翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# を使用した複数の Macie アカウントの管理 AWS Organizations
<a name="accounts-mgmt-ao"></a>

 AWS Organizations を使用して複数の を一元管理する場合 AWS アカウント、Amazon Macie を と統合し AWS Organizations、組織内のアカウントの Macie を一元管理できます。この設定では、指定 Macie 管理者が 10,000 個ものアカウントの Macie を有効化および管理できます。管理者は、Amazon Simple Storage Service (Amazon S3) のインベントリデータにアクセスし、アカウントが所有する S3 バケット内の機密データを検出することもできます。管理者が実行できるタスクの詳細については、[Macie 管理者とメンバーアカウントの関係](accounts-mgmt-relationships.md)を参照してください。

AWS Organizations は、 AWS 管理者が複数の を統合して一元管理できるようにするグローバルアカウント管理サービスです AWS アカウント。予算、セキュリティ、コンプライアンスのニーズをサポートするように設計されたアカウント管理および一括請求 (コンソリデーティッドビリング) 機能が備わっています。追加料金なしで提供され、Macie AWS のサービス、、Amazon GuardDuty などの複数の AWS Security Hub CSPMと統合されます。詳細については、「[AWS Organizations ユーザーガイド](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)」を参照してください。

Macie を と統合するには AWS Organizations、まずアカウントの を組織の委任 Macie 管理者アカウントとして指定します。次に Macie 管理者は、組織内の他のアカウントで Macie を有効化し、それらのアカウントを Macie メンバーアカウントとして追加し、そのアカウントの Macie 設定とリソースを設定します。

**ヒント**  
招待を使用して Macie 管理者アカウントをメンバーアカウントにすでに関連付けている場合は、そのアカウントを AWS Organizations内で組織の委任 Macie 管理者アカウントとして指定できます。これを行うと、現在関連付けられているすべてのメンバーアカウントがメンバーとして残り、 AWS Organizationsを使用してアカウントを管理する利点を最大限に活用できます。詳細については、「[招待ベースの組織からの移行](accounts-mgmt-ao-notes.md#accounts-mgmt-ao-notes-transition-invitations)」を参照してください。

このセクションのトピックでは、Macie を と統合する方法 AWS Organizations と、組織内のアカウントの Macie を管理および管理する方法について説明します。

**Topics**
+ [考慮事項とレコメンデーション](accounts-mgmt-ao-notes.md)
+ [組織を統合および設定する](accounts-mgmt-ao-integrate.md)
+ [組織のアカウントの確認](accounts-mgmt-ao-review.md)
+ [メンバーアカウントの管理](accounts-mgmt-ao-administer.md)
+ [管理者アカウントの変更](accounts-mgmt-ao-admin-change.md)
+ [AWS Organizationsとの統合の無効化](accounts-mgmt-ao-disable.md)

# で Macie を使用する際の考慮事項 AWS Organizations
<a name="accounts-mgmt-ao-notes"></a>

Amazon Macie を と統合 AWS Organizations し、Macie で組織を設定する前に、次の要件と推奨事項を検討してください。また、[Macie 管理者アカウントとメンバーアカウントの関係](accounts-mgmt-relationships.md)を理解してください。

**Topics**
+ [管理者アカウントの指定](#accounts-mgmt-ao-notes-admin-designate)
+ [管理者アカウントの指定の変更または削除](#accounts-mgmt-ao-notes-admin-remove)
+ [メンバーアカウントの追加と削除](#accounts-mgmt-ao-notes-members-manage)
+ [招待ベースの組織からの移行](#accounts-mgmt-ao-notes-transition-invitations)

## Macie 管理者アカウントの指定
<a name="accounts-mgmt-ao-notes-admin-designate"></a>

組織の委任 Macie 管理者アカウントにする必要があるアカウントを決定する際には、次の点に注意してください。
+ 組織は、委任 Macie 管理者アカウントを 1 つだけ持つことができます。
+ アカウントを Macie 管理者とメンバーアカウントに同時に設定することはできません。
+ 組織の委任 Macie 管理者アカウントを指定できるのは、組織の AWS Organizations 管理アカウントのみです。その管理アカウントのみが、その後にその指定を変更または削除できます。
+ 組織の AWS Organizations 管理アカウントは、組織の委任 Macie 管理者アカウントにすることもできます。ただし、 AWS セキュリティのベストプラクティスと最小特権の原則に基づいてこの設定を行うことはお勧めしません。請求の目的で管理アカウントにアクセスできるユーザーは、情報セキュリティの目的で Macie にアクセスする必要があるユーザーとは異なる可能性があります。

  この設定を使用する場合は、アカウントを委任 Macie 管理者アカウントとして指定する AWS リージョン 前に、少なくとも 1 つの で組織の管理アカウントに対して Macie を有効にする必要があります。そうしないと、アカウントはメンバーアカウントの Macie 設定とリソースへのアクセスおよび管理ができなくなります。
+ Macie とは異なり AWS Organizations、Macie はリージョン別サービスです。これは、Macie 管理者アカウントの指定がリージョンでの指定であることを意味します。それは、Macie 管理者とメンバーアカウントの間の関連付けはリージョンでのものであることも意味します。たとえば、管理アカウントが米国東部 (バージニア北部) リージョンの Macie 管理者アカウントを指定している場合、Macie 管理者はそのリージョンのメンバーアカウントの Macie のみを管理できます。

  複数の で Macie アカウントを一元管理するには AWS リージョン、管理アカウントが、組織が現在 Macie を使用している、または使用する各リージョンにサインインし、それらの各リージョンで Macie 管理者アカウントを指定する必要があります。次に Macie 管理者は、それらの各リージョンで組織を設定できます。Macie が現在利用可能なリージョンの一覧については、AWS 全般のリファレンスの[Amazon Macie エンドポイントとクォータ](https://docs.aws.amazon.com/general/latest/gr/macie.html)を参照してください。
+ アカウントは、一度に 1 つの Macie 管理者アカウントのみと関連付けることができます。組織が複数のリージョンで Macie を使用している場合、指定 Macie 管理者アカウントは、それらのすべてのリージョンで同じである必要があります。ただし、組織の管理アカウントは、各リージョンで管理者アカウントを個別に指定する必要があります。
+ Macie 委任管理者アカウントになることができるアカウントは、一度に 1 つの組織に対してのみです。で複数の組織を管理する場合は AWS Organizations、組織ごとに異なる Macie 管理者アカウントを指定する必要があります。これは AWS Organizations 要件によるものです。アカウントが、組織のメンバーになることができるのは、一度に 1 つのみです。

Macie 管理者の AWS アカウント が停止、分離、または閉鎖されている場合、関連するすべての Macie メンバーアカウントは Macie メンバーアカウントとして自動的に削除されますが、Macie はアカウントに対して引き続き有効になります。[機密データ自動検出](discovery-asdd.md)は、1 つ以上のメンバーアカウントで有効になっていた場合、それらのアカウントでは無効になります。これにより、Macie が作成して、アカウントの自動検出の実行中に直接提供した統計データ、インベントリデータ、その他の情報にアクセスできなくなります。このデータへのアクセスを復元するには、30 日以内に次の手順を実行する必要があります。

1. Macie 管理者の AWS アカウント が復元されます。

1.  AWS Organizations 管理アカウントは、アカウントを再び Macie 管理者アカウントとして指定します。

1. Macie 管理者が組織を設定し、適切なアカウントの自動検出を再度有効にします。

30 日後、Macie は、以前に作成して、該当するアカウントの自動検出の実行中に直接提供したデータを完全に削除します。

## Macie 管理者アカウントの指定の変更または削除
<a name="accounts-mgmt-ao-notes-admin-remove"></a>

組織の委任 Macie 管理者アカウントの指定を変更または削除できるのは、組織の AWS Organizations 管理アカウントのみです。

管理アカウントが指定を変更または削除した場合:
+ 関連付けられたメンバーアカウントはすべて、Macie メンバーアカウントとして削除されますが、Macie は引き続きそれらのアカウントに対して有効なままです。それらのアカウントはスタンドアロンの Macie アカウントになります。Macie の使用を一時停止または停止するには、メンバーアカウントのユーザーがそのアカウントに対して Macie を中断 (一時停止) または無効化 (停止) する必要があります。
+ 機密データ自動検出は、有効化されたアカウントごとに無効になります。これにより、Macie が作成して、各アカウントの自動検出の実行中に直接提供した統計データ、インベントリデータ、その他の情報にはアクセスできなくなります。このデータへのアクセスを復元するには、30 日以内に管理アカウントが同じ Macie 管理者アカウントを再度指定する必要があります。さらに、Macie 管理者が組織を再度設定し、30 日以内にアカウントごとに自動検出を再度有効化する必要があります。30 日後、そのデータは期限切れになり、Macie はデータを完全に削除します。

## Macie メンバーアカウントの追加と削除
<a name="accounts-mgmt-ao-notes-members-manage"></a>

組織のメンバーアカウントを追加、削除、または管理する場合は、次の点に注意してください。
+ Macie 管理者アカウントは、各 AWS リージョン内では、最大 10,000 個の Macie メンバーアカウントに関連付けることができます。組織がこのクォータを超える場合、Macie 管理者は、リージョン内の必要な数の既存のメンバーアカウントを削除するまで、メンバーアカウントを追加できなくなります。組織がこのクォータを満たすと、アカウントの AWS Health イベントを作成して Macie 管理者に通知します。また、E メールが彼らのアカウントに関連付けられているアドレスに送信されます。

  お客様が組織の Macie 管理者である場合は、Amazon Macie コンソールの **[アカウント]** ページまたは Amazon Macie API の [ListMembers](https://docs.aws.amazon.com/macie/latest/APIReference/members.html) オペレーションを使用して、現在お客様のアカウントに関連付けられているメンバーアカウントの数を特定できます。詳細については、「[組織の Macie アカウントを確認する](accounts-mgmt-ao-review.md)」を参照してください。
+ アカウントは、一度に 1 つの Macie 管理者アカウントのみと関連付けることができます。これは、アカウントが AWS Organizations内で組織の Macie 管理者アカウントにすでに関連付けられている場合、別のアカウントからの Macie の招待は受け入れられないことを意味します。

  同様に、アカウントがすでに招待を承諾している場合、 の組織の Macie AWS Organizations 管理者はアカウントを Macie メンバーアカウントとして追加できません。そのアカウントは、まず現在の招待ベースの管理者アカウントから関連付けを解除する必要があります。
+  AWS Organizations 管理アカウントを Macie メンバーアカウントとして追加するには、管理アカウントのユーザーがまずアカウントの Macie を有効にする必要があります。Macie 管理者は、管理アカウントで Macie を有効化することはできません。
+ Macie 管理者が Macie メンバーアカウントを削除する場合:
  + Macie は引き続きそのアカウントに対して有効化されています。アカウントはスタンドアロンの Macie アカウントになります。Macie の使用を一時停止または停止するには、そのアカウントのユーザーが自身のアカウントに対して Macie を中断 (一時停止) または無効化 (停止) する必要があります。
  + 機密データ自動検出は、有効になっている場合、そのアカウントに対して無効になります。これにより、Macie が作成して、アカウントの自動検出の実行中に直接提供した統計データ、インベントリデータ、その他の情報にアクセスできなくなります。
+ メンバーアカウントは Macie 管理者アカウントから関連付けを解除できません。Macie 管理者のみが Macie メンバーアカウントとしてアカウントを削除できます。

## 招待ベースの組織からの移行
<a name="accounts-mgmt-ao-notes-transition-invitations"></a>

Macie メンバーシップの招待を使用して Macie 管理者アカウントをメンバーアカウントにすでに関連付けている場合は、そのアカウントを AWS Organizations内で組織の委任 Macie 管理者アカウントとして指定することをお勧めします。これにより、招待ベースの組織からの移行が簡素化されます。

これを行うと、現在関連付けられているすべてのメンバーアカウントが引き続きメンバーになります。メンバーアカウントが の組織の一部である場合 AWS Organizations、アカウントの関連付けは Macie **の Via への招待**によって から自動的に変更されます。 ** AWS Organizations**メンバーアカウントが AWS Organizations内で組織の一部ではない場合、アカウントの関連付けは引き続き **招待により**になります。どちらの場合も、アカウントは引き続きメンバーアカウントとして委任 Macie 管理者アカウントに関連付けられます。機密データ検出の場合、これは、アカウントに対して機密データ自動検出を実行している間に、Macie が生成して直接提供した統計データやその他のデータにアカウントが引き続きアクセスできることを意味します。さらに、Macie 管理者がアカウントのデータを分析するために機密データ検出ジョブを設定した場合、その後のジョブ実行には引き続きアカウントが所有するリソースが含まれます。

1 つのアカウントを複数の Macie 管理者アカウントに同時に関連付けることができないため、この方法をお勧めします。別のアカウントを の組織の Macie 管理者アカウントとして指定すると AWS Organizations、指定された管理者は招待によって別の Macie 管理者アカウントに既に関連付けられているアカウントを管理できなくなります。各メンバーアカウントは、まず現在の招待ベースの管理者アカウントから関連付けを解除する必要があります。次に、 AWS Organizations 内で組織の Macie 管理者アカウントはそのアカウントを Macie メンバーアカウントとして追加し、アカウントの管理を開始できます。

Macie を と統合 AWS Organizations し、Macie で組織を設定したら、必要に応じて組織の別の Macie 管理者アカウントを指定できます。招待を引き続き使用して、 AWS Organizations内で組織の一部ではないメンバーアカウントを関連付けて管理することもできます。

# Macie 内で組織を統合および設定する
<a name="accounts-mgmt-ao-integrate"></a>

で Amazon Macie の使用を開始するには AWS Organizations、組織の AWS Organizations 管理アカウントが組織の委任 Macie 管理者アカウントとしてアカウントを指定します。これにより、Macie は の信頼されたサービスとして有効になります AWS Organizations。それにより、Macie が指定管理者アカウントとして現在の AWS リージョン でも有効化され、指定管理者アカウントはそのリージョン内で組織内の他のアカウントの Macie を有効化および管理できるようになります。これらのアクセス許可の付与方法については、「 *AWS Organizations ユーザーガイド*」の「 を[他の AWS Organizations で使用する AWS のサービス](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html)」を参照してください。

委任 Macie 管理者は、主に組織のアカウントをリージョン内の Macie メンバーアカウントとして追加することで、Macie 内で組織を設定します。その後、管理者は、そのリージョン内のアカウントの特定の Macie 設定、データ、およびリソースにアクセスできます。また、自動機密データ検出を実行し、機密データ検出ジョブを実行して、アカウントが所有する Amazon Simple Storage Service (Amazon S3) バケット内の機密データを検出することもできます。

このトピックでは、組織の委任 Macie 管理者を指定する方法と、組織のアカウントを Macie メンバーアカウントとして追加する方法について説明します。これらのタスクを実行する前に、[Macie 管理者アカウントと メンバーアカウントの関係](accounts-mgmt-relationships.md)を理解してください。また、 で Macie を使用する際の[考慮事項と推奨事項](accounts-mgmt-ao-notes.md)を確認することをお勧めします AWS Organizations。

**Topics**
+ [ステップ 1: アクセス許可を確認する](#accounts-mgmt-ao-admin-designate-permissions)
+ [ステップ 2: 委任 Macie 管理者アカウントを指定する](#accounts-mgmt-ao-admin-designate)
+ [ステップ 3: 新しい組織のメンバーアカウントを自動的に有効化して追加する](#accounts-mgmt-ao-members-autoenable)
+ [ステップ 4: 既存の組織アカウントを有効化して追加する](#accounts-mgmt-ao-members-add-existing)

複数のリージョンで組織を統合して設定するには、 AWS Organizations 管理アカウントと委任 Macie 管理者が追加のリージョンごとにこれらのステップを繰り返します。

## ステップ 1: アクセス許可を確認する
<a name="accounts-mgmt-ao-admin-designate-permissions"></a>

組織の委任 Macie 管理者アカウントを指定する前に、自分 ( AWS Organizations 管理アカウントのユーザー) が Macie アクション の実行を許可されていることを確認します`macie2:EnableOrganizationAdminAccount`。この操作により、Macie を使用して組織の委任 Macie 管理者アカウントを指定できます。

また、次の AWS Organizations アクションを実行できることを確認します。
+ `organizations:DescribeOrganization`
+ `organizations:EnableAWSServiceAccess`
+ `organizations:ListAWSServiceAccessForOrganization`
+ `organizations:RegisterDelegatedAdministrator`

これらのアクションにより、組織に関する情報の取得、Macie との統合 AWS Organizations、 AWS のサービス 統合した に関する情報の取得 AWS Organizations、組織の委任 Macie 管理者アカウントの指定を行うことができます。

これらのアクセス許可を付与するには、アカウントの AWS Identity and Access Management (IAM) ポリシーに次のステートメントを含めます。

```
{
   "Sid": "Grant permissions to designate a delegated Macie administrator",
   "Effect": "Allow",
   "Action": [
      "macie2:EnableOrganizationAdminAccount",
      "organizations:DescribeOrganization",
      "organizations:EnableAWSServiceAccess",
      "organizations:ListAWSServiceAccessForOrganization",
      "organizations:RegisterDelegatedAdministrator"
   ],
   "Resource": "*"
}
```

 AWS Organizations 管理アカウントを組織の委任 Macie 管理者アカウントとして指定する場合、アカウントには次の IAM アクションを実行するアクセス許可も必要です: `CreateServiceLinkedRole`。このアクションにより、管理アカウントで Macie を有効化することが許可されます。ただし、 AWS セキュリティのベストプラクティスと最小特権の原則に基づいて、これを行うことはお勧めしません。

このアクセス許可を付与する場合は、 AWS Organizations 管理アカウントの IAM ポリシーに次のステートメントを追加します。

```
{
   "Sid": "Grant permissions to enable Macie",
   "Effect": "Allow",
   "Action": [
      "iam:CreateServiceLinkedRole"
   ],
   "Resource": "arn:aws:iam::111122223333:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie",
   "Condition": {
      "StringLike": {
         "iam:AWSServiceName": "macie.amazonaws.com"
      }
   }
}
```

ステートメントで、*111122223333* を管理アカウントのアカウント ID と置き換えます。

オプトイン AWS リージョン (デフォルトで無効になっているリージョン) で Macie を管理する場合は、 `Resource`要素と `iam:AWSServiceName`条件の Macie サービスプリンシパルの値も更新します。値には、リージョンのリージョンコードを指定する必要があります。たとえば、リージョンコード *me-south-1* を持つ中東 (バーレーン) リージョンで Macie を管理するには、以下を行います。
+ `Resource` 要素で、次を置き換えます:

  `arn:aws:iam::111122223333:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie`

  デプロイに

  `arn:aws:iam::111122223333:role/aws-service-role/macie.me-south-1.amazonaws.com/AWSServiceRoleForAmazonMacie`

  ここで、*111122223333* は管理アカウントのアカウント ID を指定し、*me-south-1* はリージョンのリージョンコードを指定します。
+ `iam:AWSServiceName` 条件では、`macie.amazonaws.com` を `macie.me-south-1.amazonaws.com` に置き換えます。ここで、*me-south-1* はリージョンのリージョンコードを指定します。

Macie が現在利用可能なリージョンのリストと、それぞれのリージョンコードについては、AWS 全般のリファレンスの [Amazon Macie のエンドポイントとクォータ](https://docs.aws.amazon.com/general/latest/gr/macie.html)を参照してください。リージョンがオプトインリージョンであるかどうかを確認するには、「*AWS アカウント管理 ユーザーガイド*」の「[アカウントでの AWS リージョン の有効化または無効化](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html)」を参照してください。

## ステップ 2: 組織の委任 Macie 管理者アカウントを指定する
<a name="accounts-mgmt-ao-admin-designate"></a>

アクセス許可を確認したら、 ( AWS Organizations 管理アカウントのユーザーとして) 組織の委任 Macie 管理者アカウントを指定できます。

**組織の委任 Macie 管理者アカウントを指定するには**  
組織の委任 Macie 管理者アカウントを指定するには、Amazon Macie コンソールまたは Amazon Macie API を使用できます。 AWS Organizations 管理アカウントのユーザーのみがこのタスクを実行できます。

------
#### [ Console ]

以下のステップに従って、Amazon Macie コンソールを使用して委任 Macie 管理者アカウントを指定します。

**委任 Macie 管理者アカウントを指定するには**

1.  AWS Organizations 管理アカウント AWS マネジメントコンソール を使用して にサインインします。

1. ページの右上隅にある AWS リージョン セレクターを使用して、組織の委任 Macie 管理者アカウントを指定するリージョンを選択します。

1. Amazon Macie コンソール ([https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)) を開きます。

1. Macie が現在のリージョンで管理アカウントに対して有効化されているかどうかに応じて、次のいずれかを実行します。
   + Macie が有効化されていない場合は、Welcome Page (ようこそページ) の **Get started** (開始方法) を選択します。
   + Macie が有効化されている場合は、ナビゲーションペインの **Settings** (設定) を選択します。

1. **委任された管理者**に、Macie 管理者アカウントとして AWS アカウント 指定する の 12 桁のアカウント ID を入力します。

1. **Delegate** (委任) を選択します。

組織を Macie と統合する追加のリージョンごとに、前述のステップを繰り返します。それらの各リージョンで同じ Macie 管理者アカウントを指定する必要があります。

------
#### [ API ]

委任 Macie 管理者アカウントをプログラムで指定するには、Amazon Macie API の [EnableOrganizationAdminAccount](https://docs.aws.amazon.com/macie/latest/APIReference/admin.html) オペレーションを使用します。複数のリージョンでアカウントを指定するには、組織を Macie と統合するリージョンごとに指定を送信します。それらの各リージョンで同じ Macie 管理者アカウントを指定する必要があります。

指定を送信するときは、必要な `adminAccountId`パラメータを使用して、組織の Macie 管理者アカウントとして AWS アカウント 指定する の 12 桁のアカウント ID を指定します。また、指定が適用されるリージョンも必ず指定してください。

[AWS Command Line InterfaceAWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html)を使用して Macie 管理者アカウントを指定するには、[enable-organization-admin-account](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/enable-organization-admin-account.html) コマンドを実行します `admin-account-id` パラメータには、 AWS アカウント 指定する の 12 桁のアカウント ID を指定します。`region` パラメータを使用して、指定が適用されるリージョンを指定します。例: 

```
C:\> aws macie2 enable-organization-admin-account --region us-east-1 --admin-account-id 111122223333
```

ここで、*us-east-1* は指定が適用されるリージョン (米国東部 (バージニア北部) リージョン) であり、*111122223333* は指定するアカウントのアカウント ID です。

------

組織の Macie 管理者アカウントを指定した後、Macie 管理者は Macie 内で組織の設定を開始できます。

## ステップ 3: 新しい組織のメンバーアカウントを Macie メンバーアカウントとして自動的に有効化して追加する
<a name="accounts-mgmt-ao-members-autoenable"></a>

デフォルトでは、アカウントが AWS Organizations内で組織に追加されたときに、Macie は新しいアカウントに対して自動的に有効化されません。また、アカウントは Macie メンバーアカウントとして自動的に追加されません。アカウントは Macie 管理者のアカウントインベントリに表示されます。ただし、Macie がアカウントに対して必ずしも有効化されているわけではなく、Macie 管理者はアカウントの Macie 設定、データ、およびリソースに必ずしもアクセスできるわけではありません。

お客様が組織の委任 Macie 管理者である場合は、この構成設定を変更できます。組織の自動有効化を有効にできます。これを行うと、アカウントが AWS Organizations内で組織に追加されたときに、Macie は新しいアカウントに対して自動的に有効化されます。また、アカウントは Macie 管理者アカウントに Macie メンバーアカウントとして自動的に関連付けられます。この設定を有効にしても、組織の既存のアカウントには影響しません。既存のアカウントで Macie を有効化して管理するには、アカウントを Macie メンバーアカウントとして手動で追加する必要があります。[次のステップ](#accounts-mgmt-ao-members-add-existing)では、これを行う方法を説明します。

**注記**  
自動有効化をオンにした場合、次の例外に注意してください。新しいアカウントがすでに別の Macie 管理者アカウントに関連付けられている場合、Macie は組織内のメンバーアカウントとしてアカウントを自動的に追加しません。そのアカウントは、Macie 内で組織の一部になる前に、現在の Macie 管理者アカウントから関連付けを解除する必要があります。その後、アカウントを手動で追加できます。これが当てはまるアカウントを特定するには、組織の[アカウントインベントリを確認](accounts-mgmt-ao-review.md)することができます。

**新しい組織アカウントを Macie メンバーアカウントとして自動的に有効化して追加するには**  
新しいアカウントを Macie メンバーアカウントとして自動的に有効化して追加するには、Amazon Macie コンソールまたは Amazon Macie API を使用できます。組織の委任 Macie 管理者のみが、このタスクを実行できます。

------
#### [ Console ]

コンソールを使用してこのタスクを実行するには、 の AWS Organizations アクションを実行できる必要があります`organizations:ListAccounts`。このアクションにより、組織内のアカウントに関する情報を取得して表示することが許可されます。これらのアクセス許可を持っている場合は、次のステップに従って、新しい組織アカウントを Macie メンバーアカウントとして自動的に有効化して追加します。

**新しい組織アカウントを自動的に有効化して追加するには**

1. Amazon Macie コンソール ([https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)) を開きます。

1. ページの右上隅にある AWS リージョン セレクターを使用して、Macie メンバーアカウントとして新しいアカウントを自動的に有効にして追加するリージョンを選択します。

1. ナビゲーションペインで、**[Accounts]** (アカウント) を選択します。

1. **[アカウント]**ページの **[新しいアカウント]** セクションで、**[編集]** を選択します。

1. **[新しいアカウントの設定の編集]** ダイアログボックスで、**[Macie を有効にする]** を選択します。

   新しいメンバーアカウントでも機密データの自動検出を自動的に有効にするには、**[機密データの自動検出を有効にする]** を選択します。アカウントにこの機能を有効にすると、Macie はアカウントの S3 バケットからサンプルオブジェクトを継続的に選択し、オブジェクトを分析して機密データが含まれているかどうかを判断します。詳細については、「[機密データ自動検出を実行する](discovery-asdd.md)」を参照してください。

1. **[保存]** を選択します。

Macie 内で組織を設定する追加のリージョンごとに、前述のステップを繰り返します。

これらの設定を後で変更するには、前述のステップを繰り返し、各設定のチェックボックスをオフにします。

------
#### [ API ]

新しい Macie メンバーアカウントをプログラムで自動的に有効化して追加するには、Amazon Macie API の [UpdateOrganizationConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/admin-configuration.html) オペレーションを使用します。リクエストを送信するときは、`autoEnable` パラメータの値を `true` に設定します。(デフォルト値は `false` です。) また、リクエストが適用されるリージョンを必ず指定してください。追加のリージョンで新しいアカウントを自動的に有効化して追加するには、追加のリージョンごとにリクエストを送信します。

を使用してリクエスト AWS CLI を送信する場合は、[update-organization-configuration](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/update-organization-configuration.html) コマンドを実行し、 `auto-enable`パラメータを指定して新しいアカウントを自動的に有効化および追加します。例えば、次のようになります。

```
$ aws macie2 update-organization-configuration --region us-east-1 --auto-enable
```

ここで、*us-east-1* は、新しいアカウントを自動的に有効化して追加するリージョン (米国東部 (バージニア北部) リージョン) です。

後でこの設定を変更し、新しいアカウントの自動的な有効化と追加を停止するには、同じコマンドを再度実行して、該当するリージョンごとに、`auto-enable` パラメータではなく、`no-auto-enable` パラメータを使用します。

また、新しいメンバーアカウントでも機密データの自動検出を自動的に有効にすることができます。アカウントにこの機能を有効にすると、Macie はアカウントの S3 バケットからサンプルオブジェクトを継続的に選択し、オブジェクトを分析して機密データが含まれているかどうかを判断します。詳細については、「[機密データ自動検出を実行する](discovery-asdd.md)」を参照してください。メンバーアカウントでこの機能を自動的に有効にするには、[UpdateAutomatedDiscoveryConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/automated-discovery-configuration.html) オペレーションを使用するか、 を使用している場合は AWS CLI update[update-automated-discovery-configuration](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/update-automated-discovery-configuration.html) コマンドを実行します。

------

## ステップ 4: 既存の組織アカウントを Macie メンバーアカウントとして有効化して追加する
<a name="accounts-mgmt-ao-members-add-existing"></a>

Macie を と統合する場合 AWS Organizations、Macie は組織内のすべての既存のアカウントに対して自動的に有効になるわけではありません。また、アカウントは委任 Macie 管理者アカウントに Macie メンバーアカウントとして自動的に関連付けられません。したがって、Macie 内で組織を統合して設定する最後のステップは、既存の組織アカウントを Macie メンバーアカウントとして追加することです。既存のアカウントを Macie メンバーアカウントとして追加すると、そのアカウントに対して Macie が自動的に有効化され、お客様は (委任 Macie 管理者として) アカウントの特定の Macie 設定、データ、およびリソースにアクセスできるようになります。

別の Macie 管理者アカウントに現在関連付けられているアカウントを追加することはできないことに注意してください。アカウントを追加するには、アカウント所有者と協力して、まずアカウントを現在の管理者アカウントから関連付けを解除します。また、Macie が現在そのアカウントで停止されている場合、既存のアカウントを追加することはできません。アカウント所有者は、まずアカウントの Macie を再度有効化する必要があります。最後に、 AWS Organizations 管理アカウントをメンバーアカウントとして追加したい場合、そのアカウントのユーザーは、まずアカウントの Macie を有効化する必要があります。

**既存の組織アカウントを Macie メンバーアカウントとして有効化して追加するには**  
既存の組織アカウントを Macie メンバーアカウントとして有効化して追加するには、Amazon Macie コンソールまたは Amazon Macie API を使用できます。組織の委任 Macie 管理者のみが、このタスクを実行できます。

------
#### [ Console ]

コンソールを使用してこのタスクを実行するには、 の AWS Organizations アクションを実行できる必要があります`organizations:ListAccounts`。このアクションにより、組織内のアカウントに関する情報を取得して表示することが許可されます。これらのアクセス許可を持っている場合は、次のステップに従って、既存のアカウントを Macie メンバーアカウントとして有効化して追加します。

**既存の組織アカウントを有効化して追加するには**

1. Amazon Macie コンソール ([https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)) を開きます。

1. ページの右上隅にある AWS リージョン セレクターを使用して、既存のアカウントを有効にして Macie メンバーアカウントとして追加するリージョンを選択します。

1. ナビゲーションペインで、**[Accounts]** (アカウント) を選択します。**Accounts** (アカウント) ページが開き、Macie アカウントに関連付けられているアカウントのテーブルが表示されます。

   アカウントが の組織の一部である場合 AWS Organizations、その**タイプ**は **Via AWS Organizations** です。アカウントが既に Macie メンバーアカウントである場合、その **[ステータス]** は **[有効]** または **[一時停止 (停止)]** になります。

1. **既存のアカウント** テーブルで、Macie メンバーアカウントとして追加する各アカウントのチェックボックスをオンにします。

1. **Actions** (アクション) メニューで、**Add member** (メンバーを追加) を選択します。

1. 選択したアカウントをメンバーアカウントとして追加することを確認します。

選択したアカウントの追加を確認すると、アカウントのステータスが **[有効化が進行中]**、**[有効済み]** の順に変わります。メンバーアカウントを追加したら、アカウントの機密データ自動検出を有効にすることもできます。**既存のアカウント**テーブルで、有効にする各アカウントのチェックボックスを選択し、**アクション**メニューで**機密データ自動検出を有効にする**を選択します。アカウントにこの機能を有効にすると、Macie はアカウントの S3 バケットからサンプルオブジェクトを継続的に選択し、オブジェクトを分析して機密データが含まれているかどうかを判断します。詳細については、「[機密データ自動検出を実行する](discovery-asdd.md)」を参照してください。

Macie 内で組織を設定する追加のリージョンごとに、前述のステップを繰り返します。

------
#### [ API ]

Macie メンバーアカウントとして 1 つ以上の既存のアカウントをプログラムで有効化して追加するには、Amazon Macie APIの [CreateMember](https://docs.aws.amazon.com/macie/latest/APIReference/members.html) オペレーションを使用します。リクエストを送信するときは、サポートされているパラメータを使用して、有効化および追加 AWS アカウント する各 の 12 桁のアカウント ID と E メールアドレスを指定します。また、リクエストが適用されるリージョンも指定します。追加のリージョンで既存のアカウントを有効化して追加するには、追加のリージョンごとにリクエストを送信します。

を有効にして追加 AWS アカウント する のアカウント ID と E メールアドレスを取得するには、オプションで Amazon Macie API の [ListMembers](https://docs.aws.amazon.com/macie/latest/APIReference/members.html) オペレーションを使用できます。このオペレーションは、Macie メンバーアカウントではないアカウントを含む、Macie アカウントに関連付けられているアカウントの詳細を提供します。アカウントの `relationshipStatus` プロパティの値が `Enabled` または `Paused` ではない場合、アカウントは Macie メンバーアカウントではありません。

を使用して 1 つ以上の既存のアカウントを有効にして追加するには AWS CLI、[create-member](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/create-member.html) コマンドを実行します。`region` パラメータを使用して、アカウントを有効化して追加するリージョンを指定します。`account` パラメータを使用して、追加 AWS アカウント する各 のアカウント ID と E メールアドレスを指定します。例えば、次のようになります。

```
C:\> aws macie2 create-member --region us-east-1 --account={\"accountId\":\"123456789012\",\"email\":\"janedoe@example.com\"}
```

ここで、*us-east-1* は、アカウントを Macie メンバーアカウントとして有効化して追加するリージョン (米国東部 (バージニア北部) リージョン) であり、`account` パラメータはそのアカウントのアカウント ID (*123456789012*) と E メールアドレス (*janedoe@example.com*) を指定します。

リクエストが成功すると、指定されたアカウントのステータス `relationshipStatus` がアカウントのインベントリの `Enabled` に変わります。

また、1 つ以上のアカウントの機密データ自動検出を有効にするには、[BatchUpdateAutomatedDiscoveryAccounts](https://docs.aws.amazon.com/macie/latest/APIReference/automated-discovery-accounts.html) オペレーションを使用するか、 を使用している場合は AWS CLI batch[batch-update-automated-discovery-accounts](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/batch-update-automated-discovery-accounts.html) コマンドを実行します。アカウントにこの機能を有効にすると、Macie はアカウントの S3 バケットからサンプルオブジェクトを継続的に選択し、オブジェクトを分析して機密データが含まれているかどうかを判断します。詳細については、「[機密データ自動検出を実行する](discovery-asdd.md)」を参照してください。

------

# 組織の Macie アカウントを確認する
<a name="accounts-mgmt-ao-review"></a>

 AWS Organizations 組織が Amazon Macie で[統合および設定](accounts-mgmt-ao-integrate.md)されると、委任 Macie 管理者は Macie 内の組織のアカウントのインベントリにアクセスできます。組織の Macie 管理者として、このインベントリを使用して、 AWS リージョン内で組織の Macie アカウントの統計と詳細を確認できます。このインベントリを使用すると、アカウントの[特定の管理タスクを実行](accounts-mgmt-ao-administer.md)することもできます。

**組織の Macie アカウントを確認するには**  
組織のアカウントを確認するには、Amazon Macie コンソールまたは Amazon Macie API を使用できます。コンソールを使用する場合は、 AWS Organizations のアクションの実行を許可する必要があります`organizations:ListAccounts`。このアクションにより、 AWS Organizations内で組織の一部であるアカウントに関する情報を取得して表示することが許可されます。

------
#### [ Console ]

Amazon Macie コンソールを使用して組織の Macie アカウントを確認するには、次のステップに従います。

**組織のアカウントを確認するには**

1. Amazon Macie コンソール ([https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)) を開きます。

1. ページの右上隅にある AWS リージョン セレクターを使用して、組織のアカウントを確認するリージョンを選択します。

1. ナビゲーションペインで、**[Accounts]** (アカウント) を選択します。

**アカウント**ページが開き、現在の AWS リージョン内で Macie アカウントに関連付けられている集約された統計とアカウントのテーブルが表示されます。

**アカウント**ページの先頭に、次の集約された統計が表示されます。

**経由 AWS Organizations**  
**Active** は、 を通じてアカウントに関連付けられ、現在組織内の Macie メンバーアカウント AWS Organizations であるアカウントの合計数を報告します。Macie はこれらのアカウントに対して有効化されており、お客様はアカウントの Macie 管理者です。  
**[すべて]** では、 AWS Organizationsを通じて、お客様のアカウントに関連付けられているアカウントの総数が報告されます。これには、現在は Macie メンバーアカウントではないアカウントが含まれます。Macie が現在停止しているメンバーアカウントも含まれます。

**招待により**  
**[アクティブ]** では、Macie の招待によってお客様のアカウントに関連付けられ、組織内で現在 Macie メンバーアカウントであるアカウントの総数が報告されます。このようなアカウントは、 AWS Organizationsを通じてお客様のアカウントに関連付けられていません。Macie はアカウントに対して有効化されており、お客様から Macie メンバーシップへの招待を受け入れたため、お客様はアカウントの Macie 管理者です。  
**すべて**により、お客様からの招待に応答していないアカウントを含む、Macie の招待によってお客様のアカウントに関連付けられているアカウントの総数が報告されます。

**アクティブ/すべて**  
**[アクティブ]** では、組織内で Macie が現在有効になっているアカウントの総数が報告されます。これには、自分のアカウントも含まれます。お客様は、 AWS Organizations を通じて、または Macie の招待によって、このようなアカウントの Macie 管理者になります。  
**すべての** は、 を通じて、 AWS Organizations または Macie の招待によって、アカウントに関連付けられているアカウントの合計数と、自分のアカウントを報告します。これには、 の組織の一部であり AWS Organizations 、現在 Macie メンバーアカウントではないアカウントが含まれます。また、お客様からの Macie メンバーシップ招待に応答していないアカウントも含まれます。

テーブルには、現在のリージョン内の各アカウントの詳細が表示されます。テーブルには、 AWS Organizations を通じて、または Macie の招待によって、Macie アカウントに関連付けられているすべてのアカウントが含まれます。

**アカウント ID**  
 AWS アカウントのアカウント ID と E メールアドレス。

**名前**  
 AWS アカウントのアカウント名。この値は通常、自分のアカウント、および Macie の招待によってお客様のアカウントに関連付けられているアカウントの場合、**[該当なし]** になります。

**Type**  
を通じて、 AWS Organizations または Macie の招待によって、アカウントがアカウントに関連付けられる方法。自分のアカウントの場合、この値は **[現在のアカウント]** です。

**ステータス**  
お客様のアカウントとそのアカウントの関係のステータス。 AWS Organizations 組織内のアカウント (**タイプ**は **経由) AWS Organizations**の場合、指定できる値は次のとおりです。  
+ **アカウントが停止** — AWS アカウント が停止されています。
+ **有効化**— アカウントは Macie メンバーアカウントです。Macie はアカウントに対して有効化されており、お客様はそのアカウントの Macie 管理者です。
+ **有効化が進行中** — Macie は、アカウントを Macie メンバーアカウントとして有効化して追加するためのリクエストを処理しています。
+ **メンバーではない** – アカウントは の組織の一部 AWS Organizations ですが、Macie メンバーアカウントではありません。
+ **一時停止 (停止)**— アカウントは Macie メンバーアカウントですが、現在 Macie はアカウントを停止しています。
+ **リージョンが無効** – アカウントは の組織の一部 AWS Organizations ですが、現在のリージョンは に対して無効になっています AWS アカウント。
+ **削除 (関連付け解除**— アカウントは以前は Macie メンバーアカウントでしたが、その後メンバーアカウントとして削除されました。(Macie 管理者アカウントからそのアカウントを解除しました。) Macie は引き続きそのアカウントに対して有効化されています。

**最終ステータスの更新**  
お客様または関連するアカウントが、お客様のアカウント間の関係に影響を与えたアクションを最後に実行したとき。

**機密データ自動検出**  
アカウントで機密データ自動検出が現在有効になっているか、または無効になっているか。

特定のフィールドでテーブルを並べ替えるには、フィールドの列見出しをクリックします。並べ替え順序を変更するには、列見出しをもう一度クリックします。テーブルをフィルタリングするには、フィルターボックスにカーソルを置き、フィールドのフィルター条件を追加します。結果をさらに絞り込むには、追加のフィールドでフィルター条件を追加します。

------
#### [ API ]

組織のアカウントをプログラムで確認するには、Amazon Macie API の [ListMembers](https://docs.aws.amazon.com/macie/latest/APIReference/members.html) オペレーションを使用して、リクエストが適用されるリージョンを指定してください。追加のリージョン内のアカウントを確認するには、追加のリージョンごとにリクエストを送信します。

リクエストを送信するときは、`onlyAssociated` パラメータを使用して、レスポンスに含めるアカウントを指定します。デフォルトでは、Macie は を通じて、 AWS Organizations または Macie の招待によって、指定されたリージョン内の Macie メンバーアカウントであるアカウントに関する詳細のみを返します。メンバーアカウントではないアカウントを含む、Macie アカウントに関連付けられているすべてのアカウントについて、これらの詳細を取得するには、リクエストに `onlyAssociated` パラメータを含め、パラメータの値を `false` に設定します。

[AWS Command Line InterfaceAWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html)を使用して組織のアカウントを確認するには、[list-members](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/list-members.html) コマンドを実行します。`only-associated` パラメータでは、関連するすべてのアカウントを含めるか、Macie メンバーアカウントのみを含めるかを指定します。メンバーアカウントのみを含めるには、このパラメータを省略するか、パラメータの値を `true` に設定します。すべてのアカウントを含めるには、この値を `false` に設定します。例: 

```
C:\> aws macie2 list-members --region us-east-1 --only-associated false
```

ここで、*us-east-1* は、リクエストが適用されるリージョン (米国東部 (バージニア北部) リージョン) です。

リクエストが成功すると、Macie は `members` 配列を返します 配列には、リクエストで指定された基準を満たす各アカウントの `member` オブジェクトが含まれます。そのオブジェクトでは、`relationshipStatus` フィールドは、指定されたリージョン内のお客様のアカウントと他方のアカウント間の関係の現在のステータスを示します。 AWS Organizations 組織内のアカウントの場合、指定できる値は次のとおりです。
+ `AccountSuspended` – AWS アカウント は停止されています。
+ `Created` — Macie は、アカウントを Macie メンバーアカウントとして有効化して追加するためのリクエストを処理しています。
+ `Enabled` — アカウントは Macie メンバーアカウントです。Macie はアカウントに対して有効化されており、お客様はそのアカウントの Macie 管理者です。
+ `Paused` — アカウントは Macie メンバーアカウントですが、Macie は現在アカウントが停止 (一時停止) されています。
+ `RegionDisabled` – アカウントは の組織の一部 AWS Organizations ですが、現在のリージョンは に対して無効になっています AWS アカウント。
+ `Removed`— アカウントは以前は Macie メンバーアカウントでしたが、その後メンバーアカウントとして削除されました。(Macie 管理者アカウントからそのアカウントの関連付けを解除しました。) Macie は引き続きそのアカウントに対して有効化されています。

`member` オブジェクト内の他のフィールドの詳細については、*Amazon Macie API リファレンス*の[メンバー](https://docs.aws.amazon.com/macie/latest/APIReference/members.html)を参照してください。

------

# 組織の Macie メンバーアカウントの管理
<a name="accounts-mgmt-ao-administer"></a>

 AWS Organizations 組織が Amazon Macie で[統合および設定](accounts-mgmt-ao-integrate.md)されると、組織の委任 Macie 管理者はメンバーアカウントの特定の Macie 設定、データ、リソースにアクセスできます。組織の Macie 管理者として、Macie を使用して、特定のアカウント管理およびアカウントの管理タスクを一元的に実行することもできます。例えば、以下のことが可能です:
+ アカウントを Macie メンバーアカウントとして追加および削除する。
+ アカウントの Macie を有効化または停止するなど、個々のアカウントの Macie のステータスを管理します。
+ 個別のアカウントおよび組織全体の Macie クォータと推定使用コストをモニタリングします。

また、Macie メンバーアカウントの Amazon Simple Storage Service (Amazon S3) のインベントリデータとポリシー結果を確認することもできます。また、アカウントが所有する S3 バケット内の機密データを検出できます。実行できるタスクの詳細なリストについては、[Macie 管理者とメンバーアカウントの関係](accounts-mgmt-relationships.md)を参照してください。

デフォルトでは、Macie は、組織内のすべての Macie メンバーアカウントの関連データとリソースを可視化します。ドリルダウンして、個々のアカウントのデータとリソースを確認することもできます。例えば、[概要ダッシュボードを使用](monitoring-s3-dashboard.md)して、組織の Amazon S3 セキュリティ体制を評価する場合は、アカウントごとにデータをフィルタリングできます。同様に、[推定使用量のコストをモニタリングする](account-mgmt-costs.md)場合は、個々のメンバーアカウントの推定コストの内訳にアクセスする。

管理者およびメンバーアカウントに共通するタスクに加えて、組織のさまざまな管理タスクを実行できます。

**Topics**
+ [メンバーアカウントを組織に追加する](#accounts-mgmt-ao-members-add)
+ [メンバーアカウントの メイシーを一時停止](#accounts-mgmt-ao-members-suspend)
+ [メンバーアカウントの削除](#accounts-mgmt-ao-members-remove)

組織の Macie 管理者は、Amazon Macie コンソールまたは Amazon Macie API を使用してこれらのタスクを実行できます。コンソールを使用する場合は、次の AWS Organizations アクションの実行を許可する必要があります: `organizations:ListAccounts`。このアクションにより、 AWS Organizations内で組織の一部であるアカウントに関する情報を取得して表示することが許可されます。

## Macie メンバーアカウントを組織に追加する
<a name="accounts-mgmt-ao-members-add"></a>

場合によっては、アカウントを Amazon Macie メンバーアカウントとして手動で追加する必要があります。これは、以前にメンバーアカウントとして削除 (関連付け解除) したアカウントの場合です。これは、アカウントが AWS Organizations内で組織に追加されたときに、Macie を[新しいメンバーアカウントを自動的に有効化して追加する](accounts-mgmt-ao-integrate.md#accounts-mgmt-ao-members-autoenable)ように設定しなかった場合にも当てはまります。

アカウントを Macie メンバーアカウントとして追加する場合:
+ Macie は、リージョンでまだ有効になっていない場合 AWS リージョン、現在のアカウントで有効になっています。
+ アカウントは、リージョン内のメンバーアカウントとして Macie 管理者アカウントに関連付けられます。メンバーアカウントは、招待またはお客様のアカウント間にこの関係を確立したというその他の通知を受け取りません。
+ 機密データの自動検出は、リージョン内のアカウントに対して有効化される必要があります。これは、組織に指定した設定によって異なります。詳細については、「[機密データ自動検出を設定する](discovery-asdd-account-manage.md)」を参照してください。

すでに関連付けられているアカウントは別の Macie 管理者アカウントに追加できないことに注意してください。アカウントは、まず現在の管理者アカウントから関連付けを解除する必要があります。さらに、Macie がアカウントに対して既に有効になっていない限り、 AWS Organizations 管理アカウントをメンバーアカウントとして追加することはできません。追加の要件については、[で Macie を使用する際の考慮事項 AWS Organizations](accounts-mgmt-ao-notes.md)を参照してください。

**組織に Macie メンバーアカウントを追加するには**  
1 つ以上の Macie メンバーアカウントを組織に追加するには、Amazon Macie コンソールまたは Amazon Macie API を使用することができます。

------
#### [ Console ]

Amazon Macie コンソールを使用して 1 つ以上の Macie メンバーアカウントを追加するには、次のステップに従います。

**Macie メンバーアカウントを追加するには**

1. Amazon Macie コンソール ([https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)) を開きます。

1. ページの右上隅にある AWS リージョン セレクターを使用して、メンバーアカウントを追加するリージョンを選択します。

1. ナビゲーションペインで、**[Accounts]** (アカウント) を選択します。**アカウント** ページが開き、お客様のアカウントに関連付けられているアカウントのテーブルが表示されます。

1. (オプショナル) AWS Organizations 内の組織の一部であり、Macie メンバーアカウントではないアカウントをより簡単に識別するには、**既存のアカウント**テーブル上のフィルタボックスを使用して、次のフィルタ条件を追加します。
   + **タイプ = 組織**
   + **ステータス = メンバーではない**

   また、以前に削除したがメンバーアカウントとして追加する可能性のあるアカウントを表示するには、**ステータス = 削除済み (関連付け解除済み)**も追加します。

1. **既存のアカウント** テーブルで、メンバーアカウントとして追加する各アカウントのチェックボックスをオンにします。

1. **Actions** (アクション) メニューで、**Add member** (メンバーを追加) を選択します。

1. 選択したアカウントをメンバーアカウントとして追加することを確認します。

選択を確認すると、選択したアカウントのステータスが、アカウントのインベントリで **[有効化が進行中]**、**[有効化]** の順に変わります。

追加のリージョンにメンバーアカウントを追加するには、追加のリージョンごとに前述のステップを繰り返します。

------
#### [ API ]

1 つ以上の Macie メンバーアカウントをプログラムで追加するには、Amazon Macie APIの [CreateMember](https://docs.aws.amazon.com/macie/latest/APIReference/members.html) オペレーションを使用します。

リクエストを送信するときは、サポートされているパラメータを使用して、追加 AWS アカウント する各 の 12 桁のアカウント ID と E メールアドレスを指定します。また、リクエストが適用されるリージョンも指定します。追加のリージョンでアカウントを追加するには、追加のリージョンごとにリクエストを送信します。

追加するアカウントのアカウント ID と E メールアドレスを取得するには、 AWS Organizations API の [ListAccounts](https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListAccounts.html) オペレーションと Amazon Macie API の [ListMembers](https://docs.aws.amazon.com/macie/latest/APIReference/members.html) オペレーションの出力を関連付けることができます。Macie API の **ListMembers** オペレーションでは、リクエストに `onlyAssociated` パラメータを含め、パラメータの値を `false` に設定します。オペレーションが成功すると、Macie は、指定されたリージョンの Macie 管理者アカウントに関連付けられているすべてのアカウント (現在メンバーアカウントではないアカウントを含む) の詳細を提供する `members` 配列を返します。配列では次の点に注意してください。
+ アカウントの `relationshipStatus` プロパティの値が `Enabled` または `Paused` ではない場合、そのアカウントはお客様のアカウントに関連付けられていますが、Macie メンバーアカウントではありません。
+ アカウントが配列に含まれていないが、 AWS Organizations API の **ListAccounts** オペレーションの出力に含まれている場合、そのアカウントは AWS Organizations 内で組織の一部となりますが、お客様のアカウントに関連付けられていないため、Macie メンバーアカウントではありません。

 AWS Command Line Interface (AWS CLI) を使用してメンバーアカウントを追加するには、[create-member](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/create-member.html) コマンドを実行します。`region` パラメータを使用して、アカウントを追加するリージョンを指定します。`account` パラメータを使用して、追加する各アカウントのアカウント ID とメールアドレスを指定します。例えば、次のようになります。

```
C:\> aws macie2 create-member --region us-east-1 --account={\"accountId\":\"123456789012\",\"email\":\"janedoe@example.com\"}
```

ここで *us-east-1* は、メンバーアカウントとしてアカウントを追加するリージョン (米国東部 (バージニア北部) リージョン) であり、`account` パラメータは、アカウントのアカウント ID (*123456789012*) とメールアドレス (*janedoe@example.com*) を指定します。

リクエストが成功すると、その指定されたアカウントのステータス`relationshipStatus`がアカウントインベントリの `Enabled` に変わります。

------

## 組織内のメンバーアカウントの Macie を停止する
<a name="accounts-mgmt-ao-members-suspend"></a>

の組織の Amazon Macie 管理者として AWS Organizations、組織内のメンバーアカウントの Macie を停止できます。これを行うと、後でアカウントの Macie を再度有効化することもできます。

メンバーアカウントの メイシーを一時停止と、次のようになります。
+ Macie は、現在の AWS リージョン内のアカウントの Amazon S3 データに関するメタデータへのアクセスを失い、提供を停止します。
+ Macie は、リージョン内のアカウントのすべてのアクティビティの実行を停止します。これには、セキュリティとアクセスコントロールのための S3 バケットのモニタリング、機密データ自動検出、および現在進行中の機密データ検出ジョブの実行などが含まれます。
+ Macie は、リージョン内のアカウントによって作成された機密データ検出ジョブをすべてキャンセルします。ジョブがキャンセルされた後は、ジョブを再開したり再起動したりすることはできません。メンバーアカウントが所有するデータを分析するためのジョブを作成した場合、Macie はジョブをキャンセルしません。代わりに、ジョブはアカウントが所有するリソースをスキップします。

停止中、Macie は該当するリージョンのアカウントのために保存または維持するセッション識別子、設定、およびリソースを保持します。Macie は、リージョン内のアカウントの特定のデータも保持します。たとえば、アカウントの調査結果はそのまま残り、最大 90 日間は影響を受けません。アカウントで機密データ自動検出が有効になっている場合、既存の結果もそのまま残り、最大 30 日間影響を受けません。Macie がリージョンのアカウントで停止されている間、そのリージョンのアカウントに Macie の料金は発生しません。

**組織内のメンバーアカウントの メイシーを一時停止には**  
組織内のメンバーアカウントの メイシーを一時停止には、Amazon Macie コンソールまたは Amazon Macie API を使用できます。

------
#### [ Console ]

Amazon Macie コンソールを使用してメンバーアカウントの メイシーを一時停止には、次のステップに従います。

**メンバーアカウントの メイシーを一時停止には**

1. Amazon Macie コンソール ([https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)) を開きます。

1. ページの右上隅にある AWS リージョン セレクターを使用して、メンバーアカウントの Macie を停止するリージョンを選択します。

1. ナビゲーションペインで、**[Accounts]** (アカウント) を選択します。**アカウント** ページが開き、お客様のアカウントに関連付けられているアカウントのテーブルが表示されます。

1. **既存のアカウント**テーブルで、Macie を停止するアカウントのチェックボックスをオンにします。

1. **アクション**メニューで、**メイシーを一時停止**を選択します。

1. アカウントの メイシーを一時停止ことを確認します。

停止を確認すると、アカウントのステータスがインベントリで **一時停止 (停止)**に変わります。追加のリージョンでアカウントの Macie を停止するには、追加のリージョンごとに前述のステップを繰り返します。

後でアカウントの Macie を再度有効にするには、 コンソールの**アカウント**ページに戻ります。アカウントのチェックボックスを選択し、**アクション**メニューで **Macie を有効にする**を選択します。追加のリージョンでアカウントの Macie を再度有効にするには、追加のリージョンごとにこれらのステップを繰り返します。

------
#### [ API ]

メンバーアカウントの Macie をプログラムで停止するには、Amazon Macie API の [UpdateMemberSession](https://docs.aws.amazon.com/macie/latest/APIReference/macie-members-id.html) オペレーションを使用します。このオペレーションを使用して、後でアカウントの Macie を再度有効にすることもできます。

リクエストを送信するときは、 `id`パラメータを使用して、Macie を停止 AWS アカウント する の 12 桁のアカウント ID を指定します。`status` パラメータでは、`PAUSED` を指定します。また、リクエストが適用されるリージョンも指定します。追加のリージョンでアカウントの Macie を停止するには、追加のリージョンごとにリクエストを送信します。

アカウントのアカウント ID を取得するには、Amazon Macie API の [ListMembers](https://docs.aws.amazon.com/macie/latest/APIReference/members.html) オペレーションを使用できます。これを実行する場合は、リクエストに `onlyAssociated` パラメータを含めることで結果をフィルタリングすることを検討してください。このパラメータの値を `true` に設定した場合、Macie は現在メンバーアカウントであるアカウントのみの詳細を提供する `members` 配列を返します。

を使用してメンバーアカウントの Macie を停止するには AWS CLI、[update-member-session](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/update-member-session.html) コマンドを実行します。`region` パラメータを使用して、アカウントの Macie を停止するリージョンを指定します。`id` パラメータを使用して、アカウントのアカウント ID を指定します。`status` パラメータでは、`PAUSED` を指定します。例: 

```
C:\> aws macie2 update-member-session --region us-east-1 --id 123456789012 --status PAUSED
```

ここで、*us-east-1* は メイシーを一時停止リージョン (米国東部 (バージニア北部) リージョン) であり、*123456789012* は メイシーを一時停止アカウントのアカウント ID であり、`PAUSED` はそのアカウントの Macie の新しいステータスです。

リクエストが成功すると、Macie は空のレスポンスを返し、指定されたアカウントのステータスはアカウントのインベントリの `Paused` に変わります。後でアカウントの Macie を再度有効にするには、 **update-member-session** コマンドを再度実行し、 `status`パラメータ`ENABLED`に を指定します。

------

## 組織からの Macie メンバーアカウントの削除
<a name="accounts-mgmt-ao-members-remove"></a>

メンバーアカウントの Amazon Macie 設定、データ、およびリソースへのアクセスを停止したい場合、お客様は Macie メンバーアカウントとしてアカウントを削除できます。これを行うには、Macie 管理者アカウントからそのアカウントの関連付けを解除します。ご自身でのみ、メンバーアカウントに対してこれを実行できることに注意してください。 AWS Organizations メンバーアカウントは、Macie 管理者アカウントとの関連付けを解除できません。

Macie メンバーアカウントを削除しても、Macie は現在の AWS リージョン内のアカウントに対して有効化されたままとなります。ただし、アカウントは Macie 管理者アカウントから関連付けが解除され、スタンドアロンの Macie アカウントになります。これは、アカウントの Amazon S3 データのメタデータやポリシーの結果など、アカウントのすべての Macie 設定、データ、およびリソースにアクセスできなくなることを意味します。これは、アカウントが所有する S3 バケット内の機密データ検出で Macie を使用できなくなることも意味します。このために機密データ検出ジョブを作成済みの場合、ジョブはアカウントが所有するバケットをスキップします。アカウントの機密データの自動検出を有効にした場合、お客様とメンバーアカウントの両方とも、Macie が作成して、アカウントの自動検出の実行中に直接提供した統計データ、インベントリデータ、およびその他の情報にアクセスできなくなります。

Macie メンバーアカウントを削除しても、アカウントは引き続きアカウントのインベントリに表示されます。Macie は、お客様がアカウントを削除したことをアカウントの所有者に通知しません。したがって、アカウント所有者に連絡して、アカウントの設定とリソースの管理を開始してもらうことを検討してください。

アカウントは後で組織に追加できます。これを行い、30 日以内にアカウントの機密データ自動検出を再度有効にすると、アカウントの自動検出の実行中に Macie が以前に生成して直接提供したデータや情報へのアクセスも回復します。さらに、既存のジョブの後続の実行には、アカウントの S3 バケットが再度含まれます。

**組織から Macie メンバーアカウントを削除するには**  
組織から Macie メンバーアカウントを削除するには、Amazon Macie コンソールまたは Amazon Macie API を使用できます。

------
#### [ Console ]

Amazon Macie コンソールを使用して Macie メンバーアカウントを削除するには、次のステップに従います。

**Macie メンバーアカウントを削除するには**

1. Amazon Macie コンソール ([https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)) を開きます。

1. ページの右上隅にある AWS リージョン セレクターを使用して、メンバーアカウントを削除するリージョンを選択します。

1. ナビゲーションペインで、**[Accounts]** (アカウント) を選択します。**アカウント** ページが開き、お客様のアカウントに関連付けられているアカウントのテーブルが表示されます。

1. **既存のアカウント** テーブルで、メンバーアカウントとして削除するアカウントのチェックボックスをオンにします。

1. **アクション** メニューで、**Disassociate account** (アカウントの関連付けを解除する) を選択します。

1. 選択されたアカウントをメンバーアカウントとして削除することを確認します。

選択を確認すると、アカウントのステータスが、アカウントのインベントリで **Removed (disassociated)** (削除 (関連付け解除)) に変わります。

追加のリージョンでメンバーアカウントを削除するには、追加のリージョンごとに前述のステップを繰り返します。

------
#### [ API ]

Macie メンバーアカウントをプログラムで削除するには、Amazon Macie APIの [DisassociateMember](https://docs.aws.amazon.com/macie/latest/APIReference/members-disassociate-id.html) オペレーションを使用します。

リクエストを送信するときは、 `id`パラメータを使用して、削除するメンバーアカウントの 12 桁の AWS アカウント ID を指定します。また、リクエストが適用されるリージョンも指定します。追加のリージョン内のアカウントを削除するには、追加のリージョンごとにリクエストを送信します。

削除するメンバーアカウントのアカウント ID を取得するには、Amazon Macie API の [ListMembers](https://docs.aws.amazon.com/macie/latest/APIReference/members.html) オペレーションを使用できます。これを実行する場合は、リクエストに `onlyAssociated` パラメータを含めることで結果をフィルタリングすることを検討してください。このパラメータの値を `true` に設定した場合、Macie は現在 Macie メンバーアカウントであるアカウントのみの詳細を提供する `members` 配列を返します。

を使用して Macie メンバーアカウントを削除するには AWS CLI、[disassociate-member](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/disassociate-member.html) コマンドを実行します。`region` パラメータを使用して、アカウントを削除するリージョンを指定します。`id` パラメータを使用して、削除するメンバーアカウントのアカウント ID を指定します。例: 

```
C:\> aws macie2 disassociate-member --region us-east-1 --id 123456789012
```

ここで、*us-east-1* は、アカウントを削除するリージョン (米国東部 (バージニア北部) リージョン) であり、*123456789012* は削除するアカウントのアカウント ID です。

リクエストが成功すると、Macie は空のレスポンスを返し、指定されたアカウントのステータスはアカウントのインベントリの `Removed` に変わります。

------

# 組織の Macie 管理者アカウントを変更する
<a name="accounts-mgmt-ao-admin-change"></a>

 AWS Organizations 組織が Amazon Macie で[統合および設定](accounts-mgmt-ao-integrate.md)されると、 AWS Organizations 管理アカウントは別のアカウントを組織の委任 Macie 管理者アカウントとして指定できます。新しい Macie 管理者は、Macie で組織を再度設定できます。

組織の AWS Organizations 管理アカウントのユーザーとして、組織に別の Macie 管理者アカウントを指定する前に、次のアクセス許可要件を満たしていることを確認してください。
+ 組織の Macie 管理者アカウントを最初に指定するために必要であったものと[同じアクセス許可](accounts-mgmt-ao-integrate.md#accounts-mgmt-ao-admin-designate-permissions)を持つ必要があります。また、次の AWS Organizations アクションを実行することも許可されている必要があります: `organizations:DeregisterDelegatedAdministrator`。この追加アクションにより、現在の指定の削除が許可されます。
+ お客様のアカウントが Macie メンバーアカウントとなっている場合は、現時点の Macie 管理者が、Macie メンバーアカウントとしてのお客様のアカウントを削除する必要があります。そうしないと、別の管理者アカウントを指定する Macie オペレーションにはアクセスできません。お客様が新しい管理者アカウントを指定すると、新しい Macie 管理者がお客様のアカウントを Macie メンバーアカウントとして再度追加できます。

組織が複数の で Macie を使用している場合は AWS リージョン、組織が Macie を使用する各リージョンの指定も変更してください。Macie 委任管理者アカウントは、これらのすべてのリージョンで同じである必要があります。で複数の組織を管理する場合 AWS Organizations、アカウントは一度に 1 つの組織の委任 Macie 管理者アカウントになることができることに注意してください。追加の要件については、[で Macie を使用する際の考慮事項 AWS Organizations](accounts-mgmt-ao-notes.md)を参照してください。

**注記**  
組織に別の Macie 管理者アカウントを指定する場合、Macie が作成して、組織内のアカウントの[機密データの自動検出](discovery-asdd.md)の実行中に直接提供した既存の統計データ、インベントリデータ、その他の情報へのアクセスも無効にします。新しい Macie 管理者は既存のデータにアクセスできません。指定を変更し、新しい Macie 管理者がアカウントの自動検出を有効にすると、Macie は、アカウントの自動検出を実行するときに新しいデータを作成して維持します。

**Macie 管理者アカウントの指定を変更するには**  
組織の別の Macie 管理者アカウントを指定するには、Amazon Macie コンソールまたは Amazon Macie と AWS Organizations APIsの組み合わせを使用できます。組織の指定を変更できるのは、 AWS Organizations 管理アカウントのユーザーのみです。

------
#### [ Console ]

Amazon Macie コンソールを使用して指定を変更するには、次の手順に従います。

**指定を変更するには**

1.  AWS Organizations 管理アカウント AWS マネジメントコンソール を使用して にサインインします。

1. ページの右上隅にある AWS リージョン セレクターを使用して、指定を変更するリージョンを選択します。

1. Amazon Macie コンソール ([https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)) を開きます。

1. Macie が現在のリージョンで管理アカウントに対して有効化されているかどうかに応じて、次のいずれかを実行します。
   + Macie が有効化されていない場合は、Welcome Page (ようこそページ) の **Get started** (開始方法) を選択します。
   + Macie が有効化されている場合は、ナビゲーションペインの **Settings** (設定) を選択します。

1. **Delegated administrator** (委任管理者) の下で、**Remove** (削除) を選択します。指定を変更するには、まず現在の指定を削除する必要があります。

1. 現在の指定を削除することを確認します。

1. **委任された管理者**に、組織の新しい Macie 管理者アカウントとして AWS アカウント 指定する の 12 桁のアカウント ID を入力します。

1. **[委任]** を選択します。

Macie を AWS Organizationsと統合する追加のリージョンごとに、前述のステップを繰り返します。

------
#### [ API ]

プログラムで指定を変更するには、Amazon Macie API の 2 つのオペレーションと API の 1 つのオペレーションを使用します AWS Organizations 。これは、新しい指定を送信する AWS Organizations 前に、Macie と の両方で現在の指定を削除する必要があるためです。

現在の指定を削除するには、以下を実行します。

1. Macie API の [DisableOrganizationAdminAccount](https://docs.aws.amazon.com/macie/latest/APIReference/admin.html) オペレーションを使用します。必須`adminAccountId`パラメータには、組織の Macie 管理者アカウントとして現在指定されている の 12 AWS アカウント 桁のアカウント ID を指定します。

1.  AWS Organizations API の [DeregisterDelegatedAdministrator](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DeregisterDelegatedAdministrator.html) オペレーションを使用します。`AccountId` パラメータでは、組織の Macie 管理者アカウントとして現在指定されているアカウントの 12 桁のアカウント ID を指定します。この値は、前の Macie リクエストで指定したアカウント ID と一致する必要があります。`ServicePrincipal` パラメータでは、Macie サービスプリンシパル`macie.amazonaws.com`を指定します。

現在の指定を削除した後、Macie API の [EnableOrganizationAdminAccount](https://docs.aws.amazon.com/macie/latest/APIReference/admin.html) オペレーションを使用して新しい指定を送信します。必須`adminAccountId`パラメータには、組織の新しい Macie 管理者アカウントとして AWS アカウント 指定する の 12 桁のアカウント ID を指定します。

 AWS Command Line Interface (AWS CLI) を使用して指定を変更するには、Macie API の [disable-organization-admin-account](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/disable-organization-admin-account.html) コマンドと AWS Organizations API の [deregister-delegated-administrator](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/organizations/deregister-delegated-administrator.html) コマンドを実行します。これらのコマンドは AWS Organizations、Macie および の現在の指定をそれぞれ削除します。`admin-account-id` および `account-id`パラメータには、削除する の 12 桁のアカウント ID AWS アカウント を現在の Macie 管理者アカウントとして指定します。`region` パラメータを使用して、削除が適用されるリージョンを指定します。例: 

```
C:\> aws macie2 disable-organization-admin-account --region us-east-1 --admin-account-id 111122223333 && aws organizations deregister-delegated-administrator --region us-east-1 --account-id 111122223333 --service-principal macie.amazonaws.com
```

ここで、
+ *us-east-1*は、削除が適用されるリージョン (米国東部 (バージニア北部) リージョン) です。
+ *111122223333*は、Macie 管理者アカウントとして削除するアカウントのアカウント ID です。
+ `macie.amazonaws.com` は、Macie サービスプリンシパルです。

現在の指定を削除した後、Macie API の [enable-organization-admin-account](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/enable-organization-admin-account.html) オペレーションを実行して新しい指定を送信します。`admin-account-id` パラメータには、組織の新しい Macie 管理者アカウントとして AWS アカウント 指定する の 12 桁のアカウント ID を指定します。`region` パラメータを使用して、指定が適用されるリージョンを指定します。例: 

```
C:\> aws macie2 enable-organization-admin-account --region us-east-1 --admin-account-id 444455556666
```

ここで、*us-east-1* は指定が適用されるリージョン (米国東部 (バージニア北部) リージョン) であり、*444455556666* は新しい Macie 管理者アカウントとして指定するアカウントのアカウント ID です。

------

# との Macie 統合の無効化 AWS Organizations
<a name="accounts-mgmt-ao-disable"></a>

 AWS Organizations 組織が Amazon Macie と統合されると、 AWS Organizations 管理アカウントはその後統合を無効にすることができます。 AWS Organizations 管理アカウントのユーザーは、Macie の信頼されたサービスアクセスを無効にすることでこれを行うことができます AWS Organizations。

Macie の信頼されたサービスアクセスを無効化すると、以下が起こります。
+ Macie は、信頼されたサービスとしてのステータスを失います AWS Organizations。
+ 組織の Macie 管理者アカウントは、すべての AWS リージョンの Macie メンバーアカウントのすべての Macie 設定、データ、およびリソースへのアクセスを失います。
+ Macie メンバーアカウントはすべてスタンドアロンの Macie アカウントになります。Macie が 1 つ以上のリージョン内のメンバーアカウントに対して有効化されている場合、Macie はそのリージョン内のアカウントに対して有効化された状態が継続します。ただし、そのアカウントはどのリージョンの Macie 管理者アカウントとも関連付けられなくなります。また、Macie が作成して、アカウントの機密データの自動検出の実行中に直接提供した統計データ、インベントリデータ、およびその他の情報にアクセスできなくなります。

信頼されたサービスアクセスを無効にする結果の詳細については、「 *AWS Organizations ユーザーガイド*」の「他の [AWS Organizations で AWS のサービス](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html)を使用する」を参照してください。

**Macie の信頼されたサービスのアクセスを無効にするには**  
信頼されたサービスアクセスを無効にするには、 AWS Organizations コンソールまたは AWS Organizations API を使用できます。Macie の信頼されたサービスアクセスを無効にすることができるのは、 AWS Organizations 管理アカウントのユーザーのみです。必要なアクセス許可に関する詳細は、「*AWS Organizations ユーザーガイド*」の「[信頼できるアクセスを無効にするために必要なアクセス許可](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html#orgs_trusted_access_disable_perms)」を参照してください。

信頼されたサービスアクセスを無効にする前に、必要に応じて組織の委任された Macie 管理者に連絡して、メンバーアカウントの Macie を停止または無効にし、そのアカウントの Macie リソースをクリーンアップしてください。

------
#### [ Console ]

 AWS Organizations コンソールを使用して信頼されたサービスへのアクセスを無効にするには、次の手順に従います。

**信頼されたサービスのアクセスを無効にするには**

1.  AWS Organizations 管理アカウント AWS マネジメントコンソール を使用して にサインインします。

1. [https://console.aws.amazon.com/organizations/](https://console.aws.amazon.com/organizations/) で AWS Organizations コンソールを開きます。

1. ナビゲーションペインで **Services** (サービス) を選択します。

1. **統合サービス** で **Amazon Macie** を選択します。

1. **Disable trusted access** (信頼されたアクセスを無効にする) を選択します。

1. 信頼されたアクセスを無効化することを確認します。

------
#### [ API ]

信頼されたサービスへのアクセスをプログラムで無効にするには、 AWS Organizations API の [DisableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html) オペレーションを使用します。`ServicePrincipal` パラメータでは、Macie サービスプリンシパル `macie.amazonaws.com` を指定します。

[AWS Command Line Interface （AWS CLI）](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html) を使用して信頼されたサービスアクセスを無効にするには、 AWS Organizations API の [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html) コマンドを実行します。`service-principal` パラメータでは、Macie サービスプリンシパル `macie.amazonaws.com` を指定します。以下に例を示します。

```
C:\> aws organizations disable-aws-service-access --service-principal macie.amazonaws.com
```

------