本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
了解 Amazon Macie 管理员和成员账户之间的关系
如果您作为一个组织集中管理多个 Amazon Macie 账户,则 Macie 管理员可以访问 Amazon Simple Storage Service (Amazon S3) 清单数据、策略调查发现以及关联成员账户的某些 Macie 设置和资源。管理员还可以启用自动发现敏感数据并运行敏感数据发现任务,以检测成员账户拥有的 S3 存储桶中的敏感数据。根据 Macie 管理员账户是通过 AWS Organizations 还是通过邀请与成员账户关联而定,对特定任务的支持会有所不同。
下表提供了有关 Macie 管理员和成员账户之间关系的详细信息。它表示每种账户类型的默认权限。要进一步限制对 Macie 功能和操作的访问,您可以使用自定义 AWS Identity and Access Management (IAM) 策略。
在此表格中:
-
自身表示该账户无法为任何关联账户执行任务。
-
任何表示该账户可以为单个关联账户执行任务。
-
全部表示该账户可以执行任务,并且该任务适用于所有关联账户。
短划线 (–) 表示该账户无法执行任务。
| Task | 通过 AWS Organizations | 通过邀请 | ||
|---|---|---|---|---|
| 管理员 | 成员 | 管理员 | 成员 | |
| 启用 Macie | 任何 | – | 自身 | 自身 |
| 查看组织的账户清单 1 | 全部 | – | 全部 | – |
| 添加成员账号 | 任何 | – | 任何 | – |
| 查看 S3 存储桶的统计数据和元数据 | 全部 | 自身 | 全部 | 自身 |
| 查看政策调查结果 | 全部 | 自身 | 全部 | 自身 |
| 隐藏(存档)策略调查结果 2 | 全部 | – | 全部 | – |
| 发布政策调查结果 3 | 自身 | 自身 | 自身 | 自身 |
| 为敏感数据发现结果配置存储库 4 | 自身 | 自身 | 自身 | 自身 |
| 创建和使用允许名单 | 自身 | 自身 | 自身 | 自身 |
| 创建和使用自定义数据标识符 | 自身 | 自身 | 自身 | 自身 |
| 配置自动敏感数据发现设置 | 全部 | – | 全部 | – |
| 启用或禁用自动发现敏感数据 | 任何 | – | 任何 | – |
| 查看自动发现敏感数据的统计信息、数据和结果 | 全部 | – | 全部 | – |
| 创建并运行敏感数据发现作业 5 | 任何 | 自身 | 任何 | 自身 |
| 查看敏感数据发现任务的详细信息 6 | 自身 | 自身 | 自身 | 自身 |
| 查看敏感数据调查结果 7 | 自身 | 自身 | 自身 | 自身 |
| 隐藏(存档)敏感数据发现结果 7 | 自身 | 自身 | 自身 | 自身 |
| 发布敏感数据调查结果 7 | 自身 | 自身 | 自身 | 自身 |
| 将 Macie 配置为检索敏感数据样本以获取结果 | 自身 | 自身 | 自身 | 自身 |
| 检索敏感数据样本以获取调查结果 8 | 自身 | 自身 | 自身 | 自身 |
| 为调查结果配置发布目标 | 自身 | 自身 | 自身 | 自身 |
| 设置调查结果的发布频率 | 全部 | 自身 | 全部 | 自身 |
| 创建样本调查结果 | 自身 | 自身 | 自身 | 自身 |
| 查看账户配额和预计使用成本 | 全部 | 自身 | 全部 | 自身 |
| 暂停 Macie 9 | 任何 | – | 任何 | 自身 |
| 禁用 Macie 10 | 自身 | 自身 | 自身 | 自身 |
| 移除(解除关联)成员账户 | 任何 | – | 任何 | – |
| 取消与管理员帐户的关联 | – | – | – | 自身 |
| 删除与其他账户的关联 11 | 任何 | – | 任何 | 自身 |
-
中组织的管理员 AWS Organizations 可以查看组织中的所有帐户,包括尚未启用 Macie 的帐户。基于邀请的组织的管理员只能查看他们添加到其清单中的那些账户。
-
只有管理员才能抑制策略调查发现。如果管理员创建了抑制规则,则 Macie 会将该规则应用于组织中所有账户的策略调查发现,除非该规则被配置为排除特定账户。如果成员创建了抑制规则,则 Macie 不会将该规则应用于该成员账户的策略调查发现。
-
只有拥有受影响资源的账户才能向发布该资源的政策调查结果 AWS Security Hub。管理员账户和成员账户都会自动向 Amazon 发布受影响资源的政策调查结果 EventBridge。
-
如果管理员启用自动发现敏感数据或将任务配置为分析成员账户拥有的 S3 存储桶中的对象,则 Macie 会将敏感数据发现结果存储在管理员帐户的存储库中。
-
成员可以配置作业以仅分析其账户拥有的 S3 存储桶中的对象。管理员可以配置作业以分析其账户拥有或成员账户拥有的存储桶中的对象。有关如何为多账户作业应用限额和计算成本的信息,请参阅了解如何计算估计使用成本。
-
只有创建作业的账户才能访问该作业的详细信息。这包括 S3 存储桶清单中与作业相关的详细信息。
-
只有创建作业的账户才能访问、抑制或发布该作业生成的敏感数据调查发现。只有管理员才能访问、抑制或发布自动敏感数据发现生成的敏感数据调查发现。
-
如果敏感数据调查发现适用于成员账户拥有的 S3 对象,则管理员也许能够检索该调查发现报告的敏感数据样本。这取决于调查发现的来源,以及管理员账户和成员账户中的配置设置和资源。有关更多信息,请参阅 检索敏感数据样本的配置选项和要求。
-
管理员要想为自己的账户暂停 Macie,必须先取消其账户与所有成员账户的关联。
-
管理员要想为自己的账户禁用 Macie,必须先取消其账户与所有成员账户的关联,然后删除其账户与所有这些账户之间的关联。中组织的管理员 AWS Organizations 可以通过使用该组织的管理帐户将其他帐户指定为管理员帐户来实现此目的。
要使 AWS Organizations 组织成员禁用 Macie,管理员必须先取消该成员帐户与其管理员帐户的关联。对于基于邀请的组织,成员可以取消其账户与管理员账户的关联,然后禁用 Macie。
-
中组织的管理员 AWS Organizations 可以在取消成员账户与其管理员账户的关联后删除该账户的关联。该账户继续出现在管理员的账户清单中,但其状态表明它不是成员账户。在基于邀请的组织中,管理员和成员在取消其账户与另一个账户的关联后,可以删除与另一个账户的关联。然后,另一个账户将停止出现在他们的账户清单中。
