で Macie を使用する際の考慮事項 AWS Organizations - Amazon Macie

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

で Macie を使用する際の考慮事項 AWS Organizations

Amazon Macie を と統合する前に AWS Organizations Macie で組織を設定して、次の要件と推奨事項を検討してください。また、Macie 管理者アカウントとメンバーアカウントの関係を理解してください。

Macie 管理者アカウントの指定

組織の委任 Macie 管理者アカウントにする必要があるアカウントを決定する際には、次の点に注意してください。

  • 組織は、委任 Macie 管理者アカウントを 1 つだけ持つことができます。

  • アカウントを Macie 管理者とメンバーアカウントに同時に設定することはできません。

  • のみ AWS Organizations 組織の 管理アカウントは、組織の委任 Macie 管理者アカウントを指定できます。その後、その指定を変更または削除できるのは管理アカウントのみです。

  • - AWS Organizations 組織の 管理アカウントは、組織の委任 Macie 管理者アカウントでもかまいません。ただし、 に基づくこの設定はお勧めしません。 AWS セキュリティのベストプラクティスと最小特権の原則。請求の目的で管理アカウントにアクセスできるユーザーは、情報セキュリティの目的で Macie にアクセスする必要があるユーザーとは異なる可能性があります。

    この設定を希望する場合は、少なくとも 1 つの で組織の管理アカウントに対して Macie を有効にする必要があります。 AWS リージョン を委任 Macie 管理者アカウントとして指定する前に。そうしないと、アカウントはメンバーアカウントの Macie 設定とリソースへのアクセスおよび管理ができなくなります。

  • 異なる AWS Organizations、Macie はリージョンサービスです。これは、Macie 管理者アカウントの指定がリージョンでの指定であることを意味します。それは、Macie 管理者とメンバーアカウントの間の関連付けはリージョンでのものであることも意味します。たとえば、管理アカウントが米国東部 (バージニア北部) リージョンの Macie 管理者アカウントを指定している場合、Macie 管理者はそのリージョンのメンバーアカウントの Macie のみを管理できます。

    Macie アカウントを複数の で一元管理するには AWS リージョン、管理アカウントは、組織が現在 Macie を使用している、または使用する各リージョンにサインインし、それらの各リージョンで Macie 管理者アカウントを指定する必要があります。次に Macie 管理者は、それらの各リージョンで組織を設定できます。Macie が現在利用可能なリージョンのリストについては、「」のAmazon Macie エンドポイントとクォータ」を参照してください。 AWS 全般のリファレンス.

  • アカウントは、一度に 1 つの Macie 管理者アカウントのみと関連付けることができます。組織が複数のリージョンで Macie を使用している場合、指定 Macie 管理者アカウントは、それらのすべてのリージョンで同じである必要があります。ただし、組織の管理アカウントは、各リージョンで管理者アカウントを個別に指定する必要があります。

  • アカウントは、一度に 1 つの組織のみの委任 Macie 管理者アカウントにすることができます。で複数の組織を管理する場合 AWS Organizationsでは、組織ごとに異なる Macie 管理者アカウントを指定する必要があります。これは、 が原因です。 AWS Organizations 要件 - アカウントは一度に 1 つの組織のメンバーにしかなれません。

Macie 管理者の AWS アカウント は停止、分離、または閉鎖され、関連するすべての Macie メンバーアカウントは Macie メンバーアカウントとして自動的に削除されますが、Macie はアカウントに対して引き続き有効になります。1 つ以上のメンバーアカウントで機密データの自動検出が有効になっている場合、アカウントでは無効になります。これにより、アカウントの自動検出の実行中に Macie が生成して直接提供した統計データ、インベントリデータ、その他の情報へのアクセスも無効になります。このデータへのアクセスを復元するには、30 日以内に以下を実行する必要があります。

  1. Macie 管理者の AWS アカウント は復元されます。

  2. - AWS Organizations 管理アカウントは、アカウントを Macie 管理者アカウントとして再度指定します。

  3. Macie 管理者は組織を設定し、適切なアカウントの自動検出を再度有効にします。

30 日後、Macie は、該当するアカウントの自動検出を実行している間に、以前に生成して直接提供したデータを完全に削除します。

Macie 管理者アカウントの指定の変更または削除

のみ AWS Organizations 組織の 管理アカウントは、組織の委任 Macie 管理者アカウントの指定を変更または削除できます。

管理アカウントが指定を変更または削除した場合:

  • 関連付けられたすべてのメンバーアカウントは Macie メンバーアカウントとして削除されますが、Macie は引き続きアカウントに対して有効になります。アカウントはスタンドアロン Macie アカウントになります。Macie の使用を一時停止または停止するには、メンバーアカウントのユーザーがアカウントの Macie を停止 (一時停止) または無効化 (停止) する必要があります。

  • 機密データの自動検出は、有効化されたアカウントごとに無効になります。これにより、Macie が各アカウントの自動検出を実行中に生成して直接提供した統計データ、インベントリデータ、その他の情報へのアクセスも無効になります。このデータへのアクセスを復元するには、管理アカウントが 30 日以内に同じ Macie 管理者アカウントを再度指定する必要があります。さらに、Macie 管理者は組織を再度設定し、30 日以内に各アカウントの自動検出を再度有効にする必要があります。30 日後、データは期限切れになり、Macie はそのデータを完全に削除します。

Macie メンバーアカウントの追加と削除

組織のメンバーアカウントを追加、削除、または管理する場合は、次の点に注意してください。

  • Macie 管理者アカウントは、それぞれ 10,000 個以下の Macie メンバーアカウントに関連付けることができます。 AWS リージョン。 組織がこのクォータを超えると、Macie 管理者はリージョン内の必要な数の既存のメンバーアカウントを削除するまでメンバーアカウントを追加できなくなります。組織がこのクォータを満たすと、 を作成して Macie 管理者に通知します。 AWS Health アカウントの イベント。また、E メールが彼らのアカウントに関連付けられているアドレスに送信されます。

    ユーザーが組織の Macie 管理者である場合は、Amazon Macie コンソールのアカウントページまたは Amazon Macie Amazon Macie の ListMembersオペレーションを使用して、現在アカウントに関連付けられているメンバーアカウントの数を判断できますAPI。詳細については、「組織の Macie アカウントの確認」を参照してください。

  • アカウントは、一度に 1 つの Macie 管理者アカウントのみと関連付けることができます。つまり、アカウントが の組織の Macie 管理者アカウントに関連付けられている場合、別のアカウントからの Macie 招待を受け入れることはできません。 AWS Organizations.

    同様に、アカウントが既に招待を承諾している場合、 の組織の Macie 管理者 AWS Organizations は Macie メンバーアカウントとしてアカウントを追加できません。そのアカウントは、まず現在の招待ベースの管理者アカウントから関連付けを解除する必要があります。

  • を追加するには AWS Organizations 管理アカウントを Macie メンバーアカウントとして使用する場合、管理アカウントのユーザーはまずアカウントの Macie を有効にする必要があります。Macie 管理者は、管理アカウントで Macie を有効化することはできません。

  • Macie 管理者が Macie メンバーアカウントを削除した場合:

    • Macie は引き続きそのアカウントに対して有効化されています。アカウントはスタンドアロン Macie アカウントになります。Macie の使用を一時停止または停止するには、アカウントのユーザーがアカウントの Macie を停止 (一時停止) または無効化 (停止) する必要があります。

    • アカウントで機密データの自動検出が有効になっている場合、そのアカウントでは機密データの自動検出は無効になります。これにより、アカウントの自動検出の実行中に Macie が生成して直接提供した統計データ、インベントリデータ、その他の情報へのアクセスも無効になります。

  • メンバーアカウントは Macie 管理者アカウントから関連付けを解除できません。Macie 管理者のみが Macie メンバーアカウントとしてアカウントを削除できます。

招待ベースの組織からの移行

Macie メンバーシップの招待を使用して Macie 管理者アカウントをメンバーアカウントに既に関連付けている場合は、そのアカウントを の組織の委任 Macie 管理者アカウントとして指定することをお勧めします。 AWS Organizations。 これにより、招待ベースの組織からの移行が簡素化されます。

これを行うと、現在関連付けられているすべてのメンバーアカウントが引き続きメンバーになります。メンバーアカウントが の組織の一部である場合 AWS Organizations、アカウントの関連付けは、Via への招待によって から自動的に変更されます。 AWS Organizations Macie で。メンバーアカウントが の組織に含まれていない場合 AWS Organizations、アカウントの関連付けは引き続き招待により になります。どちらの場合も、アカウントは引き続きメンバーアカウントとして委任 Macie 管理者アカウントに関連付けられます。

1 つのアカウントを複数の Macie 管理者アカウントに同時に関連付けることができないため、この方法をお勧めします。で組織の Macie 管理者アカウントとして別のアカウントを指定する場合 AWS Organizations、指定された管理者は、招待によって別の Macie 管理者アカウントに既に関連付けられているアカウントを管理できません。各メンバーアカウントは、まず現在の招待ベースの管理者アカウントから関連付けを解除する必要があります。の組織の Macie 管理者 AWS Organizations は、アカウントを Macie メンバーアカウントとして追加し、アカウントの管理を開始できます。

Macie を と統合した後 AWS Organizations Macie で組織を設定する場合、オプションで組織の別の Macie 管理者アカウントを指定できます。招待を引き続き使用して、 の組織に含まれていないメンバーアカウントを関連付けて管理することもできます。 AWS Organizations.