Amazon Macie 内の招待ベースの組織に関する考慮事項とレコメンデーション

Amazon Macie で招待ベースの組織を作成または管理する前に、次の要件とレコメンデーションを検討してください。また、Macie 管理者アカウントとメンバーアカウントの関係を理解してください。

Macie 管理者アカウントの選択

組織の Macie 管理者アカウントにするアカウントを決定する際には、次の点に注意してください。

• 組織が持つことができる Macie 管理者アカウントは 1 つのみです。

• アカウントを Macie 管理者とメンバーアカウントに同時に設定することはできません。

• Macie はリージョンでのサービスです。これは、Macie 管理者アカウントとメンバーアカウントの関連付けがリージョンのものであることを意味します。関連付けは、招待の送信元であり、招待が受け入れられた AWS リージョン にのみ存在します。たとえば、Macie 管理者が米国東部 (バージニア北部) リージョンで招待を送信し、それらの招待が受け入れられる場合、Macie 管理者はそのリージョン内のメンバーアカウントのみを管理できます。

  Macie アカウントを複数の AWS リージョン で集中管理するには、Macie 管理者は、組織が Macie を現在使用している、または今後使用する各リージョンにサインインし、それらの各リージョンで適切なアカウントに招待を送信できます。Macieが現在利用可能なリージョンのリストについては、AWS 全般のリファレンスのAmazon Macieエンドポイントとクォータを参照してください。

• メンバーアカウントは、一度に 1 つの Macie 管理者アカウントのみと関連付けることができます。組織が複数のリージョンで Macie を使用している場合、これは Macie 管理者アカウントがそれらのすべてのリージョンで同じである必要があることを意味します。ただし、管理者アカウントとメンバーアカウントは、各リージョンで個別に招待を送信および受け入れる必要があります。

• Macie 管理者の AWS アカウント が停止、分離、または閉鎖されている場合、関連付けられているすべてのメンバーアカウントが Macie メンバーアカウントとして自動的に削除されますが、Macie は引き続きそれらのアカウントに対して有効化されます。

招待の送信と Macie メンバーアカウントの管理

招待ベースの組織の Macie 管理者として、招待を送信し、組織内のアカウントを管理するときは、次の点に注意してください。

• 招待を送信すると、関連データが AWS リージョン 全体で転送される可能性があります。これは、Macie が 米国東部 (バージニア北部) リージョンでのみ動作する E メール検証サービスを使用して、受信アカウントの E メールアドレスを検証するためです。

• Macie を有効化していないアカウントを含め、招待をアクティブな AWS アカウント に送信できます。ただし、招待を受け入れまたは拒否するには、受信アカウントは招待の送信元のリージョンで Macie を有効化する必要があります。

• Macie 管理者アカウントは、各 AWS リージョン 内では、わずか 1,000 個のアカウントにしか関連付けることができません。これには、まだ招待に応答していないアカウントも含まれます。アカウントがこのクォータを満たしている場合、必要な数の関連付けられたアカウントを削除するか、必要な数の拒否された招待を受け取る、またはその 2 つの組み合わせを受け取るまで、追加のアカウントを追加または招待することはできません。

  アカウントに現在関連付けられているアカウントの数を確認するには、Amazon Macie コンソールの アカウント ページまたは Amazon Macie API の ListMembers オペレーションを使用できます。詳細については、招待ベースの組織の Amazon Macie アカウントの確認を参照してください。

• アカウントは、一度に 1 つの Macie 管理者アカウントのみと関連付けることができます。これは、アカウントが別の Macie 管理者アカウントに既に関連付けられている場合、お客様の招待は受け入れられないことを意味します。アカウントは、まず現在の Macie 管理者アカウントから関連付けを解除する必要があります。

• 招待ベースの組織では、メンバーアカウントはいつでも Macie 管理者アカウントから関連付けを解除できます。この場合、Macie はアカウントに対して引き続き有効化され、アカウントはスタンドアロンの Macie アカウントになります。Macie は、メンバーアカウントが管理者アカウントから関連付けを解除してもお客様に通知しません。ただし、アカウントは引き続きアカウントのインベントリに表示され、メンバー退会済み ステータスとなります。

• 組織からメンバーアカウントを削除しても、Macie はそのアカウントに対して引き続き有効化され、アカウントはスタンドアロンの Macie アカウントになります。

メンバーシップの招待への応答と管理

招待の受信者または招待ベースの組織のメンバーとして、受け取った招待に応答して管理するときは、次の点に注意してください。

• 招待を受け入れる前に、Macie 管理者アカウントとメンバーアカウントの関係を理解してください。

• アカウントは、一度に 1 つの Macie 管理者アカウントのみと関連付けることができます。招待を受け入れ、後で別の組織に参加する場合 (招待により、または AWS Organizations を通じて)、まず現在の Macie 管理者アカウントからアカウントの関連付けを解除する必要があります。その後、他の組織に参加できます。

• 招待を受け入れまたは拒否するには、招待の送信元の AWS リージョン 内の Macie を有効化する必要があります。招待を送信したアカウントは、そのリージョンで Macie を有効化することはできません。招待の拒否はオプションです。招待を拒否した場合、招待を拒否した後に、必要に応じて該当するリージョンで Macie を無効にできます。

• Macie 管理者の場合、メンバーアカウントになるための招待を受け入れることはできません。アカウントを Macie 管理者とメンバーアカウントに同時に設定することはできません。メンバーアカウントになるには、まず現在の組織からすべてのメンバーアカウントを削除して、すべてのメンバーアカウントからアカウントの関連付けを解除する必要があります。

• Macie はリージョンでのサービスです。招待を受け入れた場合、アカウントと Macie 管理者アカウント間の関連付けはリージョンのものになります。関連付けは、招待の送信元であり、招待が受け入れられた AWS リージョン にのみ存在します。

• Macie を複数のリージョンで使用する場合、アカウントの Macie 管理者アカウントは、それらのすべてのリージョンで同じである必要があります。ただし、Macie 管理者は各リージョンで個別に招待を送信する必要があり、お客様は各リージョンで個別に招待を受け入れる必要があります。

• Macie 管理者アカウントからいつでもお客様のアカウントの関連付けを解除できます。これを行うと、Macie はアカウントに対して引き続き有効化され、アカウントはスタンドアロンの Macie アカウントになります。

• Macie 管理者が組織からお客様のアカウントを削除しても、Macie は引き続きアカウントに対して有効化され、アカウントはスタンドアロンの Macie アカウントになります。

AWS Organizations への移行

Macie で招待ベースの組織を作成した後、代わりに AWS Organizations の使用に移行します。移行を簡素化するために、AWS Organizations 内で組織の Macie 管理者アカウントとして、既存の招待ベースの管理者アカウントを指定することをお勧めします。

これを行うと、現在関連付けられているすべてのメンバーアカウントが引き続きメンバーになります。メンバーアカウントが AWS Organizations 内で組織の一部である場合、アカウントの関連付けは、Macie 内で 招待により から 組織経由AWS Organizations に自動的に変わります。メンバーアカウントが AWS Organizations 内で組織の一部ではない場合、アカウントの関連付けは引き続き 招待による になります。どちらの場合も、アカウントは引き続きメンバーアカウントとして Macie 管理者アカウントに関連付けられます。

メンバーアカウントは一度に 1 つの Macie 管理者アカウントのみと関連付けることができるため、この方法をお勧めします。別のアカウントを AWS Organizations 内で組織の Macie 管理者として指定した場合、指定された管理者は、招待によって別の Macie 管理者アカウントに既に関連付けられているアカウントを管理できなくなります。各メンバーアカウントは、まず現在の招待ベースの管理者アカウントから関連付けを解除する必要があります。次に、AWS Organizations 組織の Macie 管理者アカウントのみが、メンバーアカウントを組織に追加し、アカウントの Macie の管理を開始できます。

Macieを AWS Organizations と統合し、Macie で組織を設定した後、必要に応じて組織の別の Macie 管理者アカウントを指定できます。招待を引き続き使用して、AWS Organizations 内で組織の一部ではないメンバーアカウントを関連付けて管理することもできます。