Amazon Macie での招待ベースの組織の作成と管理 - Amazon Macie
メンバーアカウントを組織に追加するメンバーアカウントの Macie を停止するメンバーアカウントの削除他のアカウントとの関連付けを削除する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Macie での招待ベースの組織の作成と管理

Amazon Macie で招待ベースの組織を作成するには、まず、組織の Macie 管理者アカウントにするアカウントを決定します。その後、そのアカウントを使用してメンバーアカウントを追加します。他の AWS アカウント にメンバーシップの招待を送信し、現在の AWS リージョン で Macie メンバーアカウントとして組織に参加するためにアカウントを招待します。複数のリージョンで組織を作成するには、他のアカウントが現在または今後 Macie を使用する各リージョンからメンバーシップの招待を送信します。

アカウントが招待を受け入れると、そのアカウントは該当するリージョンの Macie 管理者アカウントに関連付けられた Macie メンバーアカウントになります。その後、Macie 管理者アカウントは、そのリージョン内のメンバーアカウントの特定の Macie 設定、データ、およびリソースにアクセスできます。

招待ベースの組織の Macie 管理者として、お客様は Amazon Simple Storage Service (Amazon S3) のインベントリデータとメンバーアカウントのポリシー結果を確認できます。また、機密データ検出を自動化し、また、機密データ検出ジョブを実行し、メンバーアカウントが所有する S3 バケット内の機密データを検出することもできます。実行できるタスクの詳細なリストについては、「Amazon Macie 管理者とメンバーアカウントの関係について理解する」を参照してください。

デフォルトでは、Macie は、組織全体の関連データとリソースを可視化します。ドリルダウンして、組織内の個々のアカウントのデータとリソースを確認することもできます。たとえば、[Summary] ダッシュボードを使用して、組織の Amazon S3 セキュリティ体制を評価する場合は、アカウントごとにデータをフィルタリングできます。同様に、推定使用量のコストをモニタリングする場合は、個々のメンバーアカウントの推定コストの内訳にアクセスできます。

管理者およびメンバーアカウントに共通するタスクに加えて、組織のさまざまな管理タスクを一元的に実行できます。これらのタスクを実行する前に、Macie で招待ベースの組織を管理するために、考慮事項とレコメンデーションを確認することをお勧めします。

Amazon Macie メンバーアカウントを招待ベースの組織に追加する

招待ベースの組織の Macie 管理者として、お客様は 2 つの主なステップを実行して、組織にメンバーアカウントを追加します。

  1. Macie のアカウントインベントリにお客様のアカウントを追加します。これによりそのアカウントをお客様のアカウントに関連付けます。

  2. メンバーシップの招待をアカウントに送信します。

アカウントがお客様の招待を受け入れると、それは組織のメンバーアカウントになります。

ステップ 1: アカウントを追加する

1 つ以上のアカウントをアカウントインベントリに追加するには、Amazon Macie コンソールまたは Amazon Macie API を使用することができます。

Console

Amazon Macie コンソールでは、一度に 1 つのアカウントを追加したり、カンマ区切り値 (CSV) ファイルをアップロードして複数のアカウントを同時に追加したりできます。コンソールを使用して 1 つ以上のアカウントを追加するには、次のステップに従います。

1 つのアカウントを追加するには

  1. Amazon Macie コンソール (https://console.aws.amazon.com/macie/) を開きます。

  2. ページの右上隅にある AWS リージョン セレクターを使用して、アカウントを追加するリージョンを選択します。

  3. ナビゲーションペインで [Settings] (設定) の [Accounts] (アカウント) を選択します。

  4. [Add accounts (アカウントの追加]) を選択します。

  5. 「アカウントの詳細を入力」セクションで、「アカウントを追加」タブを選択します。次に、以下の操作を実行します。

    • [Account ID] (アカウント ID) では、追加する AWS アカウント の 12 桁のアカウント ID を入力します。

    • [Email address] (E メールアドレス) では、追加する AWS アカウント の E メールアドレスを入力します。

  6. [Add] (追加)、[Next] (次へ) の順に選択します。

Macie はアカウントインベントリにアカウントを追加します。アカウントの種類は「招待制」で、ステータスは「作成済み」です。アカウントを追加する追加のリージョンごとに、前述のステップを繰り返します。

複数のアカウントを追加するには

  1. テキストエディタを使用して、次のように CSV ファイルを作成します。

    1. ファイルの最初の行として、次のヘッダーを追加します: Account ID,Email

    2. アカウントごとに、追加する AWS アカウント の 12 桁のアカウント ID およびアカウントの E メールアドレスを持つ新しい行を作成します。エントリをカンマで区切ります。例: 111111111111,janedoe@example.com

      E メールアドレスは、AWS アカウント と関連付けられた E メールアドレスと一致する必要があります。

    3. ファイルの内容が、次の例に示すようにフォーマットされていることを確認します。これには、3 つのアカウントの必須ヘッダーと情報が含まれています。

      Account ID,Email
111111111111,janedoe@example.com
222222222222,jorgesouza@example.com
333333333333,lijuan@example.com

    4. ファイルをコンピュータに保存します。

  2. Amazon Macie コンソール (https://console.aws.amazon.com/macie/) を開きます。

  3. ページの右上隅にある AWS リージョン セレクターを使用して、そのアカウントを追加するリージョンを選択します。

  4. ナビゲーションペインで [Settings] (設定) の [Accounts] (アカウント) を選択します。

  5. [Add accounts (アカウントの追加]) を選択します。

  6. 「アカウントの詳細を入力」セクションで、「リストのアップロード (CSV)」タブを選択します。

  7. [Browse] (参照) を選択し、ステップ 1 で作成した CSV ファイルを選択します。

  8. [アカウントを追加]、[Next] (次へ) の順に選択します。

Macie はアカウントインベントリにそれらのアカウントを追加します。タイプは「招待制」で、ステータスは「作成済み」です。アカウントを追加する追加のリージョンごとにステップ 3~8 を繰り返します。

API

1 つ以上のアカウントをプログラムで追加するには、Amazon CreateMemberMacie API オペレーションを使用します。リクエストを送信するときは、サポートされているパラメータを使用して、追加する各 AWS アカウント の 12 桁のアカウント ID と E メールアドレスを指定します。また、リクエストが適用されるリージョンも指定します。追加のリージョンでアカウントを追加するには、追加のリージョンごとにリクエストを送信します。

AWS Command Line Interface (AWS CLI) を使用してアカウントを追加するには、create-member コマンドを実行します。region パラメータを使用して、アカウントを追加するリージョンを指定します。account パラメータを使用して、追加する各 AWS アカウント についてアカウント ID と E メールアドレスを指定します。例: 

C:\> aws macie2 create-member --region us-east-1 --account={\"accountId\":\"111111111111\",\"email\":\"janedoe@example.com\"}

ここで、us-east-1 は、アカウントを追加するリージョン (米国東部 (バージニア北部) リージョン) であり、account パラメータは、追加するアカウントのアカウント ID (111111111111) とそのアカウントの E メールアドレス (janedoe@example.com) を指定します。

リクエストが成功すると、Macie は Created のステータスでアカウントのインベントリに各アカウントを追加し、お客様は次のような出力を受け取ります。

{
    "arn": "arn:aws:macie2:us-east-1:123456789012:member/111111111111"
}

ここで、arn は、お客様のアカウントと追加したアカウントとの関連付けのために作成されたリソースの Amazon リソースネーム (ARN) です。この例では、123456789012 は関連付けを作成したアカウントのアカウント IDで、111111111111 は追加されたアカウントのアカウント ID です。

ステップ 2: アカウントへメンバーシップの招待を送信する

アカウントインベントリにアカウントを追加した後、そのアカウントを招待して Macie メンバーアカウントとして組織に参加させることができます。これを行うには、アカウントにメンバーシップの招待を送信します。招待を送信すると、アカウントで Macie が有効化されている場合、受信者のアカウントの Amazon Macie コンソールに アカウント バッジと通知が表示されます。Macie はアカウントの AWS Health イベントも作成します。

Amazon Macie コンソールまたは API を使用して招待を送信するかどうかに応じて、Macie は、アカウントを追加したときに受信者のアカウントで指定した E メールアドレスにも招待を送信します。E メールメッセージは、お客様が彼らのアカウントの Macie 管理者になりたいことを示し、それにはお客様の AWS アカウント のアカウント ID と受信者の AWS アカウント が含まれています。メッセージは、招待へのアクセス方法も説明しています。オプションで、メッセージにカスタムテキストを追加できます。

1 つ以上のアカウントにメンバーシップの招待を送信するには、Amazon Macie コンソールまたは Amazon Macie API を使用できます。

Console

Amazon Macie コンソールを使用してメンバーシップの招待を送信するには、次のステップに従います。

メンバーシップの招待を送信するには

  1. Amazon Macie コンソール (https://console.aws.amazon.com/macie/) を開きます。

  2. ページの右上隅にある AWS リージョン セレクターを使用して、招待を送信するリージョンを選択します。

  3. ナビゲーションペインで [Settings] (設定) の [Accounts] (アカウント) を選択します。

  4. [Accounts] (アカウント) テーブルで、招待の送信先の各アカウントのチェックボックスをオンにします。

    ヒント

    追加したアカウントや、招待をまだ送信していないアカウントをより簡単に識別するには、テーブルをフィルタリングします。これを行うには、テーブルの上にあるフィルターバーにカーソルを置き、[Status] を選択します。次に、[ステータス] = [作成済み] を選択します。

  5. [Actions] (アクション) メニューで、[Invite]] (招待) を選択します。

  6. (オプション) [Message] (メッセージ) ボックスに、招待を含む E メールメッセージに含めるカスタムテキストを入力します。テキストには最大 80 文字の英数字を含めることができます。

  7. [Invite] (招待) を選択します。

追加の AWS リージョン で招待を送信するには、追加のリージョンで前述のステップを繰り返します。

招待を送信すると、受信者アカウントのステータスがアカウントのインベントリで [Email verification in progress] (E メール認証中) に変わります。Macie がアカウントの E メールアドレスを確認できる場合、その後アカウントのステータスは [Invited] (招待済み) に変わります。Macie がアドレスを確認できない場合、アカウントのステータスは [Email verification failed] (E メール認証に失敗しました) に変わります。このような場合は、アカウントの所有者と協力して、正しい E メールアドレスを取得してください。次に、アカウント間の関連付けを削除し、もう一度アカウントを追加し、再度招待を送信します。

受信者が招待を受け入れると、受信者のアカウントのステータスはアカウントのインベントリで [Enabled] (有効) に変わります 。受信者が招待を拒否すると、お客様のアカウントから受信者のアカウントの関連付けが解除され、お客様のアカウントのインベントリから削除されます。

API

プログラムで招待を送信するには、Amazon CreateInvitationsMacie API オペレーションを使用します。リクエストを送信するときは、サポートされているパラメータを使用して、招待の送信先の各 AWS アカウント の 12 桁のアカウント ID と E メールアドレスを指定します。アカウント ID は、アカウントのインベントリ内のアカウントのアカウント ID と一致する必要があります。それ以外の場合は、エラーが発生します。招待の送信元のリージョンも指定します。追加のリージョンから招待を送信するには、追加のリージョンごとにリクエストを送信します。

リクエストでは、招待を E メールメッセージとして送信するかどうか、およびそのメッセージにカスタムテキストを含めるかどうかを指定することもできます。E メールメッセージを送信することを選択した場合、Macie は、アカウントのインベントリにアカウントを追加したときにアカウントで指定した E メールアドレスに招待を送信します。招待を E メールメッセージとして送信するには、disableEmailNotification パラメータを省略するか、パラメータの値を false に設定します。。(デフォルト値は false です。) メッセージにカスタムテキストを追加するには、message パラメータを使用して、追加するテキストを指定します。テキストには最大 80 文字の英数字を含めることができます。

AWS CLI を使用して招待を送信するには、create-invitations コマンドを実行します。region パラメータを使用して、招待の送信元のリージョンを指定します。account-ids パラメータを使用して、招待の送信先の各 AWS アカウント のアカウント ID を指定します。例: 

C:\> aws macie2 create-invitations --region us-east-1 --account-ids=[\"111111111111\",\"222222222222\",\"333333333333\"]

ここで、us-east-1 は招待の送信元のリージョン (米国東部 (バージニア北部) リージョン) で、account-ids パラメータは、招待の送信先の 3 つのアカウントのアカウント ID を指定します。招待を E メールメッセージとして送信する場合も、no-disable-email-notification パラメータも含め、オプションで message パラメータを含めて、メッセージに追加するカスタムテキストを指定します。

招待を送信すると、各受信者アカウントのステータスが EmailVerificationInProgress に変わります。Macie がアカウントの E メールアドレスを確認できる場合、その後アカウントのステータスは Invited に変わります。Macie がアドレスを確認できない場合、アカウントのステータスは EmailVerificationFailed に変わります。このような場合は、アカウントの所有者と協力して正しいアドレスを取得してください。次に、アカウント間の関連付けを削除し、もう一度アカウントを追加し、再度招待を送信します。

受信者が招待を受け入れると、受信者のアカウントのステータスはアカウントのインベントリで Enabled に変わります 。受信者が招待を拒否すると、お客様のアカウントから受信者のアカウントの関連付けが解除され、お客様のアカウントのインベントリから削除されます。

招待ベースの組織内のメンバーアカウントの Amazon Macie を停止する

組織の Macie 管理者として、お客様は組織内の個別のメンバーアカウントの特定の AWS リージョン 内で Macie を停止できます。ただし、停止した後、メンバーアカウントで Macie を再度有効化できないことに注意してください。その後、アカウントのユーザーのみがアカウントの Macie を再度有効化できます。

メンバーアカウントの Macie を停止すると、次のようになります。

  • Macie は、リージョン内のアカウントの Amazon S3 データに関するメタデータへのアクセスを失い、提供を停止します。

  • Macie は、リージョン内のアカウントのすべてのアクティビティの実行を停止します。たとえば、S3 バケットのセキュリティが停止され、また、現在進行中の機密データ検出ジョブの実行も停止されます。

  • Macie は、リージョン内のアカウントによって作成された機密データ検出ジョブをすべてキャンセルします。ジョブがキャンセルされた後は、ジョブを再開したり再起動したりすることはできません。

    メンバーアカウントが所有するデータを分析するためのジョブを作成した場合、Macie はそれらのジョブをキャンセルしません。代わりに、ジョブはアカウントが所有するリソースをスキップします。

アカウントが停止されている間、Macie は該当するリージョン内のアカウントの Macie セッション識別子、設定、およびリソースを保持します。たとえば、アカウントの調査結果はそのまま残り、最大 90 日間は影響を受けません。そのリージョン内のアカウントで Macie が停止されている間、アカウントは該当するリージョン内での Macie の使用に対して請求されません。

招待ベースの組織内のメンバーアカウントの Macie を停止するには

招待ベースの組織内のメンバーアカウントの Macie を停止するには、Amazon Macie コンソールまたは Amazon Macie API を使用できます。

Console

Amazon Macie コンソールを使用してメンバーアカウントの Macie を停止するには、次のステップに従います。

メンバーアカウントの Macie を停止するには

  1. Amazon Macie コンソール (https://console.aws.amazon.com/macie/) を開きます。

  2. ページの右上隅にある AWS リージョン セレクターを使用して、メンバーアカウントの Macie を停止するリージョンを選択します。

  3. ナビゲーションペインで [Settings] (設定) の [Accounts] (アカウント) を選択します。

  4. [Accounts] (アカウント) テーブルで、停止するアカウントのチェックボックスをオンにします。

  5. [Actions] (アクション)メニューで、[Suspend Macie] (Macie を停止する) を選択します。

  6. 選択したアカウントの Macie を停止することを確認します。

停止を確認すると、アカウントのステータスがインベントリで [Paused (suspended)] (一時停止 (停止)) に変わります。

アカウントの Macie を停止する追加のリージョンごとに、前述のステップを繰り返します。

API

メンバーアカウントの Macie をプログラムで停止するには、Amazon Macie API UpdateMemberSessionオペレーションを使用します。リクエストを送信するときは、id パラメータを使用して、Macie を停止する AWS アカウント の 12 桁のアカウント ID を指定します。status パラメータでは、Macie アカウントの新しいステータスとして PAUSED を指定します。また、リクエストが適用されるリージョンも指定します。追加のリージョンで Macie を停止するには、追加のリージョンごとにリクエストを送信します。

メンバーアカウントのアカウント ID を取得するには、Amazon Macie API ListMembersオペレーションを使用できます。これを実行する場合は、リクエストに onlyAssociated パラメータを含めることで結果をフィルタリングすることを検討してください。このパラメータの値を true に設定した場合、Macie は現在管理者アカウントのメンバーアカウントであるアカウントのみの詳細を提供する members 配列を返します。

を使用してメンバーアカウントの Macie を停止するにはAWS CLI、コマンドを実行します。update-member-sessionregion パラメータを使用して、Macie を停止するリージョンを指定し、id パラメータを使用して、Macie を停止するアカウントのアカウント ID を指定します。status パラメータでは、PAUSED を指定します。例: 

C:\> aws macie2 update-member-session --region us-east-1 --id 123456789012 --status PAUSED

ここで、us-east-1 は Macie を停止するリージョン (米国東部 (バージニア北部) リージョン) であり、123456789012 は Macie を停止するアカウントのアカウント ID であり、PAUSED はそのアカウントの Macie の新しいステータスです。

リクエストが成功すると、Macie は空のレスポンスを返し、指定されたアカウントのステータスはアカウントのインベントリの Paused に変わります。

招待ベースの組織からの Amazon Macie メンバーアカウントの削除

Macie 管理者として、お客様は組織からメンバーアカウントを削除できます。これを行うには、Macie 管理者アカウントからそのアカウントの関連付けを解除します。

メンバーアカウントを削除しても、Macie はそのアカウントに対して引き続き有効化され、アカウントは引き続きアカウントのインベントリに表示されます。ただし、そのアカウントがスタンドアロンの Macie アカウントになります。Macie は、お客様がアカウントを削除しても、アカウントの所有者に通知しません。したがって、アカウント所有者に連絡して、アカウントの設定とリソースの管理を開始してもらうことを検討してください。

メンバーアカウントを削除すると、アカウントのすべての Macie 設定、リソース、およびデータへのアクセスが失われます。これには、アカウントが所有する S3 バケットの結果と、アカウントが所有する S3 バケットのメタデータが含まれます。また、Macie を使用してアカウントが所有する S3 バケット内の機密データ検出も停止されます。これを行う機密データ検出ジョブを既に作成している場合、ジョブはアカウントが所有するバケットをスキップします。

メンバーアカウントを削除した後、アカウントに新しい招待を送信して、組織にアカウントを再度追加できます。また、アカウント間の関連付けを削除して、アカウントのインベントリからそれを完全に削除することもできます。

招待ベースの組織からメンバーアカウントを削除するには

組織からメンバーアカウントを削除するには、Amazon Macie コンソールまたは Amazon Macie API を使用できます。

Console

Amazon Macie コンソールを使用してメンバーアカウントを削除するには、次のステップに従います。

メンバーアカウントを削除するには

  1. Amazon Macie コンソール (https://console.aws.amazon.com/macie/) を開きます。

  2. ページの右上隅にある AWS リージョン セレクターを使用して、メンバーアカウントを削除するリージョンを選択します。

  3. ナビゲーションペインで [Settings] (設定) の [Accounts] (アカウント) を選択します。

  4. [Accounts] (アカウント) テーブルで、削除するアカウントのチェックボックスをオンにします。

  5. [Actions] (アクション) メニューで、[Disassociate account] (アカウントの関連付けを解除する) を選択します。

  6. 選択されたアカウントをメンバーアカウントとして削除することを確認します。

選択を確認すると、アカウントのステータスが、アカウントのインベントリで [Removed (disassociated)] (削除 (関連付け解除)) に変わります。

メンバーアカウントを削除する追加のリージョンごとに、前述のステップを繰り返します。

API

メンバーアカウントをプログラムで削除するには、Amazon DisassociateMemberMacie API オペレーションを使用します。リクエストを送信するときは、id パラメータを使用して、削除するメンバーアカウントの 12 桁の AWS アカウント ID を指定します。また、リクエストが適用されるリージョンも指定します。追加のリージョン内のアカウントを削除するには、追加のリージョンごとにリクエストを送信します。

削除するアカウントのアカウント ID を取得するには、Amazon Macie API ListMembersオペレーションを使用できます。これを実行する場合は、リクエストに onlyAssociated パラメータを含めることで結果をフィルタリングすることを検討してください。このパラメータの値を true に設定した場合、Macie は現在お客様のアカウントのメンバーアカウントであるアカウントのみの詳細を提供する members 配列を返します。

AWS CLI を使用してメンバーアカウントを削除するには、disassociate-member コマンドを実行します。region パラメータを使用して、アカウントを削除するリージョンを指定します。id パラメータを使用して、削除するアカウントのアカウント ID を指定します。例: 

C:\> aws macie2 disassociate-member --region us-east-1 --id 123456789012

ここで、us-east-1 は、アカウントを削除するリージョン (米国東部 (バージニア北部) リージョン) であり、123456789012 は削除するアカウントのアカウント ID です。

リクエストが成功すると、Macie は空のレスポンスを返し、指定されたアカウントのステータスはアカウントのインベントリの Removed に変わります。

他のアカウントとの関連付けを削除する

アカウントのインベントリにアカウントを追加した後、お客様のアカウントと他のアカウント間の関連付けを削除できます。この操作は、インベント内の任意のアカウントで実行できますが、以下を除きます。

  • AWS Organizations 内の組織の一部であるアカウント このタイプの関連付けは、Macie ではなく、AWS Organizations を通じて制御されます。

  • 組織に参加するための Macie メンバーシップの招待を受け入れたメンバーアカウント。このような場合は、関連付けを削除する前にメンバーアカウントを削除する必要があります。

関連付けを削除すると、Macie はアカウントのインベントリからアカウントを削除します。その後、関連付けを復元する場合は、完全に新しいアカウントであるかのようにアカウントを再度追加する必要があります。

別のアカウントとの関連付けを削除するには

お客様のアカウントと他のアカウント間の関連付けを削除するには、Amazon Macie コンソールまたは Amazon Macie API を使用できます。

Console

Amazon Macie コンソールを使用して別のアカウントとの関連付けを削除するには、次のステップに従います。

関連付けを削除するには

  1. Amazon Macie コンソール (https://console.aws.amazon.com/macie/) を開きます。

  2. ページの右上隅にある AWS リージョン セレクターを使用して、関連付けを削除するリージョンを選択します。

  3. ナビゲーションペインで [Settings] (設定) の [Accounts] (アカウント) を選択します。

  4. [Accounts] (アカウント) テーブルで、関連付けを削除するアカウントのチェックボックスをオンにします。

  5. [Actions] (アクション) メニューで、[Delete account] (アカウントを削除) を選択します。

  6. 選択した関連付けを削除することを確認します。

関連付けを削除する追加のリージョンごとに、前述のステップを繰り返します。

API

別のアカウントとの関連付けをプログラムで削除するには、Amazon Macie DeleteMemberAPI のオペレーションを使用します。リクエストを送信するときは、id パラメータを使用して、関連付けを削除する AWS アカウント の 12 桁の ID を指定します。また、リクエストが適用されるリージョンも指定します。追加のリージョンで関連付けを削除するには、追加のリージョンごとにリクエストを送信します。

アカウントのアカウント ID を取得するには、Amazon Macie API ListMembersオペレーションを使用できます。これを行う場合は、リクエストに onlyAssociated パラメータを含め、パラメータの値を false に設定します。オペレーションが成功すると、Macie は、お客様のアカウントに関連付けられているすべてのアカウント (現在メンバーアカウントではないアカウントを含む) の詳細を提供する members 配列を返します。

AWS CLI を使用して別のアカウントとの関連付けを削除するには、delete-member コマンドを実行します。region パラメータを使用して、関連付けを削除するリージョンを指定し、id パラメータを使用して、そのアカウントのアカウント ID を指定します。例: 

C:\> aws macie2 delete-member --region us-east-1 --id 123456789012

ここで、us-east-1 は、他のアカウントとの関連付けを削除するリージョン (米国東部 (バージニア北部) リージョン) であり、123456789012 はそのアカウントのアカウント ID です。

リクエストが成功すると、Macie は空の応答を返し、お客様のアカウントと他のアカウント間の関連付けは削除されます。以前に関連付けられたアカウントがアカウントのインベントリから削除されます。