Amazon Macie 内で組織を統合および設定する - Amazon Macie

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Macie 内で組織を統合および設定する

を用いて Amazon Macie の使用を開始するにはAWS Organizations、AWS Organizations組織の管理アカウントは、アカウントを組織の委任 Macie 管理者アカウントとして指定します。これにより Macie は、AWS Organizations での信頼されたサービスとして有効になります。それにより、Macie が指定管理者アカウントとして現在の AWS リージョン でも有効化され、指定管理者アカウントは同じリージョン内で組織内の他のアカウントの Macie を有効化および管理できるようになります。これらのアクセス許可が付与される方法については、AWS Organizations ユーザーガイドの「他の AWS のサービス を用いた AWS Organizations の使用」を参照してください。

委任 Macie 管理者は、主に組織のアカウントをリージョン内の Macie メンバーアカウントとして追加することで、Macie 内で組織を設定します。その後、管理者は、そのリージョン内のアカウントの特定の Macie 設定、データ、およびリソースにアクセスできます。

このトピックでは、組織の委任 Macie 管理者を指定する方法と、組織のアカウントを Macie メンバーアカウントとして追加する方法について説明します。これらのタスクを実行する前に、管理者アカウントとメンバーアカウントの関係を理解してください。AWS Organizations を用いて Macie を使用するために、考慮事項とレコメンデーションを確認することをお勧めします。

複数のリージョンで組織を統合して設定するには、AWS Organizations 管理アカウントと委任 Macie 管理者は、追加のリージョンごとにこれらのステップを繰り返します。

ステップ 1: アクセス許可の確認

組織の委任 Macie 管理者アカウントを指定する前に、お客様は (AWS Organizations 管理アカウントのユーザーとして) 以下の AWS Organizations アクションを実行することが許可されていることを確認します。

  • organizations:DescribeOrganization

  • organizations:EnableAWSServiceAccess

  • organizations:ListAWSServiceAccessForOrganization

  • organizations:RegisterDelegatedAdministrator

これらのアクションにより、以下を行うことが許可されます: 組織に関する情報を取得する; Macie をAWS Organizationsと統合させる; どの AWS のサービス を AWS Organizations と統合したかについての情報を取得する; および、組織の委任 Macie 管理者アカウントを指定する。

これらのアクセス許可を付与するには、アカウントの既存の Macie ポリシーに次のステートメントを追加します。

{ "Sid": "Grant permissions to designate a delegated Macie administrator", "Effect": "Allow", "Action": [ "organizations:EnableAWSServiceAccess", "organizations:DescribeOrganization", "organizations:ListAWSServiceAccessForOrganization", "organizations:RegisterDelegatedAdministrator" ], "Resource": "*" }

自分を指定したいならAWS Organizations管理アカウント組織の委任 Macie 管理者アカウントとして、アカウントには以下を実行すためのアクセス許可も必要ですAWS Identity and Access Management(IAM) アクション: CreateServiceLinkedRole。 このアクションにより、管理アカウントで Macie を有効化することが許可されます。ただし、以下に基づいてAWSセキュリティのベストプラクティスと最小特権の原則として、これを行うことは推奨されません。

このアクセス許可を付与する場合は、AWS Organizations 管理アカウントの IAM ポリシーに次のステートメントを追加します。

{ "Sid": "Grant permissions to enable Macie", "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "arn:aws:iam::111122223333:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie", "Condition": { "StringLike": { "iam:AWSServiceName": "macie.amazonaws.com" } } }

ステートメントで、111122223333 を管理アカウントのアカウント ID と置き換えます。

手動で有効にした AWS リージョン で Macie を管理したい場合、Resource 要素と iam:AWSServiceName 条件キーの Macie サービスプリンシパルの値も更新します。値には、リージョンのリージョンコードを指定する必要があります。たとえば、リージョンコード me-south-1 を持つ中東 (バーレーン) リージョンで Macie を管理するには、以下を行います。

  • Resource 要素では、

    arn:aws:iam::111122223333:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie

    以下に置き換えます

    arn:aws:iam::111122223333:role/aws-service-role/macie.me-south-1.amazonaws.com/AWSServiceRoleForAmazonMacie

    ここで、111122223333 は管理アカウントのアカウント ID であり、me-south-1 はリージョンのリージョンコードを指定します。

  • iam:AWSServiceName 条件キーでは、macie.amazonaws.commacie.me-south-1.amazonaws.com に置き換えます

    ここで、me-south-1 はリージョンのリージョンコードを指定します。

現在 Macie を利用できるすべてのリージョンのリストおよびそれぞれのリージョンコードについては、Amazon Web Services 全般リファレンスで「Amazon Macie のエンドポイントとクォータ」を参照してください。手動で有効にしたリージョンの詳細については、Amazon Web Services 全般リファレンスの「AWS リージョン の管理」を参照してください。

ステップ 2: 組織の委任 Macie 管理者アカウントを指定する

アクセス許可を確認した後、お客様は (AWS Organizations 管理アカウントのユーザーとして) 組織の委任 Macie 管理者アカウントを指定できます。

組織の委任 Macie 管理者アカウントを指定するには

組織の委任 Macie 管理者アカウントを指定するには、Amazon Macie コンソールまたは Amazon Macie API を使用できます。AWS Organizations 管理アカウントのユーザーのみが、このタスクを実行できます。

Console

以下のステップに従って、Amazon Macie コンソールを使用して委任 Macie 管理者アカウントを指定します。

委任 Macie 管理者アカウントを指定するには

  1. AWS Organizations 管理アカウントを使用して AWS Management Console にログインします。

  2. ページの右上隅にある AWS リージョン セレクターを使用して、組織の委任 Macie 管理者アカウントを指定するリージョンを選択します。

  3. Amazon Macie コンソール (https://console.aws.amazon.com/macie/) を開きます。

  4. Macie が現在のリージョンで管理アカウントに対して有効化されているかどうかに応じて、次のいずれかを実行します。

    • Macie が有効化されていない場合は、Welcome Page (ようこそページ) の [Get started] (開始方法) を選択します。

    • Macie が有効化されている場合は、ナビゲーションペインの [Settings] (設定) を選択します。

  5. [Delegated administrator] (委任管理者) の下で、Macie 管理者として指定する AWS アカウント の 12 桁の AWS アカウント ID を入力します。

  6. [Delegate] (委任) を選択します。

組織を Macie と統合する追加のリージョンごとに、前述のステップを繰り返します。それらの各リージョンで同じ Macie 管理者アカウントを指定する必要があります。

API

委任 Macie 管理者アカウントをプログラムで指定するにはEnableOrganizationAdminAccountAmazon Macie API のオペレーション 複数のリージョンでアカウントを指定するには、組織を Macie と統合するリージョンごとに指定を送信します。それらの各リージョンで同じ Macie 管理者アカウントを指定する必要があります。

指定を送信するときは、必要な adminAccountId パラメータを使用して、組織の Macie 管理者アカウントとして指定する AWS アカウント の 12 桁のアカウント ID を指定します。また、指定が適用されるリージョンも必ず指定してください。

を用いて Macie 管理者アカウントを指定するにはAWS Command Line Interface(AWS CLI)、以下を実行します。enable-organization-admin-accountコマンド。admin-account-id パラメータでは、指定する AWS アカウント の 12 桁のアカウント ID を指定します。region パラメータを使用して、指定が適用されるリージョンを指定します。例:

C:\> aws macie2 enable-organization-admin-account --region us-east-1 --admin-account-id 111122223333

ここで、us-east-1 は指定が適用されるリージョン (米国東部 (バージニア北部) リージョン) であり、111122223333 は指定するアカウントのアカウント ID です。

組織の Macie 管理者アカウントを指定した後、Macie 管理者は Macie 内で組織の設定を開始できます。

ステップ 3: 新しい組織アカウントを Macie メンバーアカウントとして自動的に有効化して追加する

デフォルトでは、アカウントが AWS Organizations 内で組織に追加されたときに、Macie は新しいアカウントに対して自動的に有効化されません。また、アカウントは Macie メンバーアカウントとして自動的に追加されません。アカウントは Macie 管理者のアカウントインベントリに表示されます。ただし、Macie がアカウントに対して必ずしも有効化されているわけではなく、Macie 管理者はアカウントの Macie 設定、データ、およびリソースに必ずしもアクセスできるわけではありません。

お客様が組織の委任 Macie 管理者である場合は、組織のこの設定を変更できます。[Auto-enable] (自動有効化) 設定をオンにした場合、アカウントが AWS Organizations 内で組織に追加されると、Macie は新しいアカウントに対して自動的に有効化され、アカウントはメンバーアカウントとして Macie 管理者アカウントに自動的に関連付けられます。この設定を有効にしても、組織内の既存のアカウントには影響しません。既存のアカウントで Macie を有効化して管理するには、アカウントを Macie メンバーアカウントとして手動で追加する必要があります。次のステップでは、これを行う方法を説明します。

注記

[Auto-enable] (自動有効化) 設定をオンにした場合、次の例外に注意してください。

  • 新しいアカウントがすでに別の Macie 管理者アカウントに関連付けられている場合、Macie は組織内のメンバーアカウントとしてアカウントを自動的に追加しません。

    そのアカウントは、Macie 内で組織の一部になる前に、現在の Macie 管理者アカウントから関連付けを解除する必要があります。その後、アカウントを手動で追加できます。これが当てはまるアカウントを特定するには、組織のアカウントインベントリを確認することができます。

  • 組織が AWS リージョン 内で 5,000 個の Macie メンバーアカウントのクォータに達した場合、Macie はリージョンでこの設定を自動的にオフにします。

    これが発生した場合は、以下を作成して通知されますAWS Healthとアマゾン CloudWatchMacie 管理者アカウントのイベント また、E メールがそのアカウントに関連付けられているアドレスに送信されます。その後、アカウントの合計数が 5,000 アカウント未満に減少すると、Macie は自動的に設定を再度オンにします。

新しい組織アカウントを Macie メンバーアカウントとして自動的に有効化して追加するには

新しいアカウントを Macie メンバーアカウントとして自動的に有効化して追加するには、Amazon Macie コンソールまたは Amazon Macie API を使用できます。組織の委任 Macie 管理者のみが、このタスクを実行できます。

Console

コンソールを使用してこのタスクを実行するには、以下を実行すためのアクセス許可が与えられる必要がありますAWS Organizationsアクション: organizations:listAccounts。 このアクションにより、組織内のアカウントに関する情報を取得して表示することが許可されます。これらのアクセス許可を持っている場合は、次のステップに従って、新しい組織アカウントを Macie メンバーアカウントとして自動的に有効化して追加します。

新しい組織アカウントを自動的に有効化して追加するには

  1. Amazon Macie コンソール (https://console.aws.amazon.com/macie/) を開きます。

  2. ページの右上隅にある AWS リージョン セレクターを使用して、Macie メンバーとして新しいアカウントを自動的に有効化して追加するリージョンを選択します。

  3. ナビゲーションペインで [Settings] (設定) の [Accounts] (アカウント) を選択します。

  4. 上にアカウントページ、横アカウントの追加自動有効化を設定します。

Macie 内で組織を設定する追加のリージョンごとに、前述のステップを繰り返します。

後でこの設定を変更し、新しいアカウントの自動的な有効化と追加を停止するには、前のステップを繰り返して自動有効化を設定します。

API

新しい Macie メンバーアカウントをプログラムで自動的に有効化して追加するにはUpdateOrganizationConfigurationAmazon Macie API のオペレーション リクエストを送信するときは、autoEnable パラメータの値を true に設定します。(デフォルト値は false です。) また、リクエストが適用されるリージョンを必ず指定してください。追加のリージョンで新しいアカウントを自動的に有効化して追加するには、追加のリージョンごとにリクエストを送信します。

... を使用した場合AWS CLIリクエストを送信するにはupdate-organization-configurationコマンドを入力し、auto-enable新しいアカウントを自動的に有効化して追加するパラメータ 例:

$ aws macie2 update-organization-configuration --region us-east-1 --auto-enable

ここで、us-east-1 は、新しいアカウントを自動的に有効化して追加するリージョン (米国東部 (バージニア北部) リージョン) です。

後でこの設定を変更し、新しいアカウントの自動的な有効化と追加を停止するには、同じコマンドを再度実行して、該当するリージョンごとに、auto-enable パラメータではなく、no-auto-enable パラメータを使用します。

ステップ 4: 既存の組織アカウントを Macie メンバーアカウントとして有効化して追加する

Macie をと統合するとAWS Organizationsでは、組織内の既存のすべてのアカウントで Macie が自動的に有効化されるわけではありません。また、アカウントは委任 Macie 管理者アカウントに Macie メンバーアカウントとして自動的に関連付けられません。

したがって、Macie 内で組織を統合して設定する最後のステップは、既存の組織アカウントを Macie メンバーアカウントとして追加することです。既存のアカウントを Macie メンバーアカウントとして追加すると、そのアカウントに対して Macie が自動的に有効化され、お客様は (委任 Macie 管理者として) アカウントの特定の Macie 設定、データ、およびリソースにアクセスできるようになります。

別の Macie 管理者アカウントに現在関連付けられているアカウントを追加することはできないことに注意してください。アカウントを追加するには、アカウント所有者と協力して、まずアカウントを現在の管理者アカウントから関連付けを解除します。また、Macie が現在そのアカウントで停止されている場合、既存のアカウントを追加することはできません。アカウント所有者は、まずアカウントの Macie を再度有効化する必要があります。最後に、AWS Organizations 管理アカウントをメンバーアカウントとして追加したい場合、そのアカウントのユーザーは、まずアカウントの Macie を有効化する必要があります。

既存の組織アカウントを Macie メンバーアカウントとして有効化して追加するには

既存の組織アカウントを Macie メンバーアカウントとして有効化して追加するには、Amazon Macie コンソールまたは Amazon Macie API を使用できます。組織の委任 Macie 管理者のみが、このタスクを実行できます。

Console

コンソールを使用してこのタスクを実行するには、以下を実行すためのアクセス許可が与えられる必要がありますAWS Organizationsアクション: organizations:listAccounts。 このアクションにより、組織内のアカウントに関する情報を取得して表示することが許可されます。これらのアクセス許可を持っている場合は、次のステップに従って、既存のアカウントを Macie メンバーアカウントとして有効化して追加します。

既存の組織アカウントを有効化して追加するには

  1. Amazon Macie コンソール (https://console.aws.amazon.com/macie/) を開きます。

  2. ページの右上隅にある AWS リージョン セレクターを使用して、Macie メンバーとして既存のアカウントを有効化して追加するリージョンを選択します。

  3. ナビゲーションペインで [Settings] (設定) の [Accounts] (アカウント) を選択します。

    [Accounts] (アカウント) ページが開き、Macie アカウントに関連付けられているアカウントのテーブルが表示されます。アカウントが内の組織の一部であるものAWS Organizations、タイプですViaAWS Organizations。アカウントが Macie メンバーアカウントでない場合、その [Status] (ステータス) は [Not a member] (メンバーではない) です。

  4. [Accounts] (アカウント) テーブルで、Macie メンバーアカウントとして追加する各アカウントのチェックボックスをオンにします。

    ヒント

    追加するアカウントをより簡単に識別するには、テーブルをフィルタリングします。これを行うには、テーブルの上のフィルターバーにカーソルを置き、ステータス。次に選択してくださいステータス = メンバーではありません

  5. [Actions] (アクション) メニューで、[Add member] (メンバーを追加) を選択します。

  6. 選択したアカウントをメンバーアカウントとして追加することを確認します。

選択したアカウントの追加を確認すると、アカウントのステータスが [Creating/Enabling] (作成済み/有効化中)、[[Enabled] (有効化)の順に変わります。

Macie 内で組織を設定する追加のリージョンごとに、前述のステップを繰り返します。

API

Macie メンバーアカウントとして既存の 1 つ以上のアカウントをプログラムで有効化して追加するにはCreateMemberAmazon Macie API のオペレーション リクエストを送信するときは、サポートされているパラメータを使用して、有効化して追加する各 AWS アカウント の 12 桁のアカウント ID と E メールアドレスを指定します。また、リクエストが適用されるリージョンも指定します。追加のリージョンで既存のアカウントを有効化して追加するには、追加のリージョンごとにリクエストを送信します。

のアカウント ID と E メールアドレスを取得するにはAWS アカウント有効化して追加するには、オプションでListMembersAmazon Macie API のオペレーション このオペレーションは、Macie メンバーアカウントではないアカウントを含む、Macie アカウントに関連付けられているアカウントの詳細を提供します。アカウントの relationshipStatus プロパティの値が Enabled ではない場合、アカウントは Macie メンバーアカウントではありません。

AWS CLI を使用して 1 つ以上の既存のアカウントを有効化して追加するには、create-member コマンドを実行します。region パラメータを使用して、アカウントを有効化して追加するリージョンを指定します。account パラメータを使用して、追加する各 AWS アカウント についてアカウント ID と E メールアドレスを指定します。例:

C:\> aws macie2 create-member --region us-east-1 --account={\"accountId\":\"123456789012\",\"email\":\"janedoe@example.com\"}

Whereus-east-1Macie メンバーアカウントとしてアカウントとしてアカウントを有効化して追加するリージョン (米国東部 (バージニア北部) でありaccountパラメータはアカウント ID を指定します (123456789012) とメールアドレス (janedoe@example.com)をアカウント用。

リクエストが成功すると、ステータス (relationshipStatus指定したアカウントの) がに変更されますEnabledアカウントのインベントリにあります。