AWS Organizationsで Macie を使用するための考慮事項。 - Amazon Macie
管理者アカウントの指定管理者アカウントの指定の変更または削除メンバーアカウントの追加と削除招待ベースの組織からの移行

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Organizationsで Macie を使用するための考慮事項。

Amazon Macie を と統合 AWS Organizations し、Macie で組織を設定する前に、次の要件と推奨事項を検討してください。また、Macie 管理者アカウントとメンバーアカウントの関係を理解してください。

Macie 管理者アカウントの指定

組織の委任 Macie 管理者アカウントにする必要があるアカウントを決定する際には、次の点に注意してください。

  • 組織は、委任 Macie 管理者アカウントを 1 つだけ持つことができます。

  • アカウントを Macie 管理者とメンバーアカウントに同時に設定することはできません。

  • 組織の委任 Macie 管理者アカウントを指定できるのは、組織の AWS Organizations 管理アカウントのみです。その管理アカウントのみが、その後にその指定を変更または削除できます。

  • 組織の AWS Organizations 管理アカウントは、組織の委任 Macie 管理者アカウントにもすることができます。ただし、 AWS セキュリティのベストプラクティスと最小特権の原則に基づいてこの設定を行うことはお勧めしません。請求の目的で管理アカウントにアクセスできるユーザーは、情報セキュリティの目的で Macie にアクセスする必要があるユーザーとは異なる可能性があります。

    この設定を希望する場合は、アカウントを委任 Macie 管理者アカウントとして指定する AWS リージョン 前に、少なくとも 1 つの で組織の管理アカウントに対して Macie を有効にする必要があります。そうしないと、アカウントはメンバーアカウントの Macie 設定とリソースへのアクセスおよび管理ができなくなります。

  • とは異なり AWS Organizations、Macie はリージョンレベルのサービスです。これは、Macie 管理者アカウントの指定がリージョンでの指定であることを意味します。それは、Macie 管理者とメンバーアカウントの間の関連付けはリージョンでのものであることも意味します。たとえば、管理アカウントが米国東部 (バージニア北部) リージョンの Macie 管理者アカウントを指定している場合、Macie 管理者はそのリージョンのメンバーアカウントの Macie のみを管理できます。

    複数の で Macie アカウントを一元管理するには AWS リージョン、管理アカウントは、組織が現在 Macie を使用している、または使用する各リージョンにサインインし、それらの各リージョンで Macie 管理者アカウントを指定する必要があります。次に Macie 管理者は、それらの各リージョンで組織を設定できます。Macie が現在利用可能なリージョンの一覧については、AWS 全般のリファレンスのAmazon Macie エンドポイントとクォータを参照してください。

  • アカウントは、一度に 1 つの Macie 管理者アカウントのみと関連付けることができます。組織が複数のリージョンで Macie を使用している場合、指定 Macie 管理者アカウントは、それらのすべてのリージョンで同じである必要があります。ただし、組織の管理アカウントは、各リージョンで管理者アカウントを個別に指定する必要があります。

  • Macie 委任管理者アカウントになることができるアカウントは、一度に 1 つの組織に対してのみです。で複数の組織を管理する場合は AWS Organizations、組織ごとに異なる Macie 管理者アカウントを指定する必要があります。これは AWS Organizations 要件によるものです。アカウントが、組織のメンバーになることができるのは、一度に 1 つのみです。

Macie 管理者の AWS アカウント が停止、分離、または閉鎖されている場合、関連するすべての Macie メンバーアカウントは Macie メンバーアカウントとして自動的に削除されますが、Macie はアカウントに対して引き続き有効になります。機密データ自動検出は、1 つ以上のメンバーアカウントで有効になっていた場合、それらのアカウントでは無効になります。これにより、Macie が作成して、アカウントの自動検出の実行中に直接提供した統計データ、インベントリデータ、その他の情報にアクセスできなくなります。このデータへのアクセスを復元するには、30 日以内に次の手順を実行する必要があります。

  1. Macie 管理者の AWS アカウント が復元されます。

  2. AWS Organizations 管理アカウントは、そのアカウントを再び Macie 管理者アカウントとして指定します。

  3. Macie 管理者が組織を設定し、適切なアカウントの自動検出を再度有効にします。

30 日後、Macie は、以前に作成して、該当するアカウントの自動検出の実行中に直接提供したデータを完全に削除します。

Macie 管理者アカウントの指定の変更または削除

組織の委任 Macie 管理者アカウントの指定を変更または削除できるのは、組織の AWS Organizations 管理アカウントのみです。

管理アカウントが指定を変更または削除した場合:

  • 関連付けられたメンバーアカウントはすべて、Macie メンバーアカウントとして削除されますが、Macie は引き続きそれらのアカウントに対して有効なままです。それらのアカウントはスタンドアロンの Macie アカウントになります。Macie の使用を一時停止または停止するには、メンバーアカウントのユーザーがそのアカウントに対して Macie を中断 (一時停止) または無効化 (停止) する必要があります。

  • 機密データ自動検出は、有効化されたアカウントごとに無効になります。これにより、Macie が作成して、各アカウントの自動検出の実行中に直接提供した統計データ、インベントリデータ、その他の情報にはアクセスできなくなります。このデータへのアクセスを復元するには、30 日以内に管理アカウントが同じ Macie 管理者アカウントを再度指定する必要があります。さらに、Macie 管理者が組織を再度設定し、30 日以内にアカウントごとに自動検出を再度有効化する必要があります。30 日後、そのデータは期限切れになり、Macie はデータを完全に削除します。

Macie メンバーアカウントの追加と削除

組織のメンバーアカウントを追加、削除、または管理する場合は、次の点に注意してください。

  • Macie 管理者アカウントは、各 AWS リージョン内では、最大 10,000 個の Macie メンバーアカウントに関連付けることができます。組織がこのクォータを超える場合、Macie 管理者は、リージョン内の必要な数の既存のメンバーアカウントを削除するまで、メンバーアカウントを追加できなくなります。組織がこのクォータを満たすと、アカウントの AWS Health イベントを作成して Macie 管理者に通知します。また、E メールが彼らのアカウントに関連付けられているアドレスに送信されます。

    ユーザーが組織の Macie 管理者である場合は、Amazon Macie コンソールのアカウントページまたは Amazon Macie Amazon Macie の ListMembersオペレーションを使用して、現在アカウントに関連付けられているメンバーアカウントの数を確認できますAPI。詳細については、「組織の Macie アカウントを確認する」を参照してください。

  • アカウントは、一度に 1 つの Macie 管理者アカウントのみと関連付けることができます。これは、アカウントが AWS Organizations内で組織の Macie 管理者アカウントにすでに関連付けられている場合、別のアカウントからの Macie の招待は受け入れられないことを意味します。

    同様に、アカウントが既に招待を承諾している場合、 の組織の Macie AWS Organizations 管理者はアカウントを Macie メンバーアカウントとして追加できません。そのアカウントは、まず現在の招待ベースの管理者アカウントから関連付けを解除する必要があります。

  • AWS Organizations 管理アカウントを Macie メンバーアカウントとして追加するには、管理アカウントのユーザーがまずアカウントの Macie を有効にする必要があります。Macie 管理者は、管理アカウントで Macie を有効化することはできません。

  • Macie 管理者が Macie メンバーアカウントを削除する場合:

    • Macie は引き続きそのアカウントに対して有効化されています。アカウントはスタンドアロンの Macie アカウントになります。Macie の使用を一時停止または停止するには、そのアカウントのユーザーが自身のアカウントに対して Macie を中断 (一時停止) または無効化 (停止) する必要があります。

    • 機密データ自動検出は、有効になっている場合、そのアカウントに対して無効になります。これにより、Macie が作成して、アカウントの自動検出の実行中に直接提供した統計データ、インベントリデータ、その他の情報にアクセスできなくなります。

  • メンバーアカウントは Macie 管理者アカウントから関連付けを解除できません。Macie 管理者のみが Macie メンバーアカウントとしてアカウントを削除できます。

招待ベースの組織からの移行

Macie メンバーシップの招待を使用して Macie 管理者アカウントをメンバーアカウントにすでに関連付けている場合は、そのアカウントを AWS Organizations内で組織の委任 Macie 管理者アカウントとして指定することをお勧めします。これにより、招待ベースの組織からの移行が簡素化されます。

これを行うと、現在関連付けられているすべてのメンバーアカウントが引き続きメンバーになります。メンバーアカウントが の組織の一部である場合 AWS Organizations、アカウントの関連付けは Macie の Via への招待によって自動的に変更されます。 AWS Organizationsメンバーアカウントが AWS Organizations内で組織の一部ではない場合、アカウントの関連付けは引き続き 招待によりになります。どちらの場合も、アカウントは引き続きメンバーアカウントとして委任 Macie 管理者アカウントに関連付けられます。機密データ検出の場合、これは、アカウントが Macie が生成して直接提供した統計データやその他のデータに引き続きアクセスでき、アカウントの機密データ自動検出を実行できることも意味します。さらに、Macie 管理者がアカウントのデータを分析するために機密データ検出ジョブを設定した場合、その後のジョブ実行には引き続きアカウントが所有するリソースが含まれます。

1 つのアカウントを複数の Macie 管理者アカウントに同時に関連付けることができないため、この方法をお勧めします。別のアカウントを の組織の Macie 管理者アカウントとして指定すると AWS Organizations、指定された管理者は、招待によって別の Macie 管理者アカウントに既に関連付けられているアカウントを管理できなくなります。各メンバーアカウントは、まず現在の招待ベースの管理者アカウントから関連付けを解除する必要があります。次に、 AWS Organizations 内で組織の Macie 管理者アカウントはそのアカウントを Macie メンバーアカウントとして追加し、アカウントの管理を開始できます。

Macie を と統合 AWS Organizations し、Macie で組織を設定したら、必要に応じて組織の別の Macie 管理者アカウントを指定できます。招待を引き続き使用して、 AWS Organizations内で組織の一部ではないメンバーアカウントを関連付けて管理することもできます。