Considerazioni e consigli per le organizzazioni basate su inviti in Amazon Macie

Prima di creare o iniziare a gestire un'organizzazione basata su inviti in Amazon Macie, considera i seguenti requisiti e consigli. Assicurati inoltre di comprendere la relazione tra l'account amministratore di Macie e quello dei membri.

Scelta di un account amministratore Macie

Mentre stabilisci quale account deve essere l'account amministratore Macie per l'organizzazione, tieni presente quanto segue:

• Un'organizzazione può avere un solo account amministratore Macie.

• Un account non può essere un amministratore e un account membro di Macie allo stesso tempo.

• Macie è un servizio regionale. Ciò significa che l'associazione tra un account amministratore Macie e un account membro è regionale: l'associazione esiste solo se un invito viene inviato e accettato. Regione AWS Ad esempio, se l'amministratore Macie invia inviti nella regione Stati Uniti orientali (Virginia settentrionale) e tali inviti vengono accettati, l'amministratore Macie può gestire gli account dei membri solo in quella regione.

• Per gestire centralmente più account Macie Regioni AWS, l'amministratore Macie deve accedere a ciascuna regione in cui l'organizzazione utilizza attualmente o intende utilizzare Macie e inviare gli inviti agli account appropriati in ciascuna di tali regioni. Per un elenco delle regioni in cui Macie è attualmente disponibile, consulta gli endpoint e le quote di Amazon Macie nel. Riferimenti generali di AWS

• Un account membro può essere associato a un solo account amministratore Macie alla volta. Se l'organizzazione utilizza Macie in più regioni, significa che l'account amministratore Macie deve essere lo stesso in tutte le regioni. Tuttavia, gli account amministratore e membro devono inviare e accettare gli inviti separatamente in ciascuna regione.

Se l'account dell'amministratore di Macie Account AWS viene sospeso, isolato o chiuso, tutti gli account membro associati vengono automaticamente rimossi come account membro, ma Macie continua a essere abilitato per gli account. Gli account diventano account Macie indipendenti. Se il rilevamento automatico dei dati sensibili è stato abilitato per un account membro, è disabilitato per l'account. Ciò disabilita anche l'accesso ai dati statistici, ai dati di inventario e ad altre informazioni prodotte e fornite direttamente da Macie durante l'esecuzione del rilevamento automatico dell'account. Dopo 30 giorni, questi dati scadono e Macie li elimina definitivamente. Per ripristinare l'accesso ai dati prima della scadenza, ripristina quello dell'amministratore di Macie Account AWS, quindi usa quell'account per creare e configurare nuovamente l'organizzazione.

Invio di inviti e gestione degli account dei membri di Macie

In qualità di amministratore di Macie di un'organizzazione basata sugli inviti, tieni presente quanto segue quando invii inviti e gestisci gli account dell'organizzazione:

• Se invii un invito, i dati correlati potrebbero essere trasferiti. Regioni AWS Questo accade perché Macie verifica l'indirizzo e-mail dell'account ricevente utilizzando un servizio di verifica e-mail che opera solo nella regione Stati Uniti orientali (Virginia settentrionale).

• Puoi inviare un invito a qualsiasi account attivo Account AWS, compresi gli account che non hanno abilitato Macie. Tuttavia, per accettare o rifiutare un invito, l'account ricevente deve abilitare Macie nella regione da cui è stato inviato l'invito.

• Un account amministratore Macie può essere associato a non più di 1.000 account ciascuno. Regione AWS Ciò include gli account che non hanno ancora risposto agli inviti. Se il tuo account raggiunge questa quota, non puoi aggiungere o invitare altri account finché non rimuovi il numero necessario di account associati, non ricevi il numero necessario di inviti rifiutati o una combinazione dei due.

  Per determinare quanti account sono attualmente associati al tuo account, puoi utilizzare la pagina Account sulla console Amazon Macie o il ListMembersfunzionamento dell'API Amazon Macie. Per ulteriori informazioni, consulta Analisi degli account Amazon Macie per un'organizzazione basata su inviti.

• Un account può essere associato a un solo account amministratore Macie alla volta. Ciò significa che un account non può accettare il tuo invito se è già associato a un altro account amministratore Macie. L'account deve prima dissociarsi dal suo attuale account amministratore Macie.

• In un'organizzazione basata su inviti, un account membro può dissociarsi dal proprio account amministratore Macie in qualsiasi momento. In tal caso, Macie continua a essere abilitato per l'account ma l'account diventa un account Macie autonomo. Macie non ti avvisa se un account membro si dissocia dal tuo account amministratore. Tuttavia, l'account continua a comparire nell'inventario del tuo account e ha lo stato di Membro dimesso.

• Se rimuovi un account membro dalla tua organizzazione, Macie continua a essere abilitato per l'account. L'account diventa un account Macie indipendente.

Risposta e gestione degli inviti all'iscrizione

In qualità di destinatario di un invito o membro di un'organizzazione basata sugli inviti, tieni presente quanto segue quando rispondi e gestisci gli inviti che ricevi:

• Prima di accettare un invito, assicurati di aver compreso la relazione tra l'amministratore di Macie e gli account dei membri.

• Il tuo account può essere associato a un solo account amministratore Macie alla volta. Se accetti un invito e successivamente desideri entrare a far parte di un'altra organizzazione (su invito o tramite AWS Organizations), devi prima dissociare il tuo account dall'attuale account amministratore Macie. Potrai quindi entrare a far parte dell'altra organizzazione.

• Per accettare o rifiutare un invito, devi abilitare Macie nella cartella da Regione AWS cui è stato inviato l'invito. L'account che ha inviato l'invito non può abilitare Macie in quella regione per te. Il rifiuto di un invito è facoltativo. Se rifiuti un invito, puoi opzionalmente disabilitare Macie nella regione applicabile dopo aver rifiutato l'invito.

• Se sei un amministratore di Macie, non puoi accettare un invito a diventare un account membro: un account non può essere un amministratore Macie e un account membro allo stesso tempo. Per diventare un account membro, devi prima dissociare il tuo account da tutti i suoi account membro rimuovendo tutti gli account membro dalla tua attuale organizzazione.

• Macie è un servizio regionale. Se accetti un invito, l'associazione tra il tuo account e l'account amministratore di Macie è regionale: l'associazione esiste solo nel paese da Regione AWS cui l'invito è stato inviato e accettato.

• Se usi Macie in più regioni, l'account amministratore Macie del tuo account deve essere lo stesso in tutte le regioni. Tuttavia, l'amministratore di Macie deve inviarti gli inviti separatamente in ciascuna regione e tu devi accettarli separatamente in ciascuna regione.

• Puoi dissociare il tuo account da un account amministratore di Macie in qualsiasi momento. Allo stesso modo, l'amministratore Macie può rimuovere il tuo account dalla sua organizzazione in qualsiasi momento. Se si verifica una delle due situazioni:

  • Macie continua a essere abilitata per il tuo account. Il tuo account diventa un account Macie indipendente.

  • L'individuazione automatica dei dati sensibili è disabilitata per il tuo account, se era abilitata. Ciò disabilita anche l'accesso ai dati statistici esistenti, ai dati di inventario e ad altre informazioni che Macie ha prodotto e fornito direttamente durante l'esecuzione del rilevamento automatico del tuo account. Puoi abilitare nuovamente l'individuazione automatica per il tuo account. Tuttavia, ciò non ripristina l'accesso ai dati esistenti. Invece, Macie genera e mantiene nuovi dati mentre esegue il rilevamento automatico del tuo account.

Transizione a AWS Organizations

Dopo aver creato un'organizzazione basata su inviti in Macie, puoi passare a utilizzare invece. AWS Organizations Per semplificare la transizione, ti consigliamo di designare l'account amministratore esistente basato su invito come account amministratore Macie per l'organizzazione in. AWS Organizations

Se lo fai, tutti gli account membro attualmente associati continuano a esserlo. Se un account membro fa parte dell'organizzazione in AWS Organizations, l'associazione dell'account cambia automaticamente da Su invito a Via AWS Organizations in Macie. Se un account membro non fa parte dell'organizzazione in AWS Organizations, l'associazione dell'account continua a essere Su invito. In entrambi i casi, gli account continuano ad essere associati all'account amministratore di Macie come account membri.

Consigliamo questo approccio perché un account membro può essere associato a un solo account amministratore Macie alla volta. Se si designa un account diverso come account amministratore Macie per un'organizzazione in AWS Organizations, l'amministratore designato non sarà in grado di gestire gli account che sono già associati a un altro account amministratore Macie tramite invito. Ogni account membro deve prima dissociarsi dal suo attuale account amministratore basato su invito. Solo allora l'amministratore Macie dell'organizzazione può aggiungere l'account membro alla propria AWS Organizations organizzazione e iniziare a gestire Macie per l'account.

Dopo aver integrato Macie AWS Organizations e configurato la tua organizzazione in Macie, puoi facoltativamente designare un account amministratore Macie diverso per l'organizzazione. Puoi anche continuare a utilizzare gli inviti per associare e gestire gli account dei membri che non fanno parte della tua organizzazione. AWS Organizations

Per informazioni sull'integrazione di Macie con AWS Organizations, consulta. Gestire gli account Amazon Macie con AWS Organizations