AWS Organizations を用いて Amazon Macie を使用するための考慮事項とレコメンデーション - Amazon Macie

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Organizations を用いて Amazon Macie を使用するための考慮事項とレコメンデーション

Amazon Macieを AWS Organizations と統合し、Macie で組織を設定する前に、以下の要件とレコメンデーションを検討してください。また、Macie 管理者アカウントとメンバーアカウントの関係を理解してください。

Macie 管理者アカウントの指定

組織の委任 Macie 管理者アカウントにする必要があるアカウントを決定する際には、次の点に注意してください。

  • 組織は、委任 Macie 管理者アカウントを 1 つだけ持つことができます。

  • アカウントを Macie 管理者とメンバーアカウントに同時に設定することはできません。

  • 組織の AWS Organizations 管理アカウントのみが組織の委任 Macie 管理者アカウントを指定でき、その管理アカウントのみが後でその指定を変更または削除できます。

  • 組織の AWS Organizations 管理アカウントは、組織の委任 Macie 管理者アカウントにすることもできます。ただし、AWS セキュリティのベストプラクティスと最小特権の原則に基づく設定は推奨されません。請求の目的で管理アカウントにアクセスできるユーザーは、情報セキュリティの目的で Macie にアクセスする必要があるユーザーとは異なる可能性があります。

    この設定を希望する場合は、少なくとも 1 つの AWS リージョン 内で組織の管理アカウントの Macie を有効化してから、そのアカウントを委任 Macie 管理者アカウントとして指定する必要があります。そうしないと、アカウントはメンバーアカウントの Macie 設定とリソースへのアクセスおよび管理ができなくなります。

  • AWS Organizations と異なり、Macie はリージョンでのサービスです。これは、Macie 管理者アカウントの指定がリージョンでの指定であることを意味します。それは、Macie 管理者とメンバーアカウントの間の関連付けはリージョンでのものであることも意味します。たとえば、管理アカウントが米国東部 (バージニア北部) リージョンの Macie 管理者アカウントを指定している場合、Macie 管理者はそのリージョンのメンバーアカウントの Macie のみを管理できます。

    Macie アカウントを複数の AWS リージョン で集中管理するには、管理アカウントは、組織が Macie を現在使用している、または今後使用する各リージョンにサインインし、次にそれらの各リージョンで Macie 管理者アカウントを指定する必要があります。次に Macie 管理者は、それらの各リージョンで組織を設定できます。Macie が現在利用可能なリージョンの一覧については、AWS 全般のリファレンス のAmazon Macie エンドポイントとクォータを参照してください。

  • アカウントは、一度に 1 つの Macie 管理者アカウントのみと関連付けることができます。組織が複数のリージョンで Macie を使用している場合、指定 Macie 管理者アカウントは、それらのすべてのリージョンで同じである必要があります。ただし、組織の管理アカウントは、各リージョンで管理者アカウントを個別に指定する必要があります。

  • Macie 管理者の AWS アカウント が停止、分離、または閉鎖されている場合、関連付けられているすべての Macie メンバーアカウントが Macie メンバーアカウントとして自動的に削除されますが、Macie はアカウントに対して無効になりません。

Macie 管理者アカウントの指定の変更または削除

組織の AWS Organizations 管理アカウントのみが、組織の委任 Macie 管理者アカウントの指定を変更または削除できます。

管理アカウントが指定を削除した場合、関連付けられているすべてのメンバーアカウントが Macie メンバーアカウントとして削除されますが、Macie はそのアカウントに対して無効になりません。Macie の使用を一時停止または停止するアカウントの場合も、アカウントのユーザーがアカウントの Macie を停止 (一時停止) または無効 (停止) にする必要があります。

Macie メンバーアカウントの追加と削除

組織のメンバーアカウントを追加、削除、または管理する場合は、次の点に注意してください。

  • Macie 管理者アカウントは、各 AWS リージョン 内では、わずか 10,000 個のアクティブな (有効な) Macie メンバーアカウントにしか関連付けることができません。組織がこのクォータを超える場合、Macie 管理者は、リージョン内の必要な数の既存のメンバーアカウントを削除するまで、メンバーアカウントを追加できなくなります。

    組織がこのクォータを満たしたら、アカウントの AWS Health および Amazon CloudWatch イベントを作成して Macie 管理者に通知されます。また、E メールが彼らのアカウントに関連付けられているアドレスに送信されます。

    お客様が組織の Macie 管理者である場合は、Amazon Macie コンソールの Accounts (アカウント) ページまたは Amazon Macie API の DescribeOrganizationConfiguration オペレーションを使用して、現在お客様のアカウントに関連付けられているアクティブなメンバーアカウントの数を判断できます。詳細については、組織の Amazon Macie アカウントの確認を参照してください。

  • アカウントは、一度に 1 つの Macie 管理者アカウントのみと関連付けることができます。これは、アカウントが AWS Organizations 内で組織の Macie 管理者アカウントにすでに関連付けられている場合、別のアカウントからの Macie の招待は受け入れられないことを意味します。

    同様に、アカウントがすでに招待を受け入れている場合は、AWS Organizations 内で組織の Macie 管理者はアカウントを Macie メンバーアカウントとして追加することはできません。そのアカウントは、まず現在の招待ベースの管理者アカウントから関連付けを解除する必要があります。

  • AWS Organizations 管理アカウントを Macie メンバーアカウントとして追加するには、管理アカウントのユーザーは、まずアカウントの Macie を有効化する必要があります。Macie 管理者は、管理アカウントで Macie を有効化することはできません。

  • メンバーアカウントは Macie 管理者アカウントから関連付けを解除できません。Macie 管理者のみが Macie メンバーアカウントとしてアカウントを削除できます。

  • Macie 管理者が Macie メンバーアカウントを削除しても、Macie はそのアカウントに対して引き続き有効化されます。また、Macie の使用を一時停止または停止するには、アカウントのユーザーがアカウントの Macie を停止 (一時停止) または無効 (停止) にする必要があります。

招待ベースの組織からの移行

Macie メンバーシップの招待を使用して Macie 管理者アカウントをメンバーアカウントにすでに関連付けている場合は、そのアカウントを AWS Organizations 内で組織の委任 Macie 管理者アカウントとして指定することをお勧めします。これにより、招待ベースの組織からの移行が簡素化されます。

これを行うと、現在関連付けられているすべてのメンバーアカウントが引き続きメンバーになります。メンバーアカウントが AWS Organizations 内で組織の一部である場合、アカウントの関連付けは、Macie 内で 招待により から 経由AWS Organizations に自動的に変わります。メンバーアカウントが AWS Organizations 内で組織の一部ではない場合、アカウントの関連付けは引き続き 招待によりになります。どちらの場合も、アカウントは引き続きメンバーアカウントとして委任 Macie 管理者アカウントに関連付けられます。

1 つのアカウントを複数の Macie 管理者アカウントに同時に関連付けることができないため、この方法をお勧めします。別のアカウントを AWS Organizations 内で組織の Macie 管理者として指定した場合、指定された管理者は、招待によって別の Macie 管理者アカウントにすでに関連付けられているアカウントを管理できなくなります。各メンバーアカウントは、まず現在の招待ベースの管理者アカウントから関連付けを解除する必要があります。次に、AWS Organizations 内で組織の Macie 管理者アカウントはそのアカウントを Macie メンバーアカウントとして追加し、アカウントの管理を開始できます。

Macieを AWS Organizations と統合し、Macie で組織を設定した後、必要に応じて組織の別の Macie 管理者アカウントを指定できます。招待を引き続き使用して、AWS Organizations 内で組織の一部ではないメンバーアカウントを関連付けて管理することもできます。