muestra una tabla con las cuentas asociadas a su cuenta.

  4. (Opcional) Para identificar más fácilmente las cuentas que forman parte de su organización AWS Organizations y no son cuentas de miembros de Macie, utilice el cuadro de filtro situado encima de la tabla Cuentas existentes para añadir las siguientes condiciones de filtrado:

    • Tipo: Organization

    • Estado: No es miembro

    Para mostrar también las cuentas que ha eliminado anteriormente y que tal vez desee añadir como cuentas de miembros, añada también la condición de filtro Estado = Eliminado.

  5. En la tabla de cuentas existentes, seleccione la casilla de verificación de cada cuenta que desee añadir como cuenta de miembro.

  6. En el menú Acciones, elija Añadir miembro.

  7. Confirme que desea añadir como miembros el número de cuentas seleccionadas.

Tras confirmar las selecciones, el estado de las cuentas seleccionadas cambia a Activado en proceso y, a continuación, Activado en el inventario de cuentas.

Repita los pasos anteriores en cada región adicional en la que desee añadir una cuenta de miembro.

API

Para añadir una o más cuentas de miembros de Macie mediante programación, utilice la CreateMemberoperación de Amazon Macie. API

Cuando envíe su solicitud, utilice los parámetros admitidos para especificar el ID de cuenta de 12 dígitos y la dirección de correo electrónico de cada una de ellas Cuenta de AWS que desee añadir. Especifica también la región a la que se aplica la solicitud. Para añadir una cuenta en regiones adicionales, envíe su solicitud en cada región adicional.

Para recuperar el ID de cuenta y la dirección de correo electrónico de la cuenta que desee añadir, puede correlacionar el resultado de la ListAccountsoperación AWS Organizations API y el ListMembersfuncionamiento de Amazon API Macie. Para el ListMembers funcionamiento del MacieAPI, incluya el onlyAssociated parámetro en su solicitud y defina el valor del parámetro en. false Si la operación se realiza correctamente, Macie devuelve una matriz members que proporciona detalles sobre todas las cuentas asociadas a su cuenta de administrador de Macie en la región especificada, incluidas las cuentas que actualmente no son cuentas de miembros. En la matriz, anote lo siguiente:

  • Si el valor de la relationshipStatus propiedad de una cuenta no lo Enabled esPaused, la cuenta está asociada a su cuenta, pero no es una cuenta de miembro de Macie.

  • Si una cuenta no está incluida en la matriz, pero sí en el resultado de la ListAccounts operación de la AWS Organizations API, la cuenta forma parte de su organización, AWS Organizations pero no está asociada a ella y, por lo tanto, no es una cuenta de miembro de Macie.

Para añadir una cuenta de miembro mediante el AWS CLI, ejecute el comando create-member. Utilice el parámetro region para especificar la región en la que se va a añadir la cuenta. Utilice los parámetros account para especificar el ID de cuenta y la dirección de correo electrónico de cada cuenta que desee añadir. Por ejemplo:

C:\> aws macie2 create-member --region us-east-1 --account={\"accountId\":\"123456789012\",\"email\":\"janedoe@example.com\"}

Donde us-east-1 es la región en la que se va a añadir la cuenta como cuenta de miembro (la región EE.UU. Este (Virginia del Norte)) y account los parámetros especifican el ID de la cuenta (123456789012) y dirección de correo electrónico (janedoe@example.com) para la cuenta.

Si la solicitud se aprueba, el estado (relationshipStatus) de la cuenta especificada cambia a Enabled en el inventario de su cuenta.

Suspender a Macie por las cuentas de los miembros de una organización

Como administrador de Amazon Macie de una organización en AWS Organizations, puedes suspender a Macie para una cuenta de miembro de tu organización. Si lo hace, también podrá volver a habilitar Macie para la cuenta más adelante.

Cuando se suspende Macie de una cuenta de miembro:

  • Macie pierde el acceso y deja de proporcionar metadatos sobre los datos Amazon S3 de la cuenta en el actual Región de AWS.

  • Macie deja de realizar todas las actividades para la cuenta en la región. Esto incluye la supervisión de los buckets de S3 para garantizar la seguridad y el control de acceso, la detección automática de datos confidenciales y la ejecución de las tareas de detección de datos confidenciales que se estén realizando actualmente.

  • Macie cancela todos los trabajos de detección de datos confidenciales creados por la cuenta en la región. Un trabajo no se puede reanudar ni reiniciar después de cancelarse. Si ha creado trabajos para analizar los datos que son propiedad de la cuenta de miembro, Macie no los cancela. En su lugar, los trabajos omiten los recursos que son propiedad de la cuenta.

Mientras una cuenta esté suspendida, Macie conserva el identificador de sesión de Macie, la configuración y los recursos de la cuenta en la región correspondiente. Por ejemplo, los resultados de la cuenta permanecen intactos y no se ven afectados durante un máximo de 90 días. Su organización no incurre en cargos de Macie por la cuenta en la región correspondiente mientras Macie esté suspendida por la cuenta en esa región.

Suspender Macie para una cuenta de miembro de una organización

Para suspender a Macie de una cuenta de miembro de una organización, puedes usar la consola Amazon Macie o Amazon Macie. API

Console

Siga estos pasos para suspender Macie de una cuenta de miembro mediante la consola de Amazon Macie.

Para suspender Macie de una cuenta de miembro

  1. Abra la consola Amazon Macie en. https://console.aws.amazon.com/macie/

  2. Con el Región de AWS selector situado en la esquina superior derecha de la página, elija la región en la que desee suspender a Macie para una cuenta de miembro.

  3. En el panel de navegación, elija Accounts (Cuentas). Se abre la página Cuentas y muestra una tabla con las cuentas asociadas a su cuenta.

  4. En la tabla de cuentas existentes, selecciona la casilla de verificación de la cuenta por la que deseas suspender a Macie.

  5. En el menú Acciones, seleccione Suspender Macie.

  6. Confirme que desea suspender Macie de la cuenta.

Tras confirmar la suspensión, el estado de la cuenta cambiará a En pausa (suspendido) en el inventario de la cuenta.

Repita los pasos anteriores en cada región adicional en la que desee suspender a Macie de la cuenta.

API

Para suspender a Macie de una cuenta de miembro mediante programación, utilice el UpdateMemberSessionfuncionamiento de Amazon Macie. API

Cuando envíes tu solicitud, usa el id parámetro para especificar el ID de cuenta de 12 dígitos de la cuenta por la Cuenta de AWS que deseas suspender a Macie. Para el parámetro status, especifique PAUSED como el nuevo estado de la cuenta de Macie. Especifica también la región a la que se aplica la solicitud. Para suspender la cuenta en otras regiones, envíe su solicitud en cada región adicional.

Para recuperar el ID de la cuenta que se va a suspender, puede utilizar la ListMembersoperación de Amazon API Macie. Si lo hace, considere filtrar los resultados incluyendo el parámetro onlyAssociated en su solicitud. Si establece el valor de este parámetro en true, Macie devolverá una matriz members que proporciona detalles únicamente sobre las cuentas que actualmente son cuentas de miembros.

Para suspender a Macie de una cuenta de miembro mediante el AWS CLI, ejecuta el update-member-sessioncomando. Utilice el region parámetro para especificar la región en la que se va a suspender a Macie y utilice el id parámetro para especificar el identificador de la cuenta por la que se va Cuenta de AWS a suspender a Macie. En el parámetro status, especifique PAUSED. Por ejemplo:

C:\> aws macie2 update-member-session --region us-east-1 --id 123456789012 --status PAUSED

Donde us-east-1 es la región en la que se suspende a Macie (la región de EE. UU. Este (Virginia del Norte)), 123456789012 es el identificador de la cuenta por la que se va a suspender a Macie y PAUSED es el nuevo estado de Macie para la cuenta.

Si tu solicitud se aprueba, Macie devuelve una respuesta vacía y el estado de la cuenta especificada cambia al Paused de su inventario de cuentas.

Eliminar las cuentas de los miembros de Macie de una organización

Si quieres dejar de acceder a la configuración, los datos y los recursos de Amazon Macie de una cuenta de miembro, puedes eliminar la cuenta como cuenta de miembro de Macie. Puede hacerlo desvinculado la cuenta de tu cuenta de administrador de Macie. Tenga en cuenta que solo usted puede hacer esto con una cuenta de miembro. La cuenta de un AWS Organizations miembro no se puede desvincular de su cuenta de administrador de Macie.

Al eliminar una cuenta de miembro de Macie, Macie permanece habilitada para la cuenta actual Región de AWS. Sin embargo, la cuenta se disocia de su cuenta de administrador de Macie y pasa a ser una cuenta de Macie independiente. Esto significa que perderá el acceso a todos los ajustes, datos y recursos de Macie de la cuenta, incluidos los metadatos y las conclusiones de las políticas de los datos de Amazon S3 de la cuenta. Esto también significa que ya no puedes usar a Macie para descubrir datos confidenciales en los buckets de S3 que son propiedad de la cuenta. Si ya ha creado tareas de detección confidenciales para hacerlo, estas omitirán los buckets que son propiedad de la cuenta. Si has activado la detección automática de datos confidenciales en la cuenta, tanto tú como la cuenta de miembro perdéis el acceso a los datos estadísticos, los datos de inventario y otra información que Macie haya creado y proporcionado directamente al realizar la detección automática de la cuenta.

Tras eliminar una cuenta de miembro de Macie, la cuenta seguirá apareciendo en el inventario de cuentas. Macie no notifica al propietario de la cuenta que la ha eliminado. Puede volver a añadir la cuenta a su organización más adelante. Si añades la cuenta y habilitas la detección automática de datos confidenciales en un plazo de 30 días, también recuperarás el acceso a los datos y la información que Macie recopiló anteriormente y proporcionó directamente al realizar la detección automática de la cuenta.

Eliminar una cuenta de miembro de su organización

Para eliminar una cuenta de miembro de Macie de su organización, puede utilizar la consola Amazon Macie o Amazon Macie. API

Console

Sigue estos pasos para eliminar una cuenta de miembro de Macie mediante la consola de Amazon Macie.

Eliminar una cuenta de miembro de Macie

  1. Abra la consola Amazon Macie en. https://console.aws.amazon.com/macie/

  2. Con el Región de AWS selector situado en la esquina superior derecha de la página, elija la región en la que desee eliminar la cuenta de un miembro.

  3. En el panel de navegación, elija Accounts (Cuentas). Se abre la página Cuentas y muestra una tabla con las cuentas asociadas a su cuenta.

  4. En la tabla Cuentas existentes, selecciona la casilla de verificación de la cuenta que deseas eliminar como cuenta de miembro.

  5. En el menú Acciones, seleccione Desvincular la cuenta.

  6. Confirme que desea eliminar la cuenta seleccionada como cuenta de miembro.

Tras confirmar su selección, el estado de la cuenta cambiará a Eliminada (desvinculada) en el inventario de su cuenta.

Repita los pasos anteriores en cada región adicional de en la que desee eliminar la cuenta de miembro.

API

Para eliminar una cuenta de miembro de Macie mediante programación, utilice la DisassociateMemberoperación de Amazon Macie. API

Cuando envíe su solicitud, utilice el id parámetro para especificar el Cuenta de AWS identificador de 12 dígitos que debe eliminar la cuenta de miembro. Especifica también la región a la que se aplica la solicitud. Para eliminar la cuenta en otras regiones, envíe la solicitud en cada región adicional.

Para recuperar el ID de la cuenta del miembro que va a eliminar, puede utilizar la ListMembersoperación de Amazon API Macie. Si lo hace, considere filtrar los resultados incluyendo el parámetro onlyAssociated en su solicitud. Si establece el valor de este parámetro en true, Macie devolverá una matriz members que proporciona detalles únicamente sobre las cuentas que actualmente son cuentas de miembros de Macie.

Para eliminar una cuenta de miembro de Macie mediante el comando AWS CLIdisassociate-member. Utilice el parámetro region para especificar la región en la que se va a eliminar la cuenta. Utilice el parámetro id para especificar el ID de cuenta de la cuenta de miembro que se va a eliminar. Por ejemplo:

C:\> aws macie2 disassociate-member --region us-east-1 --id 123456789012

Donde us-east-1 es la región en la que se va a eliminar la cuenta (la región EE.UU. Este (Virginia del Norte)) y 123456789012 es el identificador de la cuenta que se va a eliminar.

Si tu solicitud se aprueba, Macie devuelve una respuesta vacía y el estado de la cuenta especificada cambia al Removed de su inventario de cuentas.