翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Macie 管理者とメンバーアカウントの関係
複数の Amazon Macie アカウントを組織として集中管理する場合、Macie 管理者は Amazon Simple Storage Service (Amazon S3) のインベントリデータ、ポリシーの結果、関連するメンバーアカウントの特定の Macie 設定とリソースにアクセスできます。管理者は、機密データ自動検出を実行して、機密データ検出ジョブを実行し、メンバーアカウントが所有する S3 バケット内の機密データを検出することもできます。特定のタスクのサポートは、Macie 管理者アカウントが を通じて、 AWS Organizations または招待によってメンバーアカウントに関連付けられているかどうかによって異なります。
以下のテーブルでは、Macie 管理者アカウントとメンバーアカウントの関係の詳細を示しています。これは、各タイプのアカウントに対するデフォルトのアクセス許可を示します。Macie の機能へのアクセスやオペレーションをさらに制限するには、カスタム AWS Identity and Access Management (IAM) ポリシーを使用できます。
このテーブルの説明を以下に示します。
-
セルフ は、関連付けられたアカウントに対してそのアカウントがアクションを実行できないことを示します。
-
いずれか は、アカウントが個別の関連付けられたアカウントに対してアクションを実行できることを示します。
-
すべて は、アカウントがアクションを実行でき、アクションがすべての関連付けられたアカウントに適用されることを示します。
ダッシュ (–) は、アカウントがタスクを実行できないことを示します。
| タスク | 経由 AWS Organizations | 招待により | ||
|---|---|---|---|---|
| 管理者 | メンバー | 管理者 | メンバー | |
| Enable Macie | Any | – | Self | Self |
| Review the organization's account inventory 1 | All | – | All | – |
| Add a member account | Any | – | Any | – |
| Review statistics and metadata for S3 buckets | All | Self | All | Self |
| Review policy findings | All | Self | All | Self |
| Suppress (archive) policy findings 2 | All | – | All | – |
| Publish policy findings 3 | Self | Self | Self | Self |
| Configure a repository for sensitive data discovery results 4 | Self | Self | Self | Self |
| Create and use allow lists | Self | Self | Self | Self |
| Create and use custom data identifiers | Self | Self | Self | Self |
| Configure automated sensitive data discovery settings | All | – | All | – |
| Enable or disable automated sensitive data discovery | Any | – | Any | – |
| Review automated sensitive data discovery statistics, data, and results 5 | All | Self | All | Self |
| Create and run sensitive data discovery jobs 6 | Any | Self | Any | Self |
| Review the details of sensitive data discovery jobs 7 | Self | Self | Self | Self |
| Review sensitive data findings 8 | Self | Self | Self | Self |
| Suppress (archive) sensitive data findings 8 | Self | Self | Self | Self |
| Publish sensitive data findings 8 | Self | Self | Self | Self |
| Configure Macie to retrieve sensitive data samples for findings | Self | Self | Self | Self |
| Retrieve sensitive data samples for findings 9 | Self | Self | Self | Self |
| Configure publication destinations for findings | Self | Self | Self | Self |
| Set the publication frequency for findings | All | Self | All | Self |
| Create sample findings | Self | Self | Self | Self |
| Review account quotas and estimated usage costs | All | Self | All | Self |
| Suspend Macie 10 | Any | – | Any | Self |
| Disable Macie 11 | Self | Self | Self | Self |
| Remove (disassociate) a member account | Any | – | Any | – |
| Disassociate from an administrator account | – | – | – | Self |
| Delete an association with another account 12 | Any | – | Any | Self |
-
の組織の管理者は AWS Organizations 、Macie を有効にしていないアカウントを含め、組織内のすべてのアカウントを確認できます。招待ベースの組織の管理者は、インベントリに追加したアカウントのみを確認できます。
-
ポリシー検出結果を非表示にできるのは管理者だけです。管理者が抑制ルールを作成すると、Macie は特定のアカウントを除外するようにルールが設定されていない限り、組織内のすべてのアカウントのポリシー検出結果にルールを適用します。メンバーが抑制ルールを作成しても、Macie はそのメンバーのアカウントのポリシー検出結果にルールを適用しません。
-
影響を受けるリソースを所有するアカウントのみが、そのリソースのポリシー結果を公開できます AWS Security Hub。管理者アカウントとメンバーアカウントの両方が、影響を受けたリソースのポリシー結果を Amazon EventBridge に自動的に発行します。
-
管理者が機密データ自動検出を有効にするか、メンバーアカウントが所有する S3 バケット内のオブジェクトを分析するようにジョブを設定すると、Macie は機密データの検出結果を管理者アカウントのリポジトリに保存します。
-
機密データ自動検出で生成された機密データ検出結果にアクセスできるのは管理者だけです。機密データ自動検出でメンバーのアカウントに対して生成された他のタイプのデータについては、管理者とメンバーの両方とも確認できます。
-
メンバーは、アカウントが所有する S3 バケット内のオブジェクトのみを分析するためのジョブを設定できます。管理者は、アカウントとメンバーアカウントが所有するバケット内のオブジェクトを分析するためのジョブを設定できます。複数アカウントのジョブにおけるクォータの適用方法とコストの計算方法については、以下を参照してください推定使用コストを把握する。
-
ジョブを作成したアカウントのみが、ジョブの詳細にアクセスできます。これには、S3 バケットのインベントリ内のジョブ関連の詳細が含まれます。
-
ジョブを作成するアカウントのみが、ジョブが生成する機密データの結果にアクセスし、それを抑制、発行できます。機密データ自動検出で生成された機密データ検出結果にアクセスしたり、非表示、公開したりできるのは管理者だけです。
-
機密データの検出結果がメンバーアカウント所有の S3 オブジェクトに適用される場合、管理者は、検出結果によって報告された機密データのサンプルを取得できる可能性があります。これは、検出結果のソース、および管理者アカウントとメンバーアカウントの構成設定とリソースによって異なります。詳細については、「機密データのサンプルを取得するための設定オプション」を参照してください。
-
管理者が自身のアカウントの メイシーを一時停止には、まず管理者がすべてのメンバーアカウントから自分のアカウントの関連付けを解除する必要があります。
-
管理者が自分のアカウントの Macie を無効化するには、まず管理者がすべてのメンバーアカウントから自分のアカウントの関連付けを解除し、そのアカウントとそれらのすべてのアカウント間の関連付けを削除する必要があります。の組織の管理者は AWS Organizations 、組織の管理アカウントと協力して別のアカウントを管理者アカウントとして指定することで、これを行うことができます。
AWS Organizations 組織のメンバーで Macie を無効にするには、管理者はまずメンバーのアカウントと管理者アカウントの関連付けを解除する必要があります。招待制の組織では、メンバーは自分のアカウントと管理者アカウントの関連付けを解除し、Macie を無効にすることもできます。
-
の組織の管理者は、アカウントと管理者アカウントの関連付けを解除した後、メンバーアカウントとの関連付けを削除 AWS Organizations できます。アカウントは引き続き管理者のアカウントインベントリに表示されますが、ステータスはメンバーアカウントではないことを示しています。招待制の組織では、管理者とメンバーは、自分のアカウントと別のアカウントの関連付けを解除した後に、別のアカウントとの関連付けを削除できます。その後、他のアカウントはアカウントインベントリに表示されなくなります。
