翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Macie での招待ベースの組織の作成と管理
Amazon Macie で招待ベースの組織を作成するには、まず、組織の Macie 管理者アカウントにするアカウントを決定します。次に、そのアカウントを使用してメンバーアカウントを追加し、他の にメンバーシップの招待を送信します。 AWS アカウント、現在の の Macie メンバーアカウントとして組織に参加するようにアカウントを招待する AWS リージョン。 複数のリージョンに組織を作成するには、他のアカウントが現在 Macie を使用している、または使用する予定の各リージョンからメンバーシップの招待を送信します。
アカウントが招待を受け入れると、そのアカウントは該当するリージョンの Macie 管理者アカウントに関連付けられた Macie メンバーアカウントになります。その後、Macie 管理者アカウントは、そのリージョン内のメンバーアカウントの特定の Macie 設定、データ、およびリソースにアクセスできます。
招待ベースの組織の Macie 管理者として、お客様は Amazon Simple Storage Service (Amazon S3) のインベントリデータとメンバーアカウントのポリシー結果を確認できます。また、機密データの自動検出を有効にし、機密データ検出ジョブを実行して、メンバーアカウントが所有する S3 バケット内の機密データを検出することもできます。実行できるタスクの詳細なリストについては、Macie 管理者とメンバーアカウントの関係を参照してください。
デフォルトでは、Macie は、組織全体の関連データとリソースを可視化します。ドリルダウンして、組織内の個々のアカウントのデータとリソースを確認することもできます。たとえば、概要ダッシュボードを使用して、組織の Amazon S3 セキュリティ体制を評価する場合は、アカウントごとにデータをフィルタリングできます。同様に、推定使用量のコストをモニタリングする場合は、個々のメンバーアカウントの推定コストの内訳にアクセスできます。
管理者およびメンバーアカウントに共通するタスクに加えて、組織のさまざまな管理タスクを一元的に実行できます。これらのタスクを実行する前に、Macie で招待ベースの組織を管理するために、考慮事項とレコメンデーションを確認することをお勧めします。
招待ベースの組織に Macie メンバーアカウントを追加する
招待ベースの組織の Amazon Macie 管理者として、次の 2 つの主要なステップを実行して、メンバーアカウントを組織に追加します。
-
Macie のアカウントインベントリにお客様のアカウントを追加します。これによりそのアカウントをお客様のアカウントに関連付けます。
-
メンバーシップの招待をアカウントに送信します。
アカウントがお客様の招待を受け入れると、それは組織のメンバーアカウントになります。
ステップ 1: アカウントを追加する
アカウントインベントリに 1 つ以上のアカウントを追加するには、Amazon Macie コンソールまたは Amazon Macie を使用できますAPI。
- Console
-
Amazon Macie コンソールでは、一度に 1 つのアカウントを追加するか、カンマ区切り値 (CSV) ファイルをアップロードして複数のアカウントを同時に追加できます。コンソールを使用して 1 つ以上のアカウントを追加するには、次のステップに従います。
1 つのアカウントを追加するには
で Amazon Macie コンソールを開きますhttps://console.aws.amazon.com/macie/。
-
を使用する AWS リージョン ページの右上隅にある セレクターで、アカウントを追加するリージョンを選択します。
-
ナビゲーションペインで、[Accounts] (アカウント) を選択します。アカウントページが開き、現在アカウントに関連付けられているアカウントのテーブルが表示されます。
-
アカウントの追加を選択します。
-
「アカウントの詳細を入力」セクションで、「アカウントを追加」を選択します。次に、以下の操作を実行します。
-
[追加] を選択します。
-
ページの最下部にある [Next] (次へ) を選択します。
Macie はアカウントインベントリにアカウントを追加します。アカウントのタイプは 招待によりで、そのステータスは 作成済みです。アカウントを追加する追加のリージョンごとに、前述のステップを繰り返します。
複数のアカウントを追加するには
-
テキストエディタを使用して、次のようにCSVファイルを作成します。
-
ファイルの最初の行として、次のヘッダーを追加します: Account ID,Email
-
アカウントごとに、 の 12 桁のアカウント ID を持つ新しい行を作成します。 AWS アカウント とアカウントの E メールアドレスを追加します。エントリをカンマで区切ります。例: 111111111111,janedoe@example.com
E メールアドレスは、 に関連付けられている E メールアドレスと一致する必要があります。 AWS アカウント.
-
ファイルの内容が、次の例に示すようにフォーマットされていることを確認します。これには、3 つのアカウントの必須ヘッダーと情報が含まれています。
Account ID,Email
111111111111,janedoe@example.com
222222222222,jorgesouza@example.com
333333333333,lijuan@example.com
-
ファイルをコンピュータに保存します。
で Amazon Macie コンソールを開きますhttps://console.aws.amazon.com/macie/。
-
を使用する AWS リージョン ページの右上隅にある セレクターで、アカウントを追加するリージョンを選択します。
-
ナビゲーションペインで、[Accounts] (アカウント) を選択します。アカウントページが開き、現在アカウントに関連付けられているアカウントのテーブルが表示されます。
-
アカウントの追加を選択します。
-
アカウントの詳細を入力セクションで、リストをアップロード (CSV) を選択します。
-
参照 を選択し、ステップ 1 で作成したCSVファイルを選択します。
-
アカウントの追加を選択します。
-
ページの最下部にある [Next] (次へ) を選択します。
Macie はアカウントインベントリにそれらのアカウントを追加します。それらのタイプは 招待によりで、それらのステータスは 作成済みです。アカウントを追加する追加のリージョンごとにステップ 3~8 を繰り返します。
- API
-
プログラムで 1 つ以上のアカウントを追加するには、Amazon Macie の CreateMemberオペレーションを使用しますAPI。リクエストを送信するときは、サポートされているパラメータを使用して、各 の 12 桁のアカウント ID と E メールアドレスを指定します。 AWS アカウント 追加する 。また、リクエストが適用されるリージョンも指定します。追加のリージョンでアカウントを追加するには、追加のリージョンごとにリクエストを送信します。
を使用してアカウントを追加するには AWS Command Line Interface (AWS CLI)、create-member コマンドを実行します。region
パラメータを使用して、アカウントを追加するリージョンを指定します。account
パラメータを使用して、各 のアカウント ID と E メールアドレスを指定します。 AWS アカウント
追加する 。例:
C:\>
aws macie2 create-member --region us-east-1
--account={\"accountId\":\"111111111111
\",\"email\":\"janedoe@example.com
\"}
各パラメータの意味は次のとおりです。us-east-1
は、アカウントを追加するリージョン (米国東部 (バージニア北部) リージョン) であり、account
パラメータはアカウント ID (111111111111
) と E メールアドレス (janedoe@example.com
追加するアカウントの )。
リクエストが成功すると、Macie は Created
のステータスでアカウントのインベントリに各アカウントを追加し、お客様は次のような出力を受け取ります。
{
"arn": "arn:aws:macie2:us-east-1:123456789012:member/111111111111"
}
ここで、 arn
は、アカウントと追加したアカウントとの関連付け用に作成されたリソースの Amazon リソースネーム (ARN) です。この例では、123456789012
は関連付けを作成したアカウントのアカウント IDで、111111111111
は追加されたアカウントのアカウント ID です。
ステップ 2: アカウントへメンバーシップの招待を送信する
アカウントインベントリにアカウントを追加した後、そのアカウントを招待して Macie メンバーアカウントとして組織に参加させることができます。これを行うには、アカウントにメンバーシップの招待を送信します。招待を送信すると、アカウントで Macie が有効化されている場合、受信者のアカウントの Amazon Macie コンソールに アカウント バッジと通知が表示されます。Macie は も作成します。 AWS Health アカウントの イベント。
Amazon Macie コンソールを使用するか、招待APIを送信するかに応じて、Macie はアカウントを追加したときに受信者のアカウントに指定した E メールアドレスにも招待を送信します。E メールメッセージは、アカウントの Macie 管理者になる予定であることを示し、 のアカウント ID が含まれています。 AWS アカウント と受信者の AWS アカウント。 メッセージでは、招待にアクセスする方法についても説明します。オプションで、メッセージにカスタムテキストを追加できます。
メンバーシップの招待を 1 つ以上のアカウントに送信するには、Amazon Macie コンソールまたは Amazon Macie を使用できますAPI。
- Console
-
Amazon Macie コンソールを使用してメンバーシップの招待を送信するには、次のステップに従います。
メンバーシップの招待を送信するには
で Amazon Macie コンソールを開きますhttps://console.aws.amazon.com/macie/。
-
を使用する AWS リージョン ページの右上隅にある セレクターで、招待を送信するリージョンを選択します。
-
ナビゲーションペインで、[Accounts] (アカウント) を選択します。アカウントページが開き、現在アカウントに関連付けられているアカウントのテーブルが表示されます。
-
既存のアカウント テーブルで、招待を送信する各アカウントのチェックボックスをオンにします。
追加したアカウントや、招待をまだ送信していないアカウントをより簡単に識別するには、テーブルをフィルタリングします。これを行うには、テーブルの上にあるフィルターボックスにカーソルを置き、[ステータス] を選択します。次に [ステータス = 作成済み]を選択します。
-
アクションメニューで、招待を選択します。
-
(オプション) メッセージボックスに、招待を含む E メールメッセージに含めるカスタムテキストを入力します。テキストには最大 80 文字の英数字を含めることができます。
-
招待を選択します。
追加の で招待を送信するには AWS リージョン、追加のリージョンごとに前述のステップを繰り返します。
招待を送信すると、受信者アカウントのステータスがアカウントのインベントリで E メール認証中に変わります。Macie がアカウントの E メールアドレスを確認できる場合、その後アカウントのステータスは 招待済みに変わります。Macie がアドレスを確認できない場合、アカウントのステータスは E メール認証に失敗しましたに変わります。このような場合は、アカウントの所有者と協力して、正しい E メールアドレスを取得してください。次に、アカウント間の関連付けを削除し、もう一度アカウントを追加し、再度招待を送信します。
受信者が招待を受け入れると、受信者のアカウントのステータスはアカウントのインベントリで Enabled (有効) に変わります 。受信者が招待を拒否すると、お客様のアカウントから受信者のアカウントの関連付けが解除され、お客様のアカウントのインベントリから削除されます。
- API
-
プログラムで招待を送信するには、Amazon Macie の CreateInvitationsオペレーションを使用しますAPI。リクエストを送信するときは、サポートされているパラメータを使用して、各 の 12 桁のアカウント ID を指定します。 AWS アカウント 招待の送信先。アカウント ID は、アカウントのインベントリ内のアカウントのアカウント ID と一致する必要があります。それ以外の場合は、エラーが発生します。招待の送信元のリージョンも指定します。追加のリージョンから招待を送信するには、追加のリージョンごとにリクエストを送信します。
リクエストでは、招待を E メールメッセージとして送信するかどうか、およびそのメッセージにカスタムテキストを含めるかどうかを指定することもできます。E メールメッセージを送信することを選択した場合、Macie は、アカウントのインベントリにアカウントを追加したときにアカウントで指定した E メールアドレスに招待を送信します。招待を E メールメッセージとして送信するには、disableEmailNotification
パラメータを省略するか、パラメータの値を false
に設定します。。(デフォルト値はfalse
です。) メッセージにカスタムテキストを追加するには、message
パラメータを使用して、追加するテキストを指定します。テキストには最大 80 文字の英数字を含めることができます。
を使用して招待を送信するには AWS CLI、create-invitations コマンドを実行します。region
パラメータを使用して、招待の送信元のリージョンを指定します。account-ids
パラメータを使用して、各 のアカウント ID を指定します。 AWS アカウント 招待の送信先。例:
C:\>
aws macie2 create-invitations --region us-east-1
--account-ids=[\"111111111111
\",\"222222222222
\",\"333333333333
\"]
各パラメータの意味は次のとおりです。us-east-1
は招待を送信するリージョン (米国東部 (バージニア北部) リージョン) で、 account-ids
パラメータは招待を送信する IDs3 つのアカウントのアカウントを指定します。招待を E メールメッセージとして送信する場合も、no-disable-email-notification
パラメータも含め、オプションで message
パラメータを含めて、メッセージに追加するカスタムテキストを指定します。
招待を送信すると、各受信者アカウントのステータスが EmailVerificationInProgress
に変わります。Macie がアカウントの E メールアドレスを確認できる場合、その後アカウントのステータスは Invited
に変わります。Macie がアドレスを確認できない場合、アカウントのステータスは EmailVerificationFailed
に変わります。このような場合は、アカウントの所有者と協力して正しいアドレスを取得してください。次に、アカウント間の関連付けを削除し、もう一度アカウントを追加し、再度招待を送信します。
受信者が招待を受け入れると、受信者のアカウントのステータスはアカウントのインベントリで Enabled
に変わります 。受信者が招待を拒否すると、お客様のアカウントから受信者のアカウントの関連付けが解除され、お客様のアカウントのインベントリから削除されます。
招待ベースの組織のメンバーアカウントの Macie を停止する
組織の Amazon Macie 管理者として、特定の で Macie を停止できます。 AWS リージョン
組織内の個々のメンバーアカウントの 。ただし、停止した後、メンバーアカウントで Macie を再度有効化できないことに注意してください。その後、アカウントのユーザーのみがアカウントの Macie を再度有効化できます。
メンバーアカウントの メイシーを一時停止と、次のようになります。
-
Macie は、リージョン内のアカウントの Amazon S3 データに関するメタデータへのアクセスを失い、提供を停止します。
-
Macie は、リージョン内のアカウントのすべてのアクティビティの実行を停止します。これには、セキュリティとアクセスコントロールのための S3 バケットのモニタリング、機密データの自動検出、および現在進行中の機密データ検出ジョブの実行などが含まれます。
-
Macie は、リージョン内のアカウントによって作成された機密データ検出ジョブをすべてキャンセルします。ジョブがキャンセルされた後は、ジョブを再開したり再起動したりすることはできません。メンバーアカウントが所有するデータを分析するためのジョブを作成した場合、Macie はそれらのジョブをキャンセルしません。代わりに、ジョブはアカウントが所有するリソースをスキップします。
アカウントが停止されている間、Macie は該当するリージョン内のアカウントの Macie セッション識別子、設定、およびリソースを保持します。たとえば、アカウントの調査結果はそのまま残り、最大 90 日間は影響を受けません。そのリージョン内のアカウントで Macie が停止されている間、アカウントは該当するリージョン内での Macie の使用に対して請求されません。
招待ベースの組織内のメンバーアカウントの メイシーを一時停止には
招待ベースの組織のメンバーアカウントの Macie を停止するには、Amazon Macie コンソールまたは Amazon Macie を使用できますAPI。
- Console
-
Amazon Macie コンソールを使用してメンバーアカウントの メイシーを一時停止には、次のステップに従います。
メンバーアカウントの メイシーを一時停止には
で Amazon Macie コンソールを開きますhttps://console.aws.amazon.com/macie/。
-
を使用する AWS リージョン ページの右上隅にある セレクターで、メンバーアカウントの Macie を停止するリージョンを選択します。
-
ナビゲーションペインで、[Accounts] (アカウント) を選択します。アカウントページが開き、現在アカウントに関連付けられているアカウントのテーブルが表示されます。
-
既存のアカウント テーブルで、停止するアカウントのチェックボックスをオンにします。
-
アクション (アクション)メニューで、メイシーを一時停止 を選択します。
-
選択したアカウントの メイシーを一時停止ことを確認します。
停止を確認すると、アカウントのステータスがインベントリで 一時停止 (停止) に変わります。
アカウントのメイシーを一時停止したい追加リージョンごとに、前述の手順を繰り返します。
- API
-
メンバーアカウントの Macie をプログラムで停止するには、Amazon Macie の UpdateMemberSessionオペレーションを使用しますAPI。リクエストを送信するときは、 id
パラメータを使用して の 12 桁のアカウント ID を指定します。 AWS アカウント Macie を停止する 。status
パラメータでは、Macie アカウントの新しいステータスとして PAUSED
を指定します。また、リクエストが適用されるリージョンも指定します。追加のリージョンでメイシーを一時停止には、追加のリージョンごとにリクエストを送信します。
メンバーアカウントのアカウント ID を取得するには、Amazon Macie の ListMembersオペレーションを使用できますAPI。これを実行する場合は、リクエストに onlyAssociated
パラメータを含めることで結果をフィルタリングすることを検討してください。このパラメータの値を true
に設定した場合、Macie は現在管理者アカウントのメンバーアカウントであるアカウントのみの詳細を提供する members
配列を返します。
を使用してメンバーアカウントの Macie を停止するには AWS CLI、 update-member-session コマンドを実行します。region
パラメータを使用して、メイシーを一時停止リージョンを指定し、id
パラメータを使用して、メイシーを一時停止アカウントのアカウント ID を指定します。status
パラメータでは、PAUSED
を指定します。例:
C:\>
aws macie2 update-member-session --region us-east-1
--id 123456789012
--status PAUSED
各パラメータの意味は次のとおりです。us-east-1
は、Macie (米国東部 (バージニア北部) リージョン) を停止する リージョンです。123456789012
は Macie を停止するアカウントのアカウント ID で、 PAUSED
はアカウントの Macie の新しいステータスです。
リクエストが成功すると、Macie は空のレスポンスを返し、指定されたアカウントのステータスはアカウントのインベントリの Paused
に変わります。
招待ベースの組織から Macie メンバーアカウントを削除する
Amazon Macie 管理者は、組織からメンバーアカウントを削除できます。これを行うには、Macie 管理者アカウントからそのアカウントの関連付けを解除します。
メンバーアカウントを削除しても、Macie はそのアカウントに対して引き続き有効化され、アカウントは引き続きアカウントのインベントリに表示されます。ただし、そのアカウントがスタンドアロンの Macie アカウントになります。Macie は、お客様がアカウントを削除しても、アカウントの所有者に通知しません。したがって、アカウント所有者に連絡して、アカウントの設定とリソースの管理を開始してもらうことを検討してください。
メンバーアカウントを削除すると、アカウントのすべての Macie 設定、リソース、およびデータへのアクセスが失われます。これには、そのアカウントが所有するS3バケットのポリシー所見とメタデータが含まれます。さらに、アカウントが所有するS3バケット内の機密データを発見するためにMacieを使用することはできなくなりました。このために機密データ検出ジョブを作成済みの場合、ジョブはアカウントが所有するバケットをスキップします。アカウントの機密データ自動検出を有効にした場合、ユーザーとアカウントの両方が、アカウントの自動検出の実行中に Macie が生成および直接提供した統計データ、インベントリデータ、およびその他の情報にアクセスできなくなります。
メンバーアカウントを削除した後、アカウントに新しい招待を送信して、組織にアカウントを再度追加できます。アカウントが新しい招待を受け入れ、30 日以内にアカウントの機密データ自動検出を有効にした場合、アカウントの自動検出の実行中に Macie が以前に生成して直接提供したデータや情報へのアクセスも回復します。
メンバーアカウントを削除し、再度追加する予定がない場合は、アカウントインベントリから完全に削除できます。この方法の詳細は、他のアカウントとの関連付けを削除するを参照してください。
招待ベースの組織からメンバーアカウントを削除するには
組織からメンバーアカウントを削除するには、Amazon Macie コンソールまたは Amazon Macie を使用できますAPI。
- Console
-
Amazon Macie コンソールを使用してメンバーアカウントを削除するには、次のステップに従います。
メンバーアカウントを削除するには
で Amazon Macie コンソールを開きますhttps://console.aws.amazon.com/macie/。
-
を使用する AWS リージョン ページの右上隅にある セレクターで、メンバーアカウントを削除するリージョンを選択します。
-
ナビゲーションペインで、[Accounts] (アカウント) を選択します。アカウントページが開き、現在アカウントに関連付けられているアカウントのテーブルが表示されます。
-
既存のアカウント テーブルで、削除するアカウントのチェックボックスをオンにします。
-
アクション メニューで、Disassociate account (アカウントの関連付けを解除する) を選択します。
-
選択されたアカウントをメンバーアカウントとして削除することを確認します。
選択を確認すると、アカウントのステータスが、アカウントのインベントリで Removed (disassociated) (削除 (関連付け解除)) に変わります。
メンバーアカウントを削除する追加のリージョンごとに、前述のステップを繰り返します。
- API
-
プログラムでメンバーアカウントを削除するには、Amazon Macie の DisassociateMemberオペレーションを使用しますAPI。リクエストを送信するときは、 id
パラメータを使用して 12 桁の を指定します。 AWS アカウント 削除するメンバーアカウントの ID。また、リクエストが適用されるリージョンも指定します。追加のリージョン内のアカウントを削除するには、追加のリージョンごとにリクエストを送信します。
削除するアカウントのアカウント ID を取得するには、Amazon Macie の ListMembersオペレーションを使用できますAPI。これを実行する場合は、リクエストに onlyAssociated
パラメータを含めることで結果をフィルタリングすることを検討してください。このパラメータの値を true
に設定した場合、Macie は現在お客様のアカウントのメンバーアカウントであるアカウントのみの詳細を提供する members
配列を返します。
を使用してメンバーアカウントを削除するには AWS CLI、disassociate-member コマンドを実行します。region
パラメータを使用して、アカウントを削除するリージョンを指定します。id
パラメータを使用して、削除するアカウントのアカウント ID を指定します。例:
C:\>
aws macie2 disassociate-member --region us-east-1
--id 123456789012
各パラメータの意味は次のとおりです。us-east-1
は、アカウントを削除するリージョン (米国東部 (バージニア北部) リージョン) です。123456789012
は、削除するアカウントのアカウント ID です。
リクエストが成功すると、Macie は空のレスポンスを返し、指定されたアカウントのステータスはアカウントのインベントリの Removed
に変わります。
他のアカウントとの関連付けを削除する
Amazon Macie のアカウントインベントリにアカウントを追加したら、アカウントと他のアカウントとの関連付けを削除できます。この操作は、インベント内の任意のアカウントで実行できますが、以下を除きます。
関連付けを削除すると、Macie はアカウントのインベントリからアカウントを削除します。後で関連付けを復元する場合は、完全に新しいアカウントであるかのようにアカウントを再度追加する必要があります。
別のアカウントとの関連付けを削除するには
アカウントと別のアカウントとの関連付けを削除するには、Amazon Macie コンソールまたは Amazon Macie を使用できますAPI。
- Console
-
Amazon Macie コンソールを使用して別のアカウントとの関連付けを削除するには、次のステップに従います。
関連付けを削除するには
で Amazon Macie コンソールを開きますhttps://console.aws.amazon.com/macie/。
-
を使用する AWS リージョン ページの右上隅にある セレクターで、関連付けを削除するリージョンを選択します。
-
ナビゲーションペインで、[Accounts] (アカウント) を選択します。アカウントページが開き、現在アカウントに関連付けられているアカウントのテーブルが表示されます。
-
既存のアカウント テーブルで、関連付けを削除するアカウントのチェックボックスをオンにします。
-
Actions メニューで、Delete を選択します。
-
選択した関連付けを削除することを確認します。
関連付けを削除する追加のリージョンごとに、前述のステップを繰り返します。
- API
-
別のアカウントとの関連付けをプログラムで削除するには、Amazon Macie の DeleteMemberオペレーションを使用しますAPI。リクエストを送信するときは、 id
パラメータを使用して の 12 桁のアカウント ID を指定します。 AWS アカウント との関連付けを削除する場合。また、リクエストが適用されるリージョンも指定します。追加のリージョンで関連付けを削除するには、追加のリージョンごとにリクエストを送信します。
アカウントのアカウント ID を取得するには、Amazon Macie の ListMembersオペレーションを使用できますAPI。これを行う場合は、リクエストに onlyAssociated
パラメータを含め、パラメータの値を false
に設定します。オペレーションが成功すると、Macie は、お客様のアカウントに関連付けられているすべてのアカウント (現在メンバーアカウントではないアカウントを含む) の詳細を提供する members
配列を返します。
を使用して別のアカウントとの関連付けを削除するには AWS CLI、delete-member コマンドを実行します。region
パラメータを使用して、関連付けを削除するリージョンを指定し、id
パラメータを使用して、そのアカウントのアカウント ID を指定します。例:
C:\>
aws macie2 delete-member --region us-east-1
--id 123456789012
各パラメータの意味は次のとおりです。us-east-1
は、他のアカウントとの関連付けを削除するリージョン (米国東部 (バージニア北部) リージョン) です。123456789012
はアカウントのアカウント ID です。
リクエストが成功すると、Macie は空の応答を返し、お客様のアカウントと他のアカウント間の関連付けは削除されます。以前に関連付けられたアカウントがアカウントのインベントリから削除されます。