Considérations et recommandations pour les organisations basées sur des invitations dans Amazon Macie - Amazon Macie
Choix d'un compte administrateurEnvoyer des invitations et gérer les comptes des membresRépondre aux invitations aux membres et les gérerTransition vers AWS Organizations

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Considérations et recommandations pour les organisations basées sur des invitations dans Amazon Macie

Avant de créer ou de commencer à gérer une organisation basée sur des invitations dans Amazon Macie, tenez compte des exigences et recommandations suivantes. Assurez-vous également de bien comprendre la relation entre les comptes administrateur et membre de Macie.

Choisir un compte administrateur Macie

Lorsque vous déterminez quel compte doit être le compte administrateur Macie de l'organisation, gardez les points suivants à l'esprit :

  • Une organisation ne peut avoir qu'un seul compte administrateur Macie.

  • Un compte ne peut pas être un compte administrateur Macie et un compte membre à la fois.

  • Macie est un service régional. Cela signifie que l'association entre un compte administrateur Macie et un compte membre est régionale : l'association n'existe Région AWS que dans le cas où une invitation est envoyée et acceptée. Par exemple, si l'administrateur Macie envoie des invitations dans la région USA Est (Virginie du Nord) et que ces invitations sont acceptées, l'administrateur Macie peut gérer les comptes des membres uniquement dans cette région.

  • Pour gérer de manière centralisée plusieurs comptes Macie Régions AWS, l'administrateur Macie doit se connecter à chaque région dans laquelle l'organisation utilise actuellement ou prévoit d'utiliser Macie, et envoyer des invitations aux comptes appropriés dans chacune de ces régions. Pour obtenir la liste des régions dans lesquelles Macie est actuellement disponible, consultez la section Points de terminaison et quotas Amazon Macie dans le. Références générales AWS

  • Un compte membre ne peut être associé qu'à un seul compte administrateur Macie à la fois. Si votre organisation utilise Macie dans plusieurs régions, cela signifie que le compte administrateur Macie doit être le même dans toutes ces régions. Toutefois, les comptes administrateur et membre doivent envoyer et accepter les invitations séparément dans chaque région.

Si l'administrateur Macie Compte AWS est suspendu, isolé ou fermé, tous les comptes de membre associés sont automatiquement supprimés en tant que comptes de membre, mais Macie continue d'être activé pour ces comptes. Les comptes deviennent des comptes Macie autonomes. Si la découverte automatique des données sensibles a été activée pour le compte d'un membre, elle est désactivée pour le compte. Cela désactive également l'accès aux données statistiques, aux données d'inventaire et aux autres informations produites et fournies directement par Macie lors de la découverte automatique du compte. Au bout de 30 jours, ces données expirent et Macie les supprime définitivement. Pour rétablir l'accès aux données avant leur expiration, restaurez celui de l'administrateur Macie Compte AWS, puis utilisez ce compte pour créer et configurer à nouveau l'organisation.

Envoyer des invitations et gérer les comptes des membres Macie

En tant qu'administrateur Macie d'une organisation basée sur des invitations, gardez à l'esprit les points suivants lorsque vous envoyez des invitations et gérez des comptes au sein de l'organisation :

  • Si vous envoyez une invitation, les données associées peuvent être transférées Régions AWS. C'est le cas car Macie vérifie l'adresse e-mail du compte destinataire à l'aide d'un service de vérification des e-mails qui fonctionne uniquement dans la région de l'est des États-Unis (Virginie du Nord).

  • Vous pouvez envoyer une invitation à n'importe quel compte actif Compte AWS, y compris aux comptes qui n'ont pas activé Macie. Toutefois, pour accepter ou refuser une invitation, le compte destinataire doit activer Macie dans la région d'où l'invitation a été envoyée.

  • Un compte administrateur Macie ne peut pas être associé à plus de 1 000 comptes par compte. Région AWS Cela inclut les comptes qui n'ont pas encore répondu aux invitations. Si votre compte atteint ce quota, vous ne pouvez pas ajouter ou inviter de comptes supplémentaires tant que vous n'avez pas supprimé le nombre nécessaire de comptes associés, reçu le nombre nécessaire d'invitations refusées ou une combinaison des deux.

    Pour déterminer le nombre de comptes actuellement associés à votre compte, vous pouvez utiliser la page Comptes de la console Amazon Macie ou le ListMembersfonctionnement de l'API Amazon Macie. Pour plus d’informations, consultez Révision des comptes Amazon Macie pour une organisation basée sur des invitations.

  • Un compte ne peut être associé qu'à un seul compte administrateur Macie à la fois. Cela signifie qu'un compte ne peut pas accepter votre invitation s'il est déjà associé à un autre compte administrateur Macie. Le compte doit d'abord se dissocier de son compte administrateur Macie actuel.

  • Dans une organisation basée sur des invitations, un compte membre peut se dissocier de son compte administrateur Macie à tout moment. Dans ce cas, Macie continue d'être activé pour le compte, mais celui-ci devient un compte Macie autonome. Macie ne vous avertit pas si un compte membre se dissocie de votre compte administrateur. Cependant, le compte continue d'apparaître dans l'inventaire de votre compte et il a le statut de membre démissionnaire.

  • Si vous supprimez un compte membre de votre organisation, Macie continue d'être activé pour ce compte. Le compte devient un compte Macie autonome.

Répondre aux invitations aux membres et les gérer

En tant que destinataire d'une invitation ou membre d'une organisation basée sur des invitations, gardez à l'esprit les points suivants lorsque vous répondez aux invitations que vous recevez et que vous les gérez :

  • Avant d'accepter une invitation, assurez-vous de bien comprendre la relation entre les comptes administrateur et membre de Macie.

  • Votre compte ne peut être associé qu'à un seul compte administrateur Macie à la fois. Si vous acceptez une invitation et souhaitez ensuite rejoindre une autre organisation (par invitation ou via AWS Organizations), vous devez d'abord dissocier votre compte de son compte administrateur Macie actuel. Vous pouvez ensuite rejoindre l'autre organisation.

  • Pour accepter ou refuser une invitation, vous devez activer Macie dans le pays d' Région AWS où l'invitation a été envoyée. Le compte qui a envoyé l'invitation ne peut pas activer Macie dans cette région pour vous. Le refus d'une invitation est facultatif. Si vous refusez une invitation, vous pouvez éventuellement désactiver Macie dans la région applicable après avoir décliné l'invitation.

  • Si vous êtes administrateur Macie, vous ne pouvez pas accepter une invitation à devenir un compte membre. Un compte ne peut pas être à la fois administrateur et compte membre Macie. Pour devenir un compte membre, vous devez d'abord dissocier votre compte de tous ses comptes membres en supprimant tous les comptes membres de votre organisation actuelle.

  • Macie est un service régional. Si vous acceptez une invitation, l'association entre votre compte et le compte administrateur Macie est régionale : l'association n'existe Région AWS que dans le pays d'où l'invitation a été envoyée et acceptée.

  • Si vous utilisez Macie dans plusieurs régions, le compte administrateur Macie de votre compte doit être le même dans toutes ces régions. Cependant, l'administrateur Macie doit vous envoyer des invitations séparément dans chaque région, et vous devez accepter les invitations séparément dans chaque région.

  • Vous pouvez dissocier votre compte d'un compte administrateur Macie à tout moment. De même, votre administrateur Macie peut supprimer votre compte de son organisation à tout moment. Si l'un ou l'autre se produit :

    • Macie est toujours activé pour votre compte. Votre compte devient un compte Macie autonome.

    • La découverte automatique des données sensibles est désactivée pour votre compte, si elle a été activée. Cela désactive également l'accès aux données statistiques existantes, aux données d'inventaire et aux autres informations produites et fournies directement par Macie lors de la découverte automatique de votre compte. Vous pouvez réactiver la découverte automatique pour votre compte. Toutefois, cela ne rétablit pas l'accès aux données existantes. Au lieu de cela, Macie génère et gère de nouvelles données tout en effectuant la découverte automatique de votre compte.

Transition vers AWS Organizations

Après avoir créé une organisation basée sur des invitations dans Macie, vous pouvez passer à l'utilisation à la place. AWS Organizations Pour simplifier la transition, nous vous recommandons de désigner le compte administrateur existant basé sur des invitations comme compte administrateur Macie de l'organisation dans. AWS Organizations

Dans ce cas, tous les comptes de membres actuellement associés restent membres. Si un compte membre fait partie de l'organisation dans AWS Organizations, l'association du compte passe automatiquement de By invitation à Via AWS Organizations in Macie. Si le compte d'un membre ne fait pas partie de l'organisation dans AWS Organizations, l'association du compte continue d'être sur invitation. Dans les deux cas, les comptes continuent d'être associés au compte administrateur Macie en tant que comptes de membre.

Nous recommandons cette approche car un compte membre ne peut être associé qu'à un seul compte administrateur Macie à la fois. Si vous désignez un autre compte comme compte administrateur Macie pour une organisation dans AWS Organizations, l'administrateur désigné ne pourra pas gérer les comptes déjà associés à un autre compte administrateur Macie sur invitation. Chaque compte membre doit d'abord se dissocier de son compte administrateur actuel, basé sur des invitations. Ce n'est qu'alors que l'administrateur Macie de l' AWS Organizations organisation pourra ajouter le compte du membre à son organisation et commencer à gérer Macie pour le compte.

Après avoir intégré Macie à Macie AWS Organizations et configuré votre organisation dans Macie, vous pouvez éventuellement désigner un compte administrateur Macie différent pour l'organisation. Vous pouvez également continuer à utiliser des invitations pour associer et gérer des comptes de membres qui ne font pas partie de votre organisation AWS Organizations.

Pour plus d'informations sur l'intégration de Macie à AWS Organizations, consultezGestion des comptes Amazon Macie avec AWS Organizations.