組織の別の Amazon Macie 管理者アカウントの指定 - Amazon Macie

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

組織の別の Amazon Macie 管理者アカウントの指定

AWS Organizations 組織が Amazon Macie で統合および設定された後、AWS Organizations 管理アカウントは、別のアカウントを組織の委任 Macie 管理者アカウントとして指定できるようになります。

指定を変更するには、お客様 (AWS Organizations 管理アカウントのユーザーとして) は、組織の Macie 管理者アカウントを最初に指定するために必要であったものと同じアクセス許可を持つ必要があります。また、次の許可が必要ですAWS Organizationsアクション: organizations:deregisterDelegatedAdministrator。 このアクションにより、現在の指定の削除が許可されます。

組織が Macie を複数の AWS リージョン で使用している場合は、組織が Macie を使用する各リージョンでの指定を変更する必要があります。委任 Macie 管理者アカウントは、これらのすべてのリージョンで同じである必要があります。追加の要件については、「AWS Organizations を用いて Amazon Macie を使用するための考慮事項とレコメンデーション」を参照してください。

組織の別の Macie 管理者アカウントを指定するには

組織の別の Macie 管理者アカウントを指定するには、Amazon Macie コンソールまたは Amazon Macie と AWS Organizations API の組み合わせを使用できます。AWS Organizations 管理アカウントのユーザーのみが指定を変更できます。

Console

Amazon Macie コンソールを使用して指定を変更するには、次のステップに従います。

別の Macie 管理アカウントを指定するには

  1. AWS Organizations 管理アカウントを使用して AWS Management Console にログインします。

  2. ページの右上隅にある AWS リージョン セレクターを使用して、指定を変更するリージョンを選択します

  3. Amazon Macie コンソール (https://console.aws.amazon.com/macie/) を開きます。

  4. Macie が現在のリージョンで管理アカウントに対して有効化されているかどうかに応じて、次のいずれかを実行します。

    • Macie が有効化されていない場合は、Welcome Page (ようこそページ) の [Get started] (開始方法) を選択します。

    • Macie が有効化されている場合は、ナビゲーションペインの [Settings] (設定) を選択します。

  5. [Delegated administrator] (委任管理者) の下で、[Remove] (削除) を選択します。指定を変更するには、まず現在の指定を削除する必要があります。

  6. 現在の指定を削除することを確認します。

  7. [Delegated administrator] (委任管理者) の下で、組織の新しい Macie 管理者として指定する AWS アカウント の 12 桁の AWS アカウント ID を入力します。

  8. [Delegate] (委任) を選択します。

Macie を AWS Organizations と統合する追加のリージョンごとに、前述のステップを繰り返します。

API

プログラムで指定を変更するには、Amazon Macie API の 2 つのオペレーションと、AWS Organizations API の 1 つのオペレーションを使用します。これは、新しい指定を送信する前に、Macie と AWS Organizations の両方で現在の指定を削除する必要があるからです。

現在の指定を削除するには、以下を実行します。

  1. を使用するDisableOrganizationAdminAccountMacie API のオペレーションを実行します。必要な adminAccountId パラメータでは、組織の Macie 管理者アカウントとして現在指定されている AWS アカウント の 12 桁のアカウント ID を指定します。

  2. を使用するDeregisterDelegatedAdministratorを実行AWS OrganizationsAPI。AccountId パラメータでは、組織の Macie 管理者アカウントとして現在指定されているアカウントの 12 桁のアカウント ID を指定します。この値は、前の Macie リクエストで指定したアカウント ID と一致する必要があります。ServicePrincipal パラメータでは、Macie サービスプリンシパル (macie.amazonaws.com) を指定します。

現在の指定を削除した後、を実行EnableOrganizationAdminAccountMacie API のオペレーションを実行します。必要な adminAccountId パラメータでは、組織の新しい Macie 管理者アカウントとして指定する AWS アカウント の 12 桁のアカウント ID を指定します。

を実行AWS CLIを実行disable-organization-admin-accountMacie API のコマンドとderegister-delegated-administratorのコマンドAWS OrganizationsAPI。これらのコマンドは、それぞれ Macie の現在の指定および AWS Organizations を削除します。admin-account-id および account-id パラメータでは、現在の Macie 管理者アカウントとして削除する AWS アカウント の 12 桁のアカウント ID を指定します。region パラメータを使用して、削除が適用されるリージョンを指定します。例:

C:\> aws macie2 disable-organization-admin-account --region us-east-1 --admin-account-id 111122223333 && aws organizations deregister-delegated-administrator --region us-east-1 --account-id 111122223333 --service-principal macie.amazonaws.com

ここで、

  • us-east-1は、削除が適用されるリージョン (米国東部 (バージニア北部) リージョン) です。

  • 111122223333は、Macie 管理者アカウントとして削除するアカウントのアカウント ID です。

  • macie.amazonaws.com は、Macie サービスプリンシパルです。

現在の指定を削除した後、を実行enable-organization-admin-accountMacie API の admin-account-id パラメータでは、組織の新しい Macie 管理者アカウントとして指定する AWS アカウント の 12 桁のアカウント ID を指定します。region パラメータを使用して、指定が適用されるリージョンを指定します。例:

C:\> aws macie2 enable-organization-admin-account --region us-east-1 --admin-account-id 444455556666

ここで、us-east-1 は指定が適用されるリージョン (米国東部 (バージニア北部) リージョン) であり、444455556666 は新しい Macie 管理者アカウントとして指定するアカウントのアカウント ID です。