Considerações para organizações baseadas em convites no Macie - Amazon Macie
Escolher uma conta de administrador Enviar convites e gerenciar contas de membrosRespondendo e gerenciando convites de associaçãoFazendo a transição para AWS Organizations

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Considerações para organizações baseadas em convites no Macie

nota

Recomendamos usar, AWS Organizations em vez dos convites do Macie, para gerenciar as contas dos membros. Para obter mais informações, consulte Gerenciando várias contas Macie com AWS Organizations.

Antes de criar ou começar a gerenciar uma organização baseada em convites no Amazon Macie, considere os seguintes requisitos e recomendações. Também certifique-se de entender a relação entre o administrador do Macie e as contas de membros.

Escolher uma conta de administrador do Macie

Ao determinar qual conta deve ser a conta de administrador do Macie para a organização, lembre-se do seguinte:

  • Uma organização só pode ter uma conta de administrador Macie.

  • Uma conta não pode ser administrador do Macie e conta de membro ao mesmo tempo.

  • Macie é um serviço regional. Isso significa que a associação entre uma conta de administrador do Macie e uma conta de membro é regional — a associação existe somente quando um convite é enviado e aceito. Região da AWS Por exemplo, se o administrador do Macie Service enviar convites na região Leste dos EUA (Norte da Virgínia) e esses convites forem aceitos, ele poderá gerenciar as contas de membros apenas nessa região.

  • Para gerenciar centralmente contas do Macie em várias Regiões da AWS, o administrador do Macie deve entrar em cada região em que a organização atualmente usa ou planeja usar o Macie e enviar convites para as contas apropriadas em cada uma dessas regiões. Para obter uma lista das regiões onde o Macie está disponível no momento, consulte Amazon Macie endpoints and cotas no Referência geral da AWS.

  • Uma conta de membro só pode ser associada a uma conta de administrador do Macie por vez. Se sua organização usa o Macie em várias regiões, isso significa que a conta de administrador do Macie deve ser a mesma em todas essas regiões. No entanto, as contas de administrador e membro devem enviar e aceitar convites separadamente em cada região.

Se as contas do administrador do Macie Conta da AWS forem suspensas, isoladas ou fechadas, todas as contas de membros associadas serão automaticamente removidas como contas de membros, mas o Macie continuará ativado para as contas. As contas se tornam contas autônomas do Macie. Se a descoberta automatizada de dados confidenciais estiver habilitada para uma conta de membro, ela será desabilitada para a conta. Isso também desabilita o acesso a dados estatísticos, dados de inventário e outras informações que o Macie produziu e forneceu diretamente ao realizar a descoberta automatizada da conta. Depois de 30 dias, os dados expiram e o Macie os exclui de forma permanente. Para restaurar o acesso aos dados antes que eles expirem, restaure a Conta da AWS do administrador do Macie e use essa conta para criar e configurar a organização outra vez.

Enviar convites e gerenciar contas de membros do Macie

Como administrador do Macie de uma organização baseada em convites, lembre-se do seguinte ao enviar convites e gerenciar contas na organização:

  • Se você enviar um convite, os dados relacionados poderão ser transferidos Regiões da AWS. Esse é o caso porque o Macie verifica o endereço de e-mail da conta de recebimento usando um serviço de verificação de e-mail que opera somente na região Leste dos EUA (Norte da Virgínia).

  • Você pode enviar um convite para qualquer pessoa ativa Conta da AWS, incluindo contas que não tenham habilitado o Macie. No entanto, para aceitar ou recusar um convite, a conta receptora deve habilitar o Macie na região de onde o convite foi enviado.

  • Em cada uma delas Região da AWS, uma conta de administrador do Macie pode ser associada a no máximo 1.000 contas por convite. Isso inclui contas que ainda não responderam aos convites. Se sua conta atingir essa cota, você não poderá adicionar ou convidar outras contas. Para determinar quantas contas estão atualmente associadas à sua conta, você pode usar a página Contas no console do Amazon Macie ou a ListMembersoperação da API do Amazon Macie. Para obter mais informações, consulte Analisar contas do Macie para uma organização baseada em convites.

    Para reduzir o número de contas associadas, você pode: excluir associações com contas que não são contas de membros no momento, remover o número necessário de contas de membros ou uma combinação dos dois. Se uma conta se demitir da sua organização ou recusar um convite que você enviou, isso também reduzirá o número de contas associadas à sua conta.

  • Uma conta de membro só pode ser associada a uma conta de administrador do Macie por vez. Isso significa que uma conta não pode aceitar seu convite se já estiver associada a outra conta de administrador do Macie. A conta deve primeiro se desassociar de sua conta atual de administrador do Macie.

  • Em uma organização baseada em convites, uma conta de membro pode se desassociar da conta de administrador do Macie a qualquer momento. Se isso acontecer, o Macie continuará habilitado para a conta, mas esta se tornará uma conta autônoma do Macie. O Macie não notificará você se uma conta de membro se desassociar da sua conta de administrador. No entanto, a conta continua aparecendo no inventário e tem o status de Membro desassociado.

  • Se você remover uma conta de membro de sua organização, o Macie continuará habilitado para a conta. A conta se torna uma conta autônoma do Macie.

Respondendo e gerenciando convites de associação

Como destinatário de um convite ou membro de uma organização baseada em convites, lembre-se do seguinte ao responder e gerenciar os convites recebidos:

  • Antes de enviar um convite, certifique-se de entender a relação entre o administrador do Macie e as contas dos membros.

  • Uma conta de membro só pode ser associada a uma conta de administrador do Macie por vez. Se você aceitar um convite e, posteriormente, quiser se juntar a outra organização (por convite ou por meio de AWS Organizations), primeiro desassocie sua conta da conta de administrador atual do Macie. Em seguida, você pode se juntar à outra organização.

  • Para aceitar ou recusar um convite, você precisa habilitar o Macie na Região da AWS de onde o convite foi enviado. A conta que enviou o convite não pode habilitar o Macie nessa região para você. Recusar um convite é opcional. Se recusar um convite, você pode, opcionalmente, desativar o Macie na região aplicável depois de recusar o convite.

  • Se você for administrador do Macie, não poderá aceitar um convite para se tornar uma conta de membro. Uma conta não pode ser de administrador e conta de membro do Macie ao mesmo tempo. Para se tornar uma conta de membro, você deve primeiro desassociar sua conta de todas as contas de membros removendo todas as contas de membros de sua organização atual.

  • Macie é um serviço regional. Se você aceitar um convite, a associação entre sua conta e a conta de administrador do Macie será regional — a associação existe somente no local de onde Região da AWS o convite foi enviado e aceito.

  • Se você usa o Macie em várias regiões, a conta de administrador do Macie deve ser a mesma em todas essas regiões. No entanto, o administrador do Macie precisa enviar convites para você separadamente em cada região, e você precisa aceitar os convites separadamente em cada região.

  • Você pode desassociar sua conta de uma conta de administrador do Macie a qualquer momento. Da mesma forma, o administrador do Macie pode remover sua conta da organização a qualquer momento. Se acontecer qualquer uma das opções:

    • O Macie continua habilitado para a conta. A conta se torna uma conta autônoma do Macie.

    • A descoberta automatizada de dados confidenciais será desabilitada para a conta, se estiver habilitada. Isso também desabilita o acesso a dados estatísticos, dados de inventário e outras informações que o Macie produziu e forneceu diretamente durante a descoberta automatizada da conta. Você pode habilitar a descoberta automatizada para a sua conta outra vez. No entanto, isso não restaura o acesso aos dados existentes. Em vez disso, o Macie gera e mantém novos dados enquanto realiza a descoberta automatizada da sua conta.

Fazendo a transição para AWS Organizations

Depois de criar uma organização baseada em convites no Macie, você pode fazer a transição para usar em vez disso. AWS Organizations Para simplificar a transição, recomendamos que você designe a conta de administrador existente, baseada em convite, como a conta de administrador do Macie para a organização em AWS Organizations.

Se você fizer isso, todas as contas de membros atualmente associadas continuarão sendo membros. Se a conta de um membro fizer parte da organização em AWS Organizations, a associação da conta muda automaticamente de Por convite para Via AWS Organizations in Macie. Se a conta de um membro não fizer parte da organização em AWS Organizations, a associação da conta continuará sendo Por convite. Em ambos os casos, as contas continuam associadas à conta de administrador do Macie como contas de membros. Para a descoberta de dados confidenciais, isso também significa que as contas podem continuar acessando dados estatísticos e outros dados que a Macie produziu e forneceu diretamente enquanto realizam a descoberta automatizada de dados confidenciais para as contas. Além disso, se o administrador do Macie configurou trabalhos confidenciais de descoberta de dados para analisar os dados das contas, as execuções de trabalhos subsequentes continuarão a incluir recursos de propriedade das contas.

Uma conta de membro só pode ser associada a uma conta de administrador do Macie por vez. Se você designar uma conta diferente como conta de administrador do Macie para uma organização em AWS Organizations, o administrador designado não poderá gerenciar contas que já estejam associadas a outra conta de administrador do Macie por convite. Cada conta de membro deve primeiro ser desassociada de sua conta de administrador atual, baseada em convite. Só então o administrador do Macie da AWS Organizations organização pode adicionar a conta do membro à organização e começar a gerenciar o Macie da conta.

Depois de integrar o Macie AWS Organizations e configurar sua organização no Macie, você pode, opcionalmente, designar uma conta de administrador do Macie diferente para a organização. Você também pode continuar usando convites para associar e gerenciar contas de membros que não fazem parte da sua organização em AWS Organizations.

Para obter informações sobre a integração do Macie com AWS Organizations, consulte. Gerenciando várias contas Macie com AWS Organizations