翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Macie 内で組織を統合および設定する
<a name="accounts-mgmt-ao-integrate"></a>

で Amazon Macie の使用を開始するには AWS Organizations、組織の AWS Organizations 管理アカウントが組織の委任 Macie 管理者アカウントとしてアカウントを指定します。これにより、Macie は の信頼されたサービスとして有効になります AWS Organizations。それにより、Macie が指定管理者アカウントとして現在の AWS リージョン でも有効化され、指定管理者アカウントはそのリージョン内で組織内の他のアカウントの Macie を有効化および管理できるようになります。これらのアクセス許可の付与方法については、「 *AWS Organizations ユーザーガイド*」の「 を[他の AWS Organizations で使用する AWS のサービス](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html)」を参照してください。

委任 Macie 管理者は、主に組織のアカウントをリージョン内の Macie メンバーアカウントとして追加することで、Macie 内で組織を設定します。その後、管理者は、そのリージョン内のアカウントの特定の Macie 設定、データ、およびリソースにアクセスできます。また、自動機密データ検出を実行し、機密データ検出ジョブを実行して、アカウントが所有する Amazon Simple Storage Service (Amazon S3) バケット内の機密データを検出することもできます。

このトピックでは、組織の委任 Macie 管理者を指定する方法と、組織のアカウントを Macie メンバーアカウントとして追加する方法について説明します。これらのタスクを実行する前に、[Macie 管理者アカウントと メンバーアカウントの関係](accounts-mgmt-relationships.md)を理解してください。また、 で Macie を使用する際の[考慮事項と推奨事項](accounts-mgmt-ao-notes.md)を確認することをお勧めします AWS Organizations。

**Topics**
+ [ステップ 1: アクセス許可を確認する](#accounts-mgmt-ao-admin-designate-permissions)
+ [ステップ 2: 委任 Macie 管理者アカウントを指定する](#accounts-mgmt-ao-admin-designate)
+ [ステップ 3: 新しい組織のメンバーアカウントを自動的に有効化して追加する](#accounts-mgmt-ao-members-autoenable)
+ [ステップ 4: 既存の組織アカウントを有効化して追加する](#accounts-mgmt-ao-members-add-existing)

複数のリージョンで組織を統合して設定するには、 AWS Organizations 管理アカウントと委任 Macie 管理者が追加のリージョンごとにこれらのステップを繰り返します。

## ステップ 1: アクセス許可を確認する
<a name="accounts-mgmt-ao-admin-designate-permissions"></a>

組織の委任 Macie 管理者アカウントを指定する前に、自分 ( AWS Organizations 管理アカウントのユーザー) が Macie アクション の実行を許可されていることを確認します`macie2:EnableOrganizationAdminAccount`。この操作により、Macie を使用して組織の委任 Macie 管理者アカウントを指定できます。

また、次の AWS Organizations アクションを実行できることを確認します。
+ `organizations:DescribeOrganization`
+ `organizations:EnableAWSServiceAccess`
+ `organizations:ListAWSServiceAccessForOrganization`
+ `organizations:RegisterDelegatedAdministrator`

これらのアクションにより、組織に関する情報の取得、Macie との統合 AWS Organizations、 AWS のサービス 統合した に関する情報の取得 AWS Organizations、組織の委任 Macie 管理者アカウントの指定を行うことができます。

これらのアクセス許可を付与するには、アカウントの AWS Identity and Access Management (IAM) ポリシーに次のステートメントを含めます。

```
{
   "Sid": "Grant permissions to designate a delegated Macie administrator",
   "Effect": "Allow",
   "Action": [
      "macie2:EnableOrganizationAdminAccount",
      "organizations:DescribeOrganization",
      "organizations:EnableAWSServiceAccess",
      "organizations:ListAWSServiceAccessForOrganization",
      "organizations:RegisterDelegatedAdministrator"
   ],
   "Resource": "*"
}
```

 AWS Organizations 管理アカウントを組織の委任 Macie 管理者アカウントとして指定する場合、アカウントには次の IAM アクションを実行するアクセス許可も必要です: `CreateServiceLinkedRole`。このアクションにより、管理アカウントで Macie を有効化することが許可されます。ただし、 AWS セキュリティのベストプラクティスと最小特権の原則に基づいて、これを行うことはお勧めしません。

このアクセス許可を付与する場合は、 AWS Organizations 管理アカウントの IAM ポリシーに次のステートメントを追加します。

```
{
   "Sid": "Grant permissions to enable Macie",
   "Effect": "Allow",
   "Action": [
      "iam:CreateServiceLinkedRole"
   ],
   "Resource": "arn:aws:iam::111122223333:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie",
   "Condition": {
      "StringLike": {
         "iam:AWSServiceName": "macie.amazonaws.com"
      }
   }
}
```

ステートメントで、*111122223333* を管理アカウントのアカウント ID と置き換えます。

オプトイン AWS リージョン (デフォルトで無効になっているリージョン) で Macie を管理する場合は、 `Resource`要素と `iam:AWSServiceName`条件の Macie サービスプリンシパルの値も更新します。値には、リージョンのリージョンコードを指定する必要があります。たとえば、リージョンコード *me-south-1* を持つ中東 (バーレーン) リージョンで Macie を管理するには、以下を行います。
+ `Resource` 要素で、次を置き換えます:

  `arn:aws:iam::111122223333:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie`

  デプロイに

  `arn:aws:iam::111122223333:role/aws-service-role/macie.me-south-1.amazonaws.com/AWSServiceRoleForAmazonMacie`

  ここで、*111122223333* は管理アカウントのアカウント ID を指定し、*me-south-1* はリージョンのリージョンコードを指定します。
+ `iam:AWSServiceName` 条件では、`macie.amazonaws.com` を `macie.me-south-1.amazonaws.com` に置き換えます。ここで、*me-south-1* はリージョンのリージョンコードを指定します。

Macie が現在利用可能なリージョンのリストと、それぞれのリージョンコードについては、AWS 全般のリファレンスの [Amazon Macie のエンドポイントとクォータ](https://docs.aws.amazon.com/general/latest/gr/macie.html)を参照してください。リージョンがオプトインリージョンであるかどうかを確認するには、「*AWS アカウント管理 ユーザーガイド*」の「[アカウントでの AWS リージョン の有効化または無効化](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html)」を参照してください。

## ステップ 2: 組織の委任 Macie 管理者アカウントを指定する
<a name="accounts-mgmt-ao-admin-designate"></a>

アクセス許可を確認したら、 ( AWS Organizations 管理アカウントのユーザーとして) 組織の委任 Macie 管理者アカウントを指定できます。

**組織の委任 Macie 管理者アカウントを指定するには**  
組織の委任 Macie 管理者アカウントを指定するには、Amazon Macie コンソールまたは Amazon Macie API を使用できます。 AWS Organizations 管理アカウントのユーザーのみがこのタスクを実行できます。

------
#### [ Console ]

以下のステップに従って、Amazon Macie コンソールを使用して委任 Macie 管理者アカウントを指定します。

**委任 Macie 管理者アカウントを指定するには**

1.  AWS Organizations 管理アカウント AWS マネジメントコンソール を使用して にサインインします。

1. ページの右上隅にある AWS リージョン セレクターを使用して、組織の委任 Macie 管理者アカウントを指定するリージョンを選択します。

1. Amazon Macie コンソール ([https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)) を開きます。

1. Macie が現在のリージョンで管理アカウントに対して有効化されているかどうかに応じて、次のいずれかを実行します。
   + Macie が有効化されていない場合は、Welcome Page (ようこそページ) の **Get started** (開始方法) を選択します。
   + Macie が有効化されている場合は、ナビゲーションペインの **Settings** (設定) を選択します。

1. **委任された管理者**に、Macie 管理者アカウントとして AWS アカウント 指定する の 12 桁のアカウント ID を入力します。

1. **Delegate** (委任) を選択します。

組織を Macie と統合する追加のリージョンごとに、前述のステップを繰り返します。それらの各リージョンで同じ Macie 管理者アカウントを指定する必要があります。

------
#### [ API ]

委任 Macie 管理者アカウントをプログラムで指定するには、Amazon Macie API の [EnableOrganizationAdminAccount](https://docs.aws.amazon.com/macie/latest/APIReference/admin.html) オペレーションを使用します。複数のリージョンでアカウントを指定するには、組織を Macie と統合するリージョンごとに指定を送信します。それらの各リージョンで同じ Macie 管理者アカウントを指定する必要があります。

指定を送信するときは、必要な `adminAccountId`パラメータを使用して、組織の Macie 管理者アカウントとして AWS アカウント 指定する の 12 桁のアカウント ID を指定します。また、指定が適用されるリージョンも必ず指定してください。

[AWS Command Line InterfaceAWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html)を使用して Macie 管理者アカウントを指定するには、[enable-organization-admin-account](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/enable-organization-admin-account.html) コマンドを実行します `admin-account-id` パラメータには、 AWS アカウント 指定する の 12 桁のアカウント ID を指定します。`region` パラメータを使用して、指定が適用されるリージョンを指定します。例: 

```
C:\> aws macie2 enable-organization-admin-account --region us-east-1 --admin-account-id 111122223333
```

ここで、*us-east-1* は指定が適用されるリージョン (米国東部 (バージニア北部) リージョン) であり、*111122223333* は指定するアカウントのアカウント ID です。

------

組織の Macie 管理者アカウントを指定した後、Macie 管理者は Macie 内で組織の設定を開始できます。

## ステップ 3: 新しい組織のメンバーアカウントを Macie メンバーアカウントとして自動的に有効化して追加する
<a name="accounts-mgmt-ao-members-autoenable"></a>

デフォルトでは、アカウントが AWS Organizations内で組織に追加されたときに、Macie は新しいアカウントに対して自動的に有効化されません。また、アカウントは Macie メンバーアカウントとして自動的に追加されません。アカウントは Macie 管理者のアカウントインベントリに表示されます。ただし、Macie がアカウントに対して必ずしも有効化されているわけではなく、Macie 管理者はアカウントの Macie 設定、データ、およびリソースに必ずしもアクセスできるわけではありません。

お客様が組織の委任 Macie 管理者である場合は、この構成設定を変更できます。組織の自動有効化を有効にできます。これを行うと、アカウントが AWS Organizations内で組織に追加されたときに、Macie は新しいアカウントに対して自動的に有効化されます。また、アカウントは Macie 管理者アカウントに Macie メンバーアカウントとして自動的に関連付けられます。この設定を有効にしても、組織の既存のアカウントには影響しません。既存のアカウントで Macie を有効化して管理するには、アカウントを Macie メンバーアカウントとして手動で追加する必要があります。[次のステップ](#accounts-mgmt-ao-members-add-existing)では、これを行う方法を説明します。

**注記**  
自動有効化をオンにした場合、次の例外に注意してください。新しいアカウントがすでに別の Macie 管理者アカウントに関連付けられている場合、Macie は組織内のメンバーアカウントとしてアカウントを自動的に追加しません。そのアカウントは、Macie 内で組織の一部になる前に、現在の Macie 管理者アカウントから関連付けを解除する必要があります。その後、アカウントを手動で追加できます。これが当てはまるアカウントを特定するには、組織の[アカウントインベントリを確認](accounts-mgmt-ao-review.md)することができます。

**新しい組織アカウントを Macie メンバーアカウントとして自動的に有効化して追加するには**  
新しいアカウントを Macie メンバーアカウントとして自動的に有効化して追加するには、Amazon Macie コンソールまたは Amazon Macie API を使用できます。組織の委任 Macie 管理者のみが、このタスクを実行できます。

------
#### [ Console ]

コンソールを使用してこのタスクを実行するには、 の AWS Organizations アクションを実行できる必要があります`organizations:ListAccounts`。このアクションにより、組織内のアカウントに関する情報を取得して表示することが許可されます。これらのアクセス許可を持っている場合は、次のステップに従って、新しい組織アカウントを Macie メンバーアカウントとして自動的に有効化して追加します。

**新しい組織アカウントを自動的に有効化して追加するには**

1. Amazon Macie コンソール ([https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)) を開きます。

1. ページの右上隅にある AWS リージョン セレクターを使用して、Macie メンバーアカウントとして新しいアカウントを自動的に有効にして追加するリージョンを選択します。

1. ナビゲーションペインで、**[Accounts]** (アカウント) を選択します。

1. **[アカウント]**ページの **[新しいアカウント]** セクションで、**[編集]** を選択します。

1. **[新しいアカウントの設定の編集]** ダイアログボックスで、**[Macie を有効にする]** を選択します。

   新しいメンバーアカウントでも機密データの自動検出を自動的に有効にするには、**[機密データの自動検出を有効にする]** を選択します。アカウントにこの機能を有効にすると、Macie はアカウントの S3 バケットからサンプルオブジェクトを継続的に選択し、オブジェクトを分析して機密データが含まれているかどうかを判断します。詳細については、「[機密データ自動検出を実行する](discovery-asdd.md)」を参照してください。

1. **[保存]** を選択します。

Macie 内で組織を設定する追加のリージョンごとに、前述のステップを繰り返します。

これらの設定を後で変更するには、前述のステップを繰り返し、各設定のチェックボックスをオフにします。

------
#### [ API ]

新しい Macie メンバーアカウントをプログラムで自動的に有効化して追加するには、Amazon Macie API の [UpdateOrganizationConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/admin-configuration.html) オペレーションを使用します。リクエストを送信するときは、`autoEnable` パラメータの値を `true` に設定します。(デフォルト値は `false` です。) また、リクエストが適用されるリージョンを必ず指定してください。追加のリージョンで新しいアカウントを自動的に有効化して追加するには、追加のリージョンごとにリクエストを送信します。

を使用してリクエスト AWS CLI を送信する場合は、[update-organization-configuration](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/update-organization-configuration.html) コマンドを実行し、 `auto-enable`パラメータを指定して新しいアカウントを自動的に有効化および追加します。例えば、次のようになります。

```
$ aws macie2 update-organization-configuration --region us-east-1 --auto-enable
```

ここで、*us-east-1* は、新しいアカウントを自動的に有効化して追加するリージョン (米国東部 (バージニア北部) リージョン) です。

後でこの設定を変更し、新しいアカウントの自動的な有効化と追加を停止するには、同じコマンドを再度実行して、該当するリージョンごとに、`auto-enable` パラメータではなく、`no-auto-enable` パラメータを使用します。

また、新しいメンバーアカウントでも機密データの自動検出を自動的に有効にすることができます。アカウントにこの機能を有効にすると、Macie はアカウントの S3 バケットからサンプルオブジェクトを継続的に選択し、オブジェクトを分析して機密データが含まれているかどうかを判断します。詳細については、「[機密データ自動検出を実行する](discovery-asdd.md)」を参照してください。メンバーアカウントでこの機能を自動的に有効にするには、[UpdateAutomatedDiscoveryConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/automated-discovery-configuration.html) オペレーションを使用するか、 を使用している場合は AWS CLI update[update-automated-discovery-configuration](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/update-automated-discovery-configuration.html) コマンドを実行します。

------

## ステップ 4: 既存の組織アカウントを Macie メンバーアカウントとして有効化して追加する
<a name="accounts-mgmt-ao-members-add-existing"></a>

Macie を と統合する場合 AWS Organizations、Macie は組織内のすべての既存のアカウントに対して自動的に有効になるわけではありません。また、アカウントは委任 Macie 管理者アカウントに Macie メンバーアカウントとして自動的に関連付けられません。したがって、Macie 内で組織を統合して設定する最後のステップは、既存の組織アカウントを Macie メンバーアカウントとして追加することです。既存のアカウントを Macie メンバーアカウントとして追加すると、そのアカウントに対して Macie が自動的に有効化され、お客様は (委任 Macie 管理者として) アカウントの特定の Macie 設定、データ、およびリソースにアクセスできるようになります。

別の Macie 管理者アカウントに現在関連付けられているアカウントを追加することはできないことに注意してください。アカウントを追加するには、アカウント所有者と協力して、まずアカウントを現在の管理者アカウントから関連付けを解除します。また、Macie が現在そのアカウントで停止されている場合、既存のアカウントを追加することはできません。アカウント所有者は、まずアカウントの Macie を再度有効化する必要があります。最後に、 AWS Organizations 管理アカウントをメンバーアカウントとして追加したい場合、そのアカウントのユーザーは、まずアカウントの Macie を有効化する必要があります。

**既存の組織アカウントを Macie メンバーアカウントとして有効化して追加するには**  
既存の組織アカウントを Macie メンバーアカウントとして有効化して追加するには、Amazon Macie コンソールまたは Amazon Macie API を使用できます。組織の委任 Macie 管理者のみが、このタスクを実行できます。

------
#### [ Console ]

コンソールを使用してこのタスクを実行するには、 の AWS Organizations アクションを実行できる必要があります`organizations:ListAccounts`。このアクションにより、組織内のアカウントに関する情報を取得して表示することが許可されます。これらのアクセス許可を持っている場合は、次のステップに従って、既存のアカウントを Macie メンバーアカウントとして有効化して追加します。

**既存の組織アカウントを有効化して追加するには**

1. Amazon Macie コンソール ([https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)) を開きます。

1. ページの右上隅にある AWS リージョン セレクターを使用して、既存のアカウントを有効にして Macie メンバーアカウントとして追加するリージョンを選択します。

1. ナビゲーションペインで、**[Accounts]** (アカウント) を選択します。**Accounts** (アカウント) ページが開き、Macie アカウントに関連付けられているアカウントのテーブルが表示されます。

   アカウントが の組織の一部である場合 AWS Organizations、その**タイプ**は **Via AWS Organizations** です。アカウントが既に Macie メンバーアカウントである場合、その **[ステータス]** は **[有効]** または **[一時停止 (停止)]** になります。

1. **既存のアカウント** テーブルで、Macie メンバーアカウントとして追加する各アカウントのチェックボックスをオンにします。

1. **Actions** (アクション) メニューで、**Add member** (メンバーを追加) を選択します。

1. 選択したアカウントをメンバーアカウントとして追加することを確認します。

選択したアカウントの追加を確認すると、アカウントのステータスが **[有効化が進行中]**、**[有効済み]** の順に変わります。メンバーアカウントを追加したら、アカウントの機密データ自動検出を有効にすることもできます。**既存のアカウント**テーブルで、有効にする各アカウントのチェックボックスを選択し、**アクション**メニューで**機密データ自動検出を有効にする**を選択します。アカウントにこの機能を有効にすると、Macie はアカウントの S3 バケットからサンプルオブジェクトを継続的に選択し、オブジェクトを分析して機密データが含まれているかどうかを判断します。詳細については、「[機密データ自動検出を実行する](discovery-asdd.md)」を参照してください。

Macie 内で組織を設定する追加のリージョンごとに、前述のステップを繰り返します。

------
#### [ API ]

Macie メンバーアカウントとして 1 つ以上の既存のアカウントをプログラムで有効化して追加するには、Amazon Macie APIの [CreateMember](https://docs.aws.amazon.com/macie/latest/APIReference/members.html) オペレーションを使用します。リクエストを送信するときは、サポートされているパラメータを使用して、有効化および追加 AWS アカウント する各 の 12 桁のアカウント ID と E メールアドレスを指定します。また、リクエストが適用されるリージョンも指定します。追加のリージョンで既存のアカウントを有効化して追加するには、追加のリージョンごとにリクエストを送信します。

を有効にして追加 AWS アカウント する のアカウント ID と E メールアドレスを取得するには、オプションで Amazon Macie API の [ListMembers](https://docs.aws.amazon.com/macie/latest/APIReference/members.html) オペレーションを使用できます。このオペレーションは、Macie メンバーアカウントではないアカウントを含む、Macie アカウントに関連付けられているアカウントの詳細を提供します。アカウントの `relationshipStatus` プロパティの値が `Enabled` または `Paused` ではない場合、アカウントは Macie メンバーアカウントではありません。

を使用して 1 つ以上の既存のアカウントを有効にして追加するには AWS CLI、[create-member](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/create-member.html) コマンドを実行します。`region` パラメータを使用して、アカウントを有効化して追加するリージョンを指定します。`account` パラメータを使用して、追加 AWS アカウント する各 のアカウント ID と E メールアドレスを指定します。例えば、次のようになります。

```
C:\> aws macie2 create-member --region us-east-1 --account={\"accountId\":\"123456789012\",\"email\":\"janedoe@example.com\"}
```

ここで、*us-east-1* は、アカウントを Macie メンバーアカウントとして有効化して追加するリージョン (米国東部 (バージニア北部) リージョン) であり、`account` パラメータはそのアカウントのアカウント ID (*123456789012*) と E メールアドレス (*janedoe@example.com*) を指定します。

リクエストが成功すると、指定されたアカウントのステータス `relationshipStatus` がアカウントのインベントリの `Enabled` に変わります。

また、1 つ以上のアカウントの機密データ自動検出を有効にするには、[BatchUpdateAutomatedDiscoveryAccounts](https://docs.aws.amazon.com/macie/latest/APIReference/automated-discovery-accounts.html) オペレーションを使用するか、 を使用している場合は AWS CLI batch[batch-update-automated-discovery-accounts](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/batch-update-automated-discovery-accounts.html) コマンドを実行します。アカウントにこの機能を有効にすると、Macie はアカウントの S3 バケットからサンプルオブジェクトを継続的に選択し、オブジェクトを分析して機密データが含まれているかどうかを判断します。詳細については、「[機密データ自動検出を実行する](discovery-asdd.md)」を参照してください。

------