組織の Macie 管理者アカウントの変更

AWS Organizations 組織が Amazon Macie に統合され、設定されると、 AWS Organizations 管理アカウントは別のアカウントを組織の委任 Macie 管理者アカウントとして指定できます。 Amazon Macie

組織の AWS Organizations 管理アカウントのユーザーとして、組織の別の Macie 管理者アカウントを指定する前に、次のアクセス許可要件を満たしていることを確認します。

• 組織の Macie 管理者アカウントを最初に指定するために必要であったものと同じアクセス許可を持つ必要があります。また、次の AWS Organizations アクションの実行も許可されている必要があります: organizations:DeregisterDelegatedAdministrator。この追加アクションにより、現在の指定の削除が許可されます。

• お客様のアカウントが Macie メンバーアカウントとなっている場合は、現時点の Macie 管理者が、Macie メンバーアカウントとしてのお客様のアカウントを削除する必要があります。そうしないと、別の管理者アカウントを指定する Macie オペレーションにはアクセスできません。お客様が新しい管理者アカウントを指定すると、新しい Macie 管理者がお客様のアカウントを Macie メンバーアカウントとして再度追加できます。

組織が複数の で Macie を使用している場合は AWS リージョン、組織が Macie を使用する各リージョンで委任 Macie 管理者アカウントも変更してください。委任 Macie 管理者アカウントは、これらのすべてのリージョンで同じである必要があります。で複数の組織を管理する場合 AWS Organizations、アカウントは一度に 1 つの組織の委任 Macie 管理者アカウントになることができることに注意してください。追加の要件については、で Macie を使用する際の考慮事項 AWS Organizationsを参照してください。

注記

組織の別の Macie 管理者アカウントを指定すると、組織内のアカウントに対して機密データの自動検出を実行している間に Macie が生成して直接提供した既存の統計データ、インベントリデータ、その他の情報へのアクセスも無効にします。新しい Macie 管理者アカウントは、既存のデータにアクセスできません。指定を変更し、新しい Macie 管理者がアカウントの自動検出を有効にすると、Macie はアカウントの自動検出を実行するときに新しいデータを生成して維持します。

組織の Macie 管理者アカウントの指定を変更するには

組織の別の Macie 管理者アカウントを指定するには、Amazon Macie コンソールまたは Amazon Macie と の組み合わせを使用できます AWS Organizations APIs。組織の指定を変更できるのは、 AWS Organizations 管理アカウントのユーザーのみです。

Console

Amazon Macie コンソールを使用して指定を変更するには、次のステップに従います。

Macie 管理者アカウントの指定を変更するには

1. AWS Organizations 管理アカウント AWS Management Console を使用して にサインインします。

2. ページの右上隅にある AWS リージョン セレクターを使用して、指定を変更するリージョンを選択します。

3. で Amazon Macie コンソールを開きますhttps://console.aws.amazon.com/macie/。

4. Macie が現在のリージョンで管理アカウントに対して有効化されているかどうかに応じて、次のいずれかを実行します。

   • Macie が有効化されていない場合は、Welcome Page (ようこそページ) の Get started (開始方法) を選択します。

   • Macie が有効化されている場合は、ナビゲーションペインの Settings (設定) を選択します。

5. Delegated administrator (委任管理者) の下で、Remove (削除) を選択します。指定を変更するには、まず現在の指定を削除する必要があります。

6. 現在の指定を削除することを確認します。

7. 委任管理者 で、組織の新しい Macie 管理者アカウントとして AWS アカウント 指定する の 12 桁のアカウント ID を入力します。

8. [委任] を選択します。

Macie を AWS Organizationsと統合する追加のリージョンごとに、前述のステップを繰り返します。

API

プログラムで指定を変更するには、Amazon Macie の 2 つのオペレーションAPIと の 1 つのオペレーションを使用します AWS Organizations API。これは、新しい指定を送信する AWS Organizations 前に、Macie と の両方で現在の指定を削除する必要があるためです。

現在の指定を削除するには、以下を実行します。

1. Macie の DisableOrganizationAdminAccountオペレーションを使用しますAPI。必須adminAccountIdパラメータには、組織の Macie 管理者アカウントとして現在指定されている の 12 AWS アカウント 桁のアカウント ID を指定します。

2. の DeregisterDelegatedAdministratorオペレーションを使用します AWS Organizations API。AccountId パラメータでは、組織の Macie 管理者アカウントとして現在指定されているアカウントの 12 桁のアカウント ID を指定します。この値は、前の Macie リクエストで指定したアカウント ID と一致する必要があります。ServicePrincipal パラメータでは、Macie サービスプリンシパルmacie.amazonaws.comを指定します。

現在の指定を削除したら、Macie の EnableOrganizationAdminAccountオペレーションを使用して新しい指定を送信しますAPI。必須adminAccountIdパラメータには、組織の新しい Macie 管理者アカウントとして AWS アカウント 指定する の 12 桁のアカウント ID を指定します。

を使用して指定を変更するにはAWS CLI、Macie の disable-organization-admin-account コマンドAPIと の deregister-delegated-administrator コマンドを実行します AWS Organizations API。これらのコマンドは、Macie と の現在の指定 AWS Organizationsをそれぞれ削除します。admin-account-id および account-idパラメータには、削除する の 12 桁のアカウント ID AWS アカウント を現在の Macie 管理者アカウントとして指定します。region パラメータを使用して、削除が適用されるリージョンを指定します。例:

C:\> aws macie2 disable-organization-admin-account --region us-east-1 --admin-account-id 111122223333 && aws organizations deregister-delegated-administrator --region us-east-1 --account-id 111122223333 --service-principal macie.amazonaws.com

コードの説明は以下のとおりです。

• us-east-1 は、削除が適用される リージョン、米国東部 (バージニア北部) リージョンです。

• 111122223333 は、Macie 管理者アカウントとして削除するアカウントのアカウント ID です。

• macie.amazonaws.com は、Macie サービスプリンシパルです。

現在の指定を削除したら、Macie の enable-organization-admin-account コマンドを実行して新しい指定を送信しますAPI。admin-account-id パラメータには、組織の新しい Macie 管理者アカウントとして AWS アカウント 指定する の 12 桁のアカウント ID を指定します。region パラメータを使用して、指定が適用されるリージョンを指定します。例:

C:\> aws macie2 enable-organization-admin-account --region us-east-1 --admin-account-id 444455556666

各パラメータの意味は次のとおりです。us-east-1 は、指定が適用されるリージョン (米国東部 (バージニア北部) リージョン) および 444455556666 は、新しい Macie 管理者アカウントとして指定するアカウントのアカウント ID です。