Amazon Macie 中以邀請為基礎的組織的注意事項和建議 - Amazon Macie
選擇管理員帳戶發送邀請和管理會員帳戶回應及管理會員邀請過渡到 AWS Organizations

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Amazon Macie 中以邀請為基礎的組織的注意事項和建議

在 Amazon Macie 中建立或開始管理以邀請為基礎的組織之前,請考慮下列需求和建議。還要確保您了解 Macie 管理員和成員帳戶之間的關係

選擇一個 Macie 管理員帳戶

當您決定哪個帳戶應該是組織的 Macie 管理員帳戶時,請謹記下列事項:

  • 一個組織只能有一個 Macie 管理員帳戶。

  • 一個帳戶不能同時是 Macie 管理員和會員帳戶。

  • 馬西是一個區域服務。這表示 Macie 管理員帳戶與成員帳戶之間的關聯是區域 — 關聯只存在於中傳送邀請並接受 AWS 區域 的關聯性。例如,如果 Macie 管理員在美國東部 (維吉尼亞北部) 區域傳送邀請,且接受這些邀請,Macie 管理員只能管理該區域中的成員帳戶。

  • 若要集中管理多個 Macie 帳戶 AWS 區域,Macie 管理員必須登入組織目前使用或計劃使用 Macie 的每個區域,並將邀請傳送至每個區域中的適當帳戶。如需目前可使用 Macie 的區域清單,請參閱. AWS 一般參考

  • 一個會員帳戶一次只能與一個 Macie 管理員帳戶關聯。如果您的組織在多個區域中使用 Macie,這表示這些區域中的 Macie 管理員帳戶必須相同。但是,管理員和成員帳戶必須分別在每個區域中發送和接受邀請。

如果 Macie 管理員 AWS 帳戶 已暫停、隔離或關閉,所有關聯的成員帳戶都會自動移除為成員帳戶,但 Macie 仍會繼續為這些帳戶啟用。這些帳戶成為獨立的 Macie 帳戶。如果為成員帳戶啟用了自動敏感資料探索功能,該帳戶就會停用該帳戶。這也會停用對 Macie 產生並直接提供的統計資料、庫存資料和其他資訊的存取,同時為帳戶執行自動化探索。30 天後,此數據將過期,Macie 將永久刪除它。若要在資料到期前還原對資料的存取權,請還原 Macie 管理員的資料 AWS 帳戶,然後再次使用該帳戶建立和設定組織。

發送邀請和管理 Macie 成員帳戶

身為以邀請為基礎之組織的 Macie 管理員,在傳送邀請和管理組織中的帳戶時,請記住下列事項:

  • 如果您傳送邀請,相關資料可能會傳輸到各處 AWS 區域。這是因為 Macie 會使用僅在美國東部 (維吉尼亞北部) 區域運作的電子郵件驗證服務,驗證收件人帳戶的電子郵件地址。

  • 您可以傳送邀請至任何作用中的帳戶 AWS 帳戶,包括尚未啟用 Macie 的帳戶。不過,若要接受或拒絕邀請,接收帳戶必須在傳送邀請的地區中啟用 Macie。

  • 一個 Macie 管理員帳戶可以與每 AWS 區域個帳戶不超過 1,000 個相關聯。這包括尚未回應邀請的帳戶。如果您的帳戶符合此配額限制,您將無法新增或邀請其他帳戶,除非您移除必要的相關帳戶數目、收到必要的拒絕邀請次數或兩者的組合為止。

    若要判斷目前與您的帳戶相關聯的帳戶數目,您可以使用 Amazon Macie 主控台上的「戶」頁面或 Amazon Macie API 的ListMembers操作。如需詳細資訊,請參閱 查看以邀請為基礎的組織的 Amazon Macie 帳戶

  • 一個帳戶一次只能與一個 Macie 管理員帳戶關聯。這表示如果某個帳戶已與另一個 Macie 管理員帳戶建立關聯,則該帳戶無法接受您的邀請。該帳戶必須先取消與其當前 Macie 管理員帳戶的關聯。

  • 在以邀請為基礎的組織中,成員帳戶可隨時取消與其 Macie 管理員帳戶的關聯。如果發生這種情況,Macie 會繼續為該帳戶啟用,但該帳戶將成為獨立的 Macie 帳戶。如果成員帳戶與您的管理員帳戶斷開關聯,Macie 不會通知您。但是,該帳戶會繼續出現在您的帳戶清單中,並且狀態為「會員已辭職」。

  • 如果您從組織中移除成員帳戶,Macie 會繼續為該帳戶啟用。該帳戶將成為一個獨立的 Macie 帳戶。

回應及管理會員邀請

身為邀請的收件者或以邀請為基礎的組織的成員,在回應及管理收到的邀請時,請記住下列事項:

  • 在您接受邀請之前,請確定您瞭解 Macie 管理員和成員帳戶之間的關係

  • 您的帳戶一次只能與一個 Macie 管理員帳戶關聯。如果您接受邀請後想要加入其他組織 (透過邀請或透過邀請 AWS Organizations),您必須先取消帳戶與其目前 Macie 管理員帳戶的關聯。然後,您可以加入其他組織。

  • 若要接受或拒絕邀請,您必須在傳送邀請的 AWS 區域 來源中啟用 Macie。傳送邀請的帳戶無法在該地區為您啟用 Macie。拒絕邀請是選擇性的。如果您拒絕邀請,您可以在拒絕邀請後選擇性地區中停用 Macie。

  • 如果您是 Macie 管理員,則無法接受成為會員帳戶的邀請 — 帳戶不能同時是 Macie 管理員和成員帳戶。若要成為會員帳戶,您必須先從目前組織中移除所有成員帳戶,以取消帳戶與其所有成員帳戶的關聯。

  • 馬西是一個區域服務。如果您接受邀請,您的帳戶與 Macie 管理員帳戶之間的關聯為區域 — 關聯僅存在於中傳送邀請並接受的關聯。 AWS 區域

  • 如果您在多個區域中使用 Macie,您帳戶的 Macie 管理員帳戶在所有這些區域中必須相同。不過,Macie 管理員必須在每個地區分別傳送邀請給您,而且您必須在每個地區分別接受邀請。

  • 您可以隨時取消帳戶與 Macie 管理員帳戶的關聯。同樣地,您的 Macie 管理員可以隨時從其組織移除您的帳戶。如果任何一種情況:

    • Macie 會繼續為您的帳戶啟用。您的帳戶將成為一個獨立的 Macie 帳戶。

    • 如果您的帳戶已啟用自動化敏感資料探索功能,就會停用該帳戶。這也會停用存取現有的統計資料、庫存資料以及 Macie 產生並直接提供的其他資訊,同時為您的帳戶執行自動化探索。您可以再次為您的帳戶啟用自動探索功能。但是,這不會恢復對現有數據的訪問權限。相反地,Macie 會在為您的帳戶執行自動化探索時產生並維護新資料。

過渡到 AWS Organizations

在 Macie 中建立以邀請為基礎的組織之後,您可以轉換為改用。 AWS Organizations 若要簡化轉換,建議您將現有的、以邀請為基礎的管理員帳戶指定為中組織的 Macie 管理員帳戶。 AWS Organizations

如果您這麼做,所有目前關聯的成員帳戶都會繼續成為成員。如果成員帳戶是中組織的一部分 AWS Organizations,則帳戶的關聯會自動從「按邀請」變更為 Macie AWS Organizations中的「Via」。如果成員帳戶不屬於中組織的一部分 AWS Organizations,則該帳戶的關聯仍然是「按邀請」。在這兩種情況下,帳戶仍會繼續與 Macie 管理員帳戶作為成員帳戶關聯。

我們建議使用這種方法,因為一個成員帳戶一次只能與一個 Macie 管理員帳戶建立關聯。如果您指定不同的帳戶作為中組織的 Macie 管理員帳戶 AWS Organizations,指定的管理員將無法透過邀請來管理已與另一個 Macie 管理員帳戶相關聯的帳戶。每個成員帳戶必須先取消與其目前、以邀請為基礎的管理員帳戶的關聯。只有這樣, AWS Organizations 組織的 Macie 管理員才能將成員帳戶新增至其組織,並開始管理該帳戶的 Macie。

在您將 Macie 與 Macie 整合 AWS Organizations 並設定您的組織之後,您可以選擇性地為組織指定不同的 Macie 管理員帳戶。您也可以繼續使用邀請來關聯和管理不屬於您組織的成員帳戶 AWS Organizations。

如需有關將 Macie 與整合的資訊 AWS Organizations,請參閱管理亞馬遜 Macie 帳戶 AWS Organizations