Amazon Macie 管理者とメンバーアカウントの関係について理解する - Amazon Macie

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Macie 管理者とメンバーアカウントの関係について理解する

複数の Amazon Macie アカウントを組織として集中管理する場合、Macie 管理者は Amazon Simple Storage Service (Amazon S3) のインベントリデータ、ポリシーの結果、関連するメンバーアカウントの特定の Macie 設定とリソースにアクセスできます。管理者は、機密データの自動検出を実行して、機密データ検出ジョブを実行し、メンバーアカウントが所有する S3 バケット内の機密データを検出することもできます。特定のタスクのサポートは、Macie 管理者アカウントが、AWS Organizations を通じて、または招待によりメンバーアカウントに関連付けられているかどうかによって異なります。

以下のテーブルでは、Macie 管理者アカウントとメンバーアカウントの関係の詳細を示しています。これは、各タイプのアカウントに対するデフォルトのアクセス許可を示します。Macie の機能へのアクセスやオペレーションをさらに制限するには、カスタム AWS Identity and Access Management (IAM) ポリシーを使用できます。

このテーブルの説明を以下に示します。

  • セルフ は、関連付けられたアカウントに対してそのアカウントがアクションを実行できないことを示します。

  • いずれか は、アカウントが個別の関連付けられたアカウントに対してアクションを実行できることを示します。

  • すべて は、アカウントがアクションを実行でき、アクションがすべての関連付けられたアカウントに適用されることを示します。

ダッシュ (–) は、アカウントがタスクを実行できないことを示します。

タスク を通じてAWS Organizations 招待により
管理者 メンバー 管理者 メンバー
Enable Macie Any Self Self
Review the organization's account inventory 1 All All
Add a member account Any Any
Review statistics and metadata for S3 buckets All Self All Self
Review policy findings All Self All Self
Suppress (archive) policy findings 2 All All
Publish policy findings 3 Self Self Self Self
Configure a repository for sensitive data discovery results Self Self Self Self
Create and use allow lists Self Self Self Self
Create and use custom data identifiers Self Self Self Self
Configure and perform automated sensitive data discovery All All
Review automated sensitive data discovery statistics, data, and results All All
Create and run sensitive data discovery jobs 4 Any Self Any Self
Review the details of sensitive data discovery jobs 5 Self Self Self Self
Review sensitive data findings 6 Self Self Self Self
Suppress (archive) sensitive data findings 6 Self Self Self Self
Publish sensitive data findings 6 Self Self Self Self
Configure Macie to retrieve sensitive data samples for findings Self Self Self Self
Retrieve sensitive data samples for findings 7 Self Self Self Self
Configure publication destinations for findings Self Self Self Self
Set the publication frequency for findings All Self All Self
Create sample findings Self Self Self Self
Review account quotas and estimated usage costs All Self All Self
Suspend Macie 8 Any Any Self
Disable Macie 9 Self Self Self Self
Remove (disassociate) a member account Any Any
Disassociate from an administrator account Self
Delete an association with another account 10 Any Any Self
  1. AWS Organizations 内の組織の管理者は、Macie を有効化していないアカウントを含め、組織内のすべてのアカウントを確認できます。招待ベースの組織の管理者は、インベントリに追加したアカウントのみを確認できます。

  2. ポリシー検出結果を非表示にできるのは管理者だけです。管理者が抑制ルールを作成すると、Macie は特定のアカウントを除外するようにルールが設定されていない限り、組織内のすべてのアカウントのポリシー検出結果にルールを適用します。メンバーが抑制ルールを作成しても、Macie はそのメンバーのアカウントのポリシー検出結果にルールを適用しません。

  3. 影響を受けたリソースを所有しているアカウントのみが、リソースのポリシー結果を AWS Security Hub に発行できます。管理者アカウントとメンバーアカウントの両方が、影響を受けたリソースのポリシー結果を Amazon EventBridge に自動的に発行します。

  4. メンバーは、アカウントが所有する S3 バケット内のオブジェクトのみを分析するためのジョブを設定できます。管理者は、アカウントとメンバーアカウントが所有するバケット内のオブジェクトを分析するためのジョブを設定できます。複数アカウントのジョブにおけるクォータの適用方法とコストの計算方法については、以下を参照してください推定使用コストの計算方法を理解する

  5. ジョブを作成したアカウントのみが、ジョブの詳細にアクセスできます。これには、S3 バケットのインベントリ内のジョブ関連の詳細が含まれます。

  6. ジョブを作成するアカウントのみが、ジョブが生成する機密データの結果にアクセスし、それを抑制、発行できます。機密データ自動検出で生成された機密データ検出結果にアクセスしたり、非表示、公開したりできるのは管理者だけです。

  7. 機密データの検出結果がメンバーアカウント所有の S3 オブジェクトに適用される場合、管理者は、検出結果によって報告された機密データのサンプルを取得できる可能性があります。これは、検出結果のソース、および管理者アカウントとメンバーアカウントの構成設定とリソースによって異なります。詳細については、「機密データのサンプルを取得するための設定オプションと要件」を参照してください。

  8. 管理者が自身のアカウントの メイシーを一時停止には、まず管理者がすべてのメンバーアカウントから自分のアカウントの関連付けを解除する必要があります。

  9. 管理者が自分のアカウントの Macie を無効化するには、まず管理者がすべてのメンバーアカウントから自分のアカウントの関連付けを解除し、そのアカウントとそれらのすべてのアカウント間の関連付けを削除する必要があります。AWS Organizations の組織の管理者は、組織の管理アカウントを使用して、別のアカウントを管理者アカウントとして指定することでこれを行うことができます。

    AWS Organizations 組織のメンバーが Macie を無効にするには、管理者は、最初にメンバーアカウントの管理者アカウントとの関連付けを解除する必要があります。招待制の組織では、メンバーは自分のアカウントと管理者アカウントの関連付けを解除し、Macie を無効にすることもできます。

  10. AWS Organizations 内の組織の管理者は、管理者アカウントとの関連付けを解除した後に、メンバーアカウントとの関連付けを削除できます。アカウントは引き続き管理者のアカウントインベントリに表示されますが、ステータスはメンバーアカウントではないことを示しています。招待制の組織では、管理者とメンバーは、自分のアカウントと別のアカウントの関連付けを解除した後に、別のアカウントとの関連付けを削除できます。その後、他のアカウントはアカウントインベントリに表示されなくなります。