Amazon Macie と AWS Organizations - AWS Organizations

Amazon Macie と AWS Organizations

Amazon Macie は、フルマネージド型のデータセキュリティおよびデータプライバシーサービスです。機械学習とパターンマッチングを使用して、Amazon Simple Storage Service (Amazon S3) 内の機密データを検出、モニタリングし、適切な保護を支援します。Macie は、組織が Amazon S3 に保存している個人を特定できる情報 (PII) や知的財産などの機密データを詳細に把握できるよう、そうしたデータの検出を自動化します。

詳細については、Amazon Macie ユーザーガイドの「Managing Amazon Macie accounts with AWS Organizations」を参照してください。

Amazon Macie と AWS Organizations の統合には、次の情報を参考にしてください。

統合を有効にする際に作成されるサービスにリンクされたロール

信頼されたアクセスを有効にすると、以下のサービスにリンクされたロールが組織の委任された Macie 管理アカウントに自動的に作成されます。このロールにより、Macie はサポートされているオペレーションを組織内のアカウントに対して実行できます。

このロールを削除できるのは、Macie と Organizations 間の信頼されたアクセスを無効にした場合か、組織から当該のメンバーアカウントを削除した場合だけです。

  • AWSServiceRoleRorAmazonMacie

サービスにリンクされたロールで使用されるサービスプリンシパル

前のセクションで説明したサービスにリンクされたロールを引き受けることができるのは、ロールに定義された信頼関係によって承認されたサービスプリンシパルだけです。Macie によって使用されるサービスにリンクされたロールには、次のサービスプリンシパルへのアクセス許可が付与されます。

  • macie.amazonaws.com

Macie との信頼されたアクセスの有効化

信頼されたアクセスの有効化に必要なアクセス許可に関しては、信頼されたアクセスを有効にするために必要なアクセス許可 を参照してください。

Amazon Macie コンソールまたは AWS Organizations コンソールを使用して、信頼されたアクセスを有効にできます。

重要

Organizations との統合の有効化には、可能な場合は常に Amazon Macie のコンソールまたはツールを使用することを強くお勧めします。そうすることで、サービスに必要なリソースの作成など、必要な構成が Amazon Macie で実行可能になります。ここに示す手順は、統合の有効化に Amazon Macie が提供するツールを使用できない場合にのみ実施してください。詳細については、この注意を参照してください。

Amazon Macie のコンソールまたはツールを使用して信頼されたアクセスを有効にする場合、これらのステップを実施する必要はありません。

Macie コンソールを使用して信頼されたアクセスを有効にするには

組織の Amazon Macie の委任管理者にするメンバーアカウントを指定するにあたり、Amazon Macie には AWS Organizations への信頼されたアクセスが必要です。Macie マネジメントコンソールを使用して委任管理者を設定すると、信頼されたアクセスが Macie によって自動的に有効になります。

詳細については、Amazon Macie ユーザーガイドの「Integrating and configuring an organization in Amazon Macie」を参照してください。

信頼されたアクセスの有効化には、Organizations の AWS CLI コマンドを実行する方法と、いずれかの AWS SDK で Organizations API オペレーションを呼び出す方法があります。

AWS CLI, AWS API

Organizations CLI/SDK を使用して信頼されたアクセスを有効にするには

信頼されたサービスのアクセスを有効にするには、次の AWS CLI コマンドまたは API オペレーションを使用できます。

  • AWS CLI: enable-aws-service-access

    次のコマンドを実行し、Amazon Macie を Organizations で信頼されたサービスとして有効にすることができます。

    $ aws organizations enable-aws-service-access \ --service-principal macie.amazonaws.com

    このコマンドが成功した場合、出力は生成されません。

  • AWS API: EnableAWSServiceAccess

Macie 用の委任管理者アカウントの有効化

メンバーアカウントを組織の委任管理者として指定すると、そのアカウントのユーザーおよびロールは、 Macie の管理アクションを実行できるようになります。通常この管理アクションは、組織の管理アカウントのユーザーとロールだけが実行できるものです。この手法は、組織の管理から Macie の管理を分離するのに有効です。

最小限必要なアクセス権限

組織内で Macie の委任管理者としてメンバーアカウントを設定できるのは、次のアクセス許可を持つ Organizations 管理アカウントの IAM ユーザーまたはロールだけです。

  • organizations:EnableAWSServiceAccess

  • macie:EnableOrganizationAdminAccount

メンバーアカウントを Macie の委任管理者として指定するには

組織の Amazon Macie の委任管理者にするメンバーアカウントを指定するにあたり、Amazon Macie には AWS Organizations への信頼されたアクセスが必要です。Macie マネジメントコンソールを使用して委任管理者を設定すると、信頼されたアクセスが Macie によって自動的に有効になります。

詳細については、「https://docs.aws.amazon.com/macie/latest/user/macie-organizations.html#register-delegated-admin」を参照してください