本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon Macie 中基于邀请的组织的注意事项和建议
在 Amazon Macie 中创建或开始管理基于邀请的组织之前,请考虑以下要求和建议。此外还应确保您了解 Macie 管理员账户和成员账户之间的关系。
选择 Macie 管理员账户
在确定哪个账户应为组织的 Macie 管理员账户时,请记住以下几点:
-
一个组织只能有一个 Macie 管理员账户。
-
一个账户不能同时是 Macie 管理员账户和成员账户。
-
Macie 是一项区域性服务。这意味着 Macie 管理员账户和成员账户之间的关联是区域性的,关联仅存在于从中 AWS 区域 发送和接受邀请的关联中。例如,如果 Macie 管理员向美国东部(弗吉尼亚州北部)区域发送邀请并且这些邀请被接受,Macie 管理员只能管理该区域中的成员账户。
-
要集中管理多个 Macie 账户 AWS 区域,Macie 管理员必须登录该组织当前使用或计划使用 Macie 的每个区域,然后向每个区域的相应账户发送邀请。有关当前已推出 Macie 的所有区域的列表,请参阅 AWS 一般参考 中的 Amazon Macie 端点和配额。
-
一个成员账户一次只能与一个 Macie 管理员账户关联。如果您的组织在多个区域使用 Macie,则在所有这些区域中的 Macie 管理员账户必须相同。但是,管理员和成员账户必须在每个地区分别发送和接受邀请。
如果 Macie 管理员的账户 AWS 账户 被暂停、隔离或关闭,则所有关联的成员账户都将作为成员账户自动删除,但仍会为这些账户启用 Macie。这些账户将变成独立的 Macie 账户。如果为成员账户启用了自动敏感数据发现,则该账户将禁用自动发现敏感数据。这还会禁止访问 Macie 在自动发现账户时生成和直接提供的统计数据、库存数据和其他信息。30 天后,此数据将过期,Macie 会将其永久删除。要在数据过期之前恢复对数据的访问权限,请恢复 Macie 管理员的权限 AWS 账户,然后使用该帐户重新创建和配置组织。
发送邀请和管理 Macie 成员账户
作为基于邀请的组织的 Macie 管理员,在组织中发送邀请和管理账户时,请记住以下几点:
-
如果您发送邀请,相关数据可能会被传输 AWS 区域。之所以如此,是因为 Macie 使用仅在美国东部(弗吉尼亚州北部)地区运营的电子邮件验证服务来验证接收账户的电子邮件地址。
-
您可以向任何活跃用户发送邀请 AWS 账户,包括尚未启用 Macie 的账户。但是,要接受或拒绝邀请,您必须在发出邀请的地区启用 Macie。
-
一个 Macie 管理员账户在每个 AWS 区域中能与不超过 1,000 个账户相关联。这包括尚未回复邀请的账户。如果您的账户满足此配额,则在您删除必要数量的关联账户、收到必要数量的已拒绝邀请或两者结合之前,您无法添加或邀请其他账户。
要确定当前有多少账户与您的账户关联,您可以使用亚马逊 Macie 控制台上的账户页面或亚马逊 Macie ListMembersAPI 的操作。有关更多信息,请参阅 查看基于邀请的组织的 Amazon Macie 账户。
-
一个账户一次只能与一个 Macie 管理员账户关联。这意味着如果一个账户已经与另一个 Macie 管理员账户关联,则该账户将无法接受您的邀请。该账户必须先解除与其当前 Macie 管理员账户的关联。
-
在基于邀请的组织中,成员账户可以随时取消与其 Macie 管理员账户的关联。如果发生这种情况,Macie 将继续为该账户启用,但该账户将变为独立的 Macie 账户。如果成员账户与您的管理员账户取消关联,Macie 不会通知您。但是,该账户会继续出现在您的账户库存中,并且其状态为成员已退出。
-
如果您从组织中删除成员帐户,则该帐户将继续启用 Macie。该账户将变为独立的 Macie 账户。
回复和管理成员邀请
作为邀请的接收者或基于邀请的组织的成员,在回复和管理收到的邀请时,请记住以下几点:
-
在接受邀请之前,请确保您了解 Macie 管理员账户和成员账户之间的关系。
-
您的账户一次只能与一个 Macie 管理员账户关联。如果您接受邀请并随后想加入其他组织(通过邀请或通过 AWS Organizations),则必须先取消您的账户与其当前 Macie 管理员帐户的关联。然后,您可以加入另一个组织。
-
要接受或拒绝邀请,您必须在发出邀请的 AWS 区域 中启用 Macie。发送邀请的账户无法在该地区为您启用 Macie。拒绝邀请是可选的。如果您拒绝邀请,则可以选择在拒绝邀请后在适用的地区禁用 Macie。
-
如果您是 Macie 管理员,则不能接受成为成员账户的邀请,一个账户不能同时是 Macie 管理员和成员账户。要成为成员账户,您必须先从当前组织中移除所有成员账户,从而取消账户与其所有成员账户的关联。
-
Macie 是一项区域性服务。如果您接受邀请,则您的账户与 Macie 管理员账户之间的关联是区域性的,关联仅存在于发出和接受邀请的所在地。 AWS 区域
-
如果您在多个区域中使用 Macie,则您的账户的 Macie 管理员账户必须在所有这些区域中相同。但是,Macie 管理员必须在每个区域分开向您发送邀请,并且您必须在每个区域分别接受邀请。
-
您可以随时取消您的账户与 Macie 管理员账户的关联。同样,您的 Macie 管理员可以随时将您的帐户从其组织中移除。如果出现任何一种情况:
-
您的账户将继续启用 Macie。您的账户将变为独立的 Macie 账户。
-
如果您的账户启用了自动敏感数据发现,则该功能将处于禁用状态。这还会禁止访问 Macie 在为您的账户执行自动发现时生成和直接提供的现有统计数据、库存数据和其他信息。您可以再次为您的账户启用自动发现。但是,这并不能恢复对现有数据的访问权限。取而代之的是,Macie 会在自动发现您的账户的同时生成和维护新数据。
-
转换到 AWS Organizations
在 Macie 中创建基于邀请的组织后,可以改为使用。 AWS Organizations 为了简化过渡,我们建议您将现有的基于邀请的管理员账户指定为 AWS Organizations中组织的 Macie 管理员账户。
如果您这样做,则所有当前关联的成员账户都将继续成为成员。如果成员账户是组织的一部分 AWS Organizations,则该账户的关联会自动从 “受邀请” 更改为 Macie AWS Organizations中的 Via。如果成员账户在 AWS Organizations中不属于组织,则该账户的关联仍为通过邀请。在这两种情况下,账户都将继续作为成员账户与 Macie 管理员账户关联。
我们建议使用这种方法,因为一个成员账户一次只能与一个 Macie 管理员账户相关联。如果您将其他帐户指定为中组织的 Macie 管理员帐户 AWS Organizations,则指定的管理员将无法通过邀请管理已与其他 Macie 管理员帐户关联的帐户。每个成员账户必须首先与其当前的基于邀请的管理员账户解除关联。只有这样,该 AWS Organizations 组织的 Macie 管理员才能将成员帐户添加到其组织中,并开始为该帐户管理 Macie。
将 Macie 与 Macie 集成 AWS Organizations 并在 Macie 中配置您的组织后,您可以选择为该组织指定不同的 Macie 管理员帐户。您也可以继续使用邀请来关联和管理 AWS Organizations中不属于您的组织的成员账户。
有关将 Macie 与集成的信息 AWS Organizations,请参阅使用 AWS Organizations 管理 Amazon Macie 账户。
