搭配使用 Amazon Macie 的注意事項和建議 AWS Organizations - Amazon Macie
指定管理員帳號變更或移除管理員帳號指定新增和移除成員帳戶從以邀請為基礎的組織轉換

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

搭配使用 Amazon Macie 的注意事項和建議 AWS Organizations

在與 Amazon Macie 整合 AWS Organizations 並在 Macie 中設定組織之前,請考慮下列需求和建議。還要確保您了解 Macie 管理員和成員帳戶之間的關係

指定 Macie 管理員帳戶

當您決定哪個帳戶應該是組織委派的 Macie 管理員帳戶時,請記住下列事項:

  • 一個組織只能有一個委派的 Macie 管理員帳戶。

  • 一個帳戶不能同時是 Macie 管理員和會員帳戶。

  • 只有組織的 AWS Organizations 管理帳戶可以指定組織的委派 Macie 管理員帳戶。只有管理帳戶可以隨後變更或移除該指定。

  • 組織的 AWS Organizations 管理帳戶也可以是組織的委派 Macie 管理員帳戶。但是,我們不建議根據 AWS 安全性最佳實務和最低權限原則進行此配置。出於計費目的而可以訪問管理帳戶的用戶可能與出於信息安全目的而需要訪問 Macie 的用戶不同。

    如果您偏好此設定,您必須在至少一個中為組織的管理帳戶啟用 Macie, AWS 區域 然後才能將帳戶指定為委派的 Macie 管理員帳戶。否則,該帳戶將無法訪問和管理會員帳戶的 Macie 設置和資源。

  • 不同的是 AWS Organizations,馬西是一個區域服務。這意味著 Macie 管理員帳戶的指定是區域指定。這也意味著 Macie 管理員和成員帳戶之間的關聯是區域。例如,如果管理帳戶在美國東部 (維吉尼亞北部) 區域指定了 Macie 管理員帳戶,則 Macie 管理員只能管理該區域中的成員帳戶的 Macie。

    若要集中管理多個 Macie 帳戶 AWS 區域,管理帳戶必須登入組織目前使用的每個區域,或將使用 Macie,然後在每個區域中指定 Macie 管理員帳戶。然後,Macie 管理員可以在這些區域中配置組織。如需目前可使用 Macie 的區域清單,請參閱. AWS 一般參考

  • 一個帳戶一次只能與一個 Macie 管理員帳戶關聯。如果您的組織在多個區域中使用 Macie,則所有這些區域中指定的 Macie 管理員帳戶必須相同。但是,您組織的管理帳戶必須在每個區域中分別指定管理員帳戶。

  • 一個帳戶一次只能是一個組織的委派 Macie 管理員帳戶。如果您在中管理多個組織 AWS Organizations,則必須為每個組織指定不同的 Macie 管理員帳戶。這是由於需 AWS Organizations 求 — 一個帳戶一次只能是一個組織的成員。

如果 Macie 管理員 AWS 帳戶 被暫停、隔離或關閉,所有關聯的 Macie 成員帳戶都會自動移除為 Macie 成員帳戶,但 Macie 會繼續為這些帳戶啟用。如果為一或多個成員帳戶啟用了自動敏感資料探索功能,該帳戶就會停用該功能。這也會停用對 Macie 產生並直接提供的統計資料、庫存資料和其他資訊的存取,同時為帳戶執行自動化探索。若要還原對此資料的存取權,必須在 30 天內發生下列情況:

  1. Macie 管理員 AWS 帳戶 已恢復。

  2. AWS Organizations 管理帳戶會再次將該帳戶指定為 Macie 管理員帳戶。

  3. Macie 管理員會設定組織,並再次針對適當的帳戶啟用自動探索。

在 30 天後,Macie 會永久刪除先前產生並直接提供的資料,同時針對適用的帳戶執行自動探索。

變更或移除 Macie 管理員帳戶的指定

只有組織的 AWS Organizations 管理帳戶可以變更或移除組織委派 Macie 管理員帳戶的指定。

如果管理帳戶變更或移除指定:

  • 所有關聯的成員帳戶將被刪除為 Macie 成員帳戶,但 Macie 繼續為帳戶啟用。這些帳戶成為獨立的 Macie 帳戶。要暫停或停止使用 Macie,會員帳戶的用戶必須暫停(暫停)或禁用(停止)該帳戶的 Macie。

  • 每個啟用該功能的帳戶都會停用自動化敏感資料探索。這也會停用對 Macie 產生並直接提供的統計資料、庫存資料和其他資訊的存取,同時為每個帳戶執行自動化探索。若要還原此資料的存取權,管理帳戶必須在 30 天內再次指定相同的 Macie 管理員帳戶。此外,Macie 管理員必須再次設定組織,並在 30 天內為每個帳戶重新啟用自動探索功能。30 天后,數據會過期,Macie 將其永久刪除。

添加和刪除馬西成員帳戶

當您新增、移除或管理組織的成員帳戶時,請記住下列事項:

  • 一個 Macie 管理員帳戶可以與每個帳戶不超過 10,000 個活躍(已啟用)Macie 成員帳戶相關聯。 AWS 區域如果您的組織超過此配額,Macie 管理員將無法新增成員帳戶,直到他們移除區域中必要的現有成員帳戶數量為止。當組織達到此配額時,我們會透過為其帳戶建立 AWS Health 和 Amazon CloudWatch 事件來通知 Macie 管理員。我們也會傳送電子郵件至與他們帳戶相關聯的電子郵件地址。

    如果您是組織的 Macie 管理員,則可以使用 Amazon Macie 主控台上的「帳戶」頁面或 Amazon Macie API 的操作,判斷目前與您的戶相關聯的ListMembers作用中成員帳戶數目。如需詳細資訊,請參閱 查看一個組織的 Amazon Macie 帳戶

  • 一個帳戶一次只能與一個 Macie 管理員帳戶關聯。這表示如果某個帳戶已與中組織的 Macie 管理員帳戶相關聯,則該帳戶無法接受來自其他帳戶的 Macie 邀請。 AWS Organizations

    同樣地,如果帳戶已接受邀請,則中組織的 Macie 管理員 AWS Organizations 無法將該帳戶新增為 Macie 成員帳戶。該帳戶必須先取消與其目前、以邀請為基礎的管理員帳戶的關聯。

  • 若要將 AWS Organizations 管理帳戶新增為 Macie 成員帳戶,管理帳戶的使用者必須先啟用該帳戶的 Macie。不允許 Macie 管理員為管理帳戶啟用 Macie。

  • 如果 Macie 管理員移除了 Macie 成員帳戶:

    • 馬西繼續為該帳戶啟用。該帳戶將成為一個獨立的 Macie 帳戶。要暫停或停止使用 Macie,該帳戶的用戶必須暫停(暫停)或禁用(停止)該帳戶的 Macie。

    • 帳戶的自動敏感資料探索功能會停用 (如果已啟用)。這也會停用對 Macie 產生並直接提供的統計資料、庫存資料和其他資訊的存取,同時為帳戶執行自動化探索。

  • 成員帳戶無法取消與其 Macie 管理員帳戶的關聯。只有 Macie 管理員可以刪除作為 Macie 成員帳戶的帳戶。

從以邀請為基礎的組織轉換

如果您已使用 Macie 成員資格邀請,將 Macie 管理員帳戶與成員帳戶相關聯,我們建議您將該帳戶指定為中組織的委派 Macie 管理員帳戶。 AWS Organizations這簡化了從以邀請為基礎的組織的轉換。

如果您這麼做,所有目前關聯的成員帳戶都會繼續成為成員。如果某個成員帳戶屬於您組織的一部分 AWS Organizations,帳戶的關聯會自動從「受邀請」變更為 Macie AWS Organizations中的「Via」。如果某個成員帳戶不屬於您組織的一部分 AWS Organizations,則該帳戶的關聯仍然是「按邀請」。在這兩種情況下,帳戶仍會繼續與委派的 Macie 管理員帳戶作為成員帳戶建立關聯。

我們建議使用這種方法,因為一個帳戶無法同時與多個 Macie 管理員帳戶建立關聯。如果您指定不同的帳戶作為中組織的 Macie 管理員帳戶 AWS Organizations,指定的管理員將無法透過邀請來管理已與另一個 Macie 管理員帳戶相關聯的帳戶。每個成員帳戶必須先取消與其目前、以邀請為基礎的管理員帳戶的關聯。然後,您組織的 Macie 管理員 AWS Organizations 可以將帳戶新增為 Macie 成員帳戶,並開始管理帳戶。

在您與 Macie 整合 AWS Organizations 並在 Macie 中設定您的組織之後,您可以選擇性地為組織指定不同的 Macie 管理員帳戶。您也可以繼續使用邀請來關聯和管理不屬於您組織的成員帳戶 AWS Organizations。