Amazon Macie 内の招待ベースの組織に関する考慮事項とレコメンデーション

Amazon Macie で招待ベースの組織を作成または管理する前に、次の要件とレコメンデーションを検討してください。また、Macie 管理者アカウントとメンバーアカウントの関係を理解してください。

Macie 管理者アカウントの選択

組織の Macie 管理者アカウントにするアカウントを決定する際には、次の点に注意してください。

• 組織が持つことができる Macie 管理者アカウントは 1 つのみです。

• アカウントを Macie 管理者とメンバーアカウントに同時に設定することはできません。

• Macie はリージョンでのサービスです。つまり、Macie 管理者アカウントとメンバーアカウント間の関連付けはリージョン別です。関連付けは AWS リージョン 、招待の送信元および承諾元の にのみ存在します。例えば、Macie 管理者が米国東部 (バージニア北部) リージョンで招待を送信し、それらの招待が受け入れられる場合、Macie 管理者はそのリージョン内のメンバーアカウントのみを管理できます。

• Macie アカウントを複数の で一元管理するには AWS リージョン、Macie 管理者は、組織が現在 Macie を使用している、または使用する予定の各リージョンにサインインし、それらの各リージョンの適切なアカウントに招待を送信する必要があります。Macieが現在利用可能なリージョンのリストについては、AWS 全般のリファレンスのAmazon Macieエンドポイントとクォータを参照してください。

• メンバーアカウントは、一度に 1 つの Macie 管理者アカウントのみと関連付けることができます。組織が複数のリージョンで Macie を使用している場合、これは Macie 管理者アカウントがそれらのすべてのリージョンで同じである必要があることを意味します。ただし、管理者アカウントとメンバーアカウントは、各リージョンで個別に招待を送信および受け入れる必要があります。

Macie 管理者の AWS アカウント が停止、分離、または閉鎖されている場合、関連するすべてのメンバーアカウントはメンバーアカウントとして自動的に削除されますが、Macie は引き続きアカウントに対して有効になります。アカウントはスタンドアロン Macie アカウントになります。メンバーアカウントで機密データの自動検出が有効になっている場合、そのアカウントでは無効になります。これにより、アカウントの自動検出の実行中に Macie が生成して直接提供した統計データ、インベントリデータ、その他の情報へのアクセスも無効になります。30 日後、このデータは期限切れになり、Macie はそのデータを完全に削除します。有効期限が切れる前にデータへのアクセスを復元するには、Macie 管理者の を復元し AWS アカウント、そのアカウントを使用して組織を再度作成して設定します。

招待の送信と Macie メンバーアカウントの管理

招待ベースの組織の Macie 管理者として、招待を送信し、組織内のアカウントを管理するときは、次の点に注意してください。

• 招待を送信すると、関連するデータが 間で転送される場合があります AWS リージョン。これは、Macie が 米国東部 (バージニア北部) リージョンでのみ動作する E メール検証サービスを使用して、受信アカウントの E メールアドレスを検証するためです。

• Macie を有効にしていないアカウントを含め AWS アカウント、アクティブな に招待を送信できます。ただし、招待を受け入れまたは拒否するには、受信アカウントは招待の送信元のリージョンで Macie を有効化する必要があります。

• Macie 管理者アカウントは、各 AWS リージョン内では、わずか 1,000 個のアカウントにしか関連付けることができません。これには、まだ招待に応答していないアカウントも含まれます。アカウントがこのクォータを満たしている場合、必要な数の関連付けられたアカウントを削除するか、必要な数の拒否された招待を受け取る、またはその 2 つの組み合わせを受け取るまで、追加のアカウントを追加または招待することはできません。

  現在アカウントに関連付けられているアカウントの数を確認するには、Amazon Macie コンソールのアカウントページまたは Amazon Macie API の ListMembersオペレーションを使用できます。詳細については、「招待ベースの組織の Amazon Macie アカウントの確認」を参照してください。

• アカウントは、一度に 1 つの Macie 管理者アカウントのみと関連付けることができます。これは、アカウントが別の Macie 管理者アカウントに既に関連付けられている場合、お客様の招待は受け入れられないことを意味します。アカウントは、まず現在の Macie 管理者アカウントから関連付けを解除する必要があります。

• 招待ベースの組織では、メンバーアカウントはいつでも Macie 管理者アカウントから関連付けを解除できます。この場合、Macie はアカウントに対して引き続き有効になりますが、そのアカウントはスタンドアロン Macie アカウントになります。Macie は、メンバーアカウントが管理者アカウントから関連付けを解除してもお客様に通知しません。ただし、アカウントは引き続きアカウントのインベントリに表示され、メンバー退会済み ステータスとなります。

• 組織からメンバーアカウントを削除すると、Macie はそのアカウントに対して引き続き有効になります。アカウントはスタンドアロン Macie アカウントになります。

メンバーシップの招待への応答と管理

招待の受信者または招待ベースの組織のメンバーとして、受け取った招待に応答して管理するときは、次の点に注意してください。

• 招待を受け入れる前に、Macie 管理者アカウントとメンバーアカウントの関係を理解してください。

• アカウントは、一度に 1 つの Macie 管理者アカウントのみと関連付けることができます。招待を承諾し、その後に別の組織に (招待または を通じて AWS Organizations) 参加する場合は、まず現在の Macie 管理者アカウントからアカウントの関連付けを解除する必要があります。その後、他の組織に参加できます。

• 招待を受け入れまたは拒否するには、招待の送信元の AWS リージョン 内の Macie を有効化する必要があります。招待を送信したアカウントは、そのリージョンで Macie を有効化することはできません。招待の拒否はオプションです。招待を拒否した場合、招待を拒否した後に、必要に応じて該当するリージョンで Macie を無効にできます。

• Macie 管理者の場合、メンバーアカウントになるための招待を受け入れることはできません。アカウントを Macie 管理者とメンバーアカウントに同時に設定することはできません。メンバーアカウントになるには、まず現在の組織からすべてのメンバーアカウントを削除して、すべてのメンバーアカウントからアカウントの関連付けを解除する必要があります。

• Macie はリージョンでのサービスです。招待を受け入れると、アカウントと Macie 管理者アカウントとの関連付けはリージョン別になります。関連付けは、 AWS リージョン 招待の送信元と承諾元の にのみ存在します。

• Macie を複数のリージョンで使用する場合、アカウントの Macie 管理者アカウントは、それらのすべてのリージョンで同じである必要があります。ただし、Macie 管理者は各リージョンで個別に招待を送信する必要があり、お客様は各リージョンで個別に招待を受け入れる必要があります。

• Macie 管理者アカウントからいつでもお客様のアカウントの関連付けを解除できます。同様に、Macie 管理者はいつでも組織からアカウントを削除できます。どちらかが発生した場合：

  • Macie は引き続きアカウントで有効になります。アカウントがスタンドアロン Macie アカウントになります。

  • アカウントで機密データの自動検出が有効になっている場合、その検出は無効になります。これにより、アカウントの自動検出の実行中に Macie が生成して直接提供した既存の統計データ、インベントリデータ、その他の情報へのアクセスも無効になります。アカウントの自動検出を再度有効にできます。ただし、既存のデータへのアクセスは復元されません。代わりに、Macie はアカウントの自動検出を実行しながら、新しいデータを生成して維持します。

AWS Organizationsへの移行

Macie で招待ベースの組織を作成したら、 AWS Organizations 代わりに の使用に移行できます。移行を簡素化するために、 AWS Organizations内で組織の Macie 管理者アカウントとして、既存の招待ベースの管理者アカウントを指定することをお勧めします。

これを行うと、現在関連付けられているすべてのメンバーアカウントが引き続きメンバーになります。メンバーアカウントが の組織の一部である場合 AWS Organizations、アカウントの関連付けは Macie の Via への招待によって自動的に変更されます。 AWS Organizationsメンバーアカウントが AWS Organizations内で組織の一部ではない場合、アカウントの関連付けは引き続き 招待による になります。どちらの場合も、アカウントは引き続きメンバーアカウントとして Macie 管理者アカウントに関連付けられます。

メンバーアカウントは一度に 1 つの Macie 管理者アカウントのみと関連付けることができるため、この方法をお勧めします。で組織の Macie 管理者アカウントとして別のアカウントを指定した場合 AWS Organizations、指定された管理者は、招待によって別の Macie 管理者アカウントに既に関連付けられているアカウントを管理できません。各メンバーアカウントは、まず現在の招待ベースの管理者アカウントから関連付けを解除する必要があります。その場合にのみ、 AWS Organizations 組織の Macie 管理者はメンバーアカウントを組織に追加し、アカウントの Macie の管理を開始できます。

Macie を と統合 AWS Organizations し、Macie で組織を設定したら、必要に応じて組織の別の Macie 管理者アカウントを指定できます。招待を引き続き使用して、 AWS Organizations内で組織の一部ではないメンバーアカウントを関連付けて管理することもできます。

Macie を と統合する方法については AWS Organizations、「」を参照してくださいAWS Organizations を用いた Amazon Macie アカウントの管理。