組織の Macie メンバーアカウントの管理 - Amazon Macie
メンバーアカウントを組織に追加するメンバーアカウントの メイシーを一時停止メンバーアカウントの削除

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

組織の Macie メンバーアカウントの管理

AWS Organizations 組織が Amazon Macie に統合され、設定されると、組織の委任された Macie 管理者は、メンバーアカウントの特定の Macie 設定、データ、リソースにアクセスできます。 Amazon Macie 組織の Macie 管理者として、Macie を使用して、アカウントの特定のアカウント管理および管理タスクを一元的に実行できます。例えば、以下のことが可能です。

  • Macie メンバーアカウントとしてアカウントを追加および削除します。

  • アカウントの Macie の有効化や一時停止など、個々のアカウントの Macie のステータスを管理します。

  • 個別のアカウントおよび組織全体の Macie クォータと推定使用コストをモニタリングします。

また、Macie メンバーアカウントの Amazon Simple Storage Service (Amazon S3) のインベントリデータとポリシー結果を確認することもできます。また、アカウントが所有する S3 バケット内の機密データを検出できます。実行できるタスクの詳細なリストについては、Macie 管理者とメンバーアカウントの関係を参照してください。

デフォルトでは、Macie は、組織内のすべての Macie メンバーアカウントの関連データとリソースを可視化します。ドリルダウンして、個々のアカウントのデータとリソースを確認することもできます。例えば、概要ダッシュボードを使用して、組織の Amazon S3 セキュリティ体制を評価する場合は、アカウントごとにデータをフィルタリングできます。同様に、推定使用量のコストをモニタリングする場合は、個々のメンバーアカウントの推定コストの内訳にアクセスできます。

管理者およびメンバーアカウントに共通するタスクに加えて、組織のさまざまな管理タスクを実行できます。

組織の Macie 管理者として、Amazon Macie コンソールまたは Amazon Macie Amazon Macie を使用してこれらのタスクを実行できますAPI。コンソールを使用する場合は、 の AWS Organizations アクションを実行する必要がありますorganizations:ListAccounts。このアクションにより、 AWS Organizations内で組織の一部であるアカウントに関する情報を取得して表示することが許可されます。

Macie メンバーアカウントを組織に追加する

場合によっては、Amazon Macie メンバーアカウントとしてアカウントを手動で追加する必要があります。これは、以前にメンバーアカウントとして削除 (関連付け解除) したアカウントの場合です。これは、アカウントが で組織に追加されたときに、新しいメンバーアカウントを自動的に有効化して追加するように Macie を設定していない場合も同様です AWS Organizations。

Macie メンバーアカウントとしてアカウントを追加する場合:

  • Macie は、リージョンでまだ有効になっていない場合 AWS リージョン、現在の のアカウントで有効になっています。

  • アカウントは、リージョンのメンバーアカウントとして Macie 管理者アカウントに関連付けられています。メンバーアカウントは、招待またはお客様のアカウント間にこの関係を確立したというその他の通知を受け取りません。

  • リージョンの アカウントで、機密データの自動検出が有効になっている場合があります。これは、組織に指定した設定によって異なります。詳細については、「自動機密データ検出の設定」を参照してください。

すでに関連付けられているアカウントは別の Macie 管理者アカウントに追加できないことに注意してください。アカウントは、まず現在の管理者アカウントから関連付けを解除する必要があります。さらに、Macie がアカウントに対して既に有効になっていない限り、 AWS Organizations 管理アカウントをメンバーアカウントとして追加することはできません。追加の要件については、で Macie を使用する際の考慮事項 AWS Organizationsを参照してください。

組織に Macie メンバーアカウントを追加するには

組織に 1 つ以上の Macie メンバーアカウントを追加するには、Amazon Macie コンソールまたは Amazon Macie を使用できますAPI。

Console

Amazon Macie コンソールを使用して 1 つ以上の Macie メンバーアカウントを追加するには、次のステップに従います。

Macie メンバーアカウントを追加するには

  1. で Amazon Macie コンソールを開きますhttps://console.aws.amazon.com/macie/

  2. ページの右上隅にある AWS リージョン セレクターを使用して、メンバーアカウントを追加するリージョンを選択します。

  3. ナビゲーションペインで、[Accounts] (アカウント) を選択します。アカウント ページが開き、お客様のアカウントに関連付けられているアカウントのテーブルが表示されます。

  4. (オプション) で組織の一部であり、Macie メンバーアカウント AWS Organizations ではないアカウントをより簡単に識別するには、既存のアカウントテーブルの上にあるフィルターボックスを使用して、次のフィルター条件を追加します。

    • タイプ = 組織

    • ステータス = メンバーではない

    また、以前に削除したがメンバーアカウントとして追加する可能性のあるアカウントを表示するには、ステータス = 削除済み (関連付け解除済み)も追加します。

  5. 既存のアカウントテーブルで、メンバーアカウントとして追加する各アカウントのチェックボックスをオンにします。

  6. Actions (アクション) メニューで、Add member (メンバーを追加) を選択します。

  7. 選択したアカウントをメンバーアカウントとして追加することを確認します。

選択を確認すると、選択したアカウントのステータスが処理中の有効化 に変わり、アカウントインベントリで有効化 に変わります。

メンバーアカウントを追加する追加のリージョンごとに、前述のステップを繰り返します。

API

プログラムで 1 つ以上の Macie メンバーアカウントを追加するには、Amazon Macie の CreateMemberオペレーションを使用しますAPI。

リクエストを送信するときは、サポートされているパラメータを使用して、追加 AWS アカウント する各 の 12 桁のアカウント ID と E メールアドレスを指定します。また、リクエストが適用されるリージョンも指定します。追加のリージョンでアカウントを追加するには、追加のリージョンごとにリクエストを送信します。

追加するアカウントのアカウント ID と E メールアドレスを取得するには、 AWS Organizations APIのListAccountsオペレーションと Amazon Macie のListMembersオペレーションの出力を関連付けることができますAPI。Macie の ListMembersオペレーションではAPI、リクエストに onlyAssociatedパラメータを含め、パラメータの値を に設定しますfalse。オペレーションが成功すると、Macie は、指定されたリージョンの Macie 管理者アカウントに関連付けられているすべてのアカウント (現在メンバーアカウントではないアカウントを含む) の詳細を提供する members 配列を返します。配列では次の点に注意してください。

  • アカウントの relationshipStatusプロパティの値が Enabledまたは でない場合Paused、アカウントはお客様のアカウントに関連付けられますが、Macie メンバーアカウントではありません。

  • アカウントが配列に含まれていないが、 のListAccountsオペレーションの出力に含まれている場合 AWS Organizations API、アカウントは AWS Organizations の組織の一部ですが、アカウントに関連付けられていないため、Macie メンバーアカウントではありません。

を使用してメンバーアカウントを追加するには AWS CLI、create-member コマンドを実行します。region パラメータを使用して、アカウントを追加するリージョンを指定します。account パラメータを使用して、追加する各アカウントのアカウント ID とメールアドレスを指定します。例:

C:\> aws macie2 create-member --region us-east-1 --account={\"accountId\":\"123456789012\",\"email\":\"janedoe@example.com\"}

各パラメータの意味は次のとおりです。us-east-1 は、アカウントをメンバーアカウントとして追加するリージョン (米国東部 (バージニア北部) リージョン) で、accountパラメータはアカウント ID (123456789012) と E メールアドレス (janedoe@example.com)。

リクエストが成功すると、指定されたアカウントのステータス relationshipStatus がアカウントのインベントリの Enabled に変わります。

組織内のメンバーアカウントの Macie の停止

内の組織の Amazon Macie 管理者として AWS Organizations、組織内のメンバーアカウントの Macie を停止できます。これを行うと、後でアカウントの Macie を再度有効化することもできます。

メンバーアカウントの メイシーを一時停止と、次のようになります。

  • Macie は、現在の AWS リージョン内のアカウントの Amazon S3 データに関するメタデータへのアクセスを失い、提供を停止します。

  • Macie は、リージョン内のアカウントのすべてのアクティビティの実行を停止します。これには、セキュリティとアクセスコントロールのための S3 バケットのモニタリング、機密データの自動検出、および現在進行中の機密データ検出ジョブの実行などが含まれます。

  • Macie は、リージョン内のアカウントによって作成された機密データ検出ジョブをすべてキャンセルします。ジョブがキャンセルされた後は、ジョブを再開したり再起動したりすることはできません。メンバーアカウントが所有するデータを分析するためのジョブを作成した場合、Macie はジョブをキャンセルしません。代わりに、ジョブはアカウントが所有するリソースをスキップします。

アカウントが停止されている間、Macie は該当するリージョン内のアカウントの Macie セッション識別子、設定、およびリソースを保持します。例えば、アカウントの調査結果はそのまま残り、最大 90 日間は影響を受けません。そのリージョン内のアカウントで Macie が停止されている間、該当するリージョン内のアカウントに対する Macie の請求は組織に発生しません。

組織内のメンバーアカウントの メイシーを一時停止には

組織内のメンバーアカウントの Macie を停止するには、Amazon Macie コンソールまたは Amazon Macie を使用できますAPI。

Console

Amazon Macie コンソールを使用してメンバーアカウントの メイシーを一時停止には、次のステップに従います。

メンバーアカウントの メイシーを一時停止には

  1. で Amazon Macie コンソールを開きますhttps://console.aws.amazon.com/macie/

  2. ページの右上隅にある AWS リージョン セレクターを使用して、メンバーアカウントの Macie を停止するリージョンを選択します。

  3. ナビゲーションペインで、[Accounts] (アカウント) を選択します。アカウント ページが開き、お客様のアカウントに関連付けられているアカウントのテーブルが表示されます。

  4. 既存のアカウントテーブルで、Macie を停止するアカウントのチェックボックスをオンにします。

  5. アクションメニューで、メイシーを一時停止を選択します。

  6. アカウントの メイシーを一時停止ことを確認します。

停止を確認すると、アカウントのステータスがインベントリで 一時停止 (停止)に変わります。

アカウントのメイシーを一時停止したい追加リージョンごとに、前述の手順を繰り返します。

API

プログラムでメンバーアカウントの Macie を停止するには、Amazon Macie の UpdateMemberSessionオペレーションを使用しますAPI。

リクエストを送信するときは、 idパラメータを使用して、Macie を停止 AWS アカウント する の 12 桁のアカウント ID を指定します。status パラメータでは、Macie アカウントの新しいステータスとして PAUSED を指定します。また、リクエストが適用されるリージョンも指定します。追加のリージョンでアカウントを停止するには、追加のリージョンごとにリクエストを送信します。

停止するアカウントのアカウント ID を取得するには、Amazon Macie の ListMembersオペレーションを使用できますAPI。これを実行する場合は、リクエストに onlyAssociated パラメータを含めることで結果をフィルタリングすることを検討してください。このパラメータの値を true に設定した場合、Macie は現在メンバーアカウントであるアカウントのみの詳細を提供する members 配列を返します。

を使用してメンバーアカウントの Macie を停止するには AWS CLI、 update-member-session コマンドを実行します。region パラメータを使用して Macie を停止するリージョンを指定し、 idパラメータを使用して Macie を停止 AWS アカウント する のアカウント ID を指定します。status パラメータでは、PAUSED を指定します。例:

C:\> aws macie2 update-member-session --region us-east-1 --id 123456789012 --status PAUSED

各パラメータの意味は次のとおりです。us-east-1 は Macie (米国東部 (バージニア北部) リージョン) を停止するリージョンです。123456789012 は Macie を停止するアカウントのアカウント ID で、 PAUSEDはアカウントの Macie の新しいステータスです。

リクエストが成功すると、Macie は空のレスポンスを返し、指定されたアカウントのステータスはアカウントのインベントリの Paused に変わります。

組織から Macie メンバーアカウントを削除する

メンバーアカウントの Amazon Macie 設定、データ、リソースへのアクセスを停止する場合は、アカウントを Macie メンバーアカウントとして削除できます。これを行うには、Macie 管理者アカウントからそのアカウントの関連付けを解除します。ご自身でのみ、メンバーアカウントに対してこれを実行できることに注意してください。 AWS Organizations メンバーアカウントは Macie 管理者アカウントとの関連付けを解除できません。

Macie メンバーアカウントを削除しても、Macie は現在の AWS リージョン内のアカウントに対して有効化されたままとなります。ただし、アカウントは Macie 管理者アカウントから関連付けが解除され、スタンドアロンの Macie アカウントになります。これは、アカウントの Amazon S3 データのメタデータやポリシーの結果など、アカウントのすべての Macie 設定、データ、およびリソースにアクセスできなくなることを意味します。これは、アカウントが所有する S3 バケット内の機密データ検出で Macie を使用できなくなることも意味します。これを実行する機密データ検出ジョブを既に作成している場合、ジョブはアカウントが所有するバケットをスキップします。アカウントの機密データの自動検出を有効にした場合、ユーザーとメンバーアカウントの両方が、アカウントの自動検出の実行中に Macie が生成および直接提供した統計データ、インベントリデータ、およびその他の情報にアクセスできなくなります。

Macie メンバーアカウントを削除しても、アカウントは引き続きアカウントのインベントリに表示されます。Macie は、お客様がアカウントを削除したことをアカウントの所有者に通知しません。アカウントは後で組織に追加できます。アカウントを追加し、30 日以内に自動機密データ検出を有効にすると、Macie がアカウントの自動検出を実行している間に以前に生成および直接提供したデータや情報にも再びアクセスできます。

組織から Macie メンバーアカウントを削除するには

組織から Macie メンバーアカウントを削除するには、Amazon Macie コンソールまたは Amazon Macie を使用できますAPI。

Console

Amazon Macie コンソールを使用して Macie メンバーアカウントを削除するには、次のステップに従います。

Macie メンバーアカウントを削除するには

  1. で Amazon Macie コンソールを開きますhttps://console.aws.amazon.com/macie/

  2. ページの右上隅にある AWS リージョン セレクターを使用して、メンバーアカウントを削除するリージョンを選択します。

  3. ナビゲーションペインで、[Accounts] (アカウント) を選択します。アカウント ページが開き、お客様のアカウントに関連付けられているアカウントのテーブルが表示されます。

  4. 既存のアカウントテーブルで、メンバーアカウントとして削除するアカウントのチェックボックスをオンにします。

  5. アクション メニューで、Disassociate account (アカウントの関連付けを解除する) を選択します。

  6. 選択されたアカウントをメンバーアカウントとして削除することを確認します。

選択を確認すると、アカウントのステータスが、アカウントのインベントリで Removed (disassociated) (削除 (関連付け解除)) に変わります。

メンバーアカウントを削除する追加のリージョンごとに、前述のステップを繰り返します。

API

Macie メンバーアカウントをプログラムで削除するには、Amazon Macie の DisassociateMemberオペレーションを使用しますAPI。

リクエストを送信するときは、 idパラメータを使用して、削除するメンバーアカウントの 12 桁の AWS アカウント ID を指定します。また、リクエストが適用されるリージョンも指定します。追加のリージョン内のアカウントを削除するには、追加のリージョンごとにリクエストを送信します。

削除するメンバーアカウントのアカウント ID を取得するには、Amazon Macie の ListMembersオペレーションを使用できますAPI。これを実行する場合は、リクエストに onlyAssociated パラメータを含めることで結果をフィルタリングすることを検討してください。このパラメータの値を true に設定した場合、Macie は現在 Macie メンバーアカウントであるアカウントのみの詳細を提供する members 配列を返します。

を使用して Macie メンバーアカウントを削除するには AWS CLI、disassociate-member コマンドを実行します。region パラメータを使用して、アカウントを削除するリージョンを指定します。id パラメータを使用して、削除するメンバーアカウントのアカウント ID を指定します。例:

C:\> aws macie2 disassociate-member --region us-east-1 --id 123456789012

各パラメータの意味は次のとおりです。us-east-1 は、アカウントを削除するリージョン (米国東部 (バージニア北部) リージョン) であり、123456789012 は、削除するアカウントのアカウント ID です。

リクエストが成功すると、Macie は空のレスポンスを返し、指定されたアカウントのステータスはアカウントのインベントリの Removed に変わります。