As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Compreendendo a relação entre o administrador do Amazon Macie e as contas-membro
Se você gerencia centralmente várias contas do Amazon Macie como uma organização, o administrador do Macie tem acesso aos dados de inventário do Amazon Simple Storage Service (Amazon S3), às descobertas das políticas e a determinadas configurações e recursos do Macie para contas associadas aos membros. O administrador também pode ativar a descoberta automatizada de dados confidenciais e executar trabalhos de descoberta de dados confidenciais para detectar dados confidenciais nos buckets do S3 que as contas dos membros possuem. Support para tarefas específicas varia de acordo com o fato de uma conta de administrador do Macie estar associada a uma conta de membro por meio de convite AWS Organizations ou por convite.
A tabela a seguir fornece detalhes sobre o relacionamento entre o administrador do Macie e as contas dos membros. Ela indica as permissões padrão para cada tipo de conta. Para restringir ainda mais o acesso aos atributos e operações do Macie, você pode usar AWS Identity and Access Management políticas do IAM personalizadas.
Na tabela:
-
Próprio indica que a conta não pode realizar a tarefa em nenhuma conta associada.
-
Qualquer indica que a conta não pode realizar a tarefa em nenhuma conta associada.
-
Tudo indica que a conta pode realizar a tarefa e a tarefa se aplica a todas as contas associadas.
Um traço (—) indica que a conta não pode realizar a tarefa.
| Tarefa | Através AWS Organizations | Por convite | ||
|---|---|---|---|---|
| Administrador | Membro | Administrador | Membro | |
| Habilitar Macie | Any | – | Self | Self |
| Analise o inventário da conta da organização 1 | Todos | – | Todos | – |
| Adicionar uma conta de membro | Any | – | Any | – |
| Analise estatísticas e metadados para buckets S3 | Todos | Self | Todos | Self |
| Analise as conclusões da política | Todos | Self | Todos | Self |
| Suprimir (arquivar) as conclusões da política 2 | Todos | – | Todos | – |
| Publique as conclusões da política 3 | Self | Self | Self | Self |
| Configurar um repositório para resultados confidenciais de descoberta de dados 4 | Self | Self | Self | Self |
| Crie e use listas de permissões | Self | Self | Self | Self |
| Crie e use identificadores de dados personalizados | Self | Self | Self | Self |
| Definir configurações automatizadas de descoberta de dados confidenciais | Todos | – | Todos | – |
| Ativar ou desativar a descoberta automatizada de dados confidenciais | Any | – | Any | – |
| Analise estatísticas, dados e resultados automatizados de descoberta de dados confidenciais | Todos | – | Todos | – |
| Crie e execute trabalhos confidenciais de descoberta de dados 5 | Any | Self | Any | Self |
| Analise os detalhes dos trabalhos de descoberta de dados confidenciais 6 | Self | Self | Self | Self |
| Analise as descobertas de dados confidenciais 7 | Self | Self | Self | Self |
| Suprimir (arquivar) descobertas de dados confidenciais 7 | Self | Self | Self | Self |
| Publique descobertas de dados confidenciais 7 | Self | Self | Self | Self |
| Configure o Macie para recuperar amostras de dados confidenciais para descobertas | Self | Self | Self | Self |
| Recupere amostras de dados confidenciais para descobertas 8 | Self | Self | Self | Self |
| Configurar destinos de publicação para descobertas | Self | Self | Self | Self |
| Defina a frequência de publicação das descobertas | Todos | Self | Todos | Self |
| Crie amostras de descobertas | Self | Self | Self | Self |
| Analise as cotas da conta e os custos estimados de uso | Todos | Self | Todos | Self |
| Suspender Macie 9 | Any | – | Any | Self |
| Desativar Macie 10 | Self | Self | Self | Self |
| Remover (desassociar) uma conta de membro | Any | – | Any | – |
| Desassociar de uma conta de administrador | – | – | – | Self |
| Excluir uma associação com outra conta 11 | Any | – | Any | Self |
-
O administrador de uma organização em AWS Organizations pode revisar todas as contas na organização, incluindo contas que não habilitaram o Macie. O administrador de uma organização baseada em convite pode revisar somente as contas adicionadas ao inventário.
-
Somente um administrador pode suprimir as descobertas de políticas. Se um administrador criar uma regra de supressão, o Macie aplicará a regra às descobertas de políticas de todas as contas na organização, a menos que a regra esteja configurada para excluir contas específicas. Se um membro criar uma regra de supressão, o Macie não a aplica às descobertas da política da conta do membro.
-
Somente a conta que possui um recurso afetado pode publicar as conclusões da política para o recurso AWS Security Hub. Tanto as contas de administrador quanto as de membros publicam automaticamente as conclusões da política de um recurso afetado na Amazon EventBridge.
-
Se um administrador habilitar a descoberta automatizada de dados confidenciais ou configurar um trabalho para analisar objetos nos buckets do S3 que uma conta membro possui, o Macie armazena os resultados da descoberta de dados confidenciais no repositório da conta do administrador.
-
Um membro pode configurar um trabalho para analisar objetos somente nos buckets do S3 que sua conta possui. Um membro pode configurar um trabalho para analisar objetos somente nos buckets do S3 que sua conta possui. Para obter informações sobre como as cotas são aplicadas e os custos são calculados para trabalhos em várias contas, consulte Entender como os custos de uso estimados são calculados.
-
Somente a conta que cria um trabalho pode acessar os detalhes do trabalho. Isso inclui detalhes relacionados ao trabalho no inventário do bucket do S3.
-
Somente a conta que cria um trabalho pode acessar, suprimir ou publicar descobertas de dados confidenciais que o trabalho produz. Somente um administrador pode acessar, suprimir ou publicar descobertas de dados confidenciais que a descoberta automatizada de dados confidenciais produz.
-
Se uma descoberta de dados confidenciais for aplicável a um objeto do S3 de propriedade de uma conta de membro, o administrador poderá recuperar amostras de dados confidenciais relatados pela descoberta. Isso dependerá da origem da descoberta, das configurações e dos recursos na conta do administrador e na conta do membro. Para obter mais informações, consulte Opções de configuração e requisitos para recuperar amostras de dados confidenciais.
-
Para que um administrador suspenda o Macie por sua própria conta, o administrador deve primeiro desassociar sua conta de todas as contas de membros.
-
Para que um administrador desative o Macie para sua própria conta, o administrador deve primeiro desassociar sua conta de todas as contas de membros e excluir as associações entre sua conta e todas essas contas. O administrador de uma organização em AWS Organizations pode fazer isso trabalhando com a conta de gerenciamento da organização para designar uma conta diferente como conta de administrador.
Para que um membro de uma AWS Organizations organização desative o Macie, o administrador deve primeiro desassociar a conta do membro de sua conta de administrador. Em uma organização baseada em convite, o membro pode desassociar sua conta da conta de administrador e, em seguida, desabilitar o Macie.
-
O administrador de uma organização em AWS Organizations pode excluir uma associação com uma conta de membro depois de desassociar a conta de sua conta de administrador. A conta continua aparecendo no inventário da conta do administrador, mas seu status indica que não é uma conta de membro. Em uma organização baseada em convite, o administrador e um membro de uma organização podem excluir uma associação com uma conta de membro depois de desassociar a conta de sua conta de administrador. A outra conta, então, deixa de aparecer no inventário da conta.
