委任管理者の変更 - AWS Audit Manager

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

委任管理者の変更

で委任された管理者を変更すると、2 ステップのプロセス AWS Audit Manager になります。まず、現在の委任管理者アカウントを削除する必要があります。その後、委任された管理者として新しいアカウントを追加できます。

このページの手順に従って、委任された管理者を変更します。

前提条件

現在のアカウントを削除する前に

現在の委任管理者アカウントを削除する前に、次の考慮事項に注意してください。

  • 証拠ファインダーのクリーンアップタスク - 現在の委任管理者 (アカウント A) が証拠ファインダーを有効にしている場合は、アカウント B を新しい委任管理者として割り当てる前にクリーンアップタスクを実行する必要があります。

    管理アカウントを使用してアカウント A を削除する前に、アカウント A が Audit Manager にサインインし、証拠ファインダーを無効にしていることを確認してください。エビデンスファインダーを無効にすると、エビデンスファインダーが有効だったときにアカウントで作成されたイベントデータストアが自動的に削除されます。

    このタスクが完了しない場合、イベントデータストアはアカウント A に残ります。この場合、元の委任管理者は CloudTrail Lake を使用してイベントデータストア を手動で削除することをお勧めします。

    このクリーンアップタスクは、複数のイベントデータストアで終了しないようにするために必要です。委任管理者アカウントを削除または変更すると、Audit Manager は未使用のイベントデータストアを無視します。ただし、未使用のイベントデータストアを削除しない場合、イベントデータストアには CloudTrail Lake からのストレージコストが引き続き発生します。

  • データ削除 - Audit Manager の委任管理者アカウントを削除しても、そのアカウントのデータは削除されません。委任管理者アカウントのリソースデータを削除する場合は、アカウントを削除する前にそのタスクを別途実行する必要があります。どちらの場合も、Audit Manager コンソールでできます。または、Audit Manager が提供する削除APIオペレーションのいずれかを使用できます。実行可能な削除操作のリストについては、「Audit Manager データの削除」を参照してください。

    現時点では、Audit Manager は特定の委任管理者の証拠を削除するオプションを提供していません。代わりに、管理アカウントが Audit Manager の登録を解除すると、登録解除時に現在の委任管理者アカウントのクリーンアップが実行されます。

新しいアカウントを追加する前に

新しい委任管理者アカウントを追加する前に、次の考慮事項に注意してください。

  • 新しいアカウントは組織の一部である必要があります。

  • 新しい委任管理者を指定する前に、組織 のすべての機能を有効にする必要があります。組織の Security Hub 設定も構成する必要があります。このように、Audit Manager はメンバーアカウントから Security Hub の証拠を収集できます。

  • 委任管理者アカウントは、Audit Manager の設定時に指定したKMSキーに対するアクセス権を持っている必要があります。

  • Audit Manager では AWS Organizations 、管理アカウントを委任管理者として使用することはできません。

手順

Audit Manager コンソール、 (AWS CLI)、 AWS Command Line Interface または Audit Manager を使用して、委任された管理者を変更できますAPI。

警告

委任管理者を変更しても、古い委任管理者アカウントで以前に収集した証拠に引き続きアクセスできます。ただし、Audit Manager は証拠の収集と、古い委任管理者アカウントへの証拠の添付を停止します。

Audit Manager console
Audit Manager コンソールで現在の委任管理者を変更するには
  1. (オプション) 現在の委任管理者 (アカウント A) が証拠ファインダーを有効にしている場合は、次のクリーンアップタスクを実行します。

    1. アカウント B を新しい委任管理者として割り当てる前に、アカウント A が Audit Manager にサインインして、エビデンスファインダーを無効にしていることを確認します。

      エビデンスファインダーを無効にすると、アカウント A がエビデンスファインダーを有効にした作成されたイベントデータストアは自動的に削除されます。このステップを完了しない場合、アカウント A は CloudTrail Lake に移動し、イベントデータストア を手動で削除する必要があります。それ以外の場合、イベントデータストアはアカウント A に残り、引き続き CloudTrail Lake ストレージ料金が発生します。

  2. [全般] 設定タブから、委任管理者セクションに移動して、[削除] を選択します。

  3. 表示されるポップアップウィンドウで、[Remove(削除) ] を選択して確認します。

  4. [委任管理者のアカウント ID] で、新しい委任管理者アカウントの ID を入力します。

  5. [委任] を選択します。

AWS CLI
で現在の委任管理者を変更するには AWS CLI

まず、 --admin-account-idパラメータを使用して deregister-organization-admin-account コマンドを実行し、現在の委任管理者のアカウント ID を指定します。

次の例では、placeholder text 自分の情報を入力します。

aws auditmanager deregister-organization-admin-account --admin-account-id 111122223333

次に、 --admin-account-idパラメータを使用して register-organization-admin-account コマンドを実行し、新しい委任管理者のアカウント ID を指定します。

次の例では、placeholder text 自分の情報を入力します。

aws auditmanager register-organization-admin-account --admin-account-id 444455556666
Audit Manager API
を使用して現在の委任管理者を変更するには API

まず、 DeregisterOrganizationAdminAccountオペレーションを呼び出し、 adminAccountIdパラメータを使用して現在の委任管理者のアカウント ID を指定します。

次に、 RegisterOrganizationAdminAccountオペレーションを呼び出し、 adminAccountIdパラメータを使用して新しい委任管理者のアカウント ID を指定します。

詳細については、前のリンクを選択して、Audit Manager APIリファレンス で詳細を確認してください。これには、言語固有の の 1 つでこのオペレーションとパラメータを使用する方法に関する情報が含まれます AWS SDKs。

次のステップ

委任管理者アカウントを削除するには、「」を参照してください委任された管理者を削除する

追加リソース