Macie での招待ベースの組織に関する考慮事項 - Amazon Macie
管理者アカウントの選択招待の送信とメンバーアカウントの管理メンバーシップの招待への応答と管理への移行 AWS Organizations

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Macie での招待ベースの組織に関する考慮事項

注記

を使用することをお勧めします。 AWS Organizations メンバーアカウントを管理するための Macie の招待の代わりに。詳細については、「を使用した複数の Macie アカウントの管理 AWS Organizations」を参照してください。

Amazon Macie で招待ベースの組織を作成または管理する前に、次の要件とレコメンデーションを検討してください。また、Macie 管理者アカウントとメンバーアカウントの関係を理解してください。

Macie 管理者アカウントの選択

組織の Macie 管理者アカウントにするアカウントを決定する際には、次の点に注意してください。

  • 組織が持つことができる Macie 管理者アカウントは 1 つのみです。

  • アカウントを Macie 管理者とメンバーアカウントに同時に設定することはできません。

  • Macie はリージョンでのサービスです。つまり、Macie 管理者アカウントとメンバーアカウント間の関連付けはリージョン別であり、関連付けは にのみ存在します。 AWS リージョン 招待の送信元および承諾先。例えば、Macie 管理者が米国東部 (バージニア北部) リージョンで招待を送信し、それらの招待が受け入れられる場合、Macie 管理者はそのリージョン内のメンバーアカウントのみを管理できます。

  • Macie アカウントを複数の で一元管理するには AWS リージョン、Macie 管理者は、組織が現在 Macie を使用している、または使用する予定の各リージョンにサインインし、それらの各リージョンの適切なアカウントに招待を送信する必要があります。Macie が現在利用可能なリージョンのリストについては、「」のAmazon Macie エンドポイントとクォータ」を参照してください。 AWS 全般のリファレンス.

  • メンバーアカウントは、一度に 1 つの Macie 管理者アカウントのみと関連付けることができます。組織が複数のリージョンで Macie を使用している場合、これは Macie 管理者アカウントがそれらのすべてのリージョンで同じである必要があることを意味します。ただし、管理者アカウントとメンバーアカウントは、各リージョンで個別に招待を送信および受け入れる必要があります。

Macie 管理者の AWS アカウント は停止、分離、または閉鎖され、関連するすべてのメンバーアカウントはメンバーアカウントとして自動的に削除されますが、Macie は引き続きアカウントに対して有効になります。アカウントはスタンドアロン Macie アカウントになります。メンバーアカウントで機密データの自動検出が有効になっている場合、そのアカウントでは無効になります。これにより、アカウントの自動検出の実行中に Macie が生成して直接提供した統計データ、インベントリデータ、その他の情報へのアクセスも無効になります。30 日後、このデータは期限切れになり、Macie はそのデータを完全に削除します。有効期限が切れる前にデータへのアクセスを復元するには、Macie 管理者の AWS アカウント、そしてそのアカウントを使用して組織を再度作成および設定します。

招待の送信と Macie メンバーアカウントの管理

招待ベースの組織の Macie 管理者として、招待を送信し、組織内のアカウントを管理するときは、次の点に注意してください。

  • 招待を送信すると、関連するデータが 間で転送される場合があります。 AWS リージョン。 これは、Macie が米国東部 (バージニア北部) リージョンでのみ動作する E メール検証サービスを使用して受信アカウントの E メールアドレスを検証するためです。

  • 任意のアクティブな に招待を送信できます。 AWS アカウント Macie を有効にしていないアカウントを含む 。ただし、招待を受け入れまたは拒否するには、受信アカウントは招待の送信元のリージョンで Macie を有効化する必要があります。

  • 各 で AWS リージョン、Macie 管理者アカウントは、招待によって 1,000 個以下のアカウントに関連付けることができます。これには、まだ招待に応答していないアカウントも含まれます。アカウントがこのクォータを満たしている場合、追加のアカウントを追加または招待することはできません。アカウントに現在関連付けられているアカウントの数を確認するには、Amazon Macie コンソールのアカウントページまたは Amazon Macie の ListMembersオペレーションを使用できますAPI。詳細については、「招待ベースの組織の Macie アカウントの確認」を参照してください。

    関連付けられたアカウントの数を減らすには、現在メンバーアカウントではないアカウントとの関連付けを削除するか、必要な数のメンバーアカウントを削除するか、または 2 つの組み合わせを使用できます。アカウントが組織から辞退したり、送信した招待を拒否したりすると、アカウントに関連付けられているアカウントの数も減ります。

  • アカウントは、一度に 1 つの Macie 管理者アカウントのみと関連付けることができます。これは、アカウントが別の Macie 管理者アカウントに既に関連付けられている場合、お客様の招待は受け入れられないことを意味します。アカウントは、まず現在の Macie 管理者アカウントから関連付けを解除する必要があります。

  • 招待ベースの組織では、メンバーアカウントはいつでも Macie 管理者アカウントから関連付けを解除できます。この場合、Macie はアカウントに対して引き続き有効になりますが、アカウントはスタンドアロン Macie アカウントになります。Macie は、メンバーアカウントが管理者アカウントから関連付けを解除してもお客様に通知しません。ただし、アカウントは引き続きアカウントのインベントリに表示され、メンバー退会済み ステータスとなります。

  • 組織からメンバーアカウントを削除すると、Macie はそのアカウントに対して引き続き有効になります。アカウントはスタンドアロン Macie アカウントになります。

メンバーシップの招待への応答と管理

招待の受信者または招待ベースの組織のメンバーとして、受け取った招待に応答して管理するときは、次の点に注意してください。

  • 招待を受け入れる前に、Macie 管理者アカウントとメンバーアカウントの関係を理解してください。

  • アカウントは、一度に 1 つの Macie 管理者アカウントのみと関連付けることができます。招待を承諾し、その後に別の組織に参加する場合 (招待または 経由 AWS Organizations) は、まず現在の Macie 管理者アカウントからアカウントの関連付けを解除する必要があります。その後、他の組織に参加できます。

  • 招待を承諾または辞退するには、 で Macie を有効にする必要があります。 AWS リージョン 招待の送信元。招待を送信したアカウントは、そのリージョンで Macie を有効化することはできません。招待の拒否はオプションです。招待を拒否した場合、招待を拒否した後に、必要に応じて該当するリージョンで Macie を無効にできます。

  • Macie 管理者の場合、メンバーアカウントになるための招待を受け入れることはできません。アカウントを Macie 管理者とメンバーアカウントに同時に設定することはできません。メンバーアカウントになるには、まず現在の組織からすべてのメンバーアカウントを削除して、すべてのメンバーアカウントからアカウントの関連付けを解除する必要があります。

  • Macie はリージョンでのサービスです。招待を承諾した場合、アカウントと Macie 管理者アカウントとの関連付けはリージョン別であり、関連付けは にのみ存在します。 AWS リージョン 招待の送信元と承諾先。

  • Macie を複数のリージョンで使用する場合、アカウントの Macie 管理者アカウントは、それらのすべてのリージョンで同じである必要があります。ただし、Macie 管理者は各リージョンで個別に招待を送信する必要があり、お客様は各リージョンで個別に招待を受け入れる必要があります。

  • Macie 管理者アカウントからいつでもお客様のアカウントの関連付けを解除できます。同様に、Macie 管理者はいつでも組織からアカウントを削除できます。どちらかが発生した場合:

    • Macie は引き続きアカウントで有効になります。アカウントがスタンドアロン Macie アカウントになります。

    • アカウントで機密データの自動検出が有効になっている場合、その検出は無効になります。これにより、アカウントの自動検出の実行中に Macie が生成して直接提供した既存の統計データ、インベントリデータ、その他の情報へのアクセスも無効になります。アカウントの自動検出を再度有効にできます。ただし、既存のデータへのアクセスは復元されません。代わりに、Macie はアカウントの自動検出を実行している間、新しいデータを生成して維持します。

への移行 AWS Organizations

Macie で招待ベースの組織を作成したら、 の使用に移行できます。 AWS Organizations 代わりに。移行を簡素化するために、既存の招待ベースの管理者アカウントを の組織の Macie 管理者アカウントとして指定することをお勧めします。 AWS Organizations.

これを行うと、現在関連付けられているすべてのメンバーアカウントが引き続きメンバーになります。メンバーアカウントが の組織の一部である場合 AWS Organizations、アカウントの関連付けは、Via への招待によって から自動的に変更されます。 AWS Organizations Macie で。メンバーアカウントが の組織に含まれていない場合 AWS Organizations、アカウントの関連付けは引き続き招待により になります。どちらの場合も、アカウントは引き続きメンバーアカウントとして Macie 管理者アカウントに関連付けられます。

メンバーアカウントは一度に 1 つの Macie 管理者アカウントのみと関連付けることができるため、この方法をお勧めします。で組織の Macie 管理者アカウントとして別のアカウントを指定する場合 AWS Organizations、指定された管理者は、招待によって別の Macie 管理者アカウントに既に関連付けられているアカウントを管理できません。各メンバーアカウントは、まず現在の招待ベースの管理者アカウントから関連付けを解除する必要があります。その場合にのみ、 の Macie 管理者が AWS Organizations 組織はメンバーアカウントを組織に追加し、アカウントの Macie の管理を開始します。

Macie を と統合した後 AWS Organizations および Macie で組織を設定する場合は、必要に応じて組織の別の Macie 管理者アカウントを指定できます。招待を引き続き使用して、 の組織に含まれていないメンバーアカウントを関連付けて管理することもできます。 AWS Organizations.

Macie を と統合する方法については、「」を参照してください。 AWS Organizations「を使用した複数の Macie アカウントの管理 AWS Organizations」を参照してください。