本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# Macie 中基于邀请的组织的注意事项
<a name="accounts-mgmt-invitations-notes"></a>

**注意**  
我们建议使用邀请来 AWS Organizations 代替 Macie 来管理成员账户。有关更多信息，请参阅 [使用管理多个 Macie 账户 AWS Organizations](accounts-mgmt-ao.md)。

在 Amazon Macie 中创建或开始管理基于邀请的组织之前，请考虑以下要求和建议。此外还应确保您了解 [Macie 管理员账户和成员账户之间的关系](accounts-mgmt-relationships.md)。

**Topics**
+ [选择 Macie 管理员账户](#accounts-mgmt-invitations-notes-admin-designate)
+ [发送邀请和管理 Macie 成员账户](#accounts-mgmt-invitations-notes-members-manage)
+ [回复和管理成员邀请](#accounts-mgmt-invitations-notes-invitations-manage)
+ [正在过渡到 AWS Organizations](#accounts-mgmt-invitations-notes-transition-ao)

## 选择 Macie 管理员账户
<a name="accounts-mgmt-invitations-notes-admin-designate"></a>

在确定哪个账户应为组织的 Macie 管理员账户时，请记住以下几点：
+ 一个组织只能有一个 Macie 管理员账户。
+ 一个账户不能同时是 Macie 管理员账户和成员账户。
+ Macie 是一项区域性服务。这意味着 Macie 管理员账户和成员账户之间的关联是区域性的，关联仅存在于从中 AWS 区域 发送和接受邀请的关联中。例如，如果 Macie 管理员向美国东部（弗吉尼亚州北部）区域发送邀请并且这些邀请被接受，Macie 管理员只能管理该区域中的成员账户。
+ 要集中管理多个 Macie 账户 AWS 区域，Macie 管理员必须登录该组织当前使用或计划使用 Macie 的每个区域，然后向每个区域的相应账户发送邀请。有关当前已推出 Macie 的所有区域的列表，请参阅 *AWS 一般参考* 中的 [Amazon Macie 端点和配额](https://docs.aws.amazon.com/general/latest/gr/macie.html)。
+ 一个成员账户一次只能与一个 Macie 管理员账户关联。如果您的组织在多个区域使用 Macie，则在所有这些区域中的 Macie 管理员账户必须相同。但是，管理员和成员账户必须在每个地区分别发送和接受邀请。

如果 Macie 管理员的账户 AWS 账户 被暂停、隔离或关闭，则所有关联的成员账户都将作为成员账户自动删除，但仍会为这些账户启用 Macie。这些账户都将成为独立的 Macie 账户。如果成员账户启用了[自动敏感数据发现](discovery-asdd.md)，则该账户将禁用该功能。这也禁止了对统计数据、库存数据以及 Macie 在对账户进行自动发现时生成和直接提供的其他信息的访问。30 天后，这些数据就会过期，Macie 会将其永久删除。要在数据过期之前恢复对数据的访问权限，请恢复 Macie 管理员的 AWS 账户，然后使用该账户重新创建和配置组织。

## 发送邀请和管理 Macie 成员账户
<a name="accounts-mgmt-invitations-notes-members-manage"></a>

作为基于邀请的组织的 Macie 管理员，在组织中发送邀请和管理账户时，请记住以下几点：
+ 如果您发送邀请，相关数据可能会被传输 AWS 区域。之所以如此，是因为 Macie 使用仅在美国东部（弗吉尼亚州北部）地区运营的电子邮件验证服务来验证接收账户的电子邮件地址。
+ 您可以向任何活跃用户发送邀请 AWS 账户，包括尚未启用 Macie 的账户。但是，要接受或拒绝邀请，您必须在发出邀请的地区启用 Macie。
+ 在每个账户中 AWS 区域，一个 Macie 管理员账户只能通过邀请与不超过 1,000 个账户相关联。这包括尚未回复邀请的账户。如果您的账户满足此限额，则无法添加或邀请其他账户。要确定当前有多少账户与您的账户关联，您可以使用亚马逊 Macie 控制台上的**账户**页面或亚马逊 Macie [ListMembers](https://docs.aws.amazon.com/macie/latest/APIReference/members.html)API 的操作。有关更多信息，请参阅 [查看基于邀请的组织的 Macie 账户](accounts-mgmt-invitations-review.md)。

  要减少关联账户的数量，您可以：删除与当前不是成员账户的账户的关联，删除必要数量的成员账户，或两者结合等。如果某个账户从您的组织辞职或拒绝您发出的邀请，则与您的账户关联的账户数量也会减少。
+ 一个账户一次只能与一个 Macie 管理员账户关联。这意味着如果一个账户已经与另一个 Macie 管理员账户关联，则该账户将无法接受您的邀请。该账户必须先解除与其当前 Macie 管理员账户的关联。
+ 在基于邀请的组织中，成员账户可以随时取消与其 Macie 管理员账户的关联。如果发生这种情况，则该账户将继续启用 Macie，但该账户将变为独立的 Macie 账户。如果成员账户与您的管理员账户取消关联，Macie 不会通知您。但是，该账户会继续出现在您的账户库存中，并且其状态为**成员已退出**。
+ 如果从组织中删除成员账户，Macie 将继续为该账户启用。账户成为独立的 Macie 账户。

## 回复和管理成员邀请
<a name="accounts-mgmt-invitations-notes-invitations-manage"></a>

作为邀请的接收者或基于邀请的组织的成员，在回复和管理收到的邀请时，请记住以下几点：
+ 在接受邀请之前，请确保您[了解 Macie 管理员账户和成员账户之间的关系](accounts-mgmt-relationships.md)。
+ 您的账户一次只能与一个 Macie 管理员账户关联。如果您接受邀请并随后想加入其他组织（通过邀请或通过 AWS Organizations），则必须先取消您的账户与其当前 Macie 管理员帐户的关联。然后，您可以加入另一个组织。
+ 要接受或拒绝邀请，您必须在发出邀请的 AWS 区域 中启用 Macie。发送邀请的账户无法在该地区为您启用 Macie。拒绝邀请是可选的。如果您拒绝邀请，则可以选择在拒绝邀请后在适用的地区禁用 Macie。
+ 如果您是 Macie 管理员，则不能接受成为成员账户的邀请，一个账户不能同时是 Macie 管理员和成员账户。要成为成员账户，您必须先从当前组织中移除所有成员账户，从而取消账户与其所有成员账户的关联。
+ Macie 是一项区域性服务。如果您接受邀请，则您的账户与 Macie 管理员账户之间的关联是区域性的，关联仅存在于发出和接受邀请的所在地。 AWS 区域 
+ 如果您在多个区域中使用 Macie，则您的账户的 Macie 管理员账户必须在所有这些区域中相同。但是，Macie 管理员必须在每个区域分开向您发送邀请，并且您必须在每个区域分别接受邀请。
+ 您可以随时取消您的账户与 Macie 管理员账户的关联。同样，您的 Macie 管理员也可以随时从他们的组织中删除您的账户。如果出现任何一种情况：
  + Macie 继续为您的账户启用。您的账户成为独立的 Macie 账户。
  + 自动敏感数据发现已禁用（如果已启用）。这也禁止了对现有的统计数据、库存数据以及 Macie 在对您的账户进行自动发现时生成和直接提供的其他信息的访问。您可以再次启用账户的自动发现功能。不过，这无法恢复对现有数据的访问。相反，Macie 在对您的账户执行自动发现时生成和维护新数据。

## 正在过渡到 AWS Organizations
<a name="accounts-mgmt-invitations-notes-transition-ao"></a>

在 Macie 中创建基于邀请的组织后，可以改为使用。 AWS Organizations 为了简化过渡，我们建议您将现有的基于邀请的管理员账户指定为 AWS Organizations中组织的 Macie 管理员账户。

如果您这样做，则所有当前关联的成员账户都将继续成为成员。如果成员账户是组织的一部分 AWS Organizations，则该账户的关联会自动从 “**受邀请**” 更改为 Macie AWS Organizations中的 **Via**。如果成员账户不是组织的一部分 AWS Organizations，则该账户的关联仍为**受邀者**。在这两种情况下，账户都将继续作为成员账户与 Macie 管理员账户关联。对于敏感数据发现，这也意味着账户可以继续访问 Macie 生成和直接提供的统计数据和其他数据，同时对账户执行自动敏感数据发现。此外，如果 Macie 管理员配置敏感数据发现任务来分析账户的数据，则后续的作业运行将继续包括账户拥有的资源。

我们建议使用这种方法，因为一个成员账户一次只能与一个 Macie 管理员账户相关联。如果您将其他帐户指定为中组织的 Macie 管理员帐户 AWS Organizations，则指定的管理员将无法通过邀请管理已与其他 Macie 管理员帐户关联的帐户。每个成员账户必须首先与其当前的基于邀请的管理员账户解除关联。只有这样，该 AWS Organizations 组织的 Macie 管理员才能将成员帐户添加到其组织中，并开始为该帐户管理 Macie。

将 Macie 与 Macie 集成 AWS Organizations 并在 Macie 中配置您的组织后，您可以选择为该组织指定不同的 Macie 管理员帐户。您也可以继续使用邀请来关联和管理 AWS Organizations中不属于您的组织的成员账户。

有关将 Macie 与集成的信息 AWS Organizations，请参阅[使用管理多个 Macie 账户 AWS Organizations](accounts-mgmt-ao.md)。