翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
組織の Macie 管理者アカウントを変更する
AWS Organizations 組織が Amazon Macie で統合および設定されると、 AWS Organizations 管理アカウントは別のアカウントを組織の委任 Macie 管理者アカウントとして指定できます。新しい Macie 管理者は、Macie で組織を再度設定できます。
組織の AWS Organizations 管理アカウントのユーザーとして、組織の別の Macie 管理者アカウントを指定する前に、次のアクセス許可要件を満たしていることを確認してください。
-
組織の Macie 管理者アカウントを最初に指定するために必要であったものと同じアクセス許可を持つ必要があります。また、次の AWS Organizations アクションの実行も許可されている必要があります: organizations:DeregisterDelegatedAdministrator。この追加アクションにより、現在の指定の削除が許可されます。
-
お客様のアカウントが Macie メンバーアカウントとなっている場合は、現時点の Macie 管理者が、Macie メンバーアカウントとしてのお客様のアカウントを削除する必要があります。そうしないと、別の管理者アカウントを指定する Macie オペレーションにはアクセスできません。お客様が新しい管理者アカウントを指定すると、新しい Macie 管理者がお客様のアカウントを Macie メンバーアカウントとして再度追加できます。
組織が複数の で Macie を使用している場合は AWS リージョン、組織が Macie を使用する各リージョンの指定も変更してください。Macie 委任管理者アカウントは、これらのすべてのリージョンで同じである必要があります。で複数の組織を管理する場合 AWS Organizations、アカウントは一度に 1 つの組織のみの委任 Macie 管理者アカウントになることができることに注意してください。追加の要件については、AWS Organizationsで Macie を使用するための考慮事項。を参照してください。
組織に別の Macie 管理者アカウントを指定する場合、Macie が作成して、組織内のアカウントの機密データの自動検出の実行中に直接提供した既存の統計データ、インベントリデータ、その他の情報へのアクセスも無効にします。新しい Macie 管理者は既存のデータにアクセスできません。指定を変更し、新しい Macie 管理者がアカウントの自動検出を有効にすると、Macie は、アカウントの自動検出を実行するときに新しいデータを作成して維持します。
Macie 管理者アカウントの指定を変更するには
組織の別の Macie 管理者アカウントを指定するには、Amazon Macie コンソールまたは Amazon Macie と AWS Organizations APIs の組み合わせを使用できます。組織の指定を変更できるのは、 AWS Organizations 管理アカウントのユーザーのみです。
- Console
-
Amazon Macie コンソールを使用して指定を変更するには、次の手順に従います。
指定を変更するには
-
AWS Organizations 管理アカウントを使用して AWS Management Console にサインインします。
-
ページの右上隅にある AWS リージョン セレクターを使用して、指定を変更するリージョンを選択します。
Amazon Macie コンソール (https://console.aws.amazon.com/macie/) を開きます。
-
Macie が現在のリージョンで管理アカウントに対して有効化されているかどうかに応じて、次のいずれかを実行します。
-
Delegated administrator (委任管理者) の下で、Remove (削除) を選択します。指定を変更するには、まず現在の指定を削除する必要があります。
-
現在の指定を削除することを確認します。
-
委任された管理者に、組織の新しい Macie 管理者アカウントとして AWS アカウント 指定する の 12 桁のアカウント ID を入力します。
-
[委任] を選択します。
Macie を AWS Organizationsと統合する追加のリージョンごとに、前述のステップを繰り返します。
- API
-
プログラムで指定を変更するには、Amazon Macie API の 2 つのオペレーションと API の 1 つのオペレーションを使用します AWS Organizations 。これは、新しい指定を送信する AWS Organizations 前に、Macie と の両方で現在の指定を削除する必要があるためです。
現在の指定を削除するには、以下を実行します。
-
Macie API の DisableOrganizationAdminAccount オペレーションを使用します。必須adminAccountIdパラメータには、組織の Macie 管理者アカウントとして現在指定されている の 12 AWS アカウント 桁のアカウント ID を指定します。
-
AWS Organizations
API の DeregisterDelegatedAdministrator オペレーションを使用します。AccountId パラメータでは、組織の Macie 管理者アカウントとして現在指定されているアカウントの 12 桁のアカウント ID を指定します。この値は、前の Macie リクエストで指定したアカウント ID と一致する必要があります。ServicePrincipal パラメータでは、Macie サービスプリンシパルmacie.amazonaws.comを指定します。
現在の指定を削除した後、Macie API の EnableOrganizationAdminAccount オペレーションを使用して新しい指定を送信します。必須adminAccountIdパラメータには、組織の新しい Macie 管理者アカウントとして AWS アカウント 指定する の 12 桁のアカウント ID を指定します。
AWS Command Line Interface (AWS CLI) を使用して指定を変更するには、Macie API の disable-organization-admin-account コマンドと AWS Organizations API の deregister-delegated-administrator コマンドを実行します。これらのコマンドは、Macie および AWS Organizationsの現在の指定をそれぞれ削除します。admin-account-id および account-idパラメータには、削除する の 12 桁のアカウント ID AWS アカウント を現在の Macie 管理者アカウントとして指定します。region パラメータを使用して、削除が適用されるリージョンを指定します。例:
C:\> aws macie2 disable-organization-admin-account --region us-east-1 --admin-account-id 111122223333 && aws organizations deregister-delegated-administrator --region us-east-1 --account-id 111122223333 --service-principal macie.amazonaws.com
ここで、
-
us-east-1は、削除が適用されるリージョン (米国東部 (バージニア北部) リージョン) です。
-
111122223333は、Macie 管理者アカウントとして削除するアカウントのアカウント ID です。
-
macie.amazonaws.com は、Macie サービスプリンシパルです。
現在の指定を削除した後、Macie API の enable-organization-admin-account オペレーションを実行して新しい指定を送信します。admin-account-id パラメータには、組織の新しい Macie 管理者アカウントとして AWS アカウント 指定する の 12 桁のアカウント ID を指定します。region パラメータを使用して、指定が適用されるリージョンを指定します。例:
C:\> aws macie2 enable-organization-admin-account --region us-east-1 --admin-account-id 444455556666
ここで、us-east-1 は指定が適用されるリージョン (米国東部 (バージニア北部) リージョン) であり、444455556666 は新しい Macie 管理者アカウントとして指定するアカウントのアカウント ID です。
