翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon Macie と AWS Organizations
Amazon Macie は、フルマネージド型のデータセキュリティおよびデータプライバシーサービスです。機械学習とパターンマッチングを使用して、Amazon Simple Storage Service (Amazon S3) 内の機密データを検出、モニタリングし、適切な保護を支援します。Macie は、組織が Amazon S3 に保存している個人を特定できる情報 (PII) や知的財産などの機密データを詳細に把握できるよう、そうしたデータの検出を自動化します。
詳細については、Amazon Macie ユーザーガイドの「Managing Amazon Macie accounts with AWS Organizations」を参照してください。
Amazon Macie と AWS Organizations の統合には、次の情報を参考にしてください。
統合を有効にする際に作成されるサービスにリンクされたロール
信頼されたアクセスを有効にすると、以下のサービスにリンクされたロールが組織の委任された Macie 管理アカウントに自動的に作成されます。このロールにより、Macie はサポートされているオペレーションを組織内のアカウントに対して実行できます。
このロールを削除できるのは、Macie と Organizations 間の信頼されたアクセスを無効にした場合か、組織から当該のメンバーアカウントを削除した場合だけです。
-
AWSServiceRoleRorAmazonMacie
サービスにリンクされたロールで使用されるサービスプリンシパル
前のセクションで説明したサービスにリンクされたロールを引き受けることができるのは、ロールに定義された信頼関係によって承認されたサービスプリンシパルだけです。Macie によって使用されるサービスにリンクされたロールには、次のサービスプリンシパルへのアクセス許可が付与されます。
-
macie.amazonaws.com
Macie との信頼されたアクセスの有効化
信頼されたアクセスの有効化に必要なアクセス許可に関しては、信頼されたアクセスを有効にするために必要なアクセス許可 を参照してください。
Amazon Macie コンソールまたは AWS Organizations コンソールを使用して、信頼されたアクセスを有効にできます。
重要
Organizations との統合の有効化には、可能な場合は常に Amazon Macie のコンソールまたはツールを使用することを強くお勧めします。そうすることで、サービスに必要なリソースの作成など、必要な構成が Amazon Macie で実行可能になります。ここに示す手順は、統合の有効化に Amazon Macie が提供するツールを使用できない場合にのみ実施してください。詳細については、この注意を参照してください。
Amazon Macie のコンソールまたはツールを使用して信頼されたアクセスを有効にする場合、これらのステップを実施する必要はありません。
Macie コンソールを使用して信頼されたアクセスを有効にするには
組織の Amazon Macie の委任管理者にするメンバーアカウントを指定するにあたり、Amazon Macie には AWS Organizations への信頼されたアクセスが必要です。Macie マネジメントコンソールを使用して委任管理者を設定すると、信頼されたアクセスが Macie によって自動的に有効になります。
詳細については、Amazon Macie ユーザーガイドの「Integrating and configuring an organization in Amazon Macie」を参照してください。
信頼されたアクセスの有効化には、Organizations の AWS CLI コマンドを実行する方法と、いずれかの AWS SDK で Organizations API オペレーションを呼び出す方法があります。
Macie 用の委任管理者アカウントの有効化
メンバーアカウントを組織の委任管理者として指定すると、そのアカウントのユーザーおよびロールは、 Macie の管理アクションを実行できるようになります。通常この管理アクションは、組織の管理アカウントのユーザーとロールだけが実行できるものです。この手法は、組織の管理から Macie の管理を分離するのに有効です。
最小アクセス許可
次の許可を持つ Organizations 管理アカウントのユーザーまたはロールのみが、組織内で Macie の委任管理者としてメンバーアカウントを設定できます。
-
organizations:EnableAWSServiceAccess
-
macie:EnableOrganizationAdminAccount
メンバーアカウントを Macie の委任管理者として指定するには
組織の Amazon Macie の委任管理者にするメンバーアカウントを指定するにあたり、Amazon Macie には AWS Organizations への信頼されたアクセスが必要です。Macie マネジメントコンソールを使用して委任管理者を設定すると、信頼されたアクセスが Macie によって自動的に有効になります。
詳細については、「https://docs.aws.amazon.com/macie/latest/user/macie-organizations.html#register-delegated-admin」を参照してください