Considerazioni e consigli per l'utilizzo di Amazon Macie con AWS Organizations - Amazon Macie
Designazione di un account amministratoreModifica o rimozione della designazione dell'account amministratoreAggiungere e rimuovere gli account dei membriPassaggio da un'organizzazione basata su inviti

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Considerazioni e consigli per l'utilizzo di Amazon Macie con AWS Organizations

Prima di integrare Amazon Macie AWS Organizations e configurare la tua organizzazione in Macie, considera i seguenti requisiti e consigli. Assicurati inoltre di comprendere la relazione tra l'account amministratore di Macie e quello dei membri.

Designazione di un account amministratore Macie

Mentre stabilisci quale account deve essere l'account amministratore Macie delegato per la tua organizzazione, tieni presente quanto segue:

  • Un'organizzazione può avere un solo account amministratore Macie delegato.

  • Un account non può essere un amministratore e un account membro di Macie allo stesso tempo.

  • Solo l'account di AWS Organizations gestione di un'organizzazione può designare l'account amministratore Macie delegato per l'organizzazione. Solo l'account di gestione può successivamente modificare o rimuovere tale designazione.

  • L'account di AWS Organizations gestione di un'organizzazione può anche essere l'account amministratore Macie delegato dell'organizzazione. Tuttavia, non consigliamo questa configurazione in base alle migliori pratiche AWS di sicurezza e al principio del privilegio minimo. È probabile che gli utenti che hanno accesso all'account di gestione per scopi di fatturazione siano diversi dagli utenti che devono accedere a Macie per motivi di sicurezza delle informazioni.

    Se preferisci questa configurazione, devi abilitare Macie come account di gestione dell'organizzazione in almeno un account Regione AWS prima di designare l'account come account amministratore Macie delegato. Altrimenti, l'account non sarà in grado di accedere e gestire le impostazioni e le risorse di Macie per gli account dei membri.

  • Al contrario AWS Organizations, Macie è un servizio regionale. Ciò significa che la designazione di un account amministratore Macie è una designazione regionale. Significa anche che le associazioni tra gli account amministratore e membro di Macie sono regionali. Ad esempio, se l'account di gestione indica un account amministratore Macie nella regione Stati Uniti orientali (Virginia settentrionale), l'amministratore Macie può gestire gli account Macie for member solo in quella regione.

    Per gestire centralmente più account Macie Regioni AWS, l'account di gestione deve accedere a ciascuna regione in cui l'organizzazione utilizza attualmente o utilizzerà Macie, e quindi designare l'account amministratore Macie in ciascuna di tali regioni. L'amministratore Macie può quindi configurare l'organizzazione in ciascuna di queste regioni. Per un elenco delle regioni in cui Macie è attualmente disponibile, consulta Endpoint e quote Amazon Macie nel. Riferimenti generali di AWS

  • Un account può essere associato a un solo account amministratore Macie alla volta. Se l'organizzazione utilizza Macie in più regioni, l'account amministratore Macie designato deve essere lo stesso in tutte le regioni. Tuttavia, l'account di gestione dell'organizzazione deve designare l'account amministratore separatamente in ciascuna regione.

  • Un account può essere l'account amministratore Macie delegato per una sola organizzazione alla volta. Se gestisci più organizzazioni in AWS Organizations, devi designare un account amministratore Macie diverso per ogni organizzazione. Ciò è dovuto a un AWS Organizations requisito: un account può essere membro di una sola organizzazione alla volta.

Se l'amministratore di Macie Account AWS viene sospeso, isolato o chiuso, tutti gli account dei membri Macie associati vengono rimossi automaticamente come account membro Macie, ma Macie continua a essere abilitato per gli account. Se il rilevamento automatico dei dati sensibili è stato abilitato per uno o più account membri, è disabilitato per gli account. Ciò disabilita anche l'accesso ai dati statistici, ai dati di inventario e ad altre informazioni prodotte e fornite direttamente da Macie durante l'individuazione automatica degli account. Per ripristinare l'accesso a questi dati, deve avvenire quanto segue entro 30 giorni:

  1. L'amministratore di Macie Account AWS viene ripristinato.

  2. L'account AWS Organizations di gestione designa nuovamente l'account come account amministratore di Macie.

  3. L'amministratore Macie configura l'organizzazione e abilita nuovamente l'individuazione automatica degli account appropriati.

Dopo 30 giorni, Macie elimina definitivamente i dati precedentemente prodotti e forniti direttamente durante l'individuazione automatica degli account applicabili.

Modifica o rimozione della designazione di un account amministratore Macie

Solo l'account di AWS Organizations gestione di un'organizzazione può modificare o rimuovere la designazione di un account amministratore Macie delegato per l'organizzazione.

Se l'account di gestione modifica o rimuove la designazione:

  • Tutti gli account membro associati vengono rimossi come account membro Macie, ma Macie continua a essere abilitato per gli account. Gli account diventano account Macie indipendenti. Per mettere in pausa o smettere di usare Macie, un utente di un account membro deve sospendere (mettere in pausa) o disabilitare (interrompere) Macie per l'account.

  • L'individuazione automatica dei dati sensibili è disattivata per ogni account per cui è stata abilitata. Ciò disabilita anche l'accesso ai dati statistici, ai dati di inventario e ad altre informazioni prodotte e fornite direttamente da Macie durante l'esecuzione del rilevamento automatico per ciascun account. Per ripristinare l'accesso a questi dati, l'account di gestione deve designare nuovamente lo stesso account amministratore Macie entro 30 giorni. Inoltre, l'amministratore Macie deve configurare nuovamente l'organizzazione e riattivare il rilevamento automatico per ogni account entro 30 giorni. Dopo 30 giorni, i dati scadono e Macie li elimina definitivamente.

Aggiungere e rimuovere gli account dei membri di Macie

Quando aggiungi, rimuovi e gestisci in altro modo gli account dei membri della tua organizzazione, tieni presente quanto segue:

  • Un account amministratore Macie può essere associato a non più di 10.000 account membri Macie attivi (abilitati) ciascuno. Regione AWS Se l'organizzazione supera questa quota, l'amministratore Macie non sarà in grado di aggiungere account membro finché non rimuoverà il numero necessario di account membro esistenti nella Regione. Quando un'organizzazione raggiunge questa quota, informiamo l'amministratore di Macie creando AWS Health CloudWatch eventi Amazon per il suo account. Inviamo anche e-mail all'indirizzo associato al loro account.

    Se sei l'amministratore Macie di un'organizzazione, puoi determinare quanti account membro attivi sono attualmente associati al tuo account utilizzando la pagina Account sulla console Amazon Macie o ListMembersil funzionamento dell'API Amazon Macie. Per ulteriori informazioni, consulta Analisi degli account Amazon Macie per un'organizzazione.

  • Un account può essere associato a un solo account amministratore Macie alla volta. Ciò significa che un account non può accettare un invito Macie da un altro account se è già associato all'account amministratore Macie di un'organizzazione in. AWS Organizations

    Allo stesso modo, se un account ha già accettato un invito, l'amministratore Macie di un'organizzazione non AWS Organizations può aggiungere l'account come account membro di Macie. L'account deve prima dissociarsi dal suo attuale account amministratore basato su invito.

  • Per aggiungere l'account di AWS Organizations gestione come account membro Macie, un utente dell'account di gestione deve prima abilitare Macie per l'account. L'amministratore Macie non è autorizzato ad abilitare Macie per l'account di gestione.

  • Se l'amministratore Macie rimuove un account membro Macie:

    • Macie continua a essere abilitato per l'account. L'account diventa un account Macie indipendente. Per mettere in pausa o smettere di usare Macie, un utente dell'account deve sospendere (mettere in pausa) o disabilitare (interrompere) Macie per l'account.

    • L'individuazione automatica dei dati sensibili è disabilitata per l'account, se era abilitata. Ciò disabilita anche l'accesso ai dati statistici, ai dati di inventario e ad altre informazioni prodotte e fornite direttamente da Macie durante l'individuazione automatica dell'account.

  • Un account membro non può dissociarsi dal proprio account amministratore Macie. Solo l'amministratore Macie può rimuovere un account come account membro Macie.

Passaggio da un'organizzazione basata su inviti

Se hai già associato un account amministratore Macie agli account dei membri utilizzando gli inviti all'iscrizione a Macie, ti consigliamo di designare quell'account come account amministratore Macie delegato per la tua organizzazione in. AWS Organizations Questo semplifica la transizione da un'organizzazione basata su inviti.

In tal caso, tutti gli account membro attualmente associati continuano a essere membri. Se un account membro fa parte della tua organizzazione in AWS Organizations, l'associazione dell'account cambia automaticamente da Su invito a Via AWS Organizations in Macie. Se un account membro non fa parte della tua organizzazione in AWS Organizations, l'associazione dell'account continua a essere Su invito. In entrambi i casi, gli account continuano ad essere associati all'account amministratore delegato di Macie come account membro.

Consigliamo questo approccio perché un account non può essere associato a più di un account amministratore Macie contemporaneamente. Se si designa un account diverso come account amministratore Macie per la propria organizzazione in AWS Organizations, l'amministratore designato non sarà in grado di gestire gli account che sono già associati a un altro account amministratore Macie tramite invito. Ogni account membro deve prima dissociarsi dal suo attuale account amministratore basato su invito. L'amministratore Macie dell'organizzazione AWS Organizations può quindi aggiungere l'account come account membro Macie e iniziare a gestire l'account.

Dopo aver integrato Macie AWS Organizations e aver configurato l'organizzazione in Macie, puoi facoltativamente designare un account amministratore Macie diverso per l'organizzazione. Puoi anche continuare a utilizzare gli inviti per associare e gestire gli account dei membri che non fanno parte della tua organizzazione. AWS Organizations