Consideraciones sobre el uso de Macie con AWS Organizations - Amazon Macie
Creación de una cuenta de administradorCambiar o eliminar la designación de la cuenta de administradorAgregar y eliminar cuentas de miembrosPasar de una organización basada en invitaciones

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Consideraciones sobre el uso de Macie con AWS Organizations

Antes de integrar Amazon Macie con AWS Organizations y configure su organización en Macie, tenga en cuenta los siguientes requisitos y recomendaciones. Asegúrese también de que entiende la relación entre las cuentas de administrador y de miembro de Macie.

Designación de una cuenta de administrador de Macie

Al determinar qué cuenta debe ser la cuenta de administrador de Macie delegada para su organización, tenga en cuenta lo siguiente:

  • Una organización solo puede tener una cuenta de administrador de Macie delegada.

  • Una cuenta no puede ser cuenta de administrador de Macie y cuenta de miembro al mismo tiempo.

  • Solo el AWS Organizations la cuenta de administración de una organización puede designar la cuenta de administrador delegada de Macie para la organización. Solo la cuenta de administración puede cambiar o eliminar posteriormente esa designación.

  • La AWS Organizations La cuenta de administración de una organización también puede ser la cuenta de administrador delegada de Macie para la organización. Sin embargo, no recomendamos esta configuración en función de AWS las mejores prácticas de seguridad y el principio del privilegio mínimo. Es probable que los usuarios que tienen acceso a la cuenta de administración para fines de facturación no sean los mismos que los usuarios que necesitan acceder a Macie por motivos de seguridad de la información.

    Si prefiere esta configuración, debe habilitar Macie para la cuenta de administración de la organización en al menos una Región de AWS antes de designar la cuenta como cuenta de administrador delegado de Macie. De lo contrario, la cuenta no podrá acceder a la configuración y los recursos de Macie para las cuentas de miembros y administrarlos.

  • A diferencia de AWS Organizations, Macie es un servicio regional. Esto significa que la designación de una cuenta de administrador de Macie es una designación Regional. También significa que las asociaciones entre las cuentas de administrador y miembro de Macie son Regionales. Por ejemplo, si la cuenta de administración designa una cuenta de administrador de Macie en la región del Este de EE. UU. (Norte de Virginia), el administrador de Macie solo podrá gestionar Macie para las cuentas de los miembros de esa Región.

    Para administrar de forma centralizada las cuentas de Macie en múltiples Regiones de AWS, la cuenta de administración debe iniciar sesión en cada región en la que la organización utilice o vaya a utilizar Macie y, a continuación, designar la cuenta de administrador de Macie en cada una de esas regiones. De esa forma, la cuenta de administrador de Macie puede configurar la organización en cada una de esas regiones. Para obtener una lista de las regiones en las que Macie está disponible actualmente, consulte los puntos de destino y las cuotas de Amazon Macie en la Referencia general de AWS.

  • Las cuentas se pueden asociar solo a una cuenta de administrador de Macie a la vez. Si su organización utiliza Macie en varias Regiones, la cuenta de administrador de Macie designada debe ser la misma en todas esas Regiones. Sin embargo, la cuenta de administración de su organización debe designar la cuenta de administrador por separado en cada región.

  • Una cuenta puede ser la cuenta de administrador delegado de Macie para una sola organización a la vez. Si administra varias organizaciones en AWS Organizations, debe designar una cuenta de administrador de Macie diferente para cada organización. Esto se debe a una AWS Organizations requisito: una cuenta solo puede ser miembro de una organización a la vez.

Si el administrador de Macie Cuenta de AWS si está suspendida, aislada o cerrada, todas las cuentas de miembros de Macie asociadas se eliminan automáticamente como cuentas de miembros de Macie, pero Macie seguirá habilitada para las cuentas. Si se habilitó la detección automática de datos confidenciales para una o más cuentas de miembros, se deshabilita para las cuentas. Esto también inhabilita el acceso a los datos estadísticos, los datos de inventario y otra información que Macie produjo y proporcionó directamente al realizar el descubrimiento automático de las cuentas. Para restablecer el acceso a estos datos, debe ocurrir lo siguiente en un plazo de 30 días:

  1. La del administrador de Macie Cuenta de AWS está restaurado.

  2. La AWS Organizations la cuenta de administración vuelve a designar la cuenta como la cuenta de administrador de Macie.

  3. El administrador de Macie configura la organización y vuelve a habilitar la detección automática de las cuentas correspondientes.

Al cabo de 30 días, Macie borra permanentemente los datos que anteriormente había generado y proporcionado directamente, mientras realiza la detección automática de las cuentas correspondientes.

Cambiar o eliminar la designación de una cuenta de administrador de Macie

Solo los AWS Organizations la cuenta de administración de una organización puede cambiar o eliminar la designación de una cuenta de administrador delegado de Macie para la organización.

Si la cuenta de administración cambia o elimina la designación:

  • Todas las cuentas de miembros asociadas se eliminan como cuentas de miembros de Macie, pero Macie sigue habilitada para las cuentas. Las cuentas se convierten en cuentas Macie independientes. Para pausar o dejar de usar Macie, el usuario de la cuenta de un miembro debe suspender (pausar) o deshabilitar (detener) a Macie para la cuenta.

  • La detección automática de datos confidenciales está deshabilitada en todas las cuentas para las que se activó. Esto también desactiva el acceso a los datos estadísticos, los datos de inventario y otra información que Macie produjo y proporcionó directamente al realizar el descubrimiento automático de cada cuenta. Para restablecer el acceso a estos datos, la cuenta de administración debe volver a designar la misma cuenta de administrador de Macie en un plazo de 30 días. Además, el administrador de Macie debe volver a configurar la organización y volver a activar la detección automática para cada cuenta en un plazo de 30 días. Transcurridos 30 días, los datos caducan y Macie los borra permanentemente.

Agregar y eliminar cuentas de miembros de Macie

A la hora de agregar, eliminar y administrar cuentas de miembros de su organización, tenga en cuenta lo siguiente:

  • Una cuenta de administrador de Macie puede estar asociada a no más de 10 000 cuentas de miembros de Macie en cada una Región de AWS. Si su organización supera esta cuota, el administrador de Macie no podrá añadir cuentas de miembros hasta que elimine la cantidad necesaria de cuentas de miembros existentes en la región. Cuando una organización cumple con esta cuota, se lo notificamos al administrador de Macie mediante la creación de una AWS Health evento para su cuenta. También envíamos un correo electrónico a la dirección de correo vinculada con su cuenta

    Si es el administrador de Macie de una organización, puede determinar cuántas cuentas de miembros están asociadas actualmente a su cuenta utilizando la página Cuentas de la consola de Amazon Macie o ListMembersel funcionamiento de Amazon Macie. API Para obtener más información, consulte Revisión de las cuentas de Macie para una organización.

  • Las cuentas se pueden asociar solo a una cuenta de administrador de Macie a la vez. Esto significa que una cuenta no puede aceptar una invitación de Macie desde otra cuenta si ya está asociada a la cuenta de administrador de Macie de una organización en AWS Organizations.

    Del mismo modo, si una cuenta ya ha aceptado una invitación, el administrador de Macie de una organización en AWS Organizations no puede añadir la cuenta como cuenta de miembro de Macie. La cuenta primero debe desasociarse de su cuenta de administrador actual, basada en una invitación.

  • Para añadir la AWS Organizations cuenta de administración como cuenta de miembro de Macie, el usuario de la cuenta de administración primero debe habilitar Macie para la cuenta. El administrador de Macie no puede habilitar Macie para la cuenta de administración.

  • Si el administrador de Macie elimina una cuenta de miembro de Macie:

    • Macie sigue habilitada para la cuenta. La cuenta pasa a ser una cuenta Macie independiente. Para pausar o dejar de usar Macie, el usuario de la cuenta debe suspender (pausar) o deshabilitar (detener) a Macie para la cuenta.

    • La detección automática de datos confidenciales está deshabilitada para la cuenta, si estaba habilitada. Esto también deshabilita el acceso a los datos estadísticos, los datos de inventario y otra información que Macie produjo y proporcionó directamente mientras realizaba la detección automática de la cuenta.

  • Una cuenta de miembro no se puede desvincular de su cuenta de administrador de Macie. Solo el administrador de Macie puede eliminar una cuenta como cuenta de miembro de Macie.

Pasar de una organización basada en invitaciones

Si ya ha asociado una cuenta de administrador de Macie a las cuentas de los miembros mediante invitaciones de membresía de Macie, le recomendamos que designe esa cuenta como la cuenta de administrador delegado de Macie para su organización en AWS Organizations. Esto simplifica la transición desde una organización basada en invitaciones.

Si lo hace, todas las cuentas de miembros actualmente asociadas seguirán siendo miembros. Si la cuenta de un miembro forma parte de su organización en AWS Organizations, la asociación de la cuenta cambia automáticamente de Por invitación a Vía AWS Organizationsen Macie. Si la cuenta de un miembro no forma parte de su organización en AWS Organizations, la asociación de la cuenta sigue siendo Por invitación. En ambos casos, las cuentas seguirán asociadas a la cuenta de administrador delegado de Macie como cuentas de miembros.

Recomendamos este enfoque porque una cuenta no se puede asociar a más de una cuenta de administrador de Macie al mismo tiempo. Si designa una cuenta diferente como cuenta de administrador de Macie para su organización en AWS Organizations, el administrador designado no podrá gestionar las cuentas que ya estén asociadas a otra cuenta de administrador de Macie por invitación. Cada cuenta de miembro debe desvincularse primero de su cuenta de administrador actual, basada en una invitación. El administrador de Macie de su organización en AWS Organizations podrá entonces añadir la cuenta como cuenta de miembro de Macie y empezar a administrarla.

Después de integrar Macie con AWS Organizations y configura su organización en Macie, si lo desea, puede designar una cuenta de administrador de Macie diferente para la organización. También puede seguir utilizando las invitaciones para asociar y gestionar las cuentas de los miembros que no forman parte de su organización en AWS Organizations.