Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Administración de varias cuentas de Macie como organización
<a name="macie-accounts"></a>

Si su AWS entorno tiene varias cuentas, puede asociar las cuentas de Amazon Macie a su entorno y administrarlas de forma centralizada como una organización en Macie. Con esta configuración, un administrador designado de Macie puede evaluar y supervisar el estado general de seguridad del patrimonio de datos de Amazon Simple Storage Service (Amazon S3) de su organización y detectar datos confidenciales en los buckets S3 de su organización. El administrador también puede realizar diversas tareas de gestión y administración de cuentas a gran escala, como supervisar los costos de uso estimados y evaluar las cuotas de las cuentas.

En Macie, una organización consta de una cuenta de administrador designada de Macie y una o más cuentas de miembros asociadas. Puede asociar las cuentas de dos maneras: integrando Macie AWS Organizations o enviando y aceptando invitaciones de membresía en Macie. Le recomendamos que integre Macie con. AWS Organizations

AWS Organizations es un servicio de administración de cuentas global que permite a AWS los administradores consolidar y administrar múltiples Cuentas de AWS cuentas de forma centralizada. Proporciona características de facturación unificada y administración de cuentas que están diseñadas para satisfacer las necesidades de presupuestos, seguridad y conformidad. Se ofrece sin cargo adicional y se integra con varios Servicios de AWS, incluidos Macie y Amazon GuardDuty. AWS Security Hub CSPM Para obtener más información, consulte la [Guía del usuario de AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html).

Si prefieres gestionar de forma centralizada varias cuentas de Macie sin necesidad de usarlas AWS Organizations, puedes utilizar en su lugar invitaciones de membresía. Si envía una invitación y otra cuenta la acepta, su cuenta pasa a ser la cuenta de administrador de Macie de la otra cuenta. Si recibe y acepta una invitación, su cuenta pasa a ser una cuenta de miembro de Macie y la cuenta de administrador de Macie puede acceder a determinados ajustes, datos y recursos de su cuenta de Macie y gestionarlos.

**Topics**
+ [Relaciones entre el administrador y la cuenta de miembro de Macie](accounts-mgmt-relationships.md)
+ [Administrar varias cuentas de Macie con AWS Organizations](accounts-mgmt-ao.md)
+ [Administración de varias cuentas de Macie a través de invitaciones](accounts-mgmt-invitations.md)

# Relaciones entre el administrador y la cuenta de miembro de Macie
<a name="accounts-mgmt-relationships"></a>

Si administra de forma centralizada varias cuentas de Amazon Macie como organización, el administrador de Macie tendrá acceso a los datos de inventario de Amazon Simple Storage Service (Amazon S3), a los resultados de las políticas y a determinadas configuraciones y recursos de Macie de las cuentas de miembro asociadas. El administrador también puede habilitar la detección de datos confidenciales automatizada y ejecutar trabajos de detección de datos confidenciales para detectar dichos datos en los buckets de S3 propiedad de las cuentas de miembro. El soporte para tareas específicas varía en función de si una cuenta de administrador de Macie está asociada a una cuenta de miembro mediante invitación AWS Organizations o por invitación.

En la tabla siguiente, se detalla la relación entre la cuenta de administrador y las cuentas miembro de Macie. Indica los permisos predeterminados para cada tipo de cuenta. Para restringir aún más el acceso a las características y operaciones de Macie, puede utilizar [AWS Identity and Access Management políticas de IAM](security-iam.md) personalizadas.

En la tabla:
+ **Auto** indica que la cuenta no puede realizar la tarea para ninguna de las cuentas asociadas.
+ **Cualquiera** indica que la cuenta puede realizar la tarea para una cuenta individual asociada.
+ **Todas** indica que la cuenta puede realizar la tarea y que este se aplica a todas las cuentas asociadas.

Un guion (—) indica que la cuenta no puede realizar la acción.


| 
| 
| **Tarea** | **A través AWS Organizations** | **Por invitación** | 
| --- |--- |--- |
| **Administrador** | **Miembro** | **Administrador** | **Miembro** | 
| --- |--- |--- |--- |
| Habilitación de Macie | Cualquiera | – | Auto | Auto | 
| Revise el inventario de cuentas de la organización [1](#accounts-mgmt-relationships-note-inventory) | Todos | – | Todos | – | 
| Añadir una cuenta de miembro | Cualquiera | – | Cualquiera | – | 
| Revise las estadísticas y los metadatos de los buckets de S3 | Todos | Auto | Todos | Auto | 
| Revisión de resultados de política | Todos | Auto | Todos | Auto | 
| [Suprima (archive) las conclusiones de la política 2](#accounts-mgmt-relationships-note-suppress-policy) | Todos | – | Todos | – | 
| Publicar las conclusiones de las políticas [3](#accounts-mgmt-relationships-note-publish-policy) | Auto | Auto | Auto | Auto | 
| Configure un repositorio para los resultados del descubrimiento de datos confidenciales [4](#accounts-mgmt-relationships-note-sddr) | Auto | Auto | Auto | Auto | 
| Cree y use listas de permisos | Auto | Auto | Auto | Auto | 
| Cree y utilice identificadores de datos personalizados | Auto | Auto | Auto | Auto | 
| Configure los ajustes de descubrimiento automatizado de datos confidenciales | Todos | – | Todos | – | 
| Habilite o deshabilite la detección automática de datos confidenciales | Cualquiera | – | Cualquiera | – | 
| Revise las estadísticas, los datos y los resultados del descubrimiento automatizado de datos confidenciales [5](#accounts-mgmt-relationships-note-asdd-sdfs) | Todos | Auto | Todos | Auto | 
| Cree y ejecute trabajos de descubrimiento de datos confidenciales [6](#accounts-mgmt-relationships-note-jobs) | Cualquiera | Propia | Cualquiera | Propia | 
| Revise los detalles de los trabajos de descubrimiento de datos confidenciales [7](#accounts-mgmt-relationships-note-job-details) | Auto | Auto | Auto | Auto | 
| Revise los hallazgos de datos confidenciales [8](#accounts-mgmt-relationships-note-jobs-sdfs) | Auto | Auto | Auto | Auto | 
| Suprima (archive) los hallazgos de datos confidenciales [8](#accounts-mgmt-relationships-note-jobs-sdfs) | Auto | Auto | Auto | Auto | 
| Publique los hallazgos de datos confidenciales [8](#accounts-mgmt-relationships-note-jobs-sdfs) | Auto | Auto | Auto | Auto | 
| Configure Macie para que recupere muestras de datos confidenciales para su posterior localización | Auto | Auto | Auto | Auto | 
| [Recupere muestras de datos confidenciales para los hallazgos 9](#accounts-mgmt-relationships-note-sdsamples) | Auto | Auto | Auto | Auto | 
| Configure los destinos de publicación de los hallazgos | Auto | Auto | Auto | Auto | 
| Establezca la frecuencia de publicación de los hallazgos | Todos | Auto | Todos | Auto | 
| Cree ejemplos de hallazgos | Auto | Auto | Auto | Auto | 
| Revise las cuotas de la cuenta y los costos de uso estimados | Todos | Auto | Todos | Auto | 
| [Suspenda Macie 10](#accounts-mgmt-relationships-note-suspend) | Cualquiera | – | Cualquiera | Propia | 
| [Desactiva a Macie 11](#accounts-mgmt-relationships-note-disable) | Auto | Auto | Auto | Auto | 
| Eliminar (desvincular) una cuenta de miembro | Cualquiera | – | Cualquiera | – | 
| Desasociarse de una cuenta de administrador | – | – | – | Auto | 
| [Eliminar una asociación con otra cuenta 12](#accounts-mgmt-relationships-note-delete) | Cualquiera | – | Cualquiera | Propia | 

1. <a name="accounts-mgmt-relationships-note-inventory"></a>El administrador de una organización AWS Organizations puede revisar todas las cuentas de la organización, incluidas las cuentas en las que no se ha activado Macie. El administrador de una organización basada en invitaciones solo puede revisar las cuentas que se añadan a su inventario.

1. <a name="accounts-mgmt-relationships-note-suppress-policy"></a>Solo un administrador puede suprimir los resultados de la política. Si un administrador crea una regla de supresión, Macie la aplica a los resultados de la política para todas las cuentas de la organización, a menos que la regla esté configurada para excluir cuentas específicas. Si un miembro crea una regla de supresión, Macie no la aplica a los resultados de política de la cuenta del miembro.

1. <a name="accounts-mgmt-relationships-note-publish-policy"></a>Solo la cuenta propietaria de un recurso afectado puede publicar los resultados de las políticas del recurso. AWS Security Hub CSPM Tanto las cuentas de administrador como las de miembros publican automáticamente en Amazon los resultados de las políticas de un recurso afectado EventBridge.

1. <a name="accounts-mgmt-relationships-note-sddr"></a>Si un administrador habilita la detección de datos confidenciales automatizada o configura una tarea para analizar los objetos de los buckets de S3 que sean propiedad de una cuenta de miembro, Macie almacena los resultados de la detección de datos confidenciales en el repositorio de la cuenta de administrador.

1. <a name="accounts-mgmt-relationships-note-asdd-sdfs"></a>Solo un administrador puede acceder a los resultados de datos confidenciales que se obtengan mediante la detección de datos confidenciales automatizada. Tanto un administrador como un miembro pueden revisar otros tipos de datos que la detección de datos confidenciales automatizada genere para la cuenta del miembro.

1. <a name="accounts-mgmt-relationships-note-jobs"></a>Un miembro puede configurar un trabajo para analizar objetos únicamente en los buckets de S3 que sean propiedad de su cuenta. Un administrador puede configurar un trabajo para analizar objetos de los buckets que sean propiedad de su cuenta o de la cuenta de un miembro. Para obtener información sobre cómo se aplican las cuotas y cómo se calculan los costos de los trabajos con varias cuentas, consulte [Comprensión de los costos de uso estimados](account-mgmt-costs-calculations.md).

1. <a name="accounts-mgmt-relationships-note-job-details"></a>Solo la cuenta que crea un trabajo puede acceder a los detalles del trabajo. Esto incluye los detalles relacionados con el trabajo en el inventario de buckets de S3.

1. <a name="accounts-mgmt-relationships-note-jobs-sdfs"></a>Solo la cuenta que crea un trabajo puede acceder, suprimir o publicar los resultados de datos confidenciales que genere el trabajo. Solo un administrador puede acceder a los resultados de datos confidenciales, suprimirlos o publicarlos que se obtengan mediante la detección de datos confidenciales automatizada.

1. <a name="accounts-mgmt-relationships-note-sdsamples"></a>Si un resultado de datos confidenciales se aplica a un objeto de S3 que es propiedad de una cuenta de miembro, el administrador podría recuperar muestras de datos confidenciales notificados por el resultado. Esto depende del origen del resultado y de los ajustes de configuración y los recursos de la cuenta de administrador y de la cuenta de miembro. Para obtener más información, consulte [Opciones de configuración para recuperar muestras de datos confidenciales](findings-retrieve-sd-options.md).

1. <a name="accounts-mgmt-relationships-note-suspend"></a>Para que un administrador suspenda Macie en su propia cuenta, primero debe desvincular su cuenta de todas las cuentas de miembro.

1. <a name="accounts-mgmt-relationships-note-disable"></a>Para que un administrador deshabilite Macie en su propia cuenta, primero debe desvincular su cuenta de todas las cuentas de miembro y eliminar las asociaciones entre su cuenta y todas esas cuentas. El administrador de una organización AWS Organizations puede hacerlo trabajando con la cuenta de administración de la organización para designar una cuenta diferente como cuenta de administrador.

   Para que un miembro de una AWS Organizations organización desactive Macie, el administrador primero debe desasociar la cuenta del miembro de su cuenta de administrador. En una organización basada en invitaciones, el miembro puede desvincular la cuenta de su cuenta de administrador y, a continuación, deshabilitar Macie.

1. <a name="accounts-mgmt-relationships-note-delete"></a>El administrador de una organización AWS Organizations puede eliminar una asociación con la cuenta de un miembro después de desasociar la cuenta de su cuenta de administrador. La cuenta sigue apareciendo en el inventario de cuentas del administrador, pero su estado indica que no es una cuenta de miembro. El administrador de una organización basada en invitaciones puede eliminar una asociación con otra cuenta después de desvincular la cuenta de otra cuenta . A continuación, la otra cuenta deja de aparecer en su inventario de cuentas.

# Administrar varias cuentas de Macie con AWS Organizations
<a name="accounts-mgmt-ao"></a>

Si AWS Organizations solía administrar varias cuentas de forma centralizada Cuentas de AWS, puede integrar Amazon Macie con las cuentas de su AWS Organizations organización y, a continuación, administrarlas de forma centralizada. Con esta configuración, un administrador designado de Macie puede habilitar y gestionar Macie para hasta 10 000 cuentas. El administrador también puede acceder a los datos de inventario de Amazon Simple Storage Service (Amazon S3) y detectar datos confidenciales en los buckets de S3 que sean propiedad de las cuentas. Para obtener más información sobre las tareas que pueden realizar los administradores, consulte [Relaciones entre el administrador y la cuenta de miembro de Macie](accounts-mgmt-relationships.md).

AWS Organizations es un servicio de administración de cuentas global que permite a AWS los administradores consolidar y administrar múltiples cuentas de forma centralizada. Cuentas de AWS Proporciona características de facturación unificada y administración de cuentas que están diseñadas para satisfacer las necesidades de presupuestos, seguridad y conformidad. Se ofrece sin cargo adicional y se integra con varios Servicios de AWS, incluidos Macie y Amazon GuardDuty. AWS Security Hub CSPM Para obtener más información, consulte la [Guía del usuario de AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html).

Para integrar Macie con ella AWS Organizations, hay que empezar por designar una cuenta como la cuenta de administrador delegado de Macie para la organización. A continuación, el administrador de Macie habilita Macie para otras cuentas de la organización, las añade como cuentas de miembros de Macie y configura los ajustes y los recursos de Macie para las cuentas.

**sugerencia**  
Si ya asoció una cuenta de administrador de Macie a las cuentas de los miembros mediante invitaciones, puede designar esa cuenta como la cuenta de administrador de Macie delegada para su organización en AWS Organizations. Si lo hace, todas las cuentas de miembro asociadas actualmente seguirán siendo miembros y podrá aprovechar al máximo las ventajas de gestionar las cuentas mediante el uso de AWS Organizations. Para obtener más información, consulte [Pasar de una organización basada en invitaciones](accounts-mgmt-ao-notes.md#accounts-mgmt-ao-notes-transition-invitations).

En los temas de esta sección se explica cómo integrar Macie con Macie AWS Organizations y cómo administrarla para las cuentas de una organización.

**Topics**
+ [Recomendaciones y consideraciones](accounts-mgmt-ao-notes.md)
+ [Integración y configuración de una organización](accounts-mgmt-ao-integrate.md)
+ [Revisión de las cuentas de una organización](accounts-mgmt-ao-review.md)
+ [Administración de cuentas de miembro](accounts-mgmt-ao-administer.md)
+ [Cambio de la cuenta de administrador](accounts-mgmt-ao-admin-change.md)
+ [Desactivación de la integración con AWS Organizations](accounts-mgmt-ao-disable.md)

# Consideraciones sobre el uso de Macie con AWS Organizations
<a name="accounts-mgmt-ao-notes"></a>

Antes de integrar Amazon Macie AWS Organizations y configurar su organización en Macie, tenga en cuenta los siguientes requisitos y recomendaciones. Asegúrese también de que entiende la [relación entre las cuentas de administrador y de miembro de Macie](accounts-mgmt-relationships.md).

**Topics**
+ [Creación de una cuenta de administrador](#accounts-mgmt-ao-notes-admin-designate)
+ [Cambiar o eliminar la designación de la cuenta de administrador](#accounts-mgmt-ao-notes-admin-remove)
+ [Agregar y eliminar cuentas de miembro](#accounts-mgmt-ao-notes-members-manage)
+ [Pasar de una organización basada en invitaciones](#accounts-mgmt-ao-notes-transition-invitations)

## Designación de una cuenta de administrador de Macie
<a name="accounts-mgmt-ao-notes-admin-designate"></a>

Al determinar qué cuenta debe ser la cuenta de administrador de Macie delegada para su organización, tenga en cuenta lo siguiente:
+ Una organización solo puede tener una cuenta de administrador de Macie delegada.
+ Una cuenta no puede ser cuenta de administrador de Macie y cuenta de miembro al mismo tiempo.
+ Solo la cuenta AWS Organizations de administración de una organización puede designar la cuenta de administrador delegado de Macie para la organización. Solo la cuenta de administrador puede cambiar o eliminar esa designación posteriormente.
+ La cuenta AWS Organizations de administración de una organización también puede ser la cuenta de administrador delegado de Macie para la organización. Sin embargo, no recomendamos esta configuración basándonos en las mejores prácticas AWS de seguridad y en el principio del privilegio mínimo. Es probable que los usuarios que tienen acceso a la cuenta de administración para fines de facturación no sean los mismos que los usuarios que necesitan acceder a Macie por motivos de seguridad de la información.

  Si prefiere esta configuración, debe habilitar Macie para la cuenta de administración de la organización en al menos una Región de AWS antes de designar la cuenta como cuenta de administrador delegado de Macie. De lo contrario, la cuenta no podrá acceder a la configuración y los recursos de Macie para las cuentas de miembros y administrarlos.
+ A diferencia de AWS Organizations esto, Macie es un servicio regional. Esto significa que la designación de una cuenta de administrador de Macie es una designación Regional. También significa que las asociaciones entre las cuentas de administrador y miembro de Macie son Regionales. Por ejemplo, si la cuenta de administración designa una cuenta de administrador de Macie en la región del Este de EE. UU. (Norte de Virginia), el administrador de Macie solo podrá gestionar Macie para las cuentas de los miembros de esa Región.

  Para gestionar de forma centralizada varias cuentas de Macie Regiones de AWS, la cuenta de administración debe iniciar sesión en cada región en la que la organización utilice o vaya a utilizar Macie y, a continuación, designar la cuenta de administrador de Macie en cada una de esas regiones. De esa forma, la cuenta de administrador de Macie puede configurar la organización en cada una de esas regiones. Para obtener una lista de todas las regiones en las que Macie se encuentra actualmente disponible, consulte [Puntos de conexión y cuotas de Amazon Macie](https://docs.aws.amazon.com/general/latest/gr/macie.html) en *Referencia general de AWS*.
+ Las cuentas se pueden asociar solo a una cuenta de administrador de Macie a la vez. Si su organización utiliza Macie en varias Regiones, la cuenta de administrador de Macie designada debe ser la misma en todas esas Regiones. Sin embargo, la cuenta de administración de su organización debe designar la cuenta de administrador por separado en cada región.
+ Una cuenta solo puede ser la cuenta de administrador delegado de Macie de una organización a la vez. Si administra varias organizaciones AWS Organizations, debe designar una cuenta de administrador de Macie diferente para cada organización. Esto se debe a un requisito de AWS Organizations : una cuenta solo puede pertenecer a una organización a la vez.

Si Cuenta de AWS se suspende, aísla o cierra la cuenta del administrador de Macie, todas las cuentas de miembros de Macie asociadas se eliminarán automáticamente como cuentas de miembros de Macie, pero Macie seguirá habilitada para esas cuentas. Si se había habilitado la [detección de datos confidenciales automatizada](discovery-asdd.md) para una o más cuentas de miembro, se deshabilita para las cuentas. Esto deshabilita también el acceso a los datos estadísticos, a los datos de inventario y a cualquier otra información que haya producido y proporcionado directamente Macie mientras realizaba la detección automatizada para las cuentas. Para restablecer el acceso a estos datos, debe ocurrir lo siguiente en un plazo de 30 días:

1. Se restablece la del administrador de Macie. Cuenta de AWS 

1. La cuenta AWS Organizations de administración vuelve a designar la cuenta como la cuenta de administrador de Macie.

1. El administrador de Macie configura la organización y vuelve a habilitar la detección automatizada en las cuentas correspondientes.

Después de 30 días, Macie elimina de forma permanente los datos que generaba y proporcionaba directamente antes mientras realizaba la detección automatizada de las cuentas correspondientes.

## Cambiar o eliminar la designación de una cuenta de administrador de Macie
<a name="accounts-mgmt-ao-notes-admin-remove"></a>

Solo la cuenta AWS Organizations de administración de una organización puede cambiar o eliminar la designación de una cuenta de administrador delegada de Macie para la organización.

Si la cuenta de administración cambia o elimina la designación:
+ Todas las cuentas de miembro asociadas se eliminan como cuentas de miembro de Macie, pero Macie sigue estando activado para las cuentas. Las cuentas se convierten en cuentas de Macie independientes. Para pausar o dejar de usar Macie, el usuario de una cuenta de miembro debe suspender (pausar) o deshabilitar (detener) Macie para la cuenta.
+ La detección de datos confidenciales automatizada está deshabilitada en todas las cuentas en las que estaba habilitada. Esto deshabilita también el acceso a los datos estadísticos, a los datos de inventario y a cualquier otra información que haya producido y proporcionado directamente Macie mientras realizaba la detección automatizada para cada cuenta. Para restablecer el acceso a estos datos, la cuenta de administración debe volver a designar la misma cuenta de administrador de Macie en un plazo de 30 días. Además, el administrador de Macie debe volver a configurar la organización y volver a activar la detección automatizada para cada cuenta en un plazo de 30 días. Transcurridos 30 días, los datos caducan y Macie los borra permanentemente.

## Agregar y eliminar cuentas de miembro de Macie
<a name="accounts-mgmt-ao-notes-members-manage"></a>

A la hora de agregar, eliminar y administrar cuentas de miembro de una organización, tenga en cuenta lo siguiente:
+ Una cuenta de administrador de Macie puede estar asociada a un máximo de 10 000 cuentas de miembro de Macie en cada Región de AWS. Si su organización supera esta cuota, el administrador de Macie no podrá añadir cuentas de miembro hasta que elimine el número necesario de cuentas de miembros existentes en la región. Cuando una organización alcanza esta cuota, se lo notificamos al administrador de Macie mediante la creación de un AWS Health evento para su cuenta. También enviamos un correo electrónico a la dirección de correo asociada a su cuenta.

  Si es el administrador de Macie de una organización, puede determinar cuántas cuentas de miembros están asociadas actualmente a su cuenta mediante la página **Cuentas** de la consola de Amazon Macie o mediante el funcionamiento de [ListMembers](https://docs.aws.amazon.com/macie/latest/APIReference/members.html)la API de Amazon Macie. Para obtener más información, consulte [Revisión de las cuentas de Macie para una organización](accounts-mgmt-ao-review.md).
+ Las cuentas se pueden asociar solo a una cuenta de administrador de Macie a la vez. Esto significa que una cuenta no puede aceptar una invitación de Macie desde otra cuenta si ya está asociada a la cuenta de administrador de Macie de una organización en AWS Organizations.

  Del mismo modo, si una cuenta ya ha aceptado una invitación, el administrador de Macie de una organización no AWS Organizations podrá añadir la cuenta como cuenta de miembro de Macie. La cuenta primero debe desasociarse de su cuenta de administrador actual, basada en una invitación.
+ Para añadir la cuenta AWS Organizations de gestión como cuenta de miembro de Macie, un usuario de la cuenta de gestión debe habilitar primero Macie para la cuenta. El administrador de Macie no puede habilitar Macie para la cuenta de administración.
+ Si el administrador de Macie elimina una cuenta de miembro de Macie:
  + Macie sigue habilitado para la cuenta. La cuenta se convierte en una cuenta de Macie independiente. Para que una cuenta pueda pausar o dejar de usar Macie, el usuario de la cuenta debe suspender (pausar) o deshabilitar (detener) Macie para la cuenta.
  + La detección de datos confidenciales automatizada está deshabilitada para la cuenta, si es que estaba habilitada. Esto deshabilita también el acceso a los datos estadísticos, a los datos de inventario y a cualquier otra información que haya producido y proporcionado directamente Macie mientras realizaba la detección automatizada para la cuenta.
+ Una cuenta de miembro no se puede desvincular de su cuenta de administrador de Macie. Solo el administrador de Macie puede eliminar una cuenta como cuenta de miembro de Macie.

## Pasar de una organización basada en invitaciones
<a name="accounts-mgmt-ao-notes-transition-invitations"></a>

Si ya asoció una cuenta de administrador de Macie a las cuentas de los miembros mediante invitaciones de membresía de Macie, le recomendamos que designe esa cuenta como la cuenta de administrador de Macie delegada para su organización en AWS Organizations. Esto simplifica la transición desde una organización basada en invitaciones.

Si lo hace, todas las cuentas de miembros actualmente asociadas seguirán siendo miembros. Si una cuenta de miembro forma parte de su organización AWS Organizations, la asociación de la cuenta cambiará automáticamente de **Por invitación** a **Via AWS Organizations** in Macie. Si la cuenta de un miembro no forma parte de tu organización en AWS Organizations, la asociación de la cuenta seguirá siendo **Por invitación**. En ambos casos, las cuentas seguirán asociadas a la cuenta de administrador delegado de Macie como cuentas de miembros. En el caso del descubrimiento de datos confidenciales, esto también significa que las cuentas pueden seguir accediendo a los datos estadísticos y de otro tipo que Macie produjo y proporcionó directamente, a la vez que se procederá a la detección automática de los datos confidenciales de las cuentas. Además, si el administrador de Macie configuró tareas de detección de datos confidenciales para analizar los datos de las cuentas, las tareas posteriores seguirán incluyendo los recursos que son propiedad de las cuentas.

Recomendamos este enfoque porque una cuenta no se puede asociar a más de una cuenta de administrador de Macie al mismo tiempo. Si designa una cuenta diferente como cuenta de administrador de Macie para su organización AWS Organizations, el administrador designado no podrá gestionar las cuentas que ya estén asociadas a otra cuenta de administrador de Macie por invitación. Cada cuenta de miembro debe desvincularse primero de su cuenta de administrador actual, basada en una invitación. El administrador de Macie de su organización en AWS Organizations podrá entonces añadir la cuenta como cuenta de miembro de Macie y empezar a administrarla.

Tras integrar Macie AWS Organizations y configurar su organización en Macie, si lo desea, puede designar otra cuenta de administrador de Macie para la organización. También puede seguir utilizando las invitaciones para asociar y administrar cuentas de miembros que no formen parte de su organización en AWS Organizations.

# Integración y configuración de una organización en Macie
<a name="accounts-mgmt-ao-integrate"></a>

Para empezar a usar Amazon Macie con AWS Organizations, la cuenta de AWS Organizations administración de la organización designa una cuenta como la cuenta de administrador delegado de Macie para la organización. Esto hace que Macie sea un servicio de confianza en. AWS Organizations También habilita a Macie en la cuenta Región de AWS de administrador actual designada y permite que la cuenta de administrador designada habilite y administre Macie para otras cuentas de la organización en esa región. Para obtener información sobre cómo se conceden estos permisos, consulte [Utilización AWS Organizations con otros Servicios de AWS](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html) en la *Guía del AWS Organizations usuario*.

A continuación, el administrador delegado de Macie configura la organización en Macie, principalmente añadiendo las cuentas de la organización como cuentas de miembros de Macie en la región. A continuación, el administrador puede acceder a determinados ajustes, datos y recursos de Macie para esas cuentas de esa región. El administrador también puede realizar la detección de datos confidenciales automatizada y ejecutar trabajos de detección de datos confidenciales para detectar dichos datos en los buckets de Amazon Simple Storage Service (Amazon S3) propiedad de las cuentas de miembro.

En este tema se explica cómo designar a un administrador delegado de Macie para una organización y cómo añadir las cuentas de la organización como cuentas de miembros de Macie. Antes de realizar estas tareas, asegúrese de entender la [relación entre las cuentas de administrador y de miembro de Macie](accounts-mgmt-relationships.md). También es una buena idea revisar las [consideraciones y recomendaciones](accounts-mgmt-ao-notes.md) para usar Macie con AWS Organizations.

**Topics**
+ [Paso 1: verificación de los permisos](#accounts-mgmt-ao-admin-designate-permissions)
+ [Paso 2: designar la cuenta de administrador delegada de Macie](#accounts-mgmt-ao-admin-designate)
+ [Paso 3: habilitar automáticamente nuevas cuentas de la organización](#accounts-mgmt-ao-members-autoenable)
+ [Paso 4: habilitar y añadir cuentas de la organización existentes](#accounts-mgmt-ao-members-add-existing)

Para integrar y configurar la organización en varias regiones, la cuenta de AWS Organizations administración y el administrador delegado de Macie repiten estos pasos en cada región adicional.

## Paso 1: verificación de los permisos
<a name="accounts-mgmt-ao-admin-designate-permissions"></a>

Antes de designar la cuenta de administrador delegado de Macie para su organización, compruebe que usted (como usuario de la cuenta de AWS Organizations administración) tiene permiso para realizar la siguiente acción de Macie:. `macie2:EnableOrganizationAdminAccount` Esta acción le permite designar la cuenta de administrador delegado de Macie para su organización mediante Macie.

Compruebe también que está autorizado a realizar las siguientes acciones: AWS Organizations 
+ `organizations:DescribeOrganization`
+ `organizations:EnableAWSServiceAccess`
+ `organizations:ListAWSServiceAccessForOrganization`
+ `organizations:RegisterDelegatedAdministrator`

Estas acciones le permiten: recuperar información sobre su organización; integrar Macie con ella AWS Organizations; recuperar la información con la Servicios de AWS que se ha integrado AWS Organizations; y designar una cuenta de administrador de Macie delegada para su organización.

Para conceder estos permisos, incluya la siguiente declaración en la política AWS Identity and Access Management (de IAM) de su cuenta:

```
{
   "Sid": "Grant permissions to designate a delegated Macie administrator",
   "Effect": "Allow",
   "Action": [
      "macie2:EnableOrganizationAdminAccount",
      "organizations:DescribeOrganization",
      "organizations:EnableAWSServiceAccess",
      "organizations:ListAWSServiceAccessForOrganization",
      "organizations:RegisterDelegatedAdministrator"
   ],
   "Resource": "*"
}
```

Si desea designar su cuenta de AWS Organizations administración como la cuenta de administrador delegado de Macie para la organización, su cuenta también necesita permiso para realizar la siguiente acción de IAM:. `CreateServiceLinkedRole` Esta acción le permite habilitar Macie para la cuenta de administración. Sin embargo, basándonos en las mejores prácticas de AWS seguridad y en el principio del privilegio mínimo, no le recomendamos que lo haga.

Si decide conceder este permiso, añada la siguiente declaración a la política de IAM de su cuenta AWS Organizations de administración:

```
{
   "Sid": "Grant permissions to enable Macie",
   "Effect": "Allow",
   "Action": [
      "iam:CreateServiceLinkedRole"
   ],
   "Resource": "arn:aws:iam::111122223333:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie",
   "Condition": {
      "StringLike": {
         "iam:AWSServiceName": "macie.amazonaws.com"
      }
   }
}
```

En el extracto, *111122223333* sustitúyalo por el identificador de cuenta de la cuenta de administración.

Si quieres administrar Macie de forma opcional Región de AWS (región que está deshabilitada de forma predeterminada), actualiza también el valor del principal de servicio de Macie en el `Resource` elemento y la condición. `iam:AWSServiceName` El valor debe especificar el código de región de la región. Por ejemplo, para administrar Macie en la región de Medio Oriente (Baréin), que tiene el código de región *me-south-1*, haga lo siguiente:
+ En el elemento `Resource`, sustituya

  `arn:aws:iam::111122223333:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie`

  por

  `arn:aws:iam::111122223333:role/aws-service-role/macie.me-south-1.amazonaws.com/AWSServiceRoleForAmazonMacie`

  Donde *111122223333* especifica el ID de cuenta de la cuenta de administración y *me-south-1* el código de región de la región.
+ En la `iam:AWSServiceName` condición, `macie.amazonaws.com` sustitúyalo por`macie.me-south-1.amazonaws.com`, donde se *me-south-1* especifica el código de región de la región.

Para obtener una lista de todas las regiones en las que Macie se encuentra actualmente disponible, consulte [Puntos de conexión y cuotas de Amazon Macie](https://docs.aws.amazon.com/general/latest/gr/macie.html) en la *Referencia general de AWS*. Para determinar si una región es una región opcional, consulte [Enable or disable Regiones de AWS in your account](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html) en la *Guía del usuario de AWS Account Management *.

## Paso 2: designar la cuenta de administrador delegada de Macie para la organización
<a name="accounts-mgmt-ao-admin-designate"></a>

Tras verificar sus permisos, usted (como usuario de la cuenta de AWS Organizations administración) puede designar la cuenta de administrador delegada de Macie para su organización.

**Designar la cuenta de administrador delegada de Macie para una organización**  
Para designar la cuenta de administrador delegado de Macie para su organización, puede utilizar la consola de Amazon Macie o la API de Amazon Macie. Solo un usuario de la cuenta de AWS Organizations administración puede realizar esta tarea.

------
#### [ Console ]

Siga estos pasos para designar la cuenta de administrador delegada de Macie mediante la consola de Amazon Macie.

**Designar la cuenta de administrador delegada de Macie**

1. Inicie sesión Consola de administración de AWS con su cuenta AWS Organizations de administración.

1. Con el Región de AWS selector situado en la esquina superior derecha de la página, elija la región en la que desee designar la cuenta de administrador delegado de Macie para su organización.

1. Abra la consola Amazon Macie en. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. Lleve a cabo una de las siguientes acciones, en función de si Macie está habilitada para su cuenta de administración en la región actual:
   + Si Macie no está activado, seleccione **Comenzar** en la página de bienvenida.
   + Si Macie está activado, seleccione **Configuración** en el panel de navegación.

1. En **Administrador delegado**, introduzca el identificador de cuenta de 12 dígitos de la cuenta Cuenta de AWS que desee designar como cuenta de administrador de Macie.

1. Seleccione **Delegar**.

Repita los pasos anteriores en cada región adicional en la que desee integrar la organización con Macie. Debe designar la misma cuenta de administrador de Macie en cada una de esas regiones.

------
#### [ API ]

Para designar la cuenta de administrador de Macie delegada mediante programación, utilice la [EnableOrganizationAdminAccount](https://docs.aws.amazon.com/macie/latest/APIReference/admin.html)operación de la API de Amazon Macie. Para designar la cuenta en varias regiones, envíe la designación para cada región en la que desee integrar la organización con Macie. Debe designar la misma cuenta de administrador de Macie en cada una de esas regiones.

Cuando envíe la designación, utilice el `adminAccountId` parámetro necesario para especificar el identificador de cuenta de 12 dígitos que desee designar como cuenta de administrador de Macie Cuenta de AWS para la organización. Asegúrese también de especificar la región a la que se aplica la designación.

Para designar la cuenta de administrador de Macie mediante [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html), ejecute el comando. [enable-organization-admin-account](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/enable-organization-admin-account.html) Para el `admin-account-id` parámetro, especifique el identificador de cuenta de 12 dígitos Cuenta de AWS que desee designar. Utilice el parámetro de `region` para especificar la región a la que se aplica la designación. Por ejemplo:

```
C:\> aws macie2 enable-organization-admin-account --region us-east-1 --admin-account-id 111122223333
```

¿Dónde *us-east-1* está la región a la que se aplica la designación (la región EE. UU. Este (Virginia del Norte)) y *111122223333* es el identificador de cuenta que se va a designar?

------

Tras designar la cuenta de administrador de Macie para su organización, el administrador de Macie puede empezar a configurar la organización en Macie.

## Paso 3: habilitar automáticamente nuevas cuentas de miembro de la organización como cuentas miembro de Macie
<a name="accounts-mgmt-ao-members-autoenable"></a>

De forma predeterminada, Macie no se habilita automáticamente para las cuentas nuevas cuando las añade a su organización en AWS Organizations. Además, las cuentas no se añaden automáticamente como cuentas de miembro de Macie. Las cuentas aparecen en el inventario de cuentas del administrador de Macie. Sin embargo, Macie no está necesariamente habilitado para las cuentas y el administrador de Macie no necesariamente puede acceder a la configuración, los datos y los recursos de Macie relacionados con las cuentas.

Si es el administrador delegado de Macie para la organización, puede cambiar este ajuste de configuración. Puede activar la habilitación automática para su organización. Si lo hace, Macie se habilita automáticamente para las cuentas nuevas cuando las añada a su organización en AWS Organizations. Además, las cuentas se asocian automáticamente a la cuenta de administrador de Macie como cuentas de miembro. La habilitación de esta configuración no afecta a las cuentas existentes en la organización. Para habilitar y administrar Macie para las cuentas existentes, debe añadir manualmente las cuentas como cuentas de miembro de Macie. El [siguiente paso](#accounts-mgmt-ao-members-add-existing) explica cómo se realiza.

**nota**  
Si activa la habilitación automática, tenga en cuenta la siguiente excepción. Si ya hay una cuenta nueva asociada a otra cuenta de administrador de Macie, Macie no añadirá automáticamente la cuenta como cuenta de miembro de su organización. La cuenta debe desasociarse de su cuenta de administrador actual de Macie para poder formar parte de su organización en Macie. A continuación, puede añadir la cuenta manualmente. Para identificar las cuentas en las que este sea el caso, puede [revisar el inventario de cuentas](accounts-mgmt-ao-review.md) de su organización.

**Habilitación e incorporación automática de nuevas cuentas de la organización como cuentas de miembro de Macie**  
Para activar y añadir nuevas cuentas automáticamente como cuentas de miembro de Macie, puede utilizar la consola de Amazon Macie o la API de Amazon Macie. Sólo el administrador de Macie delegado de la organización puede realizar esta tarea.

------
#### [ Console ]

Para realizar esta tarea mediante la consola, debe poder realizar la siguiente AWS Organizations acción:`organizations:ListAccounts`. Esta acción permite recuperar y mostrar información sobre las cuentas de la organización. Si dispone de estos permisos, siga estos pasos para activar y añadir automáticamente nuevas cuentas de la organización como cuentas de miembros de Macie.

**Activar y añadir nuevas cuentas de organización automáticamente**

1. Abra la consola Amazon Macie en. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. Con el Región de AWS selector situado en la esquina superior derecha de la página, elija la región en la que desee activar y añadir nuevas cuentas automáticamente como cuentas de miembro de Macie.

1. En el panel de navegación, elija **Cuentas**.

1. En la página **Cuentas**, en la sección **Cuentas nuevas**, seleccione **Editar**.

1. En el cuadro de diálogo **Editar la configuración de las cuentas nuevas**, seleccione **Habilitar Macie**.

   Para habilitar también la detección de datos confidenciales automatizada en las nuevas cuentas de miembro, seleccione **Habilitar la detección de datos confidenciales automatizada**. Si habilita esta característica para una cuenta, Macie selecciona continuamente objetos de muestra desde los buckets de S3 de la cuenta y analiza los objetos para determinar si contienen datos confidenciales. Para obtener más información, consulte [Realización de la detección de datos confidenciales automatizada](discovery-asdd.md).

1. Seleccione **Guardar**.

Repita los pasos anteriores en cada región adicional en la que desee configurar la organización en Macie.

Para cambiar esta configuración posteriormente, repita los pasos anteriores y desactive la casilla de verificación de cada configuración.

------
#### [ API ]

Para activar y añadir automáticamente nuevas cuentas de miembros de Macie mediante programación, utilice la API de [UpdateOrganizationConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/admin-configuration.html)Amazon Macie. Cuando envíe su solicitud, defina el valor del parámetro `autoEnable` en `true`. (El valor predeterminado es `false`). Asegúrese también de especificar la región a la que se aplica la solicitud. Para habilitar y añadir nuevas cuentas automáticamente en otras regiones, envíe la solicitud para cada región adicional.

Si utiliza la AWS CLI para enviar la solicitud, ejecute el [update-organization-configuration](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/update-organization-configuration.html)comando y especifique el `auto-enable` parámetro para habilitar y añadir nuevas cuentas automáticamente. Por ejemplo:

```
$ aws macie2 update-organization-configuration --region us-east-1 --auto-enable
```

¿Dónde *us-east-1* está la región en la que se habilitan y añaden nuevas cuentas automáticamente? La región EE.UU. Este (Virginia del Norte).

Para cambiar posteriormente esta configuración y dejar de habilitar y añadir nuevas cuentas automáticamente, ejecute el mismo comando de nuevo y utilice el parámetro `no-auto-enable`, en lugar del parámetro `auto-enable`, en cada región aplicable.

También puede habilitar la detección de datos confidenciales automatizada en las nuevas cuentas de miembros. Si habilita esta característica para una cuenta, Macie selecciona continuamente objetos de muestra desde los buckets de S3 de la cuenta y analiza los objetos para determinar si contienen datos confidenciales. Para obtener más información, consulte [Realización de la detección de datos confidenciales automatizada](discovery-asdd.md). Para habilitar esta función automáticamente en las cuentas de los miembros, utilice la [UpdateAutomatedDiscoveryConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/automated-discovery-configuration.html)operación o, si está utilizando la AWS CLI, ejecute el [update-automated-discovery-configuration](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/update-automated-discovery-configuration.html)comando.

------

## Paso 4: habilitar y añadir cuentas de la organización existentes como cuentas de miembro de Macie
<a name="accounts-mgmt-ao-members-add-existing"></a>

Cuando integras Macie con AWS Organizations, Macie no se habilita automáticamente para todas las cuentas existentes en tu organización. Además, las cuentas no se asocian automáticamente a la cuenta de administrador delegada de Macie como cuentas de miembros de Macie. Por lo tanto, el último paso para integrar y configurar su organización en Macie es añadir las cuentas de la organización existentes como cuentas de miembros de Macie. Al añadir una cuenta existente como cuenta de miembro de Macie, Macie se habilita automáticamente para la cuenta y usted (como administrador delegado de Macie) obtiene acceso a determinados ajustes, datos y recursos de Macie para la cuenta.

Tenga en cuenta que no puede añadir una cuenta que esté asociada actualmente a otra cuenta de administrador de Macie. Para añadir la cuenta, trabaje con el propietario de la cuenta para desasociarla primero de su cuenta de administrador actual. Además, no puede añadir una cuenta existente si Macie está actualmente suspendida en la cuenta. El propietario de la cuenta primero debe volver a habilitar Macie para la cuenta. Por último, si desea añadir la cuenta de administración AWS Organizations como una cuenta de miembro, el usuario de esa cuenta primero debe habilitar Macie para la cuenta.

**Habilitar y añadir cuentas de organización existentes como cuentas de miembros de Macie**  
Para activar y añadir cuentas de organización existentes como cuentas de miembros de Macie, puede utilizar la consola de Amazon Macie o la API de Amazon Macie. Sólo el administrador de Macie delegado de la organización puede realizar esta tarea.

------
#### [ Console ]

Para realizar esta tarea mediante la consola, debe poder realizar la siguiente AWS Organizations acción:. `organizations:ListAccounts` Esta acción permite recuperar y mostrar información sobre las cuentas de la organización. Si dispone de estos permisos, siga estos pasos para activar y añadir las cuentas existentes como cuentas de miembro de Macie.

**Para activar y añadir las cuentas de la organización existentes**

1. Abra la consola Amazon Macie en. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. Con el Región de AWS selector situado en la esquina superior derecha de la página, elija la región en la que desee activar y añadir las cuentas existentes como cuentas de miembros de Macie.

1. En el panel de navegación, elija **Cuentas**. Se abre la página **Cuentas** y muestra una tabla con las cuentas asociadas a su cuenta de Macie.

   **Si una cuenta forma parte de su organización AWS Organizations, su **tipo** es Vía. AWS Organizations** Si una cuenta ya es una cuenta de miembro de Macie, su **Estado** será **Habilitado** o **En pausa (suspendido)**.

1. En la tabla de **cuentas existentes**, seleccione la casilla de verificación de cada cuenta que desee añadir como cuenta de miembro de Macie.

1. En el menú **Acciones**, elija **Añadir miembro**.

1. Confirme que desea añadir como cuentas de miembro el número de cuentas seleccionadas.

Tras confirmar la adición de las cuentas seleccionadas, el estado de las cuentas cambia a **Habilitación en proceso** y, a continuación, a **Habilitado**. **Después de añadir una cuenta de miembro, también puede activar la detección automática de datos confidenciales para la cuenta: en la tabla **Cuentas existentes**, seleccione la casilla de verificación de cada cuenta para la que desee activarla y, a continuación, seleccione **Activar la detección automática de datos confidenciales** en el menú Acciones.** Si habilita esta característica para una cuenta, Macie selecciona continuamente objetos de muestra desde los buckets de S3 de la cuenta y analiza los objetos para determinar si contienen datos confidenciales. Para obtener más información, consulte [Realización de la detección de datos confidenciales automatizada](discovery-asdd.md).

Repita los pasos anteriores en cada región adicional en la que desee configurar la organización en Macie.

------
#### [ API ]

Para habilitar y añadir mediante programación una o más cuentas existentes como cuentas de miembros de Macie, utilice la [CreateMember](https://docs.aws.amazon.com/macie/latest/APIReference/members.html)operación de la API Amazon Macie. Cuando envíe su solicitud, utilice los parámetros admitidos para especificar el ID de cuenta de 12 dígitos y la dirección de correo electrónico de cada Cuenta de AWS una de ellas para activarlas y añadirlas. Especifica también la región a la que se aplica la solicitud. Para habilitar y añadir cuentas existentes en regiones adicionales, envíe la solicitud para cada región adicional.

Para recuperar el ID de cuenta y la dirección de correo electrónico de una opción Cuenta de AWS para habilitar y añadir, puede utilizar opcionalmente la [ListMembers](https://docs.aws.amazon.com/macie/latest/APIReference/members.html)operación de la API Amazon Macie. Esta operación proporciona detalles sobre las cuentas asociadas a su cuenta de Macie, incluidas las cuentas que no son cuentas de miembro de Macie. Si el valor de la propiedad `relationshipStatus` de una cuenta no es `Enabled` o `Paused`, la cuenta no es una cuenta de miembro de Macie.

Para habilitar y añadir una o más cuentas existentes mediante el AWS CLI, ejecute el comando [create-member](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/create-member.html). Utilice el parámetro `region` para especificar la región en la que desea habilitar y añadir las cuentas. Utilice los `account` parámetros para especificar el ID de cuenta y la dirección de correo electrónico de cada una de ellas Cuenta de AWS . Por ejemplo:

```
C:\> aws macie2 create-member --region us-east-1 --account={\"accountId\":\"123456789012\",\"email\":\"janedoe@example.com\"}
```

¿Dónde *us-east-1* está la región en la que se debe activar y añadir la cuenta como cuenta de miembro de Macie (la región EE.UU. Este (Virginia del Norte)) y `account` los parámetros especifican el identificador de la cuenta (*123456789012*) y la dirección de correo electrónico (*janedoe@example.com*) de la cuenta?

Si la solicitud se aprueba, el estado (`relationshipStatus`) de la cuenta especificada cambia a `Enabled` en el inventario de su cuenta.

Para habilitar también la detección automática de datos confidenciales para una o más de las cuentas, utilice la [BatchUpdateAutomatedDiscoveryAccounts](https://docs.aws.amazon.com/macie/latest/APIReference/automated-discovery-accounts.html)operación o, si está utilizando la AWS CLI, ejecute el comando [batch-update-automated-discovery-accounts](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/batch-update-automated-discovery-accounts.html). Si habilita esta característica para una cuenta, Macie selecciona continuamente objetos de muestra desde los buckets de S3 de la cuenta y analiza los objetos para determinar si contienen datos confidenciales. Para obtener más información, consulte [Realización de la detección de datos confidenciales automatizada](discovery-asdd.md).

------

# Revisión de las cuentas de Macie para una organización
<a name="accounts-mgmt-ao-review"></a>

Una vez [integrada y configurada](accounts-mgmt-ao-integrate.md) una AWS Organizations organización en Amazon Macie, el administrador delegado de Macie puede acceder a un inventario de las cuentas de la organización en Macie. Como administrador de Macie de una organización, puede utilizar este inventario para revisar las estadísticas y los detalles de las cuentas de Macie de la organización en Región de AWS. También puede usarlo para [realizar determinadas tareas de administración](accounts-mgmt-ao-administer.md) de las cuentas.

**Revisión de las cuentas de Macie para una organización**  
Para revisar las cuentas de una organización, puede utilizar la consola de Amazon Macie o la API de Amazon Macie. Si prefiere usar la consola, debe poder realizar la siguiente acción:. AWS Organizations `organizations:ListAccounts` Esta acción le permite recuperar y mostrar información sobre cuentas que forman parte de su organización en AWS Organizations.

------
#### [ Console ]

Siga estos pasos para revisar las cuentas de Macie de su organización mediante la consola de Amazon Macie.

**Para revisar las cuentas de su organización**

1. Abra la consola Amazon Macie en. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. Con el Región de AWS selector situado en la esquina superior derecha de la página, elija la región en la que desee revisar las cuentas de su organización.

1. En el panel de navegación, elija **Cuentas**.

Se abre la página **Cuentas** y muestra estadísticas añadidas y una tabla de las cuentas que están asociadas a su cuenta de Macie en la Región de AWS actual.

En la parte superior de la página de **Cuentas**, encontrará las siguientes estadísticas agregadas.

**A través de AWS Organizations**  
**Active** indica el número total de cuentas que están asociadas a su cuenta AWS Organizations y que actualmente son cuentas de miembros de Macie en su organización. Macie está habilitado para estas cuentas y usted es el administrador de las cuentas en Macie.  
**Todas** indica el número total de cuentas que están asociadas a su cuenta mediante AWS Organizations. Esto incluye las cuentas que no sean actualmente cuentas de miembro de Macie. También incluye las cuentas de miembro cuyas cuentas de Macie estén actualmente suspendidas.

**Por invitación**  
**Activas** indica el número total de cuentas asociadas a su cuenta mediante invitación de Macie y que actualmente son cuentas de miembro de Macie en su organización. Estas cuentas no están asociadas directamente a su cuenta mediante AWS Organizations. Macie está habilitado para las cuentas y usted es el administrador de las cuentas de Macie porque ellos han aceptado una invitación suya a ser miembro de Macie.  
**Todas** indica el número total de cuentas asociadas a su cuenta por invitación de Macie, incluidas las cuentas que no han respondido a una invitación suya.

**Activas/Todas**  
**Activas** indica el número total de cuentas en las que Macie está habilitada actualmente en su organización, incluida la suya propia. Usted es el administrador de Macie de estas cuentas, a través de AWS Organizations o por invitación de Macie.  
**Todos** indican el número total de cuentas asociadas a su cuenta, por invitación de Macie AWS Organizations o por invitación, más su propia cuenta. Esto incluye las cuentas que forman parte de su organización AWS Organizations y que actualmente no son cuentas de miembros de Macie. También se incluyen las cuentas que no hayan respondido a ninguna invitación por su parte para ser miembro de Macie.

En la tabla, encontrará detalles sobre cada cuenta de la región actual. La tabla incluye todas las cuentas que están asociadas a su cuenta de Macie mediante AWS Organizations o por invitación de Macie.

**ID de cuenta**  
El ID de cuenta y la dirección de correo electrónico para Cuenta de AWS.

**Nombre**  
El nombre de la cuenta para la Cuenta de AWS. Este valor suele ser **N/A** para su propia cuenta y las cuentas que están asociadas a su cuenta por invitación de Macie.

**Tipo**  
Cómo se asocia la cuenta a tu cuenta, mediante una invitación de Macie AWS Organizations o mediante esta. En el caso de su propia cuenta, este valor es **Cuenta actual**.

**Estado**  
El estado de la relación entre su cuenta y la cuenta. Para una cuenta de una AWS Organizations organización (el **tipo** es **Vía AWS Organizations**), los valores posibles son:  
+ **Cuenta suspendida**: la Cuenta de AWS está suspendida.
+ **Activada**: la cuenta es una cuenta de miembro de Macie. Macie está habilitado para esta cuenta y usted es el administrador de la cuenta en Macie.
+ **Habilitación en proceso**: Macie está procesando una solicitud para habilitar y añadir la cuenta como cuenta de miembro de Macie.
+ **No es miembro**: la cuenta forma parte de su organización, AWS Organizations pero no es una cuenta de miembro de Macie.
+ **En pausa (suspendida)**: la cuenta es una cuenta de miembro de Macie, pero Macie está actualmente suspendida.
+ **Región deshabilitada**: la cuenta forma parte de su organización AWS Organizations , pero la región actual está deshabilitada para la Cuenta de AWS.
+ **Eliminada (disociada)**: la cuenta anteriormente era una cuenta de miembro de Macie, pero posteriormente se eliminó como cuenta de miembro. Has desvinculado la cuenta de tu cuenta de administrador de Macie. Macie sigue habilitada para la cuenta.

**Última actualización de estado**  
En qué momento usted o la cuenta asociada han realizado por última vez una acción que afectase a la relación entre sus cuentas.

**Detección de datos confidenciales automatizada**  
Si la detección de datos confidenciales automatizada está actualmente habilitada o deshabilitada para la cuenta.

Para ordenar la tabla por un campo específico, seleccione el encabezado de la columna del campo. Para cambiar el orden de clasificación, vuelva a seleccionar el encabezado de la columna. Para filtrar la tabla, coloque el cursor en el cuadro de filtro y, a continuación, añada una condición de filtro para un campo. Para refinar aún más los resultados, añada condiciones de filtro para campos adicionales.

------
#### [ API ]

Para revisar las cuentas de su organización mediante programación, utilice el [ListMembers](https://docs.aws.amazon.com/macie/latest/APIReference/members.html)funcionamiento de la API de Amazon Macie y especifique la región a la que se aplica su solicitud. Para revisar las cuentas en otras regiones, envíe su solicitud en cada región adicional.

Cuando envíe su solicitud, utilice el parámetro `onlyAssociated` para especificar qué cuentas incluir en la respuesta. De forma predeterminada, Macie solo devuelve los detalles de las cuentas que son cuentas de miembros de Macie en la región especificada mediante AWS Organizations una invitación de Macie o por invitación de Macie. Para recuperar estos detalles de todas las cuentas asociadas a su cuenta de Macie, incluidas las cuentas que no son cuentas de miembro, incluya el parámetro `onlyAssociated` en su solicitud y establezca el valor del parámetro en `false`.

Para revisar las cuentas de su organización mediante [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html), ejecute el comando [list-members](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/list-members.html). Para el parámetro `only-associated`, especifique si desea incluir todas las cuentas asociadas o solo las cuentas de los miembros de Macie. Para incluir solo las cuentas de los miembros, omita este parámetro o establezca el valor del parámetro en `true`. Para incluir todas las cuentas, defina este valor en `false`. Por ejemplo:

```
C:\> aws macie2 list-members --region us-east-1 --only-associated false
```

¿Cuál *us-east-1* es la región a la que se aplica la solicitud? La región EE.UU. Este (Virginia del Norte).

Si la solicitud se realiza correctamente, Macie devuelve una `members` matriz. La matriz contiene un objeto `member` para cada cuenta que cumpla los criterios especificados en la solicitud. En ese objeto, el campo `relationshipStatus` indica el estado actual de la relación entre su cuenta y la otra cuenta de la región especificada. Para una cuenta de una AWS Organizations organización, los valores posibles son:
+ `AccountSuspended`— Cuenta de AWS Está suspendido.
+ `Created`: Macie está procesando una solicitud para habilitar y añadir la cuenta como cuenta de miembro de Macie.
+ `Enabled`: la cuenta es una cuenta de miembro de Macie. Macie está habilitado para esta cuenta y usted es el administrador de la cuenta en Macie.
+ `Paused`: la cuenta es una cuenta de miembro de Macie, pero actualmente Macie tiene la cuenta suspendida (en pausa).
+ `RegionDisabled`— La cuenta forma parte de su organización AWS Organizations , pero la región actual está deshabilitada para la Cuenta de AWS.
+ `Removed`: la cuenta anteriormente era una cuenta de miembro de Macie, pero posteriormente se eliminó como cuenta de miembro. Has desvinculado la cuenta de tu cuenta de administrador de Macie. Macie sigue habilitada para la cuenta.

Para obtener información sobre otros campos del objeto `member`, consulte [Miembros](https://docs.aws.amazon.com/macie/latest/APIReference/members.html) en la *Referencia de API de Amazon Macie*.

------

# Administración de las cuentas de los miembros de Macie para una organización
<a name="accounts-mgmt-ao-administer"></a>

Una vez [integrada y configurada](accounts-mgmt-ao-integrate.md) una AWS Organizations organización en Amazon Macie, el administrador de Macie delegado de la organización puede acceder a determinados ajustes, datos y recursos de Macie para las cuentas de los miembros. Como administrador de Macie de una organización, puede usar Macie para realizar determinadas tareas de administración y administración de cuentas de forma centralizada. Por ejemplo, puede hacer lo siguiente:
+ Agregar y eliminar cuentas como cuentas de miembro de Macie.
+ Administre el estado de Macie para cuentas individuales, por ejemplo, habilite o suspenda Macie para una cuenta.
+ Supervisar las cuotas de Macie y los costos de uso estimados de las cuentas individuales y de la organización en general.

También puede consultar los datos de inventario de Amazon Simple Storage Service (Amazon S3) y los resultados de las políticas de las cuentas de los miembros de Macie. Además, puede encontrar datos confidenciales en los buckets de S3 que son propiedad de las cuentas. Para obtener una lista detallada de las tareas que puede realizar, consulte [Relaciones entre el administrador y la cuenta de miembro de Macie](accounts-mgmt-relationships.md). 

De forma predeterminada, Macie le ofrece visibilidad de los datos y recursos relevantes de todas las cuentas de miembros de Macie de su organización. También puede profundizar para revisar los datos y los recursos de las cuentas individuales. Por ejemplo, si [utiliza el panel Resumen](monitoring-s3-dashboard.md) para evaluar la postura de seguridad de Amazon S3 de su organización, puede filtrar los datos por cuenta. Del mismo modo, si [monitoriza los costos de uso estimados](account-mgmt-costs.md), puede acceder a los desgloses de los costos estimados de las cuentas de los miembros individuales.

Además de las tareas que son comunes a las cuentas de administrador y de miembros, puede realizar diversas tareas administrativas para su organización.

**Topics**
+ [Adición de cuentas de miembro](#accounts-mgmt-ao-members-add)
+ [Suspensión de Macie para cuentas de miembro](#accounts-mgmt-ao-members-suspend)
+ [Eliminación de cuentas de miembro](#accounts-mgmt-ao-members-remove)

Como administrador de Macie de una organización, puede realizar estas tareas mediante la consola de Amazon Macie o la API de Amazon Macie. Si prefieres usar la consola, debes poder realizar la siguiente AWS Organizations acción:. `organizations:ListAccounts` Esta acción le permite recuperar y mostrar información sobre cuentas que forman parte de su organización en AWS Organizations.

## Adición de cuentas de miembro de Macie a una organización
<a name="accounts-mgmt-ao-members-add"></a>

En algunos casos, es posible que tenga que agregar manualmente una cuenta como cuenta de miembro de Amazon Macie. Este es el caso de las cuentas que previamente eliminó (desasoció) como cuentas de miembro. Este también es el caso si no ha configurado Macie para que [habilite y agregue automáticamente nuevas cuentas de miembro](accounts-mgmt-ao-integrate.md#accounts-mgmt-ao-members-autoenable) cuando se agreguen cuentas a su organización en AWS Organizations.

Al agregar una cuenta como cuenta de miembro de Macie:
+ Macie está habilitado para la cuenta actual Región de AWS, si aún no lo está en la región.
+ La cuenta está asociada a su cuenta de administrador de Macie como cuenta de miembro en la región. La cuenta de miembro no recibe ninguna invitación ni ninguna otra notificación en la que se indique que usted ha establecido esta relación entre sus cuentas.
+ La detección de datos confidenciales automatizada podría estar habilitada para la cuenta en la región. Esto depende de los ajustes de configuración que haya especificado para la organización. Para obtener más información, consulte [Configuración de la detección de datos confidenciales automatizada](discovery-asdd-account-manage.md).

Tenga en cuenta que no puede añadir una cuenta que ya esté asociada a otra cuenta de administrador de Macie. La cuenta primero debe desasociarse de su cuenta de administrador actual. Además, no puedes añadir la cuenta de AWS Organizations administración como cuenta de miembro a menos que Macie ya esté habilitada para ella. Para obtener más información sobre los requisitos adicionales, consulte [Consideraciones sobre el uso de Macie con AWS Organizations](accounts-mgmt-ao-notes.md).

**Añadir una cuenta de miembro de Macie a una organización**  
Para añadir una o más cuentas de miembros de Macie a su organización, puede utilizar la consola de Amazon Macie o la API de Amazon Macie.

------
#### [ Console ]

Siga estos pasos para añadir una o más cuentas de miembro de Macie mediante la consola de Amazon Macie.

**Añadir una cuenta de miembro de Macie**

1. Abra la consola Amazon Macie en. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. Con el Región de AWS selector situado en la esquina superior derecha de la página, elija la región en la que desee añadir una cuenta de miembro.

1. En el panel de navegación, elija **Cuentas**. Se abre la página **Cuentas** y muestra una tabla con las cuentas asociadas a su cuenta.

1. (Opcional) Para identificar más fácilmente las cuentas que forman parte de su organización en AWS Organizations y no son cuentas de miembro de Macie, utilice el cuadro de filtro situado encima de la tabla **Cuentas existentes** para añadir las siguientes condiciones de filtrado:
   + **Tipo: Organization**
   + **Estado: No es miembro**

   Para mostrar también las cuentas que ha eliminado anteriormente y que tal vez desee añadir como cuentas de miembro, añada también la condición de filtro **Estado = Eliminado**.

1. En la tabla de **cuentas existentes**, selecciona la casilla de verificación de cada cuenta que quieras añadir como cuenta de miembro.

1. En el menú **Acciones**, elija **Añadir miembro**.

1. Confirme que desea añadir como cuentas de miembro el número de cuentas seleccionadas.

Tras confirmar las selecciones, el estado de las cuentas seleccionadas cambia a **Habilitación en proceso** y, a continuación, a **Activado** en el inventario de cuentas.

Para añadir una cuenta de miembro en otras regiones, repita los pasos anteriores en cada región adicional.

------
#### [ API ]

Para añadir una o más cuentas de miembros de Macie mediante programación, utilice la [CreateMember](https://docs.aws.amazon.com/macie/latest/APIReference/members.html)operación de la API de Amazon Macie.

Cuando envíe su solicitud, utilice los parámetros admitidos para especificar el ID de cuenta de 12 dígitos y la dirección de correo electrónico de cada una de ellas Cuenta de AWS que desee añadir. Especifica también la región a la que se aplica la solicitud. Para añadir una cuenta en regiones adicionales, envíe su solicitud en cada región adicional.

Para recuperar el ID de cuenta y la dirección de correo electrónico de la cuenta que desee añadir, puede correlacionar el resultado de la [ListAccounts](https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListAccounts.html)operación de la AWS Organizations API y el [ListMembers](https://docs.aws.amazon.com/macie/latest/APIReference/members.html)funcionamiento de la API de Amazon Macie. Para la operación **ListMembers** de la API de Macie, incluya el parámetro `onlyAssociated` en su solicitud y defina el valor del parámetro en `false`. Si la operación se realiza correctamente, Macie devuelve una matriz `members` que proporciona detalles sobre todas las cuentas asociadas a su cuenta de administrador de Macie en la región especificada, incluidas las cuentas que actualmente no son cuentas de miembros. En la matriz, anote lo siguiente:
+ Si el valor de la propiedad `relationshipStatus` de una cuenta no es `Enabled` o `Paused`, la cuenta está asociada a la suya, pero no es una cuenta de miembro de Macie.
+ Si una cuenta no está incluida en la matriz, pero sí en el resultado de la operación **ListAccounts** de la API de AWS Organizations , la cuenta forma parte de su organización en AWS Organizations , pero no está asociada a ella y, por lo tanto, no es una cuenta de miembro de Macie.

Para añadir una cuenta de miembro mediante AWS Command Line Interface (AWS CLI), ejecute el comando [create-member](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/create-member.html). Utilice el parámetro `region` para especificar la región en la que se va a añadir la cuenta. Utilice los parámetros `account` para especificar el ID de cuenta y la dirección de correo electrónico de cada cuenta que desee añadir. Por ejemplo:

```
C:\> aws macie2 create-member --region us-east-1 --account={\"accountId\":\"123456789012\",\"email\":\"janedoe@example.com\"}
```

Dónde *us-east-1* está la región en la que se va a añadir la cuenta como cuenta de miembro (la región EE.UU. Este (Virginia del Norte)) y `account` los parámetros especifican el identificador de la cuenta (*123456789012*) y la dirección de correo electrónico (*janedoe@example.com*) de la cuenta.

Si la solicitud se aprueba, el estado (`relationshipStatus`) de la cuenta especificada cambia a `Enabled` en el inventario de su cuenta.

------

## Suspensión de Macie para las cuentas de los miembros de una organización
<a name="accounts-mgmt-ao-members-suspend"></a>

Como administrador de Amazon Macie de una organización en AWS Organizations, puedes suspender a Macie para una cuenta de miembro de tu organización. Si lo hace, también podrá volver a habilitar Macie para la cuenta más adelante.

Cuando se suspende Macie de una cuenta de miembro:
+ Macie pierde el acceso y deja de proporcionar metadatos sobre los datos Amazon S3 de la cuenta en el actual Región de AWS.
+ Macie deja de realizar todas las actividades para la cuenta en la región. Esto incluye la supervisión de los buckets de S3 para garantizar la seguridad y el control de acceso, la detección automática de datos confidenciales y la ejecución de las tareas de detección de datos confidenciales que se estén realizando actualmente.
+ Macie cancela todos los trabajos de detección de datos confidenciales creados por la cuenta en la región. Un trabajo no se puede reanudar ni reiniciar después de cancelarse. Si ha creado trabajos para analizar los datos que son propiedad de la cuenta de miembro, Macie no los cancela. En su lugar, los trabajos omiten los recursos que son propiedad de la cuenta.

Mientras esté suspendida, Macie conserva el identificador de sesión, la configuración y los recursos que almacena o mantiene para la cuenta en la región correspondiente. Macie también conserva determinados datos de la cuenta en la región. Por ejemplo, los resultados de la cuenta permanecen intactos y no se ven afectados durante un máximo de 90 días. Si se habilitó la detección automática de datos confidenciales para la cuenta, los resultados existentes también permanecerán intactos y no se verán afectados durante un máximo de 30 días. Su organización no incurre en cargos de Macie por la cuenta de esa región mientras Macie esté suspendida por la cuenta de la región.

**Suspender Macie para una cuenta de miembro de una organización**  
Para suspender a Macie de una cuenta de miembro de una organización, puede usar la consola de Amazon Macie o la API de Amazon Macie.

------
#### [ Console ]

Siga estos pasos para suspender Macie de una cuenta de miembro mediante la consola de Amazon Macie.

**Para suspender Macie de una cuenta de miembro**

1. Abra la consola Amazon Macie en. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. Con el Región de AWS selector situado en la esquina superior derecha de la página, elija la región en la que desee suspender a Macie para una cuenta de miembro.

1. En el panel de navegación, elija **Cuentas**. Se abre la página **Cuentas** y muestra una tabla con las cuentas asociadas a su cuenta.

1. En la tabla de **cuentas existentes**, selecciona la casilla de verificación de la cuenta por la que deseas suspender a Macie.

1. En el menú **Acciones**, seleccione **Suspender Macie**.

1. Confirme que desea suspender Macie de la cuenta.

Tras confirmar la suspensión, el estado de la cuenta cambiará a **En pausa (suspendido)** en el inventario de la cuenta. Para suspender la cuenta de Macie en otras regiones, repita los pasos anteriores en cada región adicional.

Para volver a activar Macie en la cuenta más adelante, vuelve a la página de **cuentas** de la consola. **Selecciona la casilla de verificación de la cuenta y, a continuación, selecciona **Activar Macie en el menú Acciones.**** Para volver a habilitar Macie para la cuenta en otras regiones, repite estos pasos en cada región adicional.

------
#### [ API ]

Para suspender a Macie de una cuenta de miembro mediante programación, utilice la API de [UpdateMemberSession](https://docs.aws.amazon.com/macie/latest/APIReference/macie-members-id.html)Amazon Macie. También puede utilizar esta operación para volver a habilitar Macie en la cuenta más adelante.

Cuando envíes tu solicitud, usa el `id` parámetro para especificar el ID de cuenta de 12 dígitos de la cuenta por la Cuenta de AWS que deseas suspender a Macie. En el parámetro `status`, especifique `PAUSED`. Especifica también la región a la que se aplica la solicitud. Para suspender la cuenta de Macie en otras regiones, envía tu solicitud en cada región adicional.

Para recuperar el identificador de la cuenta, puede utilizar el [ListMembers](https://docs.aws.amazon.com/macie/latest/APIReference/members.html)funcionamiento de la API de Amazon Macie. Si lo hace, considere filtrar los resultados incluyendo el parámetro `onlyAssociated` en su solicitud. Si establece el valor de este parámetro en `true`, Macie devolverá una matriz `members` que proporciona detalles únicamente sobre las cuentas que actualmente son cuentas de miembros. 

Para suspender a Macie de una cuenta de miembro mediante el comando AWS CLI, ejecute el [update-member-session](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/update-member-session.html)comando. Utilice el `region` parámetro para especificar la región en la que desea suspender a Macie para la cuenta. Utilice el `id` parámetro para especificar el identificador de la cuenta. En el parámetro `status`, especifique `PAUSED`. Por ejemplo:

```
C:\> aws macie2 update-member-session --region us-east-1 --id 123456789012 --status PAUSED
```

Dónde *us-east-1* está la región en la que se va a suspender a Macie (la región EE.UU. Este (Virginia del Norte)), *123456789012* es el identificador de la cuenta por la que se va a suspender a Macie y `PAUSED` es el nuevo estado de Macie para la cuenta.

Si su solicitud se aprueba, Macie devuelve una respuesta vacía y el estado de la cuenta especificada cambia a `Paused` en el inventario de cuentas. Para volver a activar Macie en la cuenta más adelante, ejecute de nuevo el **update-member-session** comando y especifique el parámetro. `ENABLED` `status`

------

## Eliminación de cuentas de miembro de Macie de una organización
<a name="accounts-mgmt-ao-members-remove"></a>

Si quiere dejar de acceder a la configuración, los datos y los recursos de Amazon Macie para una cuenta de miembro, puede eliminar la cuenta como cuenta de miembro de Macie. Puede hacerlo desvinculando la cuenta de su cuenta de administrador de Macie. Tenga en cuenta que solo usted puede hacer esto con una cuenta de miembro. La cuenta de un AWS Organizations miembro no se puede desvincular de su cuenta de administrador de Macie.

Al eliminar una cuenta de miembro de Macie, Macie permanece habilitada para la cuenta actual Región de AWS. Sin embargo, la cuenta se disocia de su cuenta de administrador de Macie y pasa a ser una cuenta de Macie independiente. Esto significa que perderá el acceso a todos los ajustes, datos y recursos de Macie de la cuenta, incluidos los metadatos y las conclusiones de las políticas de los datos de Amazon S3 de la cuenta. Esto también significa que ya no puede usar Macie para detectar datos confidenciales en los buckets de S3 que son propiedad de la cuenta. Si ya ha creado tareas de detección de datos confidenciales para ello, estas tareas omiten los buckets que sean propiedad de la cuenta. Si ha habilitado la detección de datos confidenciales automatizada para la cuenta, tanto usted como la cuenta de miembro perderán el acceso a los datos estadísticos, a los datos de inventario y a cualquier otra información que haya producido y proporcionado directamente Macie mientras realizaba la detección automatizada para la cuenta.

Tras eliminar una cuenta de miembro de Macie, la cuenta seguirá apareciendo en el inventario de cuentas. Macie no notifica al propietario de la cuenta que la ha eliminado. Por lo tanto, considere ponerse en contacto con el propietario de la cuenta para asegurarse de que comience a administrar la configuración y los recursos de su cuenta.

Puede volver a agregar la cuenta a la organización en un momento posterior. Si lo haces y vuelves a activar la detección automática de datos confidenciales de la cuenta en un plazo de 30 días, también recuperarás el acceso a los datos y la información que Macie recopiló anteriormente y proporcionó directamente al realizar la detección automática de la cuenta. Además, las sucesivas ejecuciones de sus trabajos actuales comenzarán a incluir de nuevo los buckets S3 de la cuenta.

**Eliminación de una cuenta de miembro de una organización**  
Para eliminar una cuenta de miembro de Macie de su organización, puede utilizar la consola de Amazon Macie o la API de Amazon Macie.

------
#### [ Console ]

Siga estos pasos para eliminar una cuenta de miembro de Macie mediante la consola de Amazon Macie.

**Eliminar una cuenta de miembro de Macie**

1. Abra la consola Amazon Macie en. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. Con el Región de AWS selector situado en la esquina superior derecha de la página, elija la región en la que desee eliminar la cuenta de un miembro.

1. En el panel de navegación, elija **Cuentas**. Se abre la página **Cuentas** y muestra una tabla con las cuentas asociadas a su cuenta.

1. En la tabla de **cuentas existentes**, selecciona la casilla de verificación de la cuenta que quieres eliminar como cuenta de miembro.

1. En el menú **Acciones**, seleccione **Desvincular cuenta**.

1. Confirme que desea eliminar la cuenta seleccionada como cuenta de miembro.

Tras confirmar su selección, el estado de la cuenta cambiará a **Eliminada (desvinculada)** en el inventario de su cuenta.

Para eliminar la cuenta de miembro en otras regiones, repita los pasos anteriores en cada región adicional.

------
#### [ API ]

Para eliminar una cuenta de miembro de Macie mediante programación, utilice el [DisassociateMember](https://docs.aws.amazon.com/macie/latest/APIReference/members-disassociate-id.html)funcionamiento de la API de Amazon Macie.

Cuando envíe su solicitud, utilice el `id` parámetro para especificar el Cuenta de AWS identificador de 12 dígitos que debe eliminar la cuenta de miembro. Especifica también la región a la que se aplica la solicitud. Para eliminar la cuenta en otras regiones, envíe la solicitud en cada región adicional.

Para recuperar el ID de la cuenta de miembro que va a eliminar, puede utilizar la [ListMembers](https://docs.aws.amazon.com/macie/latest/APIReference/members.html)operación de la API de Amazon Macie. Si lo hace, considere filtrar los resultados incluyendo el parámetro `onlyAssociated` en su solicitud. Si establece el valor de este parámetro en `true`, Macie devolverá una matriz `members` que proporciona detalles únicamente sobre las cuentas que actualmente son cuentas de miembros de Macie.

Para eliminar una cuenta de miembro de Macie mediante el comando AWS CLI[disassociate-member](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/disassociate-member.html). Utilice el parámetro `region` para especificar la región en la que se va a eliminar la cuenta. Utilice el parámetro `id` para especificar el ID de cuenta de la cuenta de miembro que se va a eliminar. Por ejemplo:

```
C:\> aws macie2 disassociate-member --region us-east-1 --id 123456789012
```

¿Dónde *us-east-1* está la región en la que se va a eliminar la cuenta (la región EE.UU. Este (Virginia del Norte)) y el identificador de la cuenta que *123456789012* se va a eliminar?

Si tu solicitud se aprueba, Macie devuelve una respuesta vacía y el estado de la cuenta especificada cambia al `Removed` de su inventario de cuentas.

------

# Cambio de la cuenta de administrador de Macie para una organización
<a name="accounts-mgmt-ao-admin-change"></a>

Una vez [integrada y configurada](accounts-mgmt-ao-integrate.md) una AWS Organizations organización en Amazon Macie, la cuenta de AWS Organizations administración puede designar una cuenta diferente como la cuenta de administrador delegado de Macie para la organización. A continuación, el nuevo administrador de Macie puede volver a configurar la organización en Macie.

Como usuario de la cuenta de AWS Organizations administración de una organización, compruebe que cumple los siguientes requisitos de permisos antes de designar otra cuenta de administrador de Macie para su organización:
+ Debe tener los [mismos permisos](accounts-mgmt-ao-integrate.md#accounts-mgmt-ao-admin-designate-permissions) que se necesitaron para designar inicialmente una cuenta de administrador de Macie para su organización. También debe poder realizar la siguiente AWS Organizations acción:`organizations:DeregisterDelegatedAdministrator`. Esta acción adicional le permite eliminar la designación actual.
+ Si su cuenta es actualmente una cuenta de miembro de Macie, el administrador actual de Macie debe eliminarla como cuenta de miembro de Macie. De lo contrario, no podrá acceder a las operaciones de Macie para designar una cuenta diferente de administrador. Tras designar una nueva cuenta de administrador, el nuevo administrador de Macie podrá volver a añadir su cuenta como cuenta de miembro de Macie.

Si su organización utiliza Macie en varias ocasiones Regiones de AWS, asegúrese también de cambiar la designación en cada región en la que su organización utilice Macie. La cuenta de administrador delegado de Macie debe ser la misma en todas esas regiones. Si administra varias organizaciones AWS Organizations, tenga en cuenta también que una cuenta solo puede ser la cuenta de administrador delegado de Macie para una organización a la vez. Para obtener más información sobre los requisitos adicionales, consulte [Consideraciones sobre el uso de Macie con AWS Organizations](accounts-mgmt-ao-notes.md).

**nota**  
Si designa una cuenta de administrador de Macie diferente para su organización, deshabilitará también el acceso a los datos estadísticos, de inventario y demás información existente que Macie produjo y proporcionó directamente al llevar a cabo la [detección de datos confidenciales automatizada](discovery-asdd.md) para las cuentas de la organización. El nuevo administrador de Macie no puede acceder a los datos existentes. Si cambia la designación y el nuevo administrador de Macie habilita la detección automatizada de las cuentas, Macie genera y mantiene datos nuevos cuando realiza la detección automatizada de las cuentas.

**Para cambiar la designación de una cuenta de administrador de Macie**  
Para designar una cuenta de administrador de Macie diferente para su organización, puede utilizar la consola Amazon Macie o una combinación de Amazon Macie y. AWS Organizations APIs Solo un usuario de la cuenta de AWS Organizations administración puede cambiar la designación de su organización.

------
#### [ Console ]

Siga estos pasos para cambiar la designación con la consola Amazon Macie.

**Para cambiar la designación**

1. Inicie sesión en el Consola de administración de AWS con su cuenta AWS Organizations de administración.

1. Con el Región de AWS selector situado en la esquina superior derecha de la página, elija la región en la que desee cambiar la designación.

1. Abra la consola Amazon Macie en. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. Lleve a cabo una de las siguientes acciones, en función de si Macie está habilitada para su cuenta de administración en la región actual:
   + Si Macie no está activado, seleccione **Comenzar** en la página de bienvenida.
   + Si Macie está activado, seleccione **Configuración** en el panel de navegación.

1. En **Administrador delegado**, seleccione **Eliminar**. Para cambiar la designación, primero debe eliminar la designación actual.

1. Confirme que desea eliminar la designación actual.

1. En **Administrador delegado**, introduzca el ID de cuenta de 12 dígitos para que la designe como la Cuenta de AWS nueva cuenta de administrador de Macie para la organización.

1. Elija **Delegar**.

Repita los pasos anteriores en cada región adicional en la que haya integrado Macie con AWS Organizations.

------
#### [ API ]

Para cambiar la designación mediante programación, debe utilizar dos operaciones de la API de Amazon Macie y una operación de la API. AWS Organizations Esto se debe a que debe eliminar la designación actual tanto en Macie como AWS Organizations antes de enviar la nueva designación.

Para eliminar la designación actual:

1. Utilice el [DisableOrganizationAdminAccount](https://docs.aws.amazon.com/macie/latest/APIReference/admin.html)funcionamiento de la API de Macie. Para el `adminAccountId` parámetro obligatorio, especifique el ID de cuenta de 12 dígitos de la Cuenta de AWS cuenta actualmente designada como cuenta de administrador de Macie para la organización.

1. Utilice el [DeregisterDelegatedAdministrator](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DeregisterDelegatedAdministrator.html)funcionamiento de la AWS Organizations API. Para el parámetro de `AccountId`, especifique el ID de cuenta de 12 dígitos para la cuenta que está actualmente designada como cuenta de administrador de Macie para la organización. Este valor debe coincidir con el ID de cuenta que especificó en la solicitud de Macie anterior. Para el parámetro de `ServicePrincipal`, especifique la entidad principal de servicio de Macie (`macie.amazonaws.com`).

Tras eliminar la designación actual, envíe la nueva designación mediante la [EnableOrganizationAdminAccount](https://docs.aws.amazon.com/macie/latest/APIReference/admin.html)operación de la API de Macie. Para el `adminAccountId` parámetro obligatorio, especifique el ID de cuenta de 12 dígitos que desee Cuenta de AWS designar como la nueva cuenta de administrador de Macie para la organización.

Para cambiar la designación mediante AWS Command Line Interface (AWS CLI), ejecute el [disable-organization-admin-account](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/disable-organization-admin-account.html)comando de la API de Macie y el [deregister-delegated-administrator](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/organizations/deregister-delegated-administrator.html)comando de la API. AWS Organizations Estos comandos eliminan la designación actual en Macie y AWS Organizations, respectivamente. Para los `account-id` parámetros `admin-account-id` y, especifique el ID de cuenta de 12 dígitos que desea Cuenta de AWS eliminar como cuenta de administrador actual de Macie. Utilice el parámetro `region` para especificar la región que desea eliminar. Por ejemplo:

```
C:\> aws macie2 disable-organization-admin-account --region us-east-1 --admin-account-id 111122223333 && aws organizations deregister-delegated-administrator --region us-east-1 --account-id 111122223333 --service-principal macie.amazonaws.com
```

Donde:
+ *us-east-1*es la región a la que se aplica la expulsión, la región EE.UU. Este (Virginia del Norte).
+ *111122223333*es el identificador de la cuenta que se va a eliminar como cuenta de administrador de Macie.
+ `macie.amazonaws.com` es la entidad principal de servicio de Macie.

Tras eliminar la designación actual, ejecute el [enable-organization-admin-account](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/enable-organization-admin-account.html)comando de la API de Macie para enviar la nueva designación. En el `admin-account-id` parámetro, especifique el identificador de cuenta de 12 dígitos que desee Cuenta de AWS designar como la nueva cuenta de administrador de Macie para la organización. Utilice el parámetro de `region` para especificar la región a la que se aplica la designación. Por ejemplo:

```
C:\> aws macie2 enable-organization-admin-account --region us-east-1 --admin-account-id 444455556666
```

Dónde *us-east-1* está la región a la que se aplica la designación (la región EE.UU. Este (Virginia del Norte)) y *444455556666* es el identificador de la cuenta que se va a designar como nueva cuenta de administrador de Macie.

------

# Desactivar la integración de Macie con AWS Organizations
<a name="accounts-mgmt-ao-disable"></a>

Una vez que una AWS Organizations organización se ha integrado con Amazon Macie, la cuenta AWS Organizations de administración puede deshabilitar posteriormente la integración. Como usuario de la cuenta de AWS Organizations administración, puede hacerlo deshabilitando el acceso de Macie a un servicio de confianza. AWS Organizations

Al deshabilitar el acceso a un servicio de confianza para Macie, ocurre lo siguiente:
+ Macie pierde su condición de servicio de confianza en. AWS Organizations
+ La cuenta de administrador Macie de la organización pierde el acceso a todos los ajustes, datos y recursos Macie de todas las cuentas de miembros Macie en todos los Regiones de AWS.
+ Todas las cuentas de los miembros de Macie se convierten en cuentas de Macie independientes. Si Macie tenía habilitada una cuenta de miembro en una o más Regiones, Macie seguirá teniendo habilitada la cuenta en esas Regiones. Sin embargo, la cuenta ya no está asociada a una cuenta de administrador de Macie en ninguna Región. Además, la cuenta perderá el acceso a los datos estadísticos, a los datos de inventario y a cualquier otra información que haya producido y proporcionado directamente Macie mientras realizaba la detección de datos confidenciales automatizada para la cuenta.

Para obtener información adicional sobre los resultados de la desactivación del acceso a un servicio de confianza, consulte [Uso AWS Organizations con otros Servicios de AWS](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html) en la Guía del *AWS Organizations usuario*. 

**Para deshabilitar el acceso de confianza para Macie**  
Para deshabilitar el acceso a servicios de confianza, puede utilizar la AWS Organizations consola o la AWS Organizations API. Solo un usuario de la cuenta de AWS Organizations administración puede deshabilitar el acceso de Macie a los servicios de confianza. Para obtener más información sobre los permisos que necesita, consulte [Permisos necesarios para deshabilitar el acceso de confianza](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html#orgs_trusted_access_disable_perms) en la *Guía del usuario de AWS Organizations *.

Antes de deshabilitar el acceso a los servicios de confianza, si lo desea, póngase en contacto con el administrador delegado de Macie de su organización para suspender o deshabilitar Macie para las cuentas de los miembros y limpiar los recursos de Macie para las cuentas.

------
#### [ Console ]

Para deshabilitar el acceso a servicios de confianza mediante la AWS Organizations consola, sigue estos pasos.

**Deshabilitación del acceso a servicios de confianza**

1. Inicie sesión Consola de administración de AWS con su cuenta AWS Organizations de administración.

1. Abre la AWS Organizations consola en [https://console.aws.amazon.com/organizations/](https://console.aws.amazon.com/organizations/).

1. En el panel de navegación, elija **Servicios**.

1. En **Servicios integrados**, elija **Amazon Macie**.

1. Seleccione **Deshabilitar el acceso de confianza**.

1. Confirme que desea deshabilitar el acceso de confianza.

------
#### [ API ]

Para deshabilitar el acceso a los servicios de confianza mediante programación, utilice la operación [Inhabilitar el AWSService acceso](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html) de la AWS Organizations API. Para el parámetro de `ServicePrincipal`, especifique la entidad principal de servicio de Macie (`macie.amazonaws.com`).

Para deshabilitar el acceso a los servicios de confianza mediante [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html), ejecuta el [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)comando de la AWS Organizations API. Para el parámetro de `service-principal`, especifique la entidad principal de servicio de Macie (`macie.amazonaws.com`). Por ejemplo:

```
C:\> aws organizations disable-aws-service-access --service-principal macie.amazonaws.com
```

------

# Administración de varias cuentas de Macie a través de invitaciones
<a name="accounts-mgmt-invitations"></a>

**nota**  
Recomendamos utilizar AWS Organizations en lugar de las invitaciones de Macie para gestionar las cuentas de los miembros. Para obtener más información, consulte [Administrar varias cuentas de Macie con AWS Organizations](accounts-mgmt-ao.md).

Puede gestionar de forma centralizada varias cuentas de Amazon Macie de dos maneras: integrando Macie AWS Organizations o utilizando invitaciones de membresía. Si utiliza invitaciones de membresía, un administrador designado de Macie puede administrar Macie para un máximo de 1000 cuentas. El administrador también puede acceder a los datos de inventario de Amazon Simple Storage Service (Amazon S3) y detectar datos confidenciales en los buckets de S3 que sean propiedad de las cuentas. Para obtener más información sobre las tareas que pueden realizar los administradores, consulte [Relaciones entre el administrador y la cuenta de miembro de Macie](accounts-mgmt-relationships.md).

En una organización basada en invitaciones, las cuentas de Macie se asocian entre sí enviando y aceptando invitaciones de membresía en Macie. Si envía una invitación y es aceptada por otra cuenta, se convierte en el administrador de Macie para la otra cuenta y la otra cuenta se convierte en una cuenta de miembro en su organización. Si recibe y acepta una invitación, su cuenta pasa a ser una cuenta de miembro y la cuenta de administrador de Macie puede acceder a determinados ajustes, datos y recursos de su cuenta.

Si crea una organización basada en invitaciones en Macie, posteriormente puede [ hacer la transición usando AWS Organizations](accounts-mgmt-invitations-notes.md#accounts-mgmt-invitations-notes-transition-ao) en su lugar. También puede utilizar ambos métodos al mismo tiempo para gestionar varias cuentas de Macie. Por ejemplo, si su AWS entorno incluye cuentas de prueba, puede excluirlas de su organización AWS Organizations y administrarlas por separado mediante invitación.

En los temas de esta sección se explica cómo crear una organización basada en invitaciones y participar en ella, y cómo realizar diversas tareas administrativas para la organización.

**Topics**
+ [Recomendaciones y consideraciones](accounts-mgmt-invitations-notes.md)
+ [Creating and managing an organization](accounts-mgmt-invitations-administer.md)
+ [Revisión de las cuentas de una organización](accounts-mgmt-invitations-review.md)
+ [Cambio de la cuenta de administrador](accounts-mgmt-invitations-admin-change.md)
+ [Administración de la membresía de su organización](accounts-mgmt-invitations-membership-manage.md)

# Consideraciones para las organizaciones basadas en invitaciones en Macie
<a name="accounts-mgmt-invitations-notes"></a>

**nota**  
Recomendamos utilizar AWS Organizations en lugar de las invitaciones de Macie para gestionar las cuentas de los miembros. Para obtener más información, consulte [Administrar varias cuentas de Macie con AWS Organizations](accounts-mgmt-ao.md).

Antes de crear o comenzar a administrar una organización basada en invitaciones en Amazon Macie, tenga en cuenta los siguientes requisitos y recomendaciones. Asegúrese también de que entiende la [relación entre las cuentas de administrador y de miembro de Macie](accounts-mgmt-relationships.md).

**Topics**
+ [Elección de una cuenta de administrador de Macie](#accounts-mgmt-invitations-notes-admin-designate)
+ [Envío de invitaciones y administración de las cuentas de miembro de Macie](#accounts-mgmt-invitations-notes-members-manage)
+ [Respuesta y administración de invitaciones de membresía](#accounts-mgmt-invitations-notes-invitations-manage)
+ [¿Está haciendo la transición a AWS Organizations](#accounts-mgmt-invitations-notes-transition-ao)

## Elección de una cuenta de administrador de Macie
<a name="accounts-mgmt-invitations-notes-admin-designate"></a>

Al determinar qué cuenta debe ser la cuenta de administrador de Macie para la organización, tenga en cuenta lo siguiente:
+ Una organización solo puede tener una cuenta de administrador de Macie.
+ Una cuenta no puede ser cuenta de administrador de Macie y cuenta de miembro al mismo tiempo.
+ Macie es un servicio regional. Esto significa que la asociación entre una cuenta de administrador de Macie y una cuenta de miembro es regional; la asociación solo existe cuando la invitación Región de AWS se envía y se acepta. Por ejemplo, si el administrador de Macie envía invitaciones a la región Este de EE. UU. (Norte de Virginia) y esas invitaciones son aceptadas, el administrador de Macie solo podrá administrar las cuentas de los miembros en esa región.
+ Para gestionar de forma centralizada varias cuentas de Macie Regiones de AWS, el administrador de Macie debe iniciar sesión en cada región en la que la organización utilice Macie actualmente o tenga previsto utilizarla, y enviar invitaciones a las cuentas correspondientes de cada una de esas regiones. Para obtener una lista de todas las regiones en las que Macie se encuentra actualmente disponible, consulte [Puntos de conexión y cuotas de Amazon Macie](https://docs.aws.amazon.com/general/latest/gr/macie.html) en la *Referencia general de AWS*.
+ Una cuenta de miembro solo se puede asociar a una cuenta de administrador de Macie a la vez. Si su organización utiliza Macie en varias regiones, significa que la cuenta de administrador de Macie debe ser la misma en todas esas regiones. Sin embargo, las cuentas de administrador y de miembro deben enviar y aceptar las invitaciones por separado en cada región.

Si Cuenta de AWS se suspende, aísla o cierra la cuenta del administrador de Macie, todas las cuentas de miembros asociadas se eliminan automáticamente como cuentas de miembros, pero Macie seguirá habilitada para las cuentas. Las cuentas se convierten en cuentas de Macie independientes. Si se había habilitado la [detección de datos confidenciales automatizada](discovery-asdd.md) en una cuenta de miembro, se deshabilitará en la cuenta. Esto deshabilita también el acceso a los datos estadísticos, a los datos de inventario y a cualquier otra información que haya producido y proporcionado directamente Macie mientras realizaba la detección automatizada para la cuenta. Transcurridos 30 días, estos datos caducan y Macie los borra permanentemente. Para restablecer el acceso a los datos antes de que caduquen, restaure la Cuenta de AWS del administrador de Macie y, a continuación, utilice esa cuenta para volver a crear y configurar la organización.

## Envío de invitaciones y administración de las cuentas de miembro de Macie
<a name="accounts-mgmt-invitations-notes-members-manage"></a>

Como administrador de Macie de una organización basada en invitaciones, tenga en cuenta lo siguiente al enviar invitaciones y administrar las cuentas de la organización:
+ Si envías una invitación, es posible que los datos relacionados se transfieran entre sí. Regiones de AWS Esto se debe a que Macie verifica la dirección de correo electrónico de la cuenta receptora mediante un servicio de verificación de correo electrónico que opera únicamente en la región Este de EE. UU. (Norte de Virginia).
+ Puedes enviar una invitación a cualquier cuenta activa Cuenta de AWS, incluidas las cuentas que no hayan activado Macie. Para aceptar o rechazar una invitación, debe activarse Macie en la región desde la que se envió la invitación.
+ En cada una de ellas Región de AWS, una cuenta de administrador de Macie puede asociarse a un máximo de 1000 cuentas por invitación. Esto incluye las cuentas que aún no hayan respondido a las invitaciones. Si una cuenta alcanza este límite, no podrá añadir ni invitar a más cuentas. Para determinar cuántas cuentas están asociadas actualmente a su cuenta, puede utilizar la página **Cuentas** de la consola de Amazon Macie o el [ListMembers](https://docs.aws.amazon.com/macie/latest/APIReference/members.html)funcionamiento de la API de Amazon Macie. Para obtener más información, consulte [Revisión de las cuentas de Macie para una organización basada en invitaciones](accounts-mgmt-invitations-review.md).

  Para reducir el número de cuentas asociadas, puede: eliminar asociaciones con cuentas que actualmente no sean cuentas de miembro, eliminar el número necesario de cuentas de miembro o una combinación de ambas medidas. Si una cuenta se retira de su organización o rechaza una invitación que le haya enviado, también se reduce el número de cuentas asociadas a la cuenta.
+ Las cuentas solo se pueden asociar a una cuenta de administrador de Macie a la vez. Esto significa que una cuenta no puede aceptar una invitación si ya está asociada a otra cuenta de administrador de Macie. La cuenta primero debe desasociarse de su cuenta de administrador de Macie actual.
+ En una organización basada en invitaciones, la cuenta de un miembro puede desvincularse de su cuenta de administrador de Macie en cualquier momento. Si esto ocurre, Macie seguirá habilitada para la cuenta, pero la cuenta pasará a ser una cuenta de Macie independiente. Macie no le notifica si la cuenta de un miembro se desvincula de su cuenta de administrador. Sin embargo, la cuenta seguirá apareciendo en su inventario de cuentas y tendrá el estado de **Miembro que ha renunciado**.
+ Si elimina la cuenta de un miembro de su organización, Macie seguirá habilitado en la cuenta. La cuenta se convierte en una cuenta de Macie independiente.

## Respuesta y administración de invitaciones de membresía
<a name="accounts-mgmt-invitations-notes-invitations-manage"></a>

Como destinatario de una invitación o miembro de una organización basada en invitaciones, tenga en cuenta lo siguiente al responder y administrar las invitaciones que reciba:
+ Antes de aceptar una invitación, asegúrese de [entender la relación entre las cuentas de administrador y de miembro de Macie](accounts-mgmt-relationships.md).
+ Las cuentas solo se pueden asociar a una cuenta de administrador de Macie a la vez. Si acepta una invitación y, posteriormente, desea unirse a otra organización (mediante invitación o a través de ella AWS Organizations), primero debe desvincular su cuenta de su cuenta de administrador actual de Macie. A continuación, podrá unirse a la otra organización.
+ Para aceptar o rechazar una invitación, debes habilitar a Macie en Región de AWS desde donde se envió la invitación. La cuenta que envió la invitación no puede habilitar Macie en esa región para usted. Rechazar una invitación es opcional. Si rechaza una invitación puede, si lo desea, inhabilitar a Macie en la región correspondiente después de rechazarla.
+ Si es administrador de Macie, no puede aceptar una invitación para convertirse en una cuenta de miembro: una cuenta no puede ser de administrador de Macie y de miembro al mismo tiempo. Para convertirse en una cuenta de miembro, primero debe desvincular su cuenta de todas sus cuentas de miembro eliminando todas las cuentas de miembro de su organización actual.
+ Macie es un servicio regional. Si acepta una invitación, la asociación entre su cuenta y la cuenta de administrador de Macie es regional; la asociación solo existe en el lugar desde el que se envió y en el Región de AWS que se aceptó la invitación.
+ Si utiliza Macie en varias regiones, la cuenta de administrador de Macie de su cuenta debe ser la misma en todas esas regiones. Sin embargo, el administrador de Macie debe enviarle las invitaciones por separado en cada región y usted debe aceptarlas por separado en cada región.
+ Puede desvincular su cuenta de una cuenta de administrador de Macie en cualquier momento. Del mismo modo, su administrador de Macie puede eliminar su cuenta de su organización en cualquier momento. Si ocurre alguna de estas cosas:
  + Macie sigue habilitado para la cuenta. La cuenta se convierte en una cuenta de Macie independiente.
  + La detección de datos confidenciales automatizada se deshabilita para la cuenta, si es que estaba habilitada. Esto deshabilita también el acceso a los datos estadísticos existentes, a los datos de inventario y a cualquier otra información que haya producido y proporcionado directamente Macie mientras realizaba la detección automatizada para la cuenta. Puede volver a habilitar la detección automatizada para su cuenta. Sin embargo, esto no restaura el acceso a los datos existentes. En su lugar, Macie genera y mantiene nuevos datos mientras realiza una detección automatizada para su cuenta.

## ¿Está haciendo la transición a AWS Organizations
<a name="accounts-mgmt-invitations-notes-transition-ao"></a>

Después de crear una organización basada en invitaciones en Macie, puede pasar a utilizarla en su lugar. AWS Organizations Para simplificar la transición, le recomendamos que designe la cuenta de administrador existente, basada en invitaciones, como cuenta de administrador de Macie de la organización en la que se encuentra. AWS Organizations

Si lo hace, todas las cuentas de miembros actualmente asociadas seguirán siendo miembros. Si la cuenta de un miembro forma parte de la organización AWS Organizations, la asociación de la cuenta cambia automáticamente de **Por invitación** a **Via AWS Organizations** in Macie. Si la cuenta de un miembro no forma parte de la organización AWS Organizations, la asociación de la cuenta seguirá siendo **Por invitación**. En ambos casos, las cuentas seguirán asociadas a la cuenta de administrador de Macie como cuentas de miembros. En el caso de la detección de datos confidenciales, esto también significa que las cuentas pueden seguir accediendo a los datos estadísticos y de otro tipo que Macie ha generado y proporcionado directamente, al tiempo que realiza la detección automática de los datos confidenciales de las cuentas. Además, si el administrador de Macie configuró tareas de detección de datos confidenciales para analizar los datos de las cuentas, las tareas posteriores seguirán incluyendo los recursos que son propiedad de las cuentas.

Recomendamos este enfoque porque una cuenta de miembro solo se puede asociar a una cuenta de administrador de Macie a la vez. Si designa una cuenta diferente como cuenta de administrador de Macie para una organización AWS Organizations, el administrador designado no podrá gestionar las cuentas que ya estén asociadas a otra cuenta de administrador de Macie por invitación. Cada cuenta de miembro debe desvincularse primero de su cuenta de administrador actual, basada en una invitación. Solo entonces el administrador de Macie de la AWS Organizations organización podrá añadir la cuenta de miembro a su organización y empezar a gestionar Macie para la cuenta.

Tras integrar Macie AWS Organizations y configurar su organización en Macie, si lo desea, puede designar otra cuenta de administrador de Macie para la organización. También puede seguir utilizando las invitaciones para asociar y administrar cuentas de miembro que no formen parte de su organización en AWS Organizations.

Para obtener información sobre la integración de Macie con, consulte. AWS Organizations[Administrar varias cuentas de Macie con AWS Organizations](accounts-mgmt-ao.md)

# Creación y administración de una organización basada en invitación en Macie
<a name="accounts-mgmt-invitations-administer"></a>

**nota**  
Recomendamos utilizar AWS Organizations en lugar de las invitaciones de Macie para gestionar las cuentas de los miembros. Para obtener más información, consulte [Administrar varias cuentas de Macie con AWS Organizations](accounts-mgmt-ao.md).

Para crear una organización basada en invitaciones en Amazon Macie, comience por determinar qué cuenta desea que sea la cuenta de administrador de Macie para la organización. A continuación, usa esa cuenta para añadir cuentas de miembros: envía invitaciones de membresía a otras Cuentas de AWS, invitando a las cuentas a unirse a la organización como cuentas de miembros de Macie en la actualidad. Región de AWS Para crear la organización en varias regiones, envíe invitaciones de membresía desde cada región en la que las otras cuentas usen Macie actualmente o tengan planes de utilizarlo.

Cuando una cuenta acepta una invitación, pasa a ser una cuenta de miembro de Macie asociada a la cuenta de administrador de Macie en la región correspondiente. La cuenta de administrador de Macie puede acceder a determinados ajustes, datos y recursos de Macie para la cuenta de miembro en esa región. 

Como administrador de Macie para una organización basada en invitaciones, puede revisar los datos de inventario de Amazon Simple Storage Service (Amazon S3) y los resultados de políticas de cuentas de miembro. También puede habilitar la detección de datos confidenciales automatizada y ejecutar trabajos de detección de datos confidenciales para encontrar dichos datos en los buckets de S3 propiedad de las cuentas de miembro. Para obtener una lista detallada de las tareas que puede realizar, consulte [Relaciones entre el administrador y la cuenta de miembro de Macie](accounts-mgmt-relationships.md).

De forma predeterminada, Macie le brinda visibilidad de los datos y recursos relevantes para su organización en general. También puede desglosar la información para revisar los datos y recursos de las cuentas individuales de su organización. Por ejemplo, si [utiliza el panel Resumen](monitoring-s3-dashboard.md) para evaluar la postura de seguridad de Amazon S3 de su organización, puede filtrar los datos por cuenta. Del mismo modo, si [monitoriza los costos de uso estimados](account-mgmt-costs.md), puede acceder a los desgloses de los costos estimados de las cuentas de los miembros individuales.

Además de las tareas que son comunes a las cuentas de administrador y de miembros, puede realizar de forma centralizada diversas tareas administrativas para su organización. Antes de realizar estas tareas, es recomendable revisar las [consideraciones y recomendaciones](accounts-mgmt-invitations-notes.md) para gestionar las organizaciones basadas en invitaciones en Macie.

**Topics**
+ [Adición de cuentas de miembro](#accounts-mgmt-invitations-members-add)
+ [Suspensión de Macie para cuentas de miembro](#accounts-mgmt-invitations-members-suspend)
+ [Eliminación de cuentas de miembro](#accounts-mgmt-invitations-members-remove)
+ [Eliminar asociaciones con otras cuentas](#accounts-mgmt-invitations-members-disassociate)

## Adición de cuentas de miembro de Macie a una organización basada en invitaciones
<a name="accounts-mgmt-invitations-members-add"></a>

Como administrador de Amazon Macie de una organización basada en invitaciones, puede añadir cuentas de miembro a su organización siguiendo dos pasos principales:

1. Añadir las cuentas a su inventario de cuentas en Macie. Esto asocia las cuentas a su cuenta.

1. Envíar las invitaciones de membresía a las cuentas

Una vez que la cuenta acepta una invitación, pasa a ser una cuenta miembro de la organización.

### Paso 1: Agregue las cuentas
<a name="accounts-mgmt-invitations-members-add-associate"></a>

Para añadir una o más cuentas al inventario de cuentas, puede utilizar la consola de Amazon Macie o la API de Amazon Macie.

------
#### [ Console ]

Con la consola Amazon Macie, puede añadir una cuenta a la vez o añadir varias cuentas al mismo tiempo cargando un archivo de valores separados por comas (CSV). Siga estos pasos para agregar una o más cuentas con la consola.

**Para añadir una cuenta**

1. Abra la consola Amazon Macie en. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. Con el Región de AWS selector situado en la esquina superior derecha de la página, elija la región en la que desee añadir una cuenta.

1. En el panel de navegación, elija **Cuentas**. Se abre la página **Cuentas** y muestra una tabla con las cuentas asociadas actualmente a su cuenta.

1. Elija **Agregar cuentas**.

1. En la sección **Escribir los detalles de la cuenta**, seleccione la pestaña **Añadir cuenta**. A continuación, proceda del modo siguiente:
   + En el **campo ID de cuenta**, introduce el ID de cuenta de 12 dígitos que deseas añadir. Cuenta de AWS 
   + En el **caso de la dirección** de correo electrónico, introduce la dirección de correo electrónico Cuenta de AWS que deseas añadir.

1. Elija **Añadir**.

1. En la parte inferior de la página, elija **Siguiente**.

Macie añade las cuentas a su inventario de cuentas. El tipo de cuenta es **Por invitación** y su estado es **Creada**. Para añadir la cuenta en regiones adicionales, repita los pasos anteriores en cada región adicional.

**Para añadir varias cuentas**

1. Con un editor de texto, cree un archivo CSV de la siguiente manera:

   1. Añada el siguiente encabezado como primera línea del archivo: `Account ID,Email`

   1. Para cada cuenta, cree una línea nueva que contenga el ID de cuenta de 12 dígitos que desee Cuenta de AWS añadir y la dirección de correo electrónico de la cuenta. Separe las entradas con una coma, por ejemplo: `111111111111,janedoe@example.com`

      La dirección de correo electrónico debe coincidir con la dirección de correo electrónico asociada a Cuenta de AWS.

   1. Compruebe que el contenido del archivo tenga el formato que se muestra en el siguiente ejemplo, que contiene el encabezado y la información necesarios para tres cuentas:

      ```
      Account ID,Email
      111111111111,janedoe@example.com
      222222222222,jorgesouza@example.com
      333333333333,lijuan@example.com
      ```

   1. Guarde el archivo en su ordenador.

1. Abra la consola Amazon Macie en. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. Con el Región de AWS selector situado en la esquina superior derecha de la página, elija la región en la que desee añadir las cuentas.

1. En el panel de navegación, elija **Cuentas**. Se abre la página **Cuentas** y muestra una tabla con las cuentas asociadas actualmente a su cuenta.

1. Elija **Agregar cuentas**.

1. En la sección **Escribir los detalles de la cuenta**, seleccione la pestaña **Cargar lista (CSV)**.

1. Elija **Examinar** y, a continuación, seleccione el archivo CSV que ha creado en el paso 1.

1. Elija **Agregar cuentas**.

1. En la parte inferior de la página, elija **Siguiente**.

Macie añade las cuentas a su inventario de cuentas. Su tipo es **Por invitación** y su estado es **Creado**. Para añadir las cuentas en regiones adicionales, repita los pasos 3 a 8 en cada región adicional.

------
#### [ API ]

Para añadir una o más cuentas mediante programación, utilice la [CreateMember](https://docs.aws.amazon.com/macie/latest/APIReference/members.html)operación de la API Amazon Macie. Cuando envíe su solicitud, utilice los parámetros admitidos para especificar el ID de cuenta de 12 dígitos y la dirección de correo electrónico que desee añadir cada uno. Cuenta de AWS Especifica también la región a la que se aplica la solicitud. Para añadir cuentas existentes en regiones adicionales, envíe la solicitud para cada región adicional.

Para añadir cuentas mediante AWS Command Line Interface (AWS CLI), ejecuta el comando [create-member](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/create-member.html). Utilice el parámetro `region` para especificar la región en la que desea añadir las cuentas. Utilice los `account` parámetros para especificar el ID de cuenta y la dirección de correo electrónico de cada una de ellas Cuenta de AWS . Por ejemplo:

```
C:\> aws macie2 create-member --region us-east-1 --account={\"accountId\":\"111111111111\",\"email\":\"janedoe@example.com\"}
```

Dónde *us-east-1* está la región en la que se va a añadir la cuenta (la región EE.UU. Este (Virginia del Norte)) y `account` los parámetros especifican el identificador de la cuenta (*111111111111*) y la dirección de correo electrónico (*janedoe@example.com*) de la cuenta que se va a añadir.

Si su solicitud es correcta, Macie añadirá cada cuenta a su inventario de cuentas cuyo estado sea de `Created` y recibirá un resultado similar al siguiente:

```
{
    "arn": "arn:aws:macie2:us-east-1:123456789012:member/111111111111"
}
```

Dónde `arn` es el nombre de recurso de Amazon (ARN) del recurso que se creó para la asociación entre su cuenta y la cuenta que ha agregado. En este ejemplo, `123456789012` es el ID de cuenta de la cuenta que creó la asociación y `111111111111` es el ID de la cuenta que se agregó.

------

### Paso 2: Envíe las invitaciones de membresía a las cuentas
<a name="accounts-mgmt-invitations-members-add-invite"></a>

Tras añadir una cuenta al inventario de cuentas, puede invitar a esa cuenta a unirse a su organización como cuenta de miembro de Macie. Para ello, envíe una invitación de membresía a la cuenta. Cuando envía una invitación, en la consola de Amazon Macie aparecen una insignia de **Cuentas** y una notificación para la cuenta del destinatario, si Macie está habilitada para la cuenta. Macie también crea un AWS Health evento para la cuenta.

En función de si utiliza la consola o la API de Amazon Macie para enviar la invitación, Macie también la envía a la dirección de correo electrónico que especificó para la cuenta del destinatario al agregar la cuenta. El mensaje de correo electrónico indica que quiere convertirse en el administrador de Macie para su cuenta e incluye su ID de cuenta de su Cuenta de AWS y el Cuenta de AWS del destinatario. El mensaje también explica cómo acceder a la invitación. Si lo desea, puede añadir texto personalizado al mensaje.

Para responder a una invitación de membresía, puede utilizar la consola de Amazon Macie o la API de Amazon Macie.

------
#### [ Console ]

Siga estos pasos para responder a una invitación de membresía mediante la consola Amazon Macie.

**Para enviar una invitación de membresía**

1. Abra la consola Amazon Macie en. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. Con el Región de AWS selector situado en la esquina superior derecha de la página, elija la región a la que desea enviar la invitación.

1. En el panel de navegación, elija **Cuentas**. Se abre la página **Cuentas** y muestra una tabla con las cuentas asociadas actualmente a su cuenta.

1. En la tabla **Cuentas existentes**, selecciona la casilla de verificación de cada cuenta a la que quieras enviar la invitación.
**sugerencia**  
Para identificar más fácilmente las cuentas que ha añadido y a las que aún no ha enviado invitaciones, puede filtrar la tabla. Para ello, coloque el cursor en el cuadro de filtro situado encima de la tabla y, a continuación, seleccione **Estado**. A continuación, elija **Estado = Creado**.

1. En el menú **Acciones**, elija **Invitar**.

1. (Opcional) En el cuadro **Mensaje**, ingrese el texto personalizado que desee incluir en el mensaje de correo electrónico que contiene la invitación. El texto puede contener hasta 80 caracteres alfanuméricos.

1. Elija **Invitar**.

Para enviar la invitación en otras regiones Regiones de AWS, repita los pasos anteriores en cada región adicional.

Tras enviar la invitación, el estado de la cuenta del destinatario cambia a **Verificación del correo electrónico en curso** en su inventario de cuentas. Si Macie puede verificar la dirección de correo electrónico de una cuenta, el estado de la cuenta cambiará posteriormente a **Invitada**. Si Macie no puede verificar la dirección, el estado de la cuenta cambia a **Fallo en la verificación del correo electrónico**. Si esto ocurre, contacte con el propietario de la cuenta para obtener la dirección de correo electrónico correcta. A continuación, [elimine la asociación entre sus cuentas](#accounts-mgmt-invitations-members-disassociate), vuelva a [añadir la cuenta](#accounts-mgmt-invitations-members-add-associate) y vuelva a enviar la invitación.

Cuando un destinatario acepta una invitación, el estado de la cuenta del destinatario cambia a **Habilitada** en su inventario de cuentas. Si un destinatario rechaza una invitación, la cuenta del destinatario se desvincula de su cuenta y se elimina de su inventario de cuentas.

------
#### [ API ]

Para enviar una invitación mediante programación, utilice la [CreateInvitations](https://docs.aws.amazon.com/macie/latest/APIReference/invitations.html)operación de la API Amazon Macie. Cuando envíe su solicitud, utilice los parámetros admitidos para especificar el ID de cuenta de 12 dígitos de cada uno Cuenta de AWS a quien enviar la invitación. El ID de cuenta debe coincidir con el ID de cuenta de una cuenta de su inventario de cuentas. En caso contrario, se produce un error. Especifique también la región desde la que deseas enviar la invitación. Para enviar la invitación desde otras regiones, envíe la solicitud en cada región adicional.

En su solicitud, también puede especificar si desea enviar la invitación como un mensaje de correo electrónico y si desea incluir un texto personalizado en ese mensaje. Si decide enviar un mensaje de correo electrónico, Macie enviará la invitación a la dirección de correo electrónico que especificó para una cuenta cuando la agregó al inventario de su cuenta. Para enviar la invitación como un mensaje de correo electrónico, omita el parámetro `disableEmailNotification` o establezca el valor del parámetro en `false`. (El valor predeterminado es `false`). Para añadir texto personalizado al mensaje, utilice el parámetro `message` para especificar el texto que desee añadir. El texto puede contener hasta 80 caracteres alfanuméricos.

Para enviar invitaciones mediante el AWS CLI, ejecute el comando [create-invitation](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/create-invitations.html). Utilice el parámetro `region` para especificar la región desde la que se va a enviar la invitación. Utilice el parámetro `account-ids` para especificar el ID de la cuenta para cada Cuenta de AWS para envíar la invitación. Por ejemplo:

```
C:\> aws macie2 create-invitations --region us-east-1 --account-ids=[\"111111111111\",\"222222222222\",\"333333333333\"]
```

Dónde *us-east-1* está la región desde la que se va a enviar la invitación (la región EE.UU. Este (Virginia del Norte)) y el `account-ids` parámetro especifica la cuenta IDs a la que se enviarán tres cuentas. Para enviar una invitación también como mensaje de correo electrónico, incluya también el parámetro `no-disable-email-notification` y, si lo desea, incluya el parámetro `message` para especificar el texto personalizado que desee añadir al mensaje.

Tras enviar la invitación, el estado de cada cuenta del destinatario cambia a`EmailVerificationInProgress`. Si Macie puede verificar la dirección de correo electrónico de una cuenta, el estado de la cuenta cambiará posteriormente a `Invited`. Si Macie no puede verificar la dirección, el estado de la cuenta cambia a. `EmailVerificationFailed` Si esto ocurre, contacte con el propietario de la cuenta para obtener la dirección correcta. A continuación, [elimine la asociación entre sus cuentas](#accounts-mgmt-invitations-members-disassociate), vuelva a [añadir la cuenta](#accounts-mgmt-invitations-members-add-associate) y vuelva a enviar la invitación.

Cuando un destinatario acepta una invitación, el estado de la cuenta del destinatario cambia a `Enabled` en su inventario de cuentas. Si un destinatario rechaza una invitación, la cuenta del destinatario se desvincula de su cuenta y se elimina de su inventario de cuentas.

------

## Suspensión de Macie para una cuenta de miembro en una organización basada en invitaciones
<a name="accounts-mgmt-invitations-members-suspend"></a>

Como administrador de Amazon Macie de una organización, puede suspender Macie en una Región de AWS específica para cuentas de miembro individuales de su organización. Sin embargo, tenga en cuenta que no puede volver a habilitar Macie para una cuenta de miembro después de suspenderla. Posteriormente, solo el usuario de la cuenta puede volver a habilitar Macie para esa cuenta.

Cuando se suspende Macie de una cuenta de miembro:
+ Macie pierde el acceso y deja de proporcionar metadatos sobre los datos de Amazon S3 de la cuenta en la región.
+ Macie deja de realizar todas las actividades para la cuenta en la región. Esto incluye la supervisión de los buckets de S3 para garantizar la seguridad y el control de acceso, la detección automática de datos confidenciales y la ejecución de las tareas de detección de datos confidenciales que se estén realizando actualmente.
+ Macie cancela todos los trabajos de detección de datos confidenciales creados por la cuenta en la región. Un trabajo no se puede reanudar ni reiniciar después de cancelarse. Si ha creado trabajos para analizar los datos que son propiedad de la cuenta de miembro, Macie no los cancela. En su lugar, los trabajos omiten los recursos que son propiedad de la cuenta.

Mientras esté suspendida, Macie conserva el identificador de sesión, la configuración y los recursos de Macie que almacena o mantiene para la cuenta en la región correspondiente. Macie también conserva determinados datos de la cuenta en la región. Por ejemplo, los resultados de la cuenta permanecen intactos y no se ven afectados durante un máximo de 90 días. Si se habilitó la detección automática de datos confidenciales para la cuenta, los resultados existentes también permanecerán intactos y no se verán afectados durante un máximo de 30 días. No se cobrará a la cuenta por usar Macie en la región correspondiente mientras Macie esté suspendido en esa región.

**Para suspender Macie de una cuenta de miembro en una organización basada en invitaciones**  
Para suspender Macie para una cuenta de miembro en una organización basada en invitaciones, puede utilizar la consola de Amazon Macie o la API de Amazon Macie.

------
#### [ Console ]

Siga estos pasos para suspender Macie de una cuenta de miembro mediante la consola Amazon Macie.

**Para suspender Macie de una cuenta de miembro**

1. Abra la consola Amazon Macie en. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. Con el Región de AWS selector situado en la esquina superior derecha de la página, elija la región en la que desee suspender a Macie para una cuenta de miembro.

1. En el panel de navegación, elija **Cuentas**. Se abre la página **Cuentas** y muestra una tabla con las cuentas asociadas actualmente a su cuenta.

1. En la tabla de **cuentas existentes**, selecciona la casilla de verificación de la cuenta por la que quieres suspender a Macie.

1. En el menú **Acciones**, seleccione **Suspender Macie**.

1. Confirme que desea suspender Macie para la cuenta seleccionada.

Tras confirmar la suspensión, el estado de la cuenta cambiará a **En pausa (suspendido)** en el inventario de la cuenta.

Para suspender la cuenta de Macie en otras regiones, repita los pasos anteriores en cada región adicional.

------
#### [ API ]

Para suspender a Macie de una cuenta de miembro mediante programación, utilice la API de [UpdateMemberSession](https://docs.aws.amazon.com/macie/latest/APIReference/macie-members-id.html)Amazon Macie. Cuando envíes tu solicitud, usa el `id` parámetro para especificar el ID de cuenta de 12 dígitos de la cuenta por la Cuenta de AWS que deseas suspender a Macie. Para el `status` parámetro, especifique `PAUSED` el nuevo estado de Macie. Especifica también la región a la que se aplica la solicitud. Para suspender Macie en otras regiones, repita los pasos anteriores en cada región adicional.

Para recuperar el ID de cuenta de la cuenta de miembro, puede utilizar el [ListMembers](https://docs.aws.amazon.com/macie/latest/APIReference/members.html)funcionamiento de la API de Amazon Macie. Si lo hace, considere filtrar los resultados incluyendo el parámetro `onlyAssociated` en su solicitud. Si establece el valor de este parámetro en `true`, Macie devolverá una matriz `members` que proporciona detalles únicamente sobre las cuentas que actualmente sean cuentas de miembros de su cuenta de administrador.

Para suspender a Macie de una cuenta de miembro mediante el comando AWS CLI, ejecute el [update-member-session](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/update-member-session.html)comando. Utilice el `region` parámetro para especificar la región en la que se va a suspender a Macie. Utilice el `id` parámetro para especificar el identificador de la cuenta por la que se va a suspender a Macie. En el parámetro `status`, especifique `PAUSED`. Por ejemplo:

```
C:\> aws macie2 update-member-session --region us-east-1 --id 123456789012 --status PAUSED
```

Dónde *us-east-1* está la región en la que se va a suspender a Macie (la región de EE. UU. Este (Virginia del Norte)), *123456789012* es el identificador de la cuenta por la que se va a suspender a Macie y `PAUSED` es el nuevo estado de Macie para la cuenta.

Si la solicitud se completa con éxito, Macie devuelve una respuesta vacía y el estado de la cuenta especificada cambia a `Paused` en el inventario de cuentas.

------

## Eliminación de cuentas de miembro de Macie de una organización basada en invitaciones
<a name="accounts-mgmt-invitations-members-remove"></a>

Como administrador de Amazon Macie, puede eliminar una cuenta de miembro de su organización. Puede hacerlo desvinculado la cuenta de la cuenta de administrador de Macie.

Si elimina una cuenta de miembro, Macie seguirá teniendo habilitada la cuenta y la cuenta seguirá apareciendo en su inventario de cuentas. Sin embargo, la cuenta se convierte en una cuenta de Macie independiente. Macie no notifica al propietario de la cuenta cuando la elimina. Por lo tanto, considere ponerse en contacto con el propietario de la cuenta para asegurarse de que comience a administrar la configuración y los recursos de su cuenta.

Cuando elimina una cuenta de miembro, pierde el acceso a todos los ajustes, recursos y datos de Macie para esa cuenta. Esto incluye los resultados de políticas y los metadatos de los buckets de S3 que sean propiedad de la cuenta. Además, ya no puede usar Macie para detectar datos sensibles en los depósitos de S3 que sean propiedad de la cuenta. Si ya ha creado tareas de detección de datos confidenciales para ello, estas tareas omiten los buckets que sean propiedad de la cuenta. Si ha habilitado la detección de datos confidenciales automatizada para la cuenta, tanto usted como la cuenta perderán el acceso a los datos estadísticos, a los datos de inventario y a cualquier otra información que haya producido y proporcionado directamente Macie mientras realizaba la detección automatizada para la cuenta.

Después de eliminar una cuenta de miembro, puede volver a añadirla a su organización enviando una nueva invitación a la cuenta. Si la cuenta acepta la nueva invitación y habilitas la detección automática de datos confidenciales en un plazo de 30 días, también recuperarás el acceso a los datos y la información que Macie creó anteriormente y proporcionó directamente mientras realizaba la detección automática de la cuenta. Además, las sucesivas ejecuciones de sus trabajos actuales comenzarán a incluir de nuevo los buckets S3 de la cuenta.

Si elimina una cuenta de miembro y no tiene planes de volver a agregarla, puede eliminarla por completo del inventario de cuentas. Para aprender a hacerlo, consulte [Eliminar asociaciones con otras cuentas](#accounts-mgmt-invitations-members-disassociate).

**Eliminación de una cuenta de miembro de una organización basada en invitaciones**  
Para eliminar una cuenta de miembro de su organización, puede utilizar la consola de Amazon Macie o la API de Amazon Macie.

------
#### [ Console ]

Siga estos pasos para responder a una invitación de membresía mediante la consola Amazon Macie.

**Eliminar cuenta de miembro**

1. Abra la consola Amazon Macie en. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. Con el Región de AWS selector situado en la esquina superior derecha de la página, elija la región en la que desee eliminar la cuenta de un miembro.

1. En el panel de navegación, elija **Cuentas**. Se abre la página **Cuentas** y muestra una tabla con las cuentas asociadas actualmente a su cuenta.

1. En la tabla de **cuentas existentes**, selecciona la casilla de verificación de la cuenta que deseas eliminar.

1. En el menú **Acciones**, seleccione **Desvincular cuenta**.

1. Confirme que desea eliminar la cuenta seleccionada como cuenta de miembro.

Tras confirmar su selección, el estado de la cuenta cambiará a **Eliminada (desvinculada)** en el inventario de su cuenta.

Para eliminar la cuenta de miembro en otras regiones, repita los pasos anteriores en cada región adicional.

------
#### [ API ]

Para eliminar una cuenta de miembro mediante programación, utilice la [DisassociateMember](https://docs.aws.amazon.com/macie/latest/APIReference/members-disassociate-id.html)operación de la API Amazon Macie. Cuando envíe su solicitud, utilice el `id` parámetro para especificar el Cuenta de AWS identificador de 12 dígitos que debe eliminar la cuenta de miembro. Especifica también la región a la que se aplica la solicitud. Para eliminar la cuenta en otras regiones, envíe la solicitud en cada región adicional.

Para recuperar el ID de la cuenta que se va a eliminar, puede utilizar la [ListMembers](https://docs.aws.amazon.com/macie/latest/APIReference/members.html)operación de la API de Amazon Macie. Si lo hace, considere filtrar los resultados incluyendo el parámetro `onlyAssociated` en su solicitud. Si establece el valor de este parámetro en `true`, Macie devolverá una matriz `members` que proporciona detalles únicamente sobre las cuentas que actualmente sean cuentas miembros de su cuenta.

Para eliminar la cuenta de un miembro mediante el AWS CLI, ejecute el comando [disassociate-member](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/disassociate-member.html). Utilice el parámetro `region` para especificar la región en la que se va a eliminar la cuenta. Utilice el parámetro `id` para especificar el identificador de la cuenta que se va a eliminar. Por ejemplo:

```
C:\> aws macie2 disassociate-member --region us-east-1 --id 123456789012
```

Dónde *us-east-1* está la región en la que se va a eliminar la cuenta (la región EE.UU. Este (Virginia del Norte)) y el identificador de la cuenta que *123456789012* se va a eliminar.

Si su solicitud se aprueba, Macie devuelve una respuesta vacía y el estado de la cuenta especificada cambia a `Removed` en el inventario de cuentas.

------

## Eliminación de asociaciones con otras cuentas
<a name="accounts-mgmt-invitations-members-disassociate"></a>

Después de añadir una cuenta al inventario de cuentas en Amazon Macie, puede eliminar la asociación entre su cuenta y la otra cuenta. Puede hacerlo para cualquier cuenta de su inventario, excepto:
+ Una cuenta de que forme parte de la organización en AWS Organizations. Este tipo de asociación AWS Organizations no se controla a través de Macie.
+ Una cuenta de miembro que aceptó una invitación de membresía de Macie para unirse a su organización. Si este es el caso, debe [eliminar la cuenta de miembro](#accounts-mgmt-invitations-members-remove) antes de poder eliminar la asociación.

Cuando elimina una asociación, Macie borra la cuenta de su inventario de cuentas. Si posteriormente desea restablecer la asociación, tendrá que volver a añadir la cuenta como si se tratara de una cuenta completamente nueva.

**Eliminación de una asociación con otra cuenta**  
Para eliminar una asociación entre su cuenta y otra cuenta, puede utilizar la consola de Amazon Macie o la API de Amazon Macie.

------
#### [ Console ]

Para usar la consola Amazon Macie para eliminar una asociación con otra cuenta, siga estos pasos.

**Eliminación de una asociación**

1. Abra la consola Amazon Macie en. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. Con el Región de AWS selector situado en la esquina superior derecha de la página, elija la región en la que desee eliminar una asociación.

1. En el panel de navegación, elija **Cuentas**. Se abre la página **Cuentas** y muestra una tabla con las cuentas asociadas actualmente a su cuenta.

1. En la tabla **Cuentas existentes**, selecciona la casilla de verificación de la cuenta cuya asociación deseas eliminar.

1. En el menú **Acciones**, elija **Eliminar**.

1. Confirme que desea eliminar la asociación seleccionada.

Para eliminar la asociación en regiones adicionales, repita los pasos anteriores en cada región adicional.

------
#### [ API ]

Para eliminar una asociación con otra cuenta mediante programación, utilice la [DeleteMember](https://docs.aws.amazon.com/macie/latest/APIReference/members-id.html)operación de la API Amazon Macie. Cuando envíe su solicitud, utilice el `id` parámetro para especificar el identificador de cuenta de 12 dígitos con el que desea Cuenta de AWS eliminar la asociación. Especifica también la región a la que se aplica la solicitud. Para eliminar la asociación en regiones adicionales, envíe su solicitud en cada región adicional.

Para recuperar el identificador de la cuenta, puede utilizar el [ListMembers](https://docs.aws.amazon.com/macie/latest/APIReference/members.html)funcionamiento de la API de Amazon Macie. Si lo hace, incluya el parámetro `onlyAssociated` en su solicitud y establezca el valor del parámetro en `false`. Si la operación se realiza correctamente, Macie devuelve una matriz `members` que proporciona detalles sobre todas las cuentas asociadas a su cuenta, incluidas las cuentas que actualmente no son cuentas de miembros.

Para eliminar una asociación con otra cuenta mediante el AWS CLI comando [delete-member](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/delete-member.html). Utilice el `region` parámetro para especificar la región en la que se va a eliminar la asociación. Utilice el `id` parámetro para especificar el identificador de la cuenta. Por ejemplo:

```
C:\> aws macie2 delete-member --region us-east-1 --id 123456789012
```

Dónde *us-east-1* está la región en la que se va a eliminar la asociación con la otra cuenta (la región EE.UU. Este (Virginia del Norte)) y *123456789012* es el identificador de la cuenta.

Si su solicitud es correcta, Macie devolverá una respuesta vacía y se eliminará la asociación entre su cuenta y la otra cuenta. La cuenta previamente asociada se elimina del inventario de su cuenta.

------

# Revisión de las cuentas de Macie para una organización basada en invitaciones
<a name="accounts-mgmt-invitations-review"></a>

**nota**  
Recomendamos utilizar AWS Organizations en lugar de las invitaciones de Macie para gestionar las cuentas de los miembros. Para obtener más información, consulte [Administrar varias cuentas de Macie con AWS Organizations](accounts-mgmt-ao.md).

Si es administrador de Amazon Macie para una organización basada en invitaciones, Macie proporciona un inventario de las cuentas asociadas a su cuenta de Macie en cada Región de AWS donde utilice Macie. Puede utilizar este inventario para revisar las estadísticas y los detalles de las cuentas de su organización. También puede utilizarlo para [realizar determinadas tareas de administración](accounts-mgmt-invitations-administer.md) de las cuentas de miembros y administrar el estado de la relación entre su cuenta y otras cuentas.

**Revisión de las cuentas de una organización basada en invitaciones**  
Para revisar las cuentas de su organización, puede utilizar la consola de Amazon Macie o la API de Amazon Macie.

------
#### [ Console ]

Siga estos pasos para revisar las cuentas de su organización mediante la consola de Amazon Macie.

**Para revisar las cuentas de su organización**

1. Abra la consola Amazon Macie en. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. Con el Región de AWS selector situado en la esquina superior derecha de la página, elija la región en la que desee revisar las cuentas de su organización.

1. En el panel de navegación, elija **Cuentas**.

Se abre la página **Cuentas** y muestra estadísticas añadidas y una tabla de las cuentas que están asociadas a su cuenta de Macie en la Región de AWS actual.

En la parte superior de la página de **Cuentas**, encontrará las siguientes estadísticas agregadas.

**A través de AWS Organizations**  
Si es el administrador de Macie de una organización en AWS Organizations, **Active** informa del número total de cuentas que están asociadas a su cuenta AWS Organizations y que actualmente son cuentas de miembros de Macie en su organización. Macie está habilitado para estas cuentas y usted es el administrador de las cuentas en Macie.  
**Todas** indica el número total de cuentas que están asociadas a su cuenta mediante AWS Organizations. Esto incluye las cuentas que no sean actualmente cuentas de miembro de Macie. También incluye las cuentas de miembro cuyas cuentas de Macie estén actualmente suspendidas.

**Por invitación**  
**Activo** indica el número total de cuentas que actualmente son cuentas de miembros de Macie en su organización basada en invitaciones. Macie está habilitado para las cuentas y usted es el administrador de las cuentas de Macie porque ellos han aceptado una invitación suya a ser miembro de Macie.  
**Todos** indica el número total de cuentas asociadas a su cuenta por invitación de Macie, incluidas las cuentas que no han respondido a una invitación suya.

**Activas/Todas**  
**Activas** indica el número total de cuentas en las que Macie está habilitada actualmente en su organización, incluida la suya propia. Usted es el administrador de Macie de estas cuentas, a través de AWS Organizations o por invitación de Macie.  
**Todos** indican el número total de cuentas que están asociadas a tu cuenta, mediante invitación AWS Organizations o mediante invitación, más tu propia cuenta. Esto incluye las cuentas que no hayan respondido a una invitación por su parte a ser miembros de Macie. También incluye las cuentas que están asociadas a tu cuenta a través de cuentas de miembros de Macie AWS Organizations y que actualmente no son cuentas de miembros.

En la tabla, encontrará detalles sobre cada cuenta de la región actual. La tabla incluye todas las cuentas asociadas a su cuenta de Macie, ya sea por invitación de Macie o a través de AWS Organizations.

**ID de cuenta**  
El ID de cuenta y la dirección de correo electrónico para Cuenta de AWS.

**Nombre**  
El nombre de la cuenta para la Cuenta de AWS. Este valor suele ser **N/A** para su propia cuenta y para las cuentas que están asociadas a su cuenta por invitación.

**Tipo**  
Cómo se asocia la cuenta con su cuenta, por invitación o a través de AWS Organizations. En el caso de su propia cuenta, este valor es **Cuenta actual**.

**Estado**  
El estado de la relación entre su cuenta y la cuenta. Para una cuenta de una organización basada en invitaciones (el **Tipo** es **Por invitación**), los valores posibles son:  
+ **Cuenta suspendida**: la Cuenta de AWS está suspendida.
+ **Creada (invitación)**: añadió la cuenta pero no envió una invitación de membresía.
+ **Fallo en la verificación del correo electrónico**: intentó enviar una invitación de membresía a la cuenta, pero la dirección de correo electrónico especificada no es válida para la cuenta.
+ **Verificación del correo electrónico en curso**: envió una invitación de membresía a la cuenta y Macie está procesando la solicitud.
+ **Activada**: la cuenta es una cuenta de miembro. Macie está habilitado para esta cuenta y usted es el administrador de la cuenta en Macie.
+ **Invitado**: ha enviado una invitación de membresía a la cuenta y la cuenta no ha respondido a su invitación.
+ **Miembro que ha renunciado**: la cuenta era anteriormente una cuenta de miembro. Sin embargo, la cuenta abandonó su organización al desvincularse de su cuenta.
+ **En pausa (suspendida)**: la cuenta es una cuenta de miembro de Macie, pero Macie está actualmente suspendido para esta cuenta.
+ **Región deshabilitada**: la región actual está deshabilitada para el Cuenta de AWS.
+ **Eliminada (disociada)**: la cuenta era anteriormente una cuenta de miembro. Sin embargo, la ha eliminado como cuenta de miembro al desasociarla de su cuenta.

**Última actualización de estado**  
En qué momento usted o la cuenta asociada han realizado por última vez una acción que afectase a la relación entre sus cuentas.

**Detección de datos confidenciales automatizada**  
Si la detección de datos confidenciales automatizada está actualmente habilitada o deshabilitada para la cuenta.

Para ordenar la tabla por un campo específico, seleccione el encabezado de la columna del campo. Para cambiar el orden de clasificación, vuelva a seleccionar el encabezado de la columna. Para filtrar la tabla, coloque el cursor en el cuadro de filtro y, a continuación, añada una condición de filtro para un campo. Para refinar aún más los resultados, añada condiciones de filtro para campos adicionales.

------
#### [ API ]

Para revisar las cuentas de su organización mediante programación, utilice el [ListMembers](https://docs.aws.amazon.com/macie/latest/APIReference/members.html)funcionamiento de la API de Amazon Macie y especifique la región a la que se aplica su solicitud. Para revisar las cuentas en otras regiones, envíe su solicitud en cada región adicional.

Cuando envíe su solicitud, utilice el parámetro `onlyAssociated` para especificar qué cuentas incluir en la respuesta. De forma predeterminada, Macie solo devuelve los detalles de las cuentas que son cuentas de miembros en la región especificada, mediante invitación o a través de ella. AWS Organizations Para extraer los detalles de todas las cuentas asociadas, incluidas las cuentas que no son cuentas de miembro, incluya el parámetro `onlyAssociated` en su solicitud y establezca el valor del parámetro en `false`.

Para revisar las cuentas de su organización mediante [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html), ejecute el comando [list-members](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/list-members.html). Para el parámetro `only-associated`, especifique si desea incluir todas las cuentas asociadas o solo las cuentas de los miembros. Para incluir solo las cuentas de los miembros, omita este parámetro o establezca el valor del parámetro en `true`. Para incluir todas las cuentas, defina este valor en `false`. Por ejemplo:

```
C:\> aws macie2 list-members --region us-east-1 --only-associated false
```

¿*us-east-1*Cuál es la región a la que se aplica la solicitud? La región EE.UU. Este (Virginia del Norte).

Si la solicitud se realiza correctamente, Macie devuelve una `members` matriz. La matriz contiene un objeto `member` para cada cuenta que cumple los criterios especificados en la solicitud. En ese objeto, el campo `relationshipStatus` indica el estado actual de la relación entre su cuenta y la otra cuenta de la región especificada. Para una cuenta de una organización basada en invitaciones, los valores posibles son:
+ `AccountSuspended`— Cuenta de AWS Está suspendido.
+ `Created`: añadió la cuenta pero no envió una invitación de membresía.
+ `EmailVerificationFailed`: intentó enviar una invitación de membresía a la cuenta, pero la dirección de correo electrónico especificada no es válida para la cuenta.
+ `EmailVerificationInProgress`: ha enviado una invitación de membresía a la cuenta y Macie está procesando la solicitud.
+ `Enabled`: la cuenta es una cuenta de miembro. Macie está habilitado para esta cuenta y usted es el administrador de la cuenta en Macie.
+ `Invited`: ha enviado una invitación de membresía a la cuenta y la cuenta no ha respondido a su invitación.
+ `Paused`: la cuenta es una cuenta de miembro, pero Macie está suspendido (pausado) para la cuenta.
+ `RegionDisabled`: la región actual está deshabilitada para el Cuenta de AWS.
+ `Removed`: la cuenta era anteriormente una cuenta de miembro. Sin embargo, la ha eliminado como cuenta de miembro al desasociarla de su cuenta.
+ `Resigned`: la cuenta era anteriormente una cuenta de miembro. Sin embargo, la cuenta abandonó su organización al desvincularse de su cuenta.

Para obtener información sobre otros campos del objeto `member`, consulte [Miembros](https://docs.aws.amazon.com/macie/latest/APIReference/members.html) en la *Referencia de API de Amazon Macie*.

------

# Cambio de la cuenta de administrador de Macie para una organización basada en invitaciones
<a name="accounts-mgmt-invitations-admin-change"></a>

**nota**  
Recomendamos utilizar AWS Organizations en lugar de las invitaciones de Macie para gestionar las cuentas de los miembros. Para obtener más información, consulte [Administrar varias cuentas de Macie con AWS Organizations](accounts-mgmt-ao.md).

Después de crear y establecer una organización basada en invitaciones, puede cambiar la cuenta de administrador de Amazon Macie de la organización. Para ello, los administradores y miembros de la organización deben seguir estos pasos:

1. El administrador actual de Macie exporta opcionalmente el inventario actual de las cuentas de los miembros de la organización. Esto simplifica la transición al ayudarlo a identificar las cuentas que deberían seguir formando parte de la organización.

1. El administrador actual de Macie [elimina todas las cuentas de los miembros](accounts-mgmt-invitations-administer.md#accounts-mgmt-invitations-members-remove) de la organización actual. Esto desasocia las cuentas de la cuenta de administrador actual. Macie seguirá habilitada en las cuentas, pero las cuentas se convierten en cuentas de Macie independientes.
**importante**  
Cuando el administrador actual de Macie elimina las cuentas de los miembros, Macie desactiva automáticamente la detección de datos confidenciales automatizada en las cuentas. Esto deshabilita también el acceso a los datos estadísticos, a los datos de inventario y a cualquier otra información que haya producido y proporcionado directamente Macie mientras realizaba la detección automatizada para las cuentas. Cuando se complete la transición a la nueva organización, el nuevo administrador de Macie no podrá acceder a estos datos.

1. El nuevo administrador de Macie [añade las cuentas de los miembros anteriores](accounts-mgmt-invitations-administer.md#accounts-mgmt-invitations-members-add) a la nueva organización. Esto asocia las cuentas a la nueva cuenta de administrador.

1. Cada cuenta de miembro acepta la invitación para unirse a la nueva organización. Cuando una cuenta acepta la invitación, se convierte en una cuenta de miembro de la nueva organización. El nuevo administrador de Macie podrá entonces acceder a la configuración, los datos y los recursos de Macie de la cuenta. Si la detección de datos confidenciales automatizada estaba habilitada anteriormente para la cuenta, no se incluyen los datos que Macie haya generado previamente y proporcionado directamente al realizar la detección automatizada en la cuenta. En lugar de esto, Macie genera y mantiene nuevos datos para la cuenta si el nuevo administrador de Macie habilita la detección automatizada en la cuenta.

Si su organización utiliza Macie en varias ocasiones Regiones de AWS, lleve a cabo los pasos anteriores en cada una de esas regiones.

Para exportar el inventario actual de las cuentas de los miembros, el administrador actual de Macie puede utilizar la consola de Amazon Macie o la API de Amazon Macie. Con la consola, el administrador actual puede exportar estos datos a un archivo de valores separados por comas (CSV). A continuación, el nuevo administrador puede usar la consola para cargar el archivo CSV y añadir todas las cuentas (en bloque) a la nueva organización.

**Para exportar los datos de las cuentas de los miembros mediante la consola**

1. Inicie sesión Consola de administración de AWS con la cuenta de administrador actual de Macie.

1. Con el Región de AWS selector situado en la esquina superior derecha de la página, elija la región a la que desee exportar los datos.

1. Abra la consola Amazon Macie en. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. En el panel de navegación, elija **Cuentas**. Se abre la página de **Cuentas** y muestra una tabla con las cuentas asociadas a la cuenta de administrador de Macie actual.

1. (Opcional) Para filtrar la tabla y mostrar solo las que actualmente son cuentas de miembro activas en la organización, utilice el cuadro de filtro situado encima de la tabla para añadir las siguientes condiciones de filtrado:
   + **Tipo** = **Invitación**
   + **Estado** = **Activado**
   + **Estado** = **En pausa**

1. En la tabla, seleccione la casilla de verificación de cada cuenta de miembro para incluirla en los datos exportados.

1. Seleccione **Exportar CSV**.

1. Para especificar la ubicación y el nombre de archivo de la salida.

Con la API de Amazon Macie, el administrador actual de Macie puede extraer los datos en formato JSON. El nuevo administrador de Macie podrá utilizar esos datos para generar la lista de cuentas IDs y direcciones de correo electrónico para que las cuentas las añada e invite a unirse a la nueva organización. Para recuperar los datos en formato JSON, utilice la [ListMembers](https://docs.aws.amazon.com/macie/latest/APIReference/members.html)operación de la API Amazon Macie. Si la operación se realiza correctamente, Macie devuelve una matriz `members` que proporciona detalles sobre todas las cuentas asociadas a la cuenta de administrador. Si una cuenta es actualmente una cuenta de miembro, el valor de la propiedad `relationshipStatus` de la cuenta es `Enabled` o `Paused` y la propiedad `invitedAt` especifica una fecha y una hora.

# Administración de la membresía de su organización en Macie
<a name="accounts-mgmt-invitations-membership-manage"></a>

**nota**  
Recomendamos utilizar AWS Organizations en lugar de invitaciones de Macie para gestionar Macie de forma centralizada para varias cuentas. Para obtener más información, consulte [Administrar varias cuentas de Macie con AWS Organizations](accounts-mgmt-ao.md).

Si le invitan a unirse a una organización en Amazon Macie, puede aceptar o rechazar la invitación si lo desea. En Macie, una organización es un conjunto de cuentas que se administran de forma centralizada como un grupo de cuentas relacionadas. Una organización consta de una cuenta de administrador designada de Macie y una o más cuentas de miembros asociadas.

Después de aceptar la invitación, su cuenta se convierte en una cuenta miembro de la organización. Al aceptar, la cuenta que envió la invitación pasa a ser la cuenta de administrador de Macie para su cuenta: usted asocia su cuenta a la otra cuenta y establece una relación de administrador-miembro entre las cuentas. El administrador de Macie podrá entonces acceder a determinadas configuraciones de Macie, los datos y los recursos de la cuenta en la Región de AWS correspondiente. Para obtener más información sobre las tareas que puede realizar la cuenta de administrador, consulte [Relaciones entre el administrador y la cuenta de miembro de Macie](accounts-mgmt-relationships.md).

Si rechaza una invitación, el estado y la configuración actuales de su cuenta de Macie no cambiarán.

**Topics**
+ [Responder a las invitaciones de miembros](#accounts-mgmt-invitations-respond)
+ [Desvinculación de una cuenta de administrador](#accounts-mgmt-invitations-disassociate-admin)

## Para responder a una invitación para ser miembro de organizaciones
<a name="accounts-mgmt-invitations-respond"></a>

Cuando recibe una invitación para unirse a una organización, Amazon Macie se lo notifica de varias maneras. De forma predeterminada, Macie le envía la invitación como un mensaje de correo electrónico. Macie también crea un AWS Health evento para tu. Cuenta de AWS Si ya utilizas Macie en el lugar Región de AWS desde el que se envió la invitación, Macie también mostrará una insignia de **cuentas** y una notificación en la consola de Macie.

Después de recibir una invitación, puede aceptarla o rechazarla si lo desea. Antes de responder, tenga en cuenta lo siguiente:
+ Una cuenta no puede pertenecer a más de una organización a la vez. Si recibe varias invitaciones, solo puede aceptar una. O bien, si ya es miembro de una organización, debe desvincular su cuenta de su cuenta de administrador actual de Macie antes de poder unirse a otra organización.
+ Si utiliza Macie en varias regiones, su cuenta debe tener la misma cuenta de administrador de Macie en todas esas regiones. El administrador de Macie tiene que enviarle las invitaciones por separado desde cada región y usted tiene que aceptarlas por separado en cada región.
+ Para aceptar o rechazar una invitación, debe activar Macie en la región desde la que se envió la invitación. Rechazar una invitación es opcional. Si permite que Macie rechace una invitación, puede [inhabilitar a Macie](disable-macie.md) en la región después de rechazar la invitación. Esto ayuda a garantizar que no incurra en cargos innecesarios por usar Macie en la región.
+ Si la detección de datos confidenciales automatizada está habilitada para la cuenta y acepta una invitación, perderá el acceso a los datos estadísticos, a los datos de inventario y a cualquier otra información que haya producido y proporcionado directamente Macie mientras realizaba la detección automatizada para la cuenta. Después de aceptar la invitación, su administrador de Macie puede habilitar la detección automatizada para su cuenta. Sin embargo, esto no restaura el acceso a los datos existentes. En su lugar, Macie genera y mantiene nuevos datos mientras realiza una detección automatizada para su cuenta.

Para consideraciones adicionales, consulte [Respuesta y administración de invitaciones de membresía](accounts-mgmt-invitations-notes.md#accounts-mgmt-invitations-notes-invitations-manage).

**Para responder a una invitación a ser miembro de una organización**  
Para responder a una invitación de membresía, puede utilizar la consola de Amazon Macie o la API de Amazon Macie.

------
#### [ Console ]

Siga estos pasos para responder a una invitación de membresía mediante la consola Amazon Macie.

**Para responder a una invitación para ser miembro**

1. Abra la consola Amazon Macie en. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. Con el Región de AWS selector situado en la esquina superior derecha de la página, elija la región en la que recibió la invitación.

1. Si no ha activado Macie en la región, seleccione **Comenzar** y, a continuación, seleccione **Habilitar Macie**. Tiene que habilitar Macie para poder aceptar o rechazar una invitación.

1. En el panel de navegación, elija **Cuentas**.

1. En **Cuenta de administrador**, realice una de las siguientes acciones:
   + Para aceptar la invitación, active **Aceptar** (![\[A toggle switch with a gray background and the toggle positioned to the left.\]](http://docs.aws.amazon.com/es_es/macie/latest/user/images/tgl-gray-off.png)) junto a la invitación. A continuación, seleccione **Aceptar la invitación** o **Actualizar**, en función de si ha aceptado previamente otra invitación.
   + Para rechazar la invitación, seleccione **Rechazar invitación** junto a la invitación y, a continuación, confirme que desea rechazarla.

Si ha recibido la invitación y quieres responder a esta en otras regiones, repita los pasos anteriores en cada región adicional.

------
#### [ API ]

Para responder a una invitación mediante programación, utilice la [DeclineInvitations](https://docs.aws.amazon.com/macie/latest/APIReference/invitations-decline.html)operación [AcceptInvitation](https://docs.aws.amazon.com/macie/latest/APIReference/invitations-accept.html)u de la API de Amazon Macie, en función de si desea aceptar o rechazar la invitación. Cuando envíe su solicitud, asegúrese de especificar la región desde la que se envió la invitación. Para revisar las cuentas en otras Regiones, envíe su solicitud para cada Región adicional.

En una `AcceptInvitation` solicitud, utilice el `administratorAccountId` parámetro para especificar el ID de cuenta de 12 dígitos de la persona Cuenta de AWS que envió la invitación. Utilice el parámetro `invitationId` para especificar el ID único que debe aceptar la invitación.

En una `DeclineInvitations` solicitud, usa el `accountIds` parámetro para especificar el ID de cuenta de 12 dígitos de la persona Cuenta de AWS que envió la invitación para rechazarla.

Para recuperarlos IDs, puede utilizar el [ListInvitations](https://docs.aws.amazon.com/macie/latest/APIReference/invitations.html)funcionamiento de la API de Amazon Macie. Si la operación se realiza correctamente, Macie devuelve una matriz `invitations` que proporciona detalles sobre las invitaciones que ha recibido, incluido el ID de cuenta de la cuenta que envió cada invitación y el ID único de cada invitación. Si el valor de la propiedad `relationshipStatus` de una invitación es `Invited`, todavía no ha respondido a la invitación.

Para responder a una invitación mediante [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html), ejecute el comando [accept-invitation](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/accept-invitation.html) o [decline-invitations](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/decline-invitations.html), en función de si desea aceptar o rechazar la invitación. Utilice el parámetro `region` para especificar la región desde la que se envió la invitación. Por ejemplo:

```
C:\> aws macie2 accept-invitation --region us-east-1 --administrator-account-id 123456789012 --invitation-id d8bdad0e203fd1242e0a4721bexample
```

Dónde *us-east-1* está la región desde la que se envió la invitación (la región EE. UU. del Este (Virginia del Norte)), *123456789012* es el identificador de cuenta de la cuenta que envió la invitación y *d8bdad0e203fd1242e0a4721bexample* el identificador único para aceptar la invitación.

Si la solicitud de aceptación de una invitación se realiza correctamente, Macie devuelve una respuesta vacía. Si la solicitud para rechazar una invitación se realiza correctamente, Macie devuelve una matriz `unprocessedAccounts` vacía.

Cuando rechace una invitación, esta seguirá siendo un recurso para su cuenta de Macie. Si lo desea, puede eliminarla mediante la [DeleteInvitations](https://docs.aws.amazon.com/macie/latest/APIReference/invitations-delete.html)operación o, en el caso del AWS CLI comando [delete-invites.](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/delete-invitations.html)

------

## Desvinculación de una cuenta de administrador de Macie
<a name="accounts-mgmt-invitations-disassociate-admin"></a>

Si acepta una invitación para unirse a una organización en Amazon Macie, puede renunciar posteriormente a la organización desvinculando su cuenta de su cuenta de administrador de Macie actual. Tenga en cuenta que no puede hacerlo si su cuenta es una cuenta miembro de una organización AWS Organizations . Para renunciar a una AWS Organizations organización, colabore con su administrador de Macie para eliminar su cuenta como cuenta de miembro de Macie.

Si desvincula su cuenta de su cuenta de administrador de Macie, el administrador de Macie pierde el acceso a todos los ajustes, datos y recursos de su cuenta de Macie. Esto incluye los metadatos y los resultados de políticas de datos de Amazon S3 que sean de su propiedad. Esto también significa que el administrador ya no puede analizar sus datos de Amazon S3 mediante la detección automática de datos confidenciales o la ejecución de tareas de detección de datos confidenciales.

Al desvincular su cuenta, Macie seguirá habilitado para su cuenta en la región correspondiente. Sin embargo, su cuenta pasa a ser una cuenta Macie independiente en la región. El estado de su cuenta cambia a **Miembro que ha renunciado** en el inventario de cuentas del administrador.

**Para desvincularse de una cuenta de administrador de Macie**  
Para desvincular su cuenta de su cuenta de administrador de Macie actual, puede utilizar la consola de Amazon Macie o la API de Amazon Macie.

------
#### [ Console ]

Siga estos pasos para desvincular su cuenta de su cuenta de administrador de Macie mediante la consola de Amazon Macie.

**Para desvincularse de su cuenta de administrador**

1. Abra la consola Amazon Macie en. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. Con el Región de AWS selector situado en la esquina superior derecha de la página, elija la región en la que desee desvincular su cuenta de la cuenta de administrador.

1. En el panel de navegación, elija **Cuentas**.

1. En **Cuenta de administrador**, desactive **Aceptar** (![\[A toggle switch with a blue background and the toggle positioned to the right.\]](http://docs.aws.amazon.com/es_es/macie/latest/user/images/tgl-blue-on.png)) junto a la invitación y, a continuación, seleccione **Actualizar**.

La cuenta sigue apareciendo en la página de **cuentas**. Si decide volver a unirse a la organización, puede utilizar esta página para aceptar la invitación original. También puede rechazar y eliminar la invitación que, a su vez elimina la asociación entre su cuenta y la otra cuenta. Para ello, seleccione **Rechazar la invitación**.

Si desea desvincular su cuenta de la cuenta de administrador de Macie en otras regiones, repita los pasos anteriores en cada región adicional.

------
#### [ API ]

Para desasociar su cuenta de su cuenta de administrador de Macie mediante programación, utilice el [DisassociateFromAdministratorAccount](https://docs.aws.amazon.com/macie/latest/APIReference/administrator-disassociate.html)funcionamiento de la API de Amazon Macie. Cuando envíe su solicitud, asegúrese de especificar la región a la que se aplica la solicitud. Para desvincular las cuentas en otras Regiones, envíe su solicitud en cada Región adicional.

Para desasociar su cuenta de su cuenta de administrador de Macie mediante el, ejecute el comando. AWS CLI[disassociate-from-administrator-account](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/disassociate-from-administrator-account.html) Utilice el parámetro `region` para especificar la región en la que desea desvincularse de la cuenta.

Si la solicitud se realiza correctamente, Macie devuelve una respuesta vacía.

Tras desvincularse de la cuenta, la invitación original seguirá siendo un recurso para su cuenta de Macie, a menos que la elimine. Si decide volver a unirse a la organización, puede utilizar este recurso para volver a aceptar la invitación original. Como alternativa, puede eliminar la invitación mediante la [DeleteInvitations](https://docs.aws.amazon.com/macie/latest/APIReference/invitations-delete.html)operación o, en el caso del comando AWS CLI[delete-invites](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/delete-invitations.html). Si elimina la invitación, también elimina la asociación entre su cuenta y la otra cuenta.

------