Amazon Macie と AWS Organizations - AWS Organizations
サービスにリンクされたロールサービスプリンシパル信頼されたアクセスを有効にする委任管理者アカウントの有効化

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Macie と AWS Organizations

Amazon Macie は、フルマネージド型のデータセキュリティおよびデータプライバシーサービスです。機械学習とパターンマッチングを使用して、Amazon Simple Storage Service (Amazon S3) 内の機密データを検出、モニタリングし、適切な保護を支援します。Macie は、組織が Amazon S3 に保存している個人を特定できる情報 (PII) や知的財産などの機密データを詳細に把握できるよう、そうしたデータの検出を自動化します。

詳細については、Amazon Macie ユーザーガイドの「Managing Amazon Macie accounts with AWS Organizations」を参照してください。

Amazon Macie と AWS Organizations の統合には、次の情報を参考にしてください。

統合を有効にする際に作成されるサービスにリンクされたロール

信頼されたアクセスを有効にすると、以下のサービスにリンクされたロールが組織の委任された Macie 管理アカウントに自動的に作成されます。このロールにより、Macie はサポートされているオペレーションを組織内のアカウントに対して実行できます。

このロールを削除できるのは、Macie と Organizations 間の信頼されたアクセスを無効にした場合か、組織から当該のメンバーアカウントを削除した場合だけです。

  • AWSServiceRoleRorAmazonMacie

サービスにリンクされたロールで使用されるサービスプリンシパル

前のセクションで説明したサービスにリンクされたロールを引き受けることができるのは、ロールに定義された信頼関係によって承認されたサービスプリンシパルだけです。Macie によって使用されるサービスにリンクされたロールには、次のサービスプリンシパルへのアクセス許可が付与されます。

  • macie.amazonaws.com

Macie との信頼されたアクセスの有効化

信頼されたアクセスの有効化に必要なアクセス許可に関しては、信頼されたアクセスを有効にするために必要なアクセス許可 を参照してください。

Amazon Macie コンソールまたは AWS Organizations コンソールを使用して、信頼されたアクセスを有効にできます。

重要

Organizations との統合の有効化には、可能な場合は常に Amazon Macie のコンソールまたはツールを使用することを強くお勧めします。そうすることで、サービスに必要なリソースの作成など、必要な構成が Amazon Macie で実行可能になります。ここに示す手順は、統合の有効化に Amazon Macie が提供するツールを使用できない場合にのみ実施してください。詳細については、この注意を参照してください。

Amazon Macie のコンソールまたはツールを使用して信頼されたアクセスを有効にする場合、これらのステップを実施する必要はありません。

Macie コンソールを使用して信頼されたアクセスを有効にするには

組織の Amazon Macie の委任管理者にするメンバーアカウントを指定するにあたり、Amazon Macie には AWS Organizations への信頼されたアクセスが必要です。Macie マネジメントコンソールを使用して委任管理者を設定すると、信頼されたアクセスが Macie によって自動的に有効になります。

詳細については、Amazon Macie ユーザーガイドの「Integrating and configuring an organization in Amazon Macie」を参照してください。

信頼されたアクセスの有効化には、Organizations の AWS CLI コマンドを実行する方法と、いずれかの AWS SDK で Organizations API オペレーションを呼び出す方法があります。

AWS CLI, AWS API
Organizations CLI/SDK を使用して信頼されたアクセスを有効にするには

信頼されたサービスのアクセスを有効にするには、次の AWS CLI コマンドまたは API オペレーションを使用できます。

  • AWS CLI: enable-aws-service-access

    次のコマンドを実行し、Amazon Macie を Organizations で信頼されたサービスとして有効にすることができます。

    $ aws organizations enable-aws-service-access \
    --service-principal macie.amazonaws.com

    このコマンドが成功した場合、出力は生成されません。

  • AWS API: EnableAWSServiceAccess

Macie 用の委任管理者アカウントの有効化

メンバーアカウントを組織の委任管理者として指定すると、そのアカウントのユーザーおよびロールは、 Macie の管理アクションを実行できるようになります。通常この管理アクションは、組織の管理アカウントのユーザーとロールだけが実行できるものです。この手法は、組織の管理から Macie の管理を分離するのに有効です。

最小アクセス許可

次の許可を持つ Organizations 管理アカウントのユーザーまたはロールのみが、組織内で Macie の委任管理者としてメンバーアカウントを設定できます。

  • organizations:EnableAWSServiceAccess

  • macie:EnableOrganizationAdminAccount

メンバーアカウントを Macie の委任管理者として指定するには

組織の Amazon Macie の委任管理者にするメンバーアカウントを指定するにあたり、Amazon Macie には AWS Organizations への信頼されたアクセスが必要です。Macie マネジメントコンソールを使用して委任管理者を設定すると、信頼されたアクセスが Macie によって自動的に有効になります。

詳細については、「https://docs.aws.amazon.com/macie/latest/user/macie-organizations.html#register-delegated-admin」を参照してください