Consideraciones y recomendaciones para las organizaciones basadas en invitaciones en Amazon Macie - Amazon Macie
Creación de una cuenta de administrador Envío de invitaciones y administración de las cuentas de miembrosResponder y administrar invitaciones de membresía¿Está haciendo la transición a AWS Organizations

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Consideraciones y recomendaciones para las organizaciones basadas en invitaciones en Amazon Macie

Antes de crear o comenzar a administrar una organización basada en invitaciones en Amazon Macie, tenga en cuenta los siguientes requisitos y recomendaciones. Asegúrese también de que entiende la relación entre las cuentas de administrador y de miembro de Macie.

Elegir una cuenta de administrador de Macie

Al determinar qué cuenta debe ser la cuenta de administrador de Macie para la organización, tenga en cuenta lo siguiente:

  • Una organización solo puede tener una cuenta de administrador de Macie.

  • Una cuenta no puede ser cuenta de administrador de Macie y cuenta de miembro al mismo tiempo.

  • Macie es un servicio regional. Esto significa que la asociación entre una cuenta de administrador de Macie y una cuenta de miembro es regional; la asociación solo existe en el lugar desde el Región de AWS que se envía una invitación y en la que se acepta. Por ejemplo, si el administrador de Macie envía invitaciones a la región Este de EE. UU. (Norte de Virginia) y esas invitaciones son aceptadas, el administrador de Macie solo podrá administrar las cuentas de los miembros en esa región.

  • Para gestionar de forma centralizada varias cuentas de Macie Regiones de AWS, el administrador de Macie debe iniciar sesión en cada región en la que la organización utilice Macie actualmente o tenga previsto utilizarla, y enviar invitaciones a las cuentas correspondientes de cada una de esas regiones. Para obtener una lista de todas las regiones en las que Macie se encuentra actualmente disponible, consulte Puntos de conexión y cuotas de Amazon Macie en Referencia general de AWS.

  • Una cuenta de miembro solo se puede asociar a una cuenta de administrador de Macie a la vez. Si su organización utiliza Macie en varias regiones, significa que la cuenta de administrador de Macie debe ser la misma en todas esas regiones. Sin embargo, las cuentas de administrador y de miembro deben enviar y aceptar las invitaciones por separado en cada región.

Si Cuenta de AWS se suspende, aísla o cierra la cuenta del administrador de Macie, todas las cuentas de miembros asociadas se eliminan automáticamente como cuentas de miembros, pero Macie seguirá habilitada para las cuentas. Las cuentas pasan a ser cuentas Macie independientes. Si la detección automática de datos confidenciales estaba habilitada para la cuenta de un miembro, se deshabilita para la cuenta. Esto también inhabilita el acceso a los datos estadísticos, los datos de inventario y otra información que Macie produjo y proporcionó directamente al realizar la detección automática de la cuenta. Transcurridos 30 días, estos datos caducan y Macie los borra permanentemente. Para restablecer el acceso a los datos antes de que caduquen, restaure la del administrador de Macie y Cuenta de AWS, a continuación, utilice esa cuenta para volver a crear y configurar la organización.

Envío de invitaciones y administración de las cuentas de miembros de Macie

Como administrador de Macie de una organización basada en invitaciones, tenga en cuenta lo siguiente al enviar invitaciones y administrar las cuentas de la organización:

  • Si envías una invitación, es posible que los datos relacionados se transfieran entre Regiones de AWS sí. Esto se debe a que Macie verifica la dirección de correo electrónico de la cuenta receptora mediante un servicio de verificación de correo electrónico que opera únicamente en la región Este de EE. UU. (Norte de Virginia).

  • Puedes enviar una invitación a cualquier cuenta activa Cuenta de AWS, incluidas las cuentas que no hayan activado Macie. Para aceptar o rechazar una invitación, debe activar Macie en la región desde la que se envió la invitación.

  • Una cuenta de administrador de Macie puede estar asociada a un máximo de 1000 cuentas en cada Región de AWS. Esto incluye las cuentas que aún no hayan respondido a las invitaciones. Si su cuenta llega al límite, no podrá añadir ni invitar a más cuentas hasta que elimine el número necesario de cuentas asociadas, reciba el número necesario de invitaciones rechazadas o una combinación de ambas cosas.

    Para determinar cuántas cuentas están asociadas actualmente a su cuenta, puede utilizar la página Cuentas de la consola de Amazon Macie o el ListMembersfuncionamiento de la API de Amazon Macie. Para obtener más información, consulte Revisión de las cuentas de Amazon Macie para una organización basada en invitaciones.

  • Las cuentas se pueden asociar solo a una cuenta de administrador de Macie a la vez. Esto significa que una cuenta no puede aceptar una invitación si ya está asociada a otra cuenta de administrador de Macie. La cuenta primero debe desasociarse de su cuenta de administrador de Macie actual.

  • En una organización basada en invitaciones, la cuenta de un miembro puede desvincularse de su cuenta de administrador de Macie en cualquier momento. Si esto ocurre, Macie seguirá habilitada para la cuenta, pero la cuenta pasará a ser una cuenta de Macie independiente. Macie no le notifica si la cuenta de un miembro se desvincula de su cuenta de administrador. Sin embargo, la cuenta seguirá apareciendo en su inventario de cuentas y tendrá el estado de Miembro que ha renunciado.

  • Si eliminas la cuenta de un miembro de tu organización, Macie seguirá teniendo habilitada la cuenta. La cuenta pasa a ser una cuenta Macie independiente.

Responder y administrar invitaciones de membresía

Como destinatario de una invitación o miembro de una organización basada en invitaciones, tenga en cuenta lo siguiente al responder y administrar las invitaciones que reciba:

  • Antes de aceptar una invitación, asegúrese de entender la relación entre las cuentas de administrador y de miembro de Macie.

  • Las cuentas solo se pueden asociar a una cuenta de administrador de Macie a la vez. Si acepta una invitación y, posteriormente, quiere unirse a otra organización (mediante invitación o a través de ella AWS Organizations), primero debe desvincular su cuenta de su cuenta de administrador actual de Macie. A continuación, podrá unirse a la otra organización.

  • Para aceptar o rechazar una invitación, debes habilitar a Macie en Región de AWS desde donde se envió la invitación. La cuenta que envió la invitación no puede habilitar Macie en esa región para usted. Rechazar una invitación es opcional. Si rechaza una invitación puede, si lo desea, inhabilitar a Macie en la región correspondiente después de rechazarla.

  • Si es administrador de Macie, no puede aceptar una invitación para convertirse en una cuenta de miembro: una cuenta no puede ser de administrador de Macie y de miembro al mismo tiempo. Para convertirse en una cuenta de miembro, primero debe desvincular su cuenta de todas sus cuentas de miembro eliminando todas las cuentas de miembro de su organización actual.

  • Macie es un servicio regional. Si acepta una invitación, la asociación entre su cuenta y la cuenta de administrador de Macie es regional; la asociación solo existe en el lugar desde el que se envió y en el Región de AWS que se aceptó la invitación.

  • Si utiliza Macie en varias regiones, la cuenta de administrador de Macie de su cuenta debe ser la misma en todas esas regiones. Sin embargo, el administrador de Macie debe enviarle las invitaciones por separado en cada región y usted debe aceptarlas por separado en cada región.

  • Puede desvincular su cuenta de una cuenta de administrador de Macie en cualquier momento. Del mismo modo, su administrador de Macie puede eliminar su cuenta de su organización en cualquier momento. Si ocurre alguna de estas situaciones:

    • Macie sigue habilitada para tu cuenta. Su cuenta pasa a ser una cuenta Macie independiente.

    • La detección automática de datos confidenciales está deshabilitada para su cuenta, si estaba habilitada. Esto también deshabilita el acceso a los datos estadísticos existentes, los datos de inventario y otra información que Macie produjo y proporcionó directamente al realizar la detección automática de su cuenta. Puedes volver a activar la detección automática en tu cuenta. Sin embargo, esto no restablece el acceso a los datos existentes. En cambio, Macie genera y mantiene nuevos datos mientras realiza la detección automática de tu cuenta.

Transición al uso de AWS Organizations

Después de crear una organización basada en invitaciones en Macie, puede pasar a utilizarla en su lugar. AWS Organizations Para simplificar la transición, le recomendamos que designe la cuenta de administrador existente, basada en invitaciones, como cuenta de administrador de Macie de la organización en la que se encuentra. AWS Organizations

Si lo hace, todas las cuentas de miembros actualmente asociadas seguirán siendo miembros. Si la cuenta de un miembro forma parte de la organización AWS Organizations, la asociación de la cuenta cambia automáticamente de Por invitación a Via AWS Organizations in Macie. Si la cuenta de un miembro no forma parte de la organización AWS Organizations, la asociación de la cuenta seguirá siendo Por invitación. En ambos casos, las cuentas seguirán asociadas a la cuenta de administrador de Macie como cuentas de miembros.

Recomendamos este enfoque porque una cuenta de miembro solo se puede asociar a una cuenta de administrador de Macie a la vez. Si designa una cuenta diferente como cuenta de administrador de Macie para una organización en AWS Organizations, el administrador designado no podrá administrar las cuentas que ya estén asociadas a otra cuenta de administrador de Macie por invitación. Cada cuenta de miembro debe desvincularse primero de su cuenta de administrador actual, basada en una invitación. Solo entonces el administrador de Macie de la AWS Organizations organización podrá añadir la cuenta de miembro a su organización y empezar a gestionar Macie para la cuenta.

Tras integrar Macie AWS Organizations y configurar su organización en Macie, si lo desea, puede designar otra cuenta de administrador de Macie para la organización. También puede seguir utilizando las invitaciones para asociar y administrar cuentas de miembros que no formen parte de su organización en AWS Organizations.

Para obtener información sobre cómo integrar Macie con, consulte. AWS OrganizationsGestionar las cuentas de Amazon Macie con AWS Organizations