Considerações e recomendações para organizações baseadas em convites no Amazon Macie - Amazon Macie
Escolhando uma conta de administrador Enviando convites e gerenciando contas de membrosRespondendo e gerenciando convites de associaçãoFazendo a transição para AWS Organizations

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Considerações e recomendações para organizações baseadas em convites no Amazon Macie

Antes de criar ou começar a gerenciar uma organização baseada em convites no Amazon Macie, considere os seguintes requisitos e recomendações. Também certifique-se de entender a relação entre o administrador do Macie e as contas de membros.

Escolhendo uma conta de administrador do Macie

Ao determinar qual conta deve ser a conta de administrador do Macie para a organização, lembre-se do seguinte:

  • Uma organização só pode ter uma conta de administrador Macie.

  • Uma conta não pode ser administrador do Macie e conta de membro ao mesmo tempo.

  • Macie é um serviço regional. Isso significa que a associação entre uma conta de administrador do Macie e uma conta de membro é regional — a associação existe somente quando um convite é enviado e aceito. Região da AWS Por exemplo, se o administrador do Macie Service enviar convites na região Leste dos EUA (Norte da Virgínia) e esses convites forem aceitos, ele poderá gerenciar as contas de membros apenas nessa região.

  • Para gerenciar centralmente contas do Macie em várias Regiões da AWS, o administrador do Macie deve entrar em cada região em que a organização atualmente usa ou planeja usar o Macie e enviar convites para as contas apropriadas em cada uma dessas regiões. Para obter uma lista das regiões onde o Macie está disponível no momento, consulte Amazon Macie endpoints and cotas no Referência geral da AWS.

  • Uma conta de membro só pode ser associada a uma conta de administrador do Macie por vez. Se sua organização usa o Macie em várias regiões, isso significa que a conta de administrador do Macie deve ser a mesma em todas essas regiões. No entanto, as contas de administrador e membro devem enviar e aceitar convites separadamente em cada região.

Se as contas do administrador do Macie Conta da AWS forem suspensas, isoladas ou fechadas, todas as contas de membros associadas serão automaticamente removidas como contas de membros, mas o Macie continuará ativado para as contas. As contas se tornam contas autônomas do Macie. Se a descoberta automática de dados confidenciais estiver ativada para uma conta de membro, ela será desativada para a conta. Isso também desativa o acesso a dados estatísticos, dados de inventário e outras informações que a Macie produziu e forneceu diretamente ao realizar a descoberta automatizada da conta. Após 30 dias, esses dados expiram e o Macie os exclui permanentemente. Para restaurar o acesso aos dados antes que eles expirem, restaure os dados do administrador do Conta da AWS Macie e use essa conta para criar e configurar a organização novamente.

Enviando convites e gerenciando contas de membros do Macie

Como administrador do Macie de uma organização baseada em convites, lembre-se do seguinte ao enviar convites e gerenciar contas na organização:

  • Se você enviar um convite, os dados relacionados poderão ser transferidos Regiões da AWS. Esse é o caso porque o Macie verifica o endereço de e-mail da conta de recebimento usando um serviço de verificação de e-mail que opera somente na região Leste dos EUA (Norte da Virgínia).

  • Você pode enviar um convite para qualquer pessoa ativa Conta da AWS, incluindo contas que não tenham habilitado o Macie. No entanto, para aceitar ou recusar um convite, a conta receptora deve habilitar o Macie na região de onde o convite foi enviado.

  • Uma conta de administrador do Macie pode ser associada a no máximo 1.000 contas em cada Região da AWS. Isso inclui contas que ainda não responderam aos convites. Se sua conta atingir essa cota, você não poderá adicionar ou convidar outras contas até remover o número necessário de contas associadas, receber o número necessário de convites recusados ou uma combinação dos dois.

    Para determinar quantas contas estão atualmente associadas à sua conta, você pode usar a página Contas no console do Amazon Macie ou a ListMembersoperação da API do Amazon Macie. Para ter mais informações, consulte Como analisar contas do Amazon Macie para uma organização baseada em convites.

  • Uma conta de membro só pode ser associada a uma conta de administrador do Macie por vez. Isso significa que uma conta não pode aceitar seu convite se já estiver associada a outra conta de administrador do Macie. A conta deve primeiro se desassociar de sua conta atual de administrador do Macie.

  • Em uma organização baseada em convites, uma conta de membro pode se desassociar de sua conta de administrador do Macie a qualquer momento. Se isso acontecer, o Macie continuará ativado para a conta, mas a conta se tornará uma conta autônoma do Macie. Macie não notifica você se uma conta de membro se desassociar da sua conta de administrador. No entanto, a conta continua aparecendo no inventário da sua conta e tem o status de Membro desassociado.

  • Se você remover uma conta de membro da sua organização, o Macie continuará habilitado para a conta. A conta se torna uma conta independente do Macie.

Respondendo e gerenciando convites de associação

Como destinatário de um convite ou membro de uma organização baseada em convites, lembre-se do seguinte ao responder e gerenciar os convites recebidos:

  • Antes de enviar um convite, certifique-se de entender a relação entre o administrador do Macie e as contas dos membros.

  • Uma conta de membro só pode ser associada a uma conta de administrador do Macie por vez. Se você aceitar um convite e, posteriormente, quiser se juntar a outra organização (por convite ou por meio de AWS Organizations), primeiro desassocie sua conta da conta de administrador atual do Macie. Em seguida, você pode se juntar à outra organização.

  • Para aceitar ou recusar um convite, você precisa habilitar o Macie na Região da AWS de onde o convite foi enviado. A conta que enviou o convite não pode habilitar o Macie nessa região para você. Recusar um convite é opcional. Se recusar um convite, você pode, opcionalmente, desativar o Macie na região aplicável depois de recusar o convite.

  • Se você for administrador do Macie, não poderá aceitar um convite para se tornar uma conta de membro — uma conta não pode ser de administrador e conta de membro do Macie ao mesmo tempo. Para se tornar uma conta de membro, você deve primeiro desassociar sua conta de todas as contas de membros removendo todas as contas de membros de sua organização atual.

  • Macie é um serviço regional. Se você aceitar um convite, a associação entre sua conta e a conta de administrador do Macie será regional — a associação existe somente no local de onde Região da AWS o convite foi enviado e aceito.

  • Se você usa o Macie em várias regiões, a conta de administrador do Macie deve ser a mesma em todas essas regiões. No entanto, o administrador do Macie precisa enviar convites para você separadamente em cada região, e você precisa aceitar os convites separadamente em cada região.

  • Você pode desassociar sua conta de uma conta de administrador do Macie a qualquer momento. Da mesma forma, seu administrador do Macie pode remover sua conta da organização a qualquer momento. Se algum deles acontecer:

    • O Macie continua ativado para sua conta. Sua conta se torna uma conta independente do Macie.

    • A descoberta automática de dados confidenciais é desativada em sua conta, se estiver ativada. Isso também desativa o acesso aos dados estatísticos existentes, dados de inventário e outras informações que a Macie produziu e forneceu diretamente ao realizar a descoberta automatizada de sua conta. Você pode ativar a descoberta automática para sua conta novamente. No entanto, isso não restaura o acesso aos dados existentes. Em vez disso, o Macie gera e mantém novos dados enquanto realiza a descoberta automática da sua conta.

Fazendo a transição para AWS Organizations

Depois de criar uma organização baseada em convites no Macie, você pode fazer a transição para usar em vez disso. AWS Organizations Para simplificar a transição, recomendamos que você designe a conta de administrador existente, baseada em convite, como a conta de administrador do Macie para a organização em AWS Organizations.

Se você fizer isso, todas as contas de membros atualmente associadas continuarão sendo membros. Se a conta de um membro fizer parte da organização em AWS Organizations, a associação da conta muda automaticamente de Por convite para Via AWS Organizations in Macie. Se a conta de um membro não fizer parte da organização em AWS Organizations, a associação da conta continuará sendo Por convite. Em ambos os casos, as contas continuam associadas à conta de administrador do Macie como contas de membros.

Uma conta de membro só pode ser associada a uma conta de administrador do Macie por vez. Se você designar uma conta diferente como conta de administrador do Macie para uma organização em AWS Organizations, o administrador designado não poderá gerenciar contas que já estejam associadas a outra conta de administrador do Macie por convite. Cada conta de membro deve primeiro ser desassociada de sua conta de administrador atual, baseada em convite. Só então o administrador do Macie da AWS Organizations organização pode adicionar a conta do membro à organização e começar a gerenciar o Macie da conta.

Depois de integrar o Macie AWS Organizations e configurar sua organização no Macie, você pode, opcionalmente, designar uma conta de administrador do Macie diferente para a organização. Você também pode continuar usando convites para associar e gerenciar contas de membros que não fazem parte da sua organização em AWS Organizations.

Para obter informações sobre a integração do Macie com AWS Organizations, consulte. Gerenciando contas do Amazon Macie ao AWS Organizations