Criação e gerenciamento de uma organização baseada em convites em Macie - Amazon Macie
Adicionar contas-membroSuspendendo o Macie para contas-membroRemovendo contas-membroExcluindo associações com outras contas

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Criação e gerenciamento de uma organização baseada em convites em Macie

nota

Recomendamos usar AWS Organizations em vez dos convites de Macie para gerenciar contas de membros. Para obter mais informações, consulte Gerenciando várias contas Macie com AWS Organizations.

Para criar uma organização baseada em convites no Amazon Macie, você começa determinando qual conta deseja que seja a conta de administrador do Macie para a organização. Em seguida, você usa essa conta para adicionar contas de membros — você envia convites de associação para outros Contas da AWS, convidando as contas a ingressarem na organização como contas membros da Macie na atual Região da AWS. Para criar a organização em várias regiões, envie convites de associação de cada região na qual as outras contas atualmente usam ou planejam usar o Macie.

Quando uma conta aceita um convite, ela se torna uma conta-membro do Macie associada à conta de administrador do Macie na região pertinente. A conta de administrador do Macie pode acessar determinadas configurações, dados e recursos do Macie da conta-membro naquela Região.

Como administrador do Macie de uma organização baseada em convites, você pode analisar dados de inventário do Amazon Simple Storage Service (Amazon S3) e descobertas de políticas para contas-membro. Você também pode ativar a descoberta automatizada de dados confidenciais e executar trabalhos de descoberta de dados confidenciais para detectar dados confidenciais em buckets do S3 pertencentes às contas dos membros. Para obter uma lista detalhada das tarefas que você pode executar, consulte Relações entre administradores e contas de membros do Macie.

Por padrão, o Macie oferece visibilidade dos dados e recursos relevantes para sua organização em geral. Você também pode se aprofundar mais para analisar dados e recursos para contas-membro da sua organização. Por exemplo, se você usar o painel Resumo para avaliar a postura de segurança da sua organização no Amazon S3, você poderá filtrar os dados por conta. Da mesma forma, se você monitorar os custos de uso estimados, você poderá acessar o detalhamento dos custos estimados para contas-membro individuais.

Além das tarefas que são comuns às contas de administrador e membro, você pode realizar, de forma centralizada, várias tarefas administrativas para sua organização. Antes de realizar essas tarefas, é uma boa ideia revisar as considerações e recomendações para gerenciamento de organizações baseadas em convites no Macie.

Adicionar contas de membros do Macie a uma organização baseada em convites

Como administrador do Amazon Macie de uma organização baseada em convites, você adiciona contas membros à sua organização executando duas etapas principais:

  1. Adicione as contas ao seu inventário de contas do Macie. Isso associa as contas com a sua conta.

  2. Envie convites para associação para as contas.

Depois que a conta aceitar seu convite, ela se torna uma conta-membro na sua organização.

Etapa 1: adicione as contas

Para adicionar uma ou mais contas ao seu inventário de contas, você pode usar o console do Amazon Macie ou o Amazon Macie. API

Console

Com o console do Amazon Macie, você pode adicionar uma conta por vez ou adicionar várias contas ao mesmo tempo fazendo o upload de um arquivo de valores separados por vírgula (). CSV Siga estas etapas para adicionar uma ou mais contas usando o console.

Para adicionar uma conta

  1. Abra o console do Amazon Macie em. https://console.aws.amazon.com/macie/

  2. Ao usar o Região da AWS seletor no canto superior direito da página, selecione a região na qual você deseja adicionar uma conta.

  3. No painel de navegação, escolha Accounts (Contas). A página Contas é aberta e exibe uma tabela das contas atualmente associadas à sua conta.

  4. Escolha Add accounts.

  5. Na seção Inserir detalhes da conta, escolha Adicionar conta. Então, faça o seguinte:

    • Em ID da conta, insira o ID da conta de 12 dígitos para o Conta da AWS para adicionar.

    • Em Endereço de e-mail, insira o endereço de e-mail do Conta da AWS para adicionar.

  6. Escolha Adicionar.

  7. Na parte inferior da página, selecione a opção Próximo.

O Macie adiciona a conta ao inventário da sua conta. O tipo da conta é Por convite e seu status é Criada. Repita as etapas anteriores em cada Região adicional na qual você deseja adicionar a conta.

Para adicionar várias contas

  1. Usando um editor de texto, crie um CSV arquivo da seguinte forma:

    1. Adicione o cabeçalho a seguir como a primeira linha do arquivo: Account ID,Email

    2. Para cada conta, crie uma nova linha que tenha o ID da conta de 12 dígitos para o Conta da AWS para adicionar e o endereço de e-mail da conta. Separe as entradas com uma vírgula, por exemplo: 111111111111,janedoe@example.com

      O endereço de e-mail deve corresponder ao endereço de e-mail associado ao Conta da AWS.

    3. Verifique se o conteúdo do arquivo está formatado conforme mostrado no exemplo a seguir, que contém o cabeçalho e as informações necessários para três contas:

      Account ID,Email
111111111111,janedoe@example.com
222222222222,jorgesouza@example.com
333333333333,lijuan@example.com

    4. Salve o arquivo no computador.

  2. Abra o console do Amazon Macie em. https://console.aws.amazon.com/macie/

  3. Ao usar o Região da AWS seletor no canto superior direito da página, selecione a região na qual você deseja adicionar as contas.

  4. No painel de navegação, escolha Accounts (Contas). A página Contas é aberta e exibe uma tabela das contas atualmente associadas à sua conta.

  5. Escolha Add accounts.

  6. Na seção Inserir detalhes da conta, escolha Carregar lista (CSV).

  7. Escolha Procurar e, em seguida, selecione o CSV arquivo que você criou na etapa 1.

  8. Escolha Add accounts.

  9. Na parte inferior da página, selecione a opção Próximo.

O Macie adiciona as contas ao seu inventário de contas. Seu tipo é Por convite e seu status é Criada. Repita as etapas de 3 a 8 em cada Região adicional na qual você deseja adicionar contas-membro.

API

Para adicionar uma ou mais contas programaticamente, use a CreateMemberoperação do Amazon Macie. API Ao enviar sua solicitação, use os parâmetros compatíveis para especificar o ID da conta e o endereço de e-mail de 12 dígitos para cada Conta da AWS para adicionar. Especifique também a região à qual a solicitação se aplica. Para adicionar contas em outras Regiões, envie a solicitação em cada Região adicional.

Para adicionar contas usando o AWS Command Line Interface (AWS CLI), execute o comando create-member. Use o parâmetro region para especificar a Região na qual adicionar as contas. Use os account parâmetros para especificar o ID da conta e o endereço de e-mail de cada Conta da AWS para adicionar. Por exemplo:

C:\> aws macie2 create-member --region us-east-1 --account={\"accountId\":\"111111111111\",\"email\":\"janedoe@example.com\"}

Em que us-east-1 é a região na qual adicionar a conta (a região Leste dos EUA (Norte da Virgínia)) e os account parâmetros especificam a ID da conta (111111111111) e endereço de e-mail (janedoe@example.com) para que a conta seja adicionada.

Se sua solicitação for realizada com êxito, o Macie adicionará cada conta ao inventário da sua conta com o status de Created e você receberá um resultado semelhante ao seguinte:

{
    "arn": "arn:aws:macie2:us-east-1:123456789012:member/111111111111"
}

Onde arn está o Amazon Resource Name (ARN) do recurso que foi criado para a associação entre sua conta e a conta que você adicionou. Neste exemplo, 123456789012 é o ID da conta que criou a associação e 111111111111 é o ID da conta que foi adicionada.

Etapa 2: envie convites para associação para as contas-membro

Depois de adicionar uma conta ao inventário da sua conta, você pode convidar a conta para se juntar à sua organização como conta-membro do Macie. Para fazer isso, envie um convite para associação para a conta. Quando você envia um convite, um selo de Contas e uma notificação aparecem no console do Amazon Macie para a conta do destinatário, se o Macie estiver habilitado para a conta. Macie também cria um AWS Health evento para a conta.

Dependendo se você usa o console do Amazon Macie ou API para enviar o convite, o Macie também envia o convite para o endereço de e-mail que você especificou para a conta do destinatário ao adicionar a conta. A mensagem de e-mail indica que você gostaria de se tornar o administrador da conta do Macie e inclui o ID da conta do seu Conta da AWS e do destinatário Conta da AWS. A mensagem também explica como acessar o convite. Opcionalmente, você pode adicionar texto personalizado à mensagem.

Para enviar um convite de associação para uma ou mais contas, você pode usar o console do Amazon Macie ou o Amazon Macie. API

Console

Siga estas etapas para enviar um convite para associação usando o console do Amazon Macie.

Para enviar um convite para associação

  1. Abra o console do Amazon Macie em. https://console.aws.amazon.com/macie/

  2. Ao usar o Região da AWS seletor no canto superior direito da página, selecione a região na qual você deseja enviar o convite.

  3. No painel de navegação, escolha Accounts (Contas). A página Contas é aberta e exibe uma tabela das contas atualmente associadas à sua conta.

  4. Na tabela Contas existentes, marque a caixa de seleção de cada conta para a qual você deseja enviar o convite.

    dica

    Para identificar com mais facilidade as contas que você adicionou e para as quais ainda não enviou convites, você pode filtrar a tabela. Para fazer isso, coloque o cursor na caixa de filtro acima da tabela e selecione Status. Em seguida, selecione Status = Criada.

  5. No menu Ações, selecione Convidar.

  6. (Opcional) Na caixa Mensagem, insira qualquer texto personalizado que você queira incluir na mensagem de e-mail que contém o convite. O texto pode conter até 80 caracteres alfanuméricos.

  7. Escolha Convidar.

Para enviar o convite em mais Regiões da AWS, repita as etapas anteriores em cada região adicional.

Depois de enviar o convite, o status da conta do destinatário muda para Verificação de e-mail em andamento no inventário da sua conta. Se o Macie puder verificar o endereço de e-mail de uma conta, o status da conta mudará, posteriormente, para Convidada. Se o Macie não conseguir verificar o endereço, o status da conta mudará para Verificação de e-mail falhou. Se isso acontecer, fale com o responsável pela conta para obter o endereço de e-mail correto. Em seguida, exclua a associação entre suas contas, adicione a conta novamente e envie o convite novamente.

Quando um destinatário aceita um convite, o status da conta do destinatário muda para Habilitada no inventário da sua conta. Se um destinatário recusar um convite, a conta do destinatário será desassociada da sua conta e removida do inventário da sua conta.

API

Para enviar um convite programaticamente, use a CreateInvitationsoperação do Amazon Macie. API Ao enviar sua solicitação, use os parâmetros compatíveis para especificar o ID da conta de 12 dígitos para cada Conta da AWS para o qual enviar o convite. O ID da conta deve corresponder ao ID da conta no inventário da sua conta. Caso contrário, ocorrerá um erro. Especifique também a Região da qual enviar o convite. Para enviar o convite de outras Regiões, envie a solicitação em cada região adicional.

Em sua solicitação, você também pode especificar se deseja enviar o convite como uma mensagem de e-mail e se deseja incluir texto personalizado nessa mensagem. Se você optar por enviar uma mensagem de e-mail, o Macie enviará o convite para o endereço de e-mail que você especificou para uma conta quando você adicionou a conta ao inventário da sua conta. Para enviar o convite como uma mensagem de e-mail, omita o parâmetro disableEmailNotification ou defina o valor do parâmetro como false. (O valor padrão é false.) Para adicionar texto personalizado à mensagem, use o parâmetro message para especificar o texto a ser adicionado. O texto pode conter até 80 caracteres alfanuméricos.

Para enviar convites usando o AWS CLI, execute o comando create-invitations. Use o parâmetro region para especificar a Região da qual enviar o convite. Use o account-ids parâmetro para especificar o ID da conta para cada Conta da AWS para o qual enviar o convite. Por exemplo:

C:\> aws macie2 create-invitations --region us-east-1 --account-ids=[\"111111111111\",\"222222222222\",\"333333333333\"]

Em que us-east-1 é a região da qual enviar o convite (a região Leste dos EUA (Norte da Virgínia)) e o account-ids parâmetro especifica a conta de três contas IDs para as quais enviar o convite. Para enviar um convite também como mensagem de e-mail, inclua também o parâmetro no-disable-email-notification e, opcionalmente, inclua o message parâmetro para especificar o texto personalizado a ser adicionado à mensagem.

Depois de enviar o convite, o status da conta de cada destinatário muda para EmailVerificationInProgress. Se o Macie puder verificar o endereço de e-mail de uma conta, o status da conta será alterado posteriormente para Invited. Se o Macie não conseguir verificar o endereço, o status da conta mudará para EmailVerificationFailed. Se isso acontecer, fale com o responsável pela conta para obter o endereço de e-mail correto. Em seguida, exclua a associação entre suas contas, adicione a conta novamente e envie o convite novamente.

Quando um destinatário aceita um convite, o status da conta do destinatário muda para Enabled no inventário da sua conta. Se um destinatário recusar um convite, a conta do destinatário será desassociada da sua conta e removida do inventário da sua conta.

Suspender o Macie para contas de membros em uma organização baseada em convites

Como administrador do Amazon Macie de uma organização, você pode suspender o Macie em uma determinada Região da AWS para contas de membros individuais em sua organização. Observe, no entanto, que você não pode reativar o Macie para uma conta-membro depois de suspendê-la. Posteriormente, somente um usuário da conta poderá reabilitar o Macie para a conta.

Quando você suspende o Macie para uma conta-membro:

  • o Macie perde o acesso e deixa de fornecer metadados sobre os dados da conta do Amazon S3 na Região.

  • o Macie interrompe a execução de todas as atividades da conta naquela Região. Isso inclui o monitoramento de buckets do S3 quanto à segurança e o controle de acesso, a execução de descobertas automatizadas de dados confidenciais e os trabalhos de descoberta de dados confidenciais que estejam atualmente em andamento.

  • O Macie cancela todos os trabalhos de descoberta de dados confidenciais que foram criadas pela conta na região. Nenhum trabalho poderá ser retomado ou reiniciado depois que ele for cancelado. Se você criou trabalhos para analisar dados que a conta-membro possui, o Macie não cancelará esses trabalhos. Em vez disso, os trabalhos ignorarão os recursos que são de propriedade da conta.

Enquanto uma conta é suspensa, o Macie retém o identificador de sessão, as configurações e os recursos do Macie para a conta na região aplicável. Por exemplo, as descobertas da conta permanecerão intactas e não serão afetadas por até 90 dias. A conta não será cobrada pelo uso do Macie na região aplicável enquanto o Macie estiver suspenso da conta nessa Região.

Para suspender o Macie de uma conta-membro em uma organização baseada em convites

Para suspender o Macie de uma conta membro em uma organização baseada em convites, você pode usar o console do Amazon Macie ou o Amazon Macie. API

Console

Siga estas etapas para suspender o Macie de uma conta-membro usando o console do Amazon Macie.

Para suspender o Macie de uma conta-membro

  1. Abra o console do Amazon Macie em. https://console.aws.amazon.com/macie/

  2. Ao usar o Região da AWS seletor no canto superior direito da página, selecione a região na qual você deseja suspender o Macie para uma conta de membro.

  3. No painel de navegação, escolha Accounts (Contas). A página Contas é aberta e exibe uma tabela das contas atualmente associadas à sua conta.

  4. Na tabela Contas existentes, marque a caixa de seleção da conta que você deseja suspender.

  5. No menu Ações, selecione Suspender o Macie.

  6. Confirme que você deseja suspender o Macie da conta selecionada.

Depois de confirmar a suspensão, o status da conta muda para Suspensa no inventário da sua conta.

Repita as etapas anteriores em cada Região adicional na qual deseja suspender o Macie da conta.

API

Para suspender programaticamente o Macie de uma conta de membro, use a UpdateMemberSessionoperação do Amazon Macie. API Ao enviar sua solicitação, use o id parâmetro para especificar o ID da conta de 12 dígitos do Conta da AWS pela qual você quer suspender Macie. Para o parâmetro status, especifique PAUSED como o novo status da conta do Macie. Especifique também a Região à qual a solicitação se aplica. Para suspender o Macie em Regiões adicionais, envie sua solicitação em cada Região adicional.

Para recuperar o ID da conta do membro, você pode usar a ListMembersoperação do Amazon API Macie. Se você fizer isso, considere filtrar os resultados incluindo o parâmetro onlyAssociated na sua solicitação. Se você definir o valor desse parâmetro como true, o Macie retornará uma matriz members que fornece detalhes somente sobre as contas que atualmente são contas-membro da sua conta de administrador.

Para suspender o Macie de uma conta de membro usando o AWS CLI, execute o update-member-sessioncomando. Use o parâmetro region para especificar a Região na qual suspender o Macie e use o parâmetro id para especificar o ID da conta para a qual suspender o Macie. Para o parâmetro status, especifique PAUSED. Por exemplo:

C:\> aws macie2 update-member-session --region us-east-1 --id 123456789012 --status PAUSED

Em que us-east-1 é a região na qual se deve suspender Macie (a região Leste dos EUA (Norte da Virgínia)), 123456789012 é a ID da conta para a qual Macie deve ser suspensa e PAUSED é o novo status de Macie para a conta.

Se sua solicitação for realizada com êxito, o Macie retornará uma resposta vazia e o status da conta especificada será alterado para Paused no inventário da sua conta.

Removendo contas de membros do Macie de uma organização baseada em convites

Como administrador do Amazon Macie, você pode remover uma conta membro da sua organização. Você faz isso desassociando a conta da sua conta de administrador do Macie.

Se você remover uma conta-membro, o Macie continuará habilitado para a conta e a conta continuará sendo exibida no inventário da sua conta. No entanto, a conta se torna uma conta autônoma do Macie. O Macie não notifica o proprietário da conta quando você a remove. Portanto, considere entrar em contato com o proprietário da conta para garantir que ele comece a gerenciar as configurações e os recursos da conta.

Ao remover uma conta-membro, você perde o acesso a todas as configurações, recursos e dados da conta do Macie. Isso inclui descobertas de políticas e metadados para buckets do S3 que a conta possui. Além disso, você não poderá mais usar o Macie para descobrir dados confidenciais nos buckets do S3 que a conta possui. Se você já criou trabalhos de descoberta de dados confidenciais para fazer isso, os trabalhos ignoram os buckets que a conta possui. Se você ativou a descoberta automatizada de dados confidenciais para a conta, você e a conta perderão o acesso aos dados estatísticos, dados de inventário e outras informações que a Macie produziu e forneceu diretamente ao realizar a descoberta automática da conta.

Depois de remover uma conta-membro, você poderá adicioná-la novamente à sua organização enviando um novo convite para a conta. Se a conta aceitar o novo convite e você ativar a descoberta automática de dados confidenciais para a conta em 30 dias, você também recuperará o acesso aos dados e informações que o Macie produziu anteriormente e forneceu diretamente ao realizar a descoberta automática da conta.

Se você remover uma conta de membro e não planeja adicioná-la novamente, poderá removê-la completamente do inventário da sua conta. Para saber como, consulte Excluindo associações com outras contas.

Para remover uma conta-membro de uma organização baseada em convites

Para remover uma conta membro da sua organização, você pode usar o console do Amazon Macie ou o Amazon Macie. API

Console

Siga estas etapas para remover uma conta-membro usando o console do Amazon Macie.

Para remover uma conta-membro

  1. Abra o console do Amazon Macie em. https://console.aws.amazon.com/macie/

  2. Ao usar o Região da AWS seletor no canto superior direito da página, selecione a região na qual você deseja remover a conta do membro.

  3. No painel de navegação, escolha Accounts (Contas). A página Contas é aberta e exibe uma tabela das contas atualmente associadas à sua conta.

  4. Na tabela Contas existentes, marque a caixa de seleção da conta que você deseja remover.

  5. No menu Ações, selecione Desassociar conta.

  6. Confirme que você deseja remover a conta selecionada como conta de membro.

Depois de confirmar sua seleção, o status da conta muda para Removida [desassociada] no inventário da sua conta.

Repita as etapas anteriores em cada região adicional onde deseja remover a conta de membro.

API

Para remover uma conta de membro de forma programática, use a DisassociateMemberoperação do Amazon Macie. API Ao enviar sua solicitação, use o id parâmetro para especificar os 12 dígitos Conta da AWS ID da conta do membro a ser removida. Especifique também a região à qual a solicitação se aplica. Para remover a conta em outras Regiões, envie a sua solicitação em cada Região adicional.

Para recuperar o ID da conta a ser removida, você pode usar a ListMembersoperação do Amazon API Macie. Se você fizer isso, considere filtrar os resultados incluindo o parâmetro onlyAssociated na sua solicitação. Se você definir o valor desse parâmetro como true, o Macie retornará uma matriz members que fornece detalhes somente sobre as contas que atualmente são contas-membro da sua conta.

Para remover uma conta de membro usando o AWS CLI, execute o comando disassociate-member. Use o parâmetro region para especificar a Região na qual remover a conta. Use o parâmetro id para especificar o ID da conta a ser removida. Por exemplo:

C:\> aws macie2 disassociate-member --region us-east-1 --id 123456789012

Em que us-east-1 é a região na qual remover a conta (a região Leste dos EUA (Norte da Virgínia)) e 123456789012 é o ID da conta a ser removida.

Se sua solicitação for realizada com êxito, o Macie retornará uma resposta vazia e o status da conta especificada será alterado para Removed no inventário da sua conta.

Excluindo associações com outras contas

Depois de adicionar uma conta ao inventário da sua conta no Amazon Macie, você pode excluir a associação entre sua conta e a outra conta. Você pode fazer isso com qualquer conta em seu inventário, exceto:

  • Uma conta que faz parte da sua organização no AWS Organizations. Esse tipo de associação é controlado por AWS Organizations não Macie.

  • Uma conta-membro que aceitou um convite de membro do Macie para se juntar à sua organização. Se for esse o caso, você deve remover a conta-membro antes de excluir a associação.

Quando você exclui uma associação, o Macie remove a conta do inventário da sua conta. Se você quiser restaurar a associação posteriormente, precisará adicionar a conta novamente como se fosse uma conta completamente nova.

Para excluir uma associação com outra conta

Para excluir uma associação entre sua conta e outra conta, você pode usar o console do Amazon Macie ou o Amazon Macie. API

Console

Para usar o console do Amazon Macie para excluir uma associação com outra conta, siga estas etapas.

Para excluir uma associação

  1. Abra o console do Amazon Macie em. https://console.aws.amazon.com/macie/

  2. Ao usar o Região da AWS seletor no canto superior direito da página, selecione a região na qual você deseja excluir a associação.

  3. No painel de navegação, escolha Accounts (Contas). A página Contas é aberta e exibe uma tabela das contas atualmente associadas à sua conta.

  4. Na tabela Contas existentes, marque a caixa de seleção da conta cuja associação você deseja excluir.

  5. No menu Ações, escolha Excluir.

  6. Confirme que você deseja excluir a associação selecionada.

Repita as etapas anteriores em cada Região adicional na qual deseja excluir a associação.

API

Para excluir uma associação com outra conta programaticamente, use a DeleteMemberoperação do Amazon Macie. API Ao enviar sua solicitação, use o id parâmetro para especificar o ID da conta de 12 dígitos para o Conta da AWS para excluir a associação com. Especifique também a Região à qual a solicitação se aplica. Para excluir a associação em outras Regiões, envie a sua solicitação em cada Região adicional.

Para recuperar o ID da conta, você pode usar a ListMembersoperação do Amazon API Macie. Se você fizer isso, inclua o parâmetro onlyAssociated em sua solicitação e defina o valor do parâmetro como false. Se a operação for realizada com êxito, o Macie retornará uma matriz members que fornece detalhes sobre todas as contas associadas à sua conta, incluindo contas que não são contas-membros no momento.

Para excluir uma associação com outra conta usando o AWS CLI, execute o comando delete-member. Use o parâmetro region para especificar a Região na qual excluir a associação e o parâmetro id para especificar o ID da conta. Por exemplo:

C:\> aws macie2 delete-member --region us-east-1 --id 123456789012

Em que us-east-1 é a região na qual excluir a associação com a outra conta (a região Leste dos EUA (Norte da Virgínia)) e 123456789012 é o ID da conta.

Se a sua solicitação for realizada com êxito, o Macie retornará uma resposta vazia e a associação entre sua conta e a outra conta será excluída. A conta associada anteriormente é removida do inventário da sua conta.