使用 Macie 搭配使用的注意事項 AWS Organizations - Amazon Macie

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 Macie 搭配使用的注意事項 AWS Organizations

之前你整合 Amazon Macie AWS Organizations 並在 Macie 中配置您的組織,請考慮以下要求和建議。還要確保您了解 Macie 管理員和成員帳戶之間的關係

指定 Macie 管理員帳戶

當您決定哪個帳戶應該是組織委派的 Macie 管理員帳戶時,請記住下列事項:

  • 一個組織只能有一個委派的 Macie 管理員帳戶。

  • 一個帳戶不能同時是 Macie 管理員和會員帳戶。

  • 只有 AWS Organizations 組織的管理帳戶可以指定組織的委派 Macie 管理員帳戶。只有管理帳戶可以隨後變更或移除該指定。

  • 所以此 AWS Organizations 組織的管理帳戶也可以是組織的委派 Macie 管理員帳戶。但是,我們不建議根據此配置 AWS 安全性最佳做法和最低權限原則。出於計費目的而可以訪問管理帳戶的用戶可能與出於信息安全目的而需要訪問 Macie 的用戶不同。

    如果您偏好此設定,您必須至少啟用一個組織管理帳戶的 Macie AWS 區域 在您將帳戶指定為委派的 Macie 管理員帳戶之前。否則,該帳戶將無法訪問和管理會員帳戶的 Macie 設置和資源。

  • 不同於 AWS Organizations,馬西是一個區域服務。這意味著 Macie 管理員帳戶的指定是區域指定。這也意味著 Macie 管理員和成員帳戶之間的關聯是區域。例如,如果管理帳戶在美國東部 (維吉尼亞北部) 區域指定了 Macie 管理員帳戶,則 Macie 管理員只能管理該區域中的成員帳戶的 Macie。

    集中管理多個 Macie 帳戶 AWS 區域,管理帳戶必須登入組織目前使用或將使用 Macie 的每個區域,然後在每個區域中指定 Macie 管理員帳戶。然後,Macie 管理員可以在這些區域中配置組織。如需目前提供 Macie 的區域清單,請參閱中的 Amazon Macie 端點和配額 AWS 一般參考.

  • 一個帳戶一次只能與一個 Macie 管理員帳戶關聯。如果您的組織在多個區域中使用 Macie,則所有這些區域中指定的 Macie 管理員帳戶必須相同。不過,您組織的管理帳戶必須在每個區域中個別指定管理員帳戶。

  • 一個帳戶一次只能是一個組織的委派 Macie 管理員帳戶。如果您在中管理多個組織 AWS Organizations,您必須為每個組織指定不同的 Macie 管理員帳戶。這是由於 AWS Organizations 需求 — 一個帳戶一次只能是一個組織的成員。

如果馬西管理員 AWS 帳戶 暫停,隔離或關閉,所有關聯的 Macie 成員帳戶將被自動刪除作為 Macie 成員帳戶,但 Macie 繼續為帳戶啟用。如果為一或多個成員帳戶啟用了自動敏感資料探索功能,該帳戶就會停用該功能。這也會停用對 Macie 產生並直接提供的統計資料、庫存資料和其他資訊的存取,同時為帳戶執行自動化探索。若要還原對此資料的存取權,必須在 30 天內發生下列情況:

  1. 马西管理员 AWS 帳戶 被恢復。

  2. 所以此 AWS Organizations 管理帳戶再次將該帳戶指定為 Macie 管理員帳戶。

  3. Macie 管理員會設定組織,並再次針對適當的帳戶啟用自動探索。

在 30 天後,Macie 會永久刪除先前產生並直接提供的資料,同時針對適用的帳戶執行自動探索。

變更或移除 Macie 管理員帳戶的指定

只有 AWS Organizations 組織的管理帳戶可以變更或移除組織委派 Macie 管理員帳戶的指定。

如果管理帳戶變更或移除指定:

  • 所有關聯的成員帳戶將被刪除為 Macie 成員帳戶,但 Macie 繼續為帳戶啟用。這些帳戶成為獨立的 Macie 帳戶。要暫停或停止使用 Macie,會員帳戶的用戶必須暫停(暫停)或禁用(停止)該帳戶的 Macie。

  • 每個啟用該功能的帳戶都會停用自動化敏感資料探索。這也會停用對 Macie 產生並直接提供的統計資料、庫存資料和其他資訊的存取,同時為每個帳戶執行自動化探索。若要還原此資料的存取權,管理帳戶必須在 30 天內再次指定相同的 Macie 管理員帳戶。此外,Macie 管理員必須再次設定組織,並在 30 天內為每個帳戶重新啟用自動探索功能。30 天后,數據會過期,Macie 將其永久刪除。

添加和刪除馬西成員帳戶

當您新增、移除或管理組織的成員帳戶時,請記住下列事項:

  • 一個 Macie 管理員帳戶可以與每個帳戶不超過 10,000 個 Macie 成員帳戶相關聯 AWS 區域。 如果您的組織超過此配額,Macie 管理員將無法新增成員帳戶,直到他們移除區域中必要的現有成員帳戶數量為止。當組織符合此配額時,我們會建立一個以通知 Macie 管理員 AWS Health 事件為他們的帳戶。我們也會傳送電子郵件至與他們帳戶相關聯的電子郵件地址。

    如果您是組織的 Macie 管理員,則可以使用 Amazon Macie 主控台上的「帳戶」頁面或 Amazon Macie 的ListMembers操作,判斷目前與您的戶相關聯的成員帳戶數目。API如需詳細資訊,請參閱檢閱組織的 Macie 帳戶

  • 一個帳戶一次只能與一個 Macie 管理員帳戶關聯。這表示如果某個帳戶已與中組織的 Macie 管理員帳戶相關聯,則該帳戶無法接受來自其他帳戶的 Macie 邀請 AWS Organizations.

    同樣地,如果帳戶已經接受邀請,則該組織的 Macie 管理員 AWS Organizations 無法將該帳戶添加為 Macie 會員帳戶。該帳戶必須先取消與其目前、以邀請為基礎的管理員帳戶的關聯。

  • 若要新增 AWS Organizations 管理帳戶作為 Macie 成員帳戶,管理帳戶的用戶必須先為該帳戶啟用 Macie。不允許 Macie 管理員為管理帳戶啟用 Macie。

  • 如果 Macie 管理員移除了 Macie 成員帳戶:

    • 馬西繼續為該帳戶啟用。該帳戶將成為一個獨立的 Macie 帳戶。要暫停或停止使用 Macie,該帳戶的用戶必須暫停(暫停)或禁用(停止)該帳戶的 Macie。

    • 帳戶的自動敏感資料探索功能會停用 (如果已啟用)。這也會停用對 Macie 產生並直接提供的統計資料、庫存資料和其他資訊的存取,同時為帳戶執行自動化探索。

  • 成員帳戶無法取消與其 Macie 管理員帳戶的關聯。只有 Macie 管理員可以刪除作為 Macie 成員帳戶的帳戶。

從以邀請為基礎的組織轉換

如果您已使用 Macie 成員資格邀請,將 Macie 管理員帳戶與成員帳戶建立關聯,建議您將該帳戶指定為您組織的委派 Macie 管理員帳戶 AWS Organizations。 這簡化了從以邀請為基礎的組織的轉換。

如果您這麼做,所有目前關聯的成員帳戶都會繼續成為成員。如果某個成員帳戶是您組織的一部分 AWS Organizations,帳戶的關聯會自動從「依邀請」變更為「Via」 AWS Organizations在馬西。如果某個成員帳戶不是您組織的一部分 AWS Organizations,帳戶的關聯仍然是「受邀請」。在這兩種情況下,帳戶仍會繼續與委派的 Macie 管理員帳戶作為成員帳戶建立關聯。

我們建議使用這種方法,因為一個帳戶無法同時與多個 Macie 管理員帳戶建立關聯。如果您將不同的帳戶指定為組織的 Macie 管理員帳戶 AWS Organizations,指定的管理員將無法透過邀請來管理已與另一個 Macie 管理員帳戶相關聯的帳戶。每個成員帳戶必須先取消與其目前、以邀請為基礎的管理員帳戶的關聯。您組織的 Macie 管理員 AWS Organizations 然後可以將該帳戶添加為 Macie 成員帳戶並開始管理帳戶。

之後你整合麥西與 AWS Organizations 而且您可以在 Macie 中配置您的組織,您可以選擇性地為組織指定不同的 Macie 管理員帳戶。您也可以繼續使用邀請來關聯和管理不屬於您組織的成員帳戶 AWS Organizations.