使用 Amazon Macie 的注意事项和建议 AWS Organizations - Amazon Macie
指定管理员账户更改或移除管理员账户的指定添加和移除成员账户从基于邀请的组织过渡

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 Amazon Macie 的注意事项和建议 AWS Organizations

在将 Amazon Macie 与 Macie 集成 AWS Organizations 并在 Macie 中配置您的组织之前,请考虑以下要求和建议。此外还应确保您了解 Macie 管理员账户和成员账户之间的关系

指定 Macie 管理员账户

在确定哪个账户应为组织委派的 Macie 管理员账户时,请记住以下几点:

  • 一个组织只能有一个委派的 Macie 管理员账户。

  • 一个账户不能同时是 Macie 管理员账户和成员账户。

  • 只有组织的 AWS Organizations 管理帐户才能为该组织指定委派的 Macie 管理员帐户。只有管理账户随后才能更改或删除该指定。

  • 组织的 AWS Organizations 管理帐户也可以是该组织委派的 Macie 管理员帐户。但是,基于 AWS 安全最佳实践和最小权限原则,我们不建议使用此配置。出于计费目的有权访问管理账户的用户可能与出于信息安全目的需要访问 Macie 的用户不同。

    如果您更喜欢这种配置,则必须至少在一个中为该组织的管理账户启用 Macie, AWS 区域 然后才能将该账户指定为委派的 Macie 管理员帐户。否则,该账户将无法访问和管理 Macie 成员账户的设置和资源。

  • 与之不同的是 AWS Organizations,Macie 是一项区域服务。这意味着 Macie 管理员账户的指定是区域指定。这也意味着 Macie 管理员和成员账户之间的关联是区域性的。例如,如果管理账户指定了在美国东部(弗吉尼亚州北部)地区的 Macie 管理员账户,则 Macie 管理员只能为该地区的成员账户管理 Macie。

    要集中管理多个 Macie 账户 AWS 区域,管理账户必须登录到组织当前使用或将要使用 Macie 的每个区域,然后在每个区域中指定 Macie 管理员账户。然后,Macie 管理员账户可以在每个区域中配置组织。有关当前已推出 Macie 的所有区域的列表,请参阅 AWS 一般参考 中的 Amazon Macie 端点和配额

  • 一个账户一次只能与一个 Macie 管理员账户关联。如果您的组织在多个区域使用 Macie,则在所有这些区域中指定的 Macie 管理员账户必须相同。但是,组织的管理账户必须在每个地区分别指定管理员账户。

  • 一个账户一次只能是为一个组织委派的 Macie 管理员账户。如果您在中管理多个组织 AWS Organizations,则必须为每个组织指定不同的 Macie 管理员帐户。这是出于一项 AWS Organizations 要求——一个账户一次只能是一个组织的成员。

如果 Macie 管理员的账户被暂停、隔离或关闭, AWS 账户 则所有关联的 Macie 成员账户都将自动移除为 Macie 成员账户,但仍会为这些账户启用 Macie。如果为一个或多个成员账户启用了自动敏感数据发现功能,则会对这些账户禁用自动发现敏感数据。这还会禁止访问 Macie 在自动发现账户时生成和直接提供的统计数据、库存数据和其他信息。要恢复对这些数据的访问权限,必须在 30 天内完成以下操作:

  1. Macie 管理员的权限 AWS 账户 已恢复。

  2. AWS Organizations 管理账户再次将该账户指定为 Macie 管理员账户。

  3. Macie 管理员配置组织并重新启用对相应帐户的自动发现。

30 天后,Macie 会永久删除之前在自动发现适用账户时生成并直接提供的数据。

更改或移除 Macie 管理员账户的指定

只有组织的 AWS Organizations 管理账户才能更改或删除该组织委托的 Macie 管理员帐户的指定。

如果管理账户更改或删除了指定:

  • 所有关联的成员账户都将作为 Macie 成员账户删除,但继续为这些账户启用 Macie。这些账户将变成独立的 Macie 账户。要暂停或停止使用 Macie,成员账户的用户必须暂停(暂停)或禁用(停止)该账户的 Macie。

  • 启用自动敏感数据发现功能的每个帐户都处于禁用状态。这还会禁止访问 Macie 在自动发现每个账户时生成和直接提供的统计数据、库存数据和其他信息。要恢复对这些数据的访问权限,管理帐户必须在 30 天内再次指定相同的 Macie 管理员帐户。此外,Macie 管理员必须在 30 天内重新配置组织并重新启用每个账户的自动发现。30 天后,数据会过期,Macie 会将其永久删除。

添加和移除 Macie 成员账户

在为您的组织添加、移除和以其他方式管理成员账户时,请注意以下几点:

  • 一个 Macie 管理员账户只能与每个 AWS 区域中不超过 10,000 个活跃(已启用)的 Macie 成员账户相关联。如果您的组织超过此配额,Macie 管理员将无法添加成员账户,直到他们移除该地区必要数量的现有成员账户。当组织达到此配额时,我们会通过为其账户创建 AWS Health 和 Amazon CloudWatch 活动来通知 Macie 管理员。我们也会发送电子邮件到与他们的账户相关联的地址。

    如果您是组织的 Macie 管理员,则可以通过亚马逊 Macie 控制台上的账户页面或ListMembers亚马逊 Macie API 的操作来确定当前有多少活跃成员账户与您的账户关联。有关更多信息,请参阅 查看组织的 Amazon Macie 账户

  • 一个账户一次只能与一个 Macie 管理员账户关联。这意味着,如果一个账户已经与 AWS Organizations中组织的 Macie 管理员账户关联,则该账户无法接受来自其他账户的 Macie 邀请。

    同样,如果账户已接受邀请,则所在组织的 Macie 管理员 AWS Organizations 无法将该账户添加为 Macie 成员账户。该账户必须先取消与其当前基于邀请的管理员账户的关联。

  • 要将 AWS Organizations 管理账户添加为 Macie 成员账户,管理账户的用户必须先为该账户启用 Macie。不允许 Macie 管理员为管理账户启用 Macie。

  • 如果 Macie 管理员删除了 Macie 成员账号:

    • Macie 继续为该账户启用。该账户将变为独立的 Macie 账户。要暂停或停止使用 Macie,该帐户的用户必须暂停(暂停)或禁用(停止)该帐户的 Macie。

    • 如果已启用自动敏感数据发现,则会禁用该账户的自动敏感数据发现。这还会禁止访问 Macie 在自动发现账户时生成和直接提供的统计数据、库存数据和其他信息。

  • 成员账户无法与 Macie 管理员账户取消关联。只有 Macie 管理员才能将账户移除为 Macie 成员账户。

从基于邀请的组织过渡

如果您已通过使用 Macie 成员邀请将 Macie 管理员账户与成员账户相关联,我们建议您可以在 AWS Organizations中将该账户指定为组织的委派 Macie 管理员账户。这简化了从基于邀请的组织的过渡。

如果您这样做,则所有当前关联的成员账户都将继续成为成员。如果成员账户是您所在组织的一部分 AWS Organizations,则该账户的关联会自动从 “受邀请” 更改为 “ AWS Organizations在 Macie 中通过 V ia”。如果成员账户在 AWS Organizations中不属于您的组织,则该账户的关联仍为通过邀请。在这两种情况下,账户都将继续作为成员账户与委派的 Macie 管理员账户关联。

我们建议采用这种方法,因为一个账户不能同时与多个 Macie 管理员账户关联。如果您在中将其他帐户指定为组织的 Macie 管理员帐户 AWS Organizations,则指定的管理员将无法通过邀请管理已与其他 Macie 管理员帐户关联的帐户。每个成员账户必须首先与其当前的基于邀请的管理员账户解除关联。然后,在 AWS Organizations 中您组织的 Macie 管理员可以将该账户添加为 Macie 成员账户并开始管理该账户。

将 Macie 与 Macie 集成 AWS Organizations 并在 Macie 中配置组织后,您可以选择为该组织指定不同的 Macie 管理员帐户。您也可以继续使用邀请来关联和管理 AWS Organizations中不属于您的组织的成员账户。