Considérations relatives à l'utilisation de Macie avec AWS Organizations - Amazon Macie
Désignation d'un compte administrateurModification ou suppression de la désignation du compte administrateurAjouter et supprimer des comptes de membresTransition depuis une organisation basée sur les invitations

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Considérations relatives à l'utilisation de Macie avec AWS Organizations

Avant d'intégrer Amazon Macie à AWS Organizations et configurez votre organisation dans Macie, tenez compte des exigences et recommandations suivantes. Assurez-vous également de bien comprendre la relation entre les comptes administrateur et membre de Macie.

Désignation d'un compte administrateur Macie

Lorsque vous déterminez quel compte doit être le compte administrateur Macie délégué de votre organisation, gardez les points suivants à l'esprit :

  • Une organisation ne peut avoir qu'un seul compte administrateur Macie délégué.

  • Un compte ne peut pas être un compte administrateur Macie et un compte membre à la fois.

  • Seul le AWS Organizations Le compte de gestion d'une organisation peut désigner le compte administrateur Macie délégué pour l'organisation. Seul le compte de gestion peut ultérieurement modifier ou supprimer cette désignation.

  • Le AWS Organizations le compte de gestion d'une organisation peut également être le compte administrateur Macie délégué de l'organisation. Toutefois, nous ne recommandons pas cette configuration basée sur AWS les meilleures pratiques en matière de sécurité et le principe du moindre privilège. Les utilisateurs qui ont accès au compte de gestion à des fins de facturation sont susceptibles d'être différents des utilisateurs qui ont besoin d'accéder à Macie pour des raisons de sécurité des informations.

    Si vous préférez cette configuration, vous devez activer Macie pour le compte de gestion de l'organisation dans au moins un Région AWS avant de désigner le compte comme compte administrateur Macie délégué. Sinon, le compte ne sera pas en mesure d'accéder aux paramètres et aux ressources Macie pour les comptes des membres et de les gérer.

  • Contrairement AWS Organizations, Macie est un service régional. Cela signifie que la désignation d'un compte administrateur Macie est une désignation régionale. Cela signifie également que les associations entre les comptes administrateur et membre de Macie sont régionales. Par exemple, si le compte de gestion désigne un compte administrateur Macie dans la région USA Est (Virginie du Nord), l'administrateur Macie peut gérer Macie pour les comptes des membres uniquement dans cette région.

    Pour gérer de manière centralisée plusieurs comptes Macie Régions AWS, le compte de gestion doit se connecter à chaque région dans laquelle l'organisation utilise ou utilisera actuellement Macie, puis désigner le compte administrateur Macie dans chacune de ces régions. L'administrateur Macie peut ensuite configurer l'organisation dans chacune de ces régions. Pour obtenir la liste des régions dans lesquelles Macie est actuellement disponible, consultez la section Points de terminaison et quotas Amazon Macie dans le Références générales AWS.

  • Un compte ne peut être associé qu'à un seul compte administrateur Macie à la fois. Si votre organisation utilise Macie dans plusieurs régions, le compte administrateur Macie désigné doit être le même dans toutes ces régions. Toutefois, le compte de gestion de votre organisation doit désigner le compte administrateur séparément dans chaque région.

  • Un compte ne peut être le compte d'administrateur Macie délégué que pour une seule organisation à la fois. Si vous gérez plusieurs organisations dans AWS Organizations, vous devez désigner un compte administrateur Macie différent pour chaque organisation. Cela est dû à une AWS Organizations exigence : un compte ne peut être membre que d'une seule organisation à la fois.

Si l'administrateur Macie est Compte AWS est suspendu, isolé ou fermé, tous les comptes de membre Macie associés sont automatiquement supprimés en tant que comptes de membres Macie, mais Macie continue d'être activé pour les comptes. Si la découverte automatique des données sensibles a été activée pour un ou plusieurs comptes membres, elle est désactivée pour les comptes. Cela désactive également l'accès aux données statistiques, aux données d'inventaire et aux autres informations produites et fournies directement par Macie lors de la découverte automatique des comptes. Pour rétablir l'accès à ces données, les mesures suivantes doivent être prises dans les 30 jours :

  1. L'administrateur Macie Compte AWS est restauré.

  2. Le AWS Organizations le compte de gestion désigne à nouveau le compte en tant que compte administrateur Macie.

  3. L'administrateur Macie configure l'organisation et active à nouveau la découverte automatique des comptes appropriés.

Au bout de 30 jours, Macie supprime définitivement les données qu'elle a précédemment produites et directement fournies tout en effectuant une découverte automatique pour les comptes concernés.

Modifier ou supprimer la désignation d'un compte administrateur Macie

Seul le AWS Organizations le compte de gestion d'une organisation peut modifier ou supprimer la désignation d'un compte administrateur Macie délégué pour l'organisation.

Si le compte de gestion modifie ou supprime la désignation :

  • Tous les comptes de membre associés sont supprimés en tant que comptes de membres Macie, mais Macie continue d'être activé pour les comptes. Les comptes deviennent des comptes Macie autonomes. Pour suspendre ou arrêter d'utiliser Macie, l'utilisateur d'un compte membre doit suspendre (suspendre) ou désactiver (arrêter) Macie pour le compte.

  • La découverte automatique des données sensibles est désactivée pour chaque compte pour lequel elle a été activée. Cela désactive également l'accès aux données statistiques, aux données d'inventaire et aux autres informations produites et fournies directement par Macie lors de la découverte automatique de chaque compte. Pour rétablir l'accès à ces données, le compte de gestion doit à nouveau désigner le même compte administrateur Macie dans les 30 jours. En outre, l'administrateur Macie doit reconfigurer l'organisation et réactiver la découverte automatique pour chaque compte dans un délai de 30 jours. Après 30 jours, les données expirent et Macie les supprime définitivement.

Ajouter et supprimer des comptes de membres Macie

Lorsque vous ajoutez, supprimez ou gérez des comptes de membres pour votre organisation, gardez les points suivants à l'esprit :

  • Un compte administrateur Macie ne peut pas être associé à plus de 10 000 comptes de membres Macie par compte Région AWS. Si votre organisation dépasse ce quota, l'administrateur Macie ne pourra pas ajouter de comptes membres tant qu'il n'aura pas supprimé le nombre nécessaire de comptes membres existants dans la région. Lorsqu'une organisation atteint ce quota, nous en informons l'administrateur Macie en créant un AWS Health événement pour leur compte. Nous envoyons également un e-mail à l'adresse associée à leur compte.

    Si vous êtes l'administrateur Macie d'une organisation, vous pouvez déterminer le nombre de comptes de membres actuellement associés à votre compte en utilisant la page Comptes de la console Amazon Macie ou en suivant ListMembersle fonctionnement d'Amazon Macie. API Pour de plus amples informations, veuillez consulter Révision des comptes Macie d'une organisation.

  • Un compte ne peut être associé qu'à un seul compte administrateur Macie à la fois. Cela signifie qu'un compte ne peut pas accepter une invitation Macie provenant d'un autre compte s'il est déjà associé au compte administrateur Macie d'une organisation dans AWS Organizations.

    De même, si un compte a déjà accepté une invitation, l'administrateur Macie d'une organisation dans AWS Organizations Impossible d'ajouter le compte en tant que compte de membre Macie. Le compte doit d'abord se dissocier de son compte administrateur actuel, basé sur des invitations.

  • Pour ajouter le AWS Organizations compte de gestion en tant que compte membre Macie, un utilisateur du compte de gestion doit d'abord activer Macie pour le compte. L'administrateur Macie n'est pas autorisé à activer Macie pour le compte de gestion.

  • Si l'administrateur Macie supprime le compte d'un membre Macie :

    • Macie continue d'être activé pour le compte. Le compte devient un compte Macie autonome. Pour suspendre ou arrêter d'utiliser Macie, un utilisateur du compte doit suspendre (pause) ou désactiver (arrêter) Macie pour le compte.

    • La découverte automatique des données sensibles est désactivée pour le compte, si elle a été activée. Cela désactive également l'accès aux données statistiques, aux données d'inventaire et aux autres informations produites et fournies directement par Macie lors de la découverte automatique du compte.

  • Un compte membre ne peut pas être dissocié de son compte administrateur Macie. Seul l'administrateur de Macie peut supprimer un compte en tant que compte de membre de Macie.

Transition depuis une organisation basée sur les invitations

Si vous avez déjà associé un compte administrateur Macie à des comptes de membres en utilisant des invitations d'adhésion Macie, nous vous recommandons de désigner ce compte comme compte administrateur Macie délégué pour votre organisation dans AWS Organizations. Cela simplifie la transition depuis une organisation basée sur les invitations.

Dans ce cas, tous les comptes de membres actuellement associés restent membres. Si un compte de membre fait partie de votre organisation dans AWS Organizations, l'association du compte passe automatiquement de Par invitation à Via AWS Organizationsà Macie. Si un compte de membre ne fait pas partie de votre organisation dans AWS Organizations, l'association du compte continue d'être sur invitation. Dans les deux cas, les comptes continuent d'être associés au compte administrateur Macie délégué en tant que comptes de membre.

Nous recommandons cette approche car un compte ne peut pas être associé à plusieurs comptes d'administrateur Macie à la fois. Si vous désignez un autre compte comme compte administrateur Macie pour votre organisation dans AWS Organizations, l'administrateur désigné ne pourra pas gérer les comptes déjà associés à un autre compte administrateur Macie sur invitation. Chaque compte membre doit d'abord se dissocier de son compte administrateur actuel, basé sur des invitations. L'administrateur Macie de votre organisation dans AWS Organizations peut ensuite ajouter le compte en tant que compte membre Macie et commencer à gérer le compte.

Après avoir intégré Macie à AWS Organizations et vous configurez votre organisation dans Macie, vous pouvez éventuellement désigner un compte administrateur Macie différent pour l'organisation. Vous pouvez également continuer à utiliser des invitations pour associer et gérer des comptes de membres qui ne font pas partie de votre organisation dans AWS Organizations.