Amazon Macie とAWS Organizations - AWS Organizations

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Macie とAWS Organizations

Amazon Macie は、機械学習とパターンマッチングを使用して、Amazon Simple Storage Service(Amazon S3)で機密データを検出、監視、保護する、完全マネージド型のデータセキュリティおよびデータプライバシーサービスです。Macie は、個人識別情報 (PII) や知的財産などの機密データの検出を自動化し、組織が Amazon S3 に保存するデータをより深く理解します。

詳細については、「」を参照してください。複数のAmazon Macieアカウントを管理するAWS Organizations()Amazon Macie ユーザーガイド

以下の情報を参考にして、Amazon Macie をAWS Organizations。

統合を有効にしたときに作成されるサービスリンクロール

以下のようになりますサービスにリンクされたロールは、信頼されたアクセスを有効にすると、組織の管理カウントに自動的に作成されます。この役割により、Macie は組織内の組織のアカウント内でサポートされている操作を実行できます。

このロールを削除または変更できるのは、Macie と Organizations 間の信頼されたアクセスを無効にするか、組織からメンバーアカウントを削除した場合のみです。

  • AWSServiceRoleRorAmazonMacie

サービスにリンクされたロールで使用されるサービスプリンシパル

前のセクションで説明したサービスリンクロールは、ロールに定義された信頼関係によって承認されたサービスプリンシパルによってのみ引き受けることができます。Macie が使用するサービスリンクされたロールは、次のサービスプリンシパルへのアクセスを許可します。

  • macie.amazonaws.com

Macie で信頼されたアクセスを有効にします。

信頼されたアクセスを有効にするには、」を参照してください。信頼されたアクセスを有効にするために必要なアクセス許可

信頼されたアクセスを有効にするには、Amazon Macie コンソールまたはAWS Organizationsconsole.

重要

可能な限り、Amazon Macie コンソールまたはツールを使用して、Organizations との統合を有効にすることを強くお勧めします。これにより、Amazon Macie は、サービスに必要なリソースの作成など、必要な設定を実行できます。Amazon Macie が提供するツールを使用して統合を有効にできない場合にのみ、以下の手順を実行してください。詳細については、このメモ

Amazon Macie コンソールまたはツールを使用してトラステッドアクセスを有効にした場合、以下の手順を実行する必要はありません。

Macie コンソールを使用して信頼されたアクセスを有効にするには

Amazon Macie には、信頼できるアクセスが必要です。AWS Organizations組織の Macie 管理者としてメンバーアカウントを指定します。Macie 管理コンソールを使用して委任された管理者を設定した場合、Macie は信頼されたアクセスを自動的に有効にします。

詳細については、「」を参照してください。で信頼されたアクセスを有効にするAWS Organizations()Amazon Macie ユーザーガイド

信頼されたアクセスを有効にするには、Organizations のAWS CLIコマンドを使用するか、Organizations の API オペレーションをAWSSDK。

AWS CLI, AWS API

Organizations CLI/SDK を使用して信頼されたサービスアクセスを有効にするには

以下を使用できます。AWS CLIサービスへの信頼されたアクセスを有効にするには、コマンドまたは API オペレーションを使用できます。

  • AWS CLI:aws-service-access

    以下のコマンドを実行して、Amazon Macie をOrganizations 信頼できるサービスとして有効にすることができます。

    $ aws organizations enable-aws-service-access \ --service-principal macie.amazonaws.com

    このコマンドが成功した場合、出力は生成されません。

  • AWS API: EnableAWSServiceAccess

Macie の委任管理者アカウントの有効化

メンバーアカウントを組織の委任管理者として指定すると、そのアカウントのユーザーとロールが Macie に対する管理アクションを実行できます。それ以外の場合は、組織の管理アカウントのユーザーまたはロールのみが実行できます。これは、Macieの管理から組織の管理を分離するのに役立ちます。

最小限必要なアクセス権限

以下の権限を持つOrganizations 管理アカウントの IAM ユーザーまたはロールのみが、組織内の Macie の委任管理者としてメンバーアカウントを設定できます。

  • organizations:EnableAWSServiceAccess

  • macie:EnableOrganizationAdminAccount

メンバーアカウントを Macie の委任管理者として指定するには

Amazon Macie には、信頼できるアクセスが必要です。AWS Organizations組織の Macie 管理者としてメンバーアカウントを指定します。Macie 管理コンソールを使用して委任された管理者を設定した場合、Macie は信頼されたアクセスを自動的に有効にします。

詳細については、「」を参照してください。https://docs.aws.amazon.com/macie/latest/user/macie-organizations.html#register-delegated-admin