翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# 組織の Macie メンバーアカウントの管理
<a name="accounts-mgmt-ao-administer"></a>

 AWS Organizations 組織が Amazon Macie で[統合および設定](accounts-mgmt-ao-integrate.md)されると、組織の委任 Macie 管理者はメンバーアカウントの特定の Macie 設定、データ、リソースにアクセスできます。組織の Macie 管理者として、Macie を使用して、特定のアカウント管理およびアカウントの管理タスクを一元的に実行することもできます。例えば、以下のことが可能です:
+ アカウントを Macie メンバーアカウントとして追加および削除する。
+ アカウントの Macie を有効化または停止するなど、個々のアカウントの Macie のステータスを管理します。
+ 個別のアカウントおよび組織全体の Macie クォータと推定使用コストをモニタリングします。

また、Macie メンバーアカウントの Amazon Simple Storage Service (Amazon S3) のインベントリデータとポリシー結果を確認することもできます。また、アカウントが所有する S3 バケット内の機密データを検出できます。実行できるタスクの詳細なリストについては、[Macie 管理者とメンバーアカウントの関係](accounts-mgmt-relationships.md)を参照してください。

デフォルトでは、Macie は、組織内のすべての Macie メンバーアカウントの関連データとリソースを可視化します。ドリルダウンして、個々のアカウントのデータとリソースを確認することもできます。例えば、[概要ダッシュボードを使用](monitoring-s3-dashboard.md)して、組織の Amazon S3 セキュリティ体制を評価する場合は、アカウントごとにデータをフィルタリングできます。同様に、[推定使用量のコストをモニタリングする](account-mgmt-costs.md)場合は、個々のメンバーアカウントの推定コストの内訳にアクセスする。

管理者およびメンバーアカウントに共通するタスクに加えて、組織のさまざまな管理タスクを実行できます。

**Topics**
+ [メンバーアカウントを組織に追加する](#accounts-mgmt-ao-members-add)
+ [メンバーアカウントの メイシーを一時停止](#accounts-mgmt-ao-members-suspend)
+ [メンバーアカウントの削除](#accounts-mgmt-ao-members-remove)

組織の Macie 管理者は、Amazon Macie コンソールまたは Amazon Macie API を使用してこれらのタスクを実行できます。コンソールを使用する場合は、次の AWS Organizations アクションの実行を許可する必要があります: `organizations:ListAccounts`。このアクションにより、 AWS Organizations内で組織の一部であるアカウントに関する情報を取得して表示することが許可されます。

## Macie メンバーアカウントを組織に追加する
<a name="accounts-mgmt-ao-members-add"></a>

場合によっては、アカウントを Amazon Macie メンバーアカウントとして手動で追加する必要があります。これは、以前にメンバーアカウントとして削除 (関連付け解除) したアカウントの場合です。これは、アカウントが AWS Organizations内で組織に追加されたときに、Macie を[新しいメンバーアカウントを自動的に有効化して追加する](accounts-mgmt-ao-integrate.md#accounts-mgmt-ao-members-autoenable)ように設定しなかった場合にも当てはまります。

アカウントを Macie メンバーアカウントとして追加する場合:
+ Macie は、リージョンでまだ有効になっていない場合 AWS リージョン、現在のアカウントで有効になっています。
+ アカウントは、リージョン内のメンバーアカウントとして Macie 管理者アカウントに関連付けられます。メンバーアカウントは、招待またはお客様のアカウント間にこの関係を確立したというその他の通知を受け取りません。
+ 機密データの自動検出は、リージョン内のアカウントに対して有効化される必要があります。これは、組織に指定した設定によって異なります。詳細については、「[機密データ自動検出を設定する](discovery-asdd-account-manage.md)」を参照してください。

すでに関連付けられているアカウントは別の Macie 管理者アカウントに追加できないことに注意してください。アカウントは、まず現在の管理者アカウントから関連付けを解除する必要があります。さらに、Macie がアカウントに対して既に有効になっていない限り、 AWS Organizations 管理アカウントをメンバーアカウントとして追加することはできません。追加の要件については、[で Macie を使用する際の考慮事項 AWS Organizations](accounts-mgmt-ao-notes.md)を参照してください。

**組織に Macie メンバーアカウントを追加するには**  
1 つ以上の Macie メンバーアカウントを組織に追加するには、Amazon Macie コンソールまたは Amazon Macie API を使用することができます。

------
#### [ Console ]

Amazon Macie コンソールを使用して 1 つ以上の Macie メンバーアカウントを追加するには、次のステップに従います。

**Macie メンバーアカウントを追加するには**

1. Amazon Macie コンソール ([https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)) を開きます。

1. ページの右上隅にある AWS リージョン セレクターを使用して、メンバーアカウントを追加するリージョンを選択します。

1. ナビゲーションペインで、**[Accounts]** (アカウント) を選択します。**アカウント** ページが開き、お客様のアカウントに関連付けられているアカウントのテーブルが表示されます。

1. (オプショナル) AWS Organizations 内の組織の一部であり、Macie メンバーアカウントではないアカウントをより簡単に識別するには、**既存のアカウント**テーブル上のフィルタボックスを使用して、次のフィルタ条件を追加します。
   + **タイプ = 組織**
   + **ステータス = メンバーではない**

   また、以前に削除したがメンバーアカウントとして追加する可能性のあるアカウントを表示するには、**ステータス = 削除済み (関連付け解除済み)**も追加します。

1. **既存のアカウント** テーブルで、メンバーアカウントとして追加する各アカウントのチェックボックスをオンにします。

1. **Actions** (アクション) メニューで、**Add member** (メンバーを追加) を選択します。

1. 選択したアカウントをメンバーアカウントとして追加することを確認します。

選択を確認すると、選択したアカウントのステータスが、アカウントのインベントリで **[有効化が進行中]**、**[有効化]** の順に変わります。

追加のリージョンにメンバーアカウントを追加するには、追加のリージョンごとに前述のステップを繰り返します。

------
#### [ API ]

1 つ以上の Macie メンバーアカウントをプログラムで追加するには、Amazon Macie APIの [CreateMember](https://docs.aws.amazon.com/macie/latest/APIReference/members.html) オペレーションを使用します。

リクエストを送信するときは、サポートされているパラメータを使用して、追加 AWS アカウント する各 の 12 桁のアカウント ID と E メールアドレスを指定します。また、リクエストが適用されるリージョンも指定します。追加のリージョンでアカウントを追加するには、追加のリージョンごとにリクエストを送信します。

追加するアカウントのアカウント ID と E メールアドレスを取得するには、 AWS Organizations API の [ListAccounts](https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListAccounts.html) オペレーションと Amazon Macie API の [ListMembers](https://docs.aws.amazon.com/macie/latest/APIReference/members.html) オペレーションの出力を関連付けることができます。Macie API の **ListMembers** オペレーションでは、リクエストに `onlyAssociated` パラメータを含め、パラメータの値を `false` に設定します。オペレーションが成功すると、Macie は、指定されたリージョンの Macie 管理者アカウントに関連付けられているすべてのアカウント (現在メンバーアカウントではないアカウントを含む) の詳細を提供する `members` 配列を返します。配列では次の点に注意してください。
+ アカウントの `relationshipStatus` プロパティの値が `Enabled` または `Paused` ではない場合、そのアカウントはお客様のアカウントに関連付けられていますが、Macie メンバーアカウントではありません。
+ アカウントが配列に含まれていないが、 AWS Organizations API の **ListAccounts** オペレーションの出力に含まれている場合、そのアカウントは AWS Organizations 内で組織の一部となりますが、お客様のアカウントに関連付けられていないため、Macie メンバーアカウントではありません。

 AWS Command Line Interface (AWS CLI) を使用してメンバーアカウントを追加するには、[create-member](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/create-member.html) コマンドを実行します。`region` パラメータを使用して、アカウントを追加するリージョンを指定します。`account` パラメータを使用して、追加する各アカウントのアカウント ID とメールアドレスを指定します。例えば、次のようになります。

```
C:\> aws macie2 create-member --region us-east-1 --account={\"accountId\":\"123456789012\",\"email\":\"janedoe@example.com\"}
```

ここで *us-east-1* は、メンバーアカウントとしてアカウントを追加するリージョン (米国東部 (バージニア北部) リージョン) であり、`account` パラメータは、アカウントのアカウント ID (*123456789012*) とメールアドレス (*janedoe@example.com*) を指定します。

リクエストが成功すると、その指定されたアカウントのステータス`relationshipStatus`がアカウントインベントリの `Enabled` に変わります。

------

## 組織内のメンバーアカウントの Macie を停止する
<a name="accounts-mgmt-ao-members-suspend"></a>

の組織の Amazon Macie 管理者として AWS Organizations、組織内のメンバーアカウントの Macie を停止できます。これを行うと、後でアカウントの Macie を再度有効化することもできます。

メンバーアカウントの メイシーを一時停止と、次のようになります。
+ Macie は、現在の AWS リージョン内のアカウントの Amazon S3 データに関するメタデータへのアクセスを失い、提供を停止します。
+ Macie は、リージョン内のアカウントのすべてのアクティビティの実行を停止します。これには、セキュリティとアクセスコントロールのための S3 バケットのモニタリング、機密データ自動検出、および現在進行中の機密データ検出ジョブの実行などが含まれます。
+ Macie は、リージョン内のアカウントによって作成された機密データ検出ジョブをすべてキャンセルします。ジョブがキャンセルされた後は、ジョブを再開したり再起動したりすることはできません。メンバーアカウントが所有するデータを分析するためのジョブを作成した場合、Macie はジョブをキャンセルしません。代わりに、ジョブはアカウントが所有するリソースをスキップします。

停止中、Macie は該当するリージョンのアカウントのために保存または維持するセッション識別子、設定、およびリソースを保持します。Macie は、リージョン内のアカウントの特定のデータも保持します。たとえば、アカウントの調査結果はそのまま残り、最大 90 日間は影響を受けません。アカウントで機密データ自動検出が有効になっている場合、既存の結果もそのまま残り、最大 30 日間影響を受けません。Macie がリージョンのアカウントで停止されている間、そのリージョンのアカウントに Macie の料金は発生しません。

**組織内のメンバーアカウントの メイシーを一時停止には**  
組織内のメンバーアカウントの メイシーを一時停止には、Amazon Macie コンソールまたは Amazon Macie API を使用できます。

------
#### [ Console ]

Amazon Macie コンソールを使用してメンバーアカウントの メイシーを一時停止には、次のステップに従います。

**メンバーアカウントの メイシーを一時停止には**

1. Amazon Macie コンソール ([https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)) を開きます。

1. ページの右上隅にある AWS リージョン セレクターを使用して、メンバーアカウントの Macie を停止するリージョンを選択します。

1. ナビゲーションペインで、**[Accounts]** (アカウント) を選択します。**アカウント** ページが開き、お客様のアカウントに関連付けられているアカウントのテーブルが表示されます。

1. **既存のアカウント**テーブルで、Macie を停止するアカウントのチェックボックスをオンにします。

1. **アクション**メニューで、**メイシーを一時停止**を選択します。

1. アカウントの メイシーを一時停止ことを確認します。

停止を確認すると、アカウントのステータスがインベントリで **一時停止 (停止)**に変わります。追加のリージョンでアカウントの Macie を停止するには、追加のリージョンごとに前述のステップを繰り返します。

後でアカウントの Macie を再度有効にするには、 コンソールの**アカウント**ページに戻ります。アカウントのチェックボックスを選択し、**アクション**メニューで **Macie を有効にする**を選択します。追加のリージョンでアカウントの Macie を再度有効にするには、追加のリージョンごとにこれらのステップを繰り返します。

------
#### [ API ]

メンバーアカウントの Macie をプログラムで停止するには、Amazon Macie API の [UpdateMemberSession](https://docs.aws.amazon.com/macie/latest/APIReference/macie-members-id.html) オペレーションを使用します。このオペレーションを使用して、後でアカウントの Macie を再度有効にすることもできます。

リクエストを送信するときは、 `id`パラメータを使用して、Macie を停止 AWS アカウント する の 12 桁のアカウント ID を指定します。`status` パラメータでは、`PAUSED` を指定します。また、リクエストが適用されるリージョンも指定します。追加のリージョンでアカウントの Macie を停止するには、追加のリージョンごとにリクエストを送信します。

アカウントのアカウント ID を取得するには、Amazon Macie API の [ListMembers](https://docs.aws.amazon.com/macie/latest/APIReference/members.html) オペレーションを使用できます。これを実行する場合は、リクエストに `onlyAssociated` パラメータを含めることで結果をフィルタリングすることを検討してください。このパラメータの値を `true` に設定した場合、Macie は現在メンバーアカウントであるアカウントのみの詳細を提供する `members` 配列を返します。

を使用してメンバーアカウントの Macie を停止するには AWS CLI、[update-member-session](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/update-member-session.html) コマンドを実行します。`region` パラメータを使用して、アカウントの Macie を停止するリージョンを指定します。`id` パラメータを使用して、アカウントのアカウント ID を指定します。`status` パラメータでは、`PAUSED` を指定します。例: 

```
C:\> aws macie2 update-member-session --region us-east-1 --id 123456789012 --status PAUSED
```

ここで、*us-east-1* は メイシーを一時停止リージョン (米国東部 (バージニア北部) リージョン) であり、*123456789012* は メイシーを一時停止アカウントのアカウント ID であり、`PAUSED` はそのアカウントの Macie の新しいステータスです。

リクエストが成功すると、Macie は空のレスポンスを返し、指定されたアカウントのステータスはアカウントのインベントリの `Paused` に変わります。後でアカウントの Macie を再度有効にするには、 **update-member-session** コマンドを再度実行し、 `status`パラメータ`ENABLED`に を指定します。

------

## 組織からの Macie メンバーアカウントの削除
<a name="accounts-mgmt-ao-members-remove"></a>

メンバーアカウントの Amazon Macie 設定、データ、およびリソースへのアクセスを停止したい場合、お客様は Macie メンバーアカウントとしてアカウントを削除できます。これを行うには、Macie 管理者アカウントからそのアカウントの関連付けを解除します。ご自身でのみ、メンバーアカウントに対してこれを実行できることに注意してください。 AWS Organizations メンバーアカウントは、Macie 管理者アカウントとの関連付けを解除できません。

Macie メンバーアカウントを削除しても、Macie は現在の AWS リージョン内のアカウントに対して有効化されたままとなります。ただし、アカウントは Macie 管理者アカウントから関連付けが解除され、スタンドアロンの Macie アカウントになります。これは、アカウントの Amazon S3 データのメタデータやポリシーの結果など、アカウントのすべての Macie 設定、データ、およびリソースにアクセスできなくなることを意味します。これは、アカウントが所有する S3 バケット内の機密データ検出で Macie を使用できなくなることも意味します。このために機密データ検出ジョブを作成済みの場合、ジョブはアカウントが所有するバケットをスキップします。アカウントの機密データの自動検出を有効にした場合、お客様とメンバーアカウントの両方とも、Macie が作成して、アカウントの自動検出の実行中に直接提供した統計データ、インベントリデータ、およびその他の情報にアクセスできなくなります。

Macie メンバーアカウントを削除しても、アカウントは引き続きアカウントのインベントリに表示されます。Macie は、お客様がアカウントを削除したことをアカウントの所有者に通知しません。したがって、アカウント所有者に連絡して、アカウントの設定とリソースの管理を開始してもらうことを検討してください。

アカウントは後で組織に追加できます。これを行い、30 日以内にアカウントの機密データ自動検出を再度有効にすると、アカウントの自動検出の実行中に Macie が以前に生成して直接提供したデータや情報へのアクセスも回復します。さらに、既存のジョブの後続の実行には、アカウントの S3 バケットが再度含まれます。

**組織から Macie メンバーアカウントを削除するには**  
組織から Macie メンバーアカウントを削除するには、Amazon Macie コンソールまたは Amazon Macie API を使用できます。

------
#### [ Console ]

Amazon Macie コンソールを使用して Macie メンバーアカウントを削除するには、次のステップに従います。

**Macie メンバーアカウントを削除するには**

1. Amazon Macie コンソール ([https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)) を開きます。

1. ページの右上隅にある AWS リージョン セレクターを使用して、メンバーアカウントを削除するリージョンを選択します。

1. ナビゲーションペインで、**[Accounts]** (アカウント) を選択します。**アカウント** ページが開き、お客様のアカウントに関連付けられているアカウントのテーブルが表示されます。

1. **既存のアカウント** テーブルで、メンバーアカウントとして削除するアカウントのチェックボックスをオンにします。

1. **アクション** メニューで、**Disassociate account** (アカウントの関連付けを解除する) を選択します。

1. 選択されたアカウントをメンバーアカウントとして削除することを確認します。

選択を確認すると、アカウントのステータスが、アカウントのインベントリで **Removed (disassociated)** (削除 (関連付け解除)) に変わります。

追加のリージョンでメンバーアカウントを削除するには、追加のリージョンごとに前述のステップを繰り返します。

------
#### [ API ]

Macie メンバーアカウントをプログラムで削除するには、Amazon Macie APIの [DisassociateMember](https://docs.aws.amazon.com/macie/latest/APIReference/members-disassociate-id.html) オペレーションを使用します。

リクエストを送信するときは、 `id`パラメータを使用して、削除するメンバーアカウントの 12 桁の AWS アカウント ID を指定します。また、リクエストが適用されるリージョンも指定します。追加のリージョン内のアカウントを削除するには、追加のリージョンごとにリクエストを送信します。

削除するメンバーアカウントのアカウント ID を取得するには、Amazon Macie API の [ListMembers](https://docs.aws.amazon.com/macie/latest/APIReference/members.html) オペレーションを使用できます。これを実行する場合は、リクエストに `onlyAssociated` パラメータを含めることで結果をフィルタリングすることを検討してください。このパラメータの値を `true` に設定した場合、Macie は現在 Macie メンバーアカウントであるアカウントのみの詳細を提供する `members` 配列を返します。

を使用して Macie メンバーアカウントを削除するには AWS CLI、[disassociate-member](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/disassociate-member.html) コマンドを実行します。`region` パラメータを使用して、アカウントを削除するリージョンを指定します。`id` パラメータを使用して、削除するメンバーアカウントのアカウント ID を指定します。例: 

```
C:\> aws macie2 disassociate-member --region us-east-1 --id 123456789012
```

ここで、*us-east-1* は、アカウントを削除するリージョン (米国東部 (バージニア北部) リージョン) であり、*123456789012* は削除するアカウントのアカウント ID です。

リクエストが成功すると、Macie は空のレスポンスを返し、指定されたアカウントのステータスはアカウントのインベントリの `Removed` に変わります。

------