翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# 組織としての複数の Macie アカウントの管理
<a name="macie-accounts"></a>

 AWS 環境に複数のアカウントがある場合は、環境内の Amazon Macie アカウントを関連付けて、Macie の組織として一元管理できます。この設定により、指定 Macie 管理者は、組織の Amazon Simple Storage Service (Amazon S3) のデータ資産の全体的なセキュリティ体制を評価およびモニタリングし、組織の S3 バケット内の機密データを検出できます。管理者は、推定使用コストのモニタリングやアカウントクォータの評価など、さまざまなアカウント管理および管理タスクも大規模に実行できます。

Macie では、組織は、指定 Macie 管理者アカウントと 1 つ以上の関連付けられたメンバーアカウントで設定されています。Macie を と統合するか、Macie でメンバーシップの招待を送受信 AWS Organizations することで、2 つの方法でアカウントを関連付けることができます。Macie を と統合することをお勧めします AWS Organizations。

AWS Organizations は、 AWS 管理者が複数の を統合して一元管理できるようにするグローバルアカウント管理サービスです AWS アカウント。予算、セキュリティ、コンプライアンスのニーズをサポートするように設計されたアカウント管理および一括請求 (コンソリデーティッドビリング) 機能が備わっています。追加料金なしで提供され AWS のサービス、Macie、、Amazon GuardDuty などの複数の AWS Security Hub CSPMと統合されます。詳細については、「[AWS Organizations ユーザーガイド](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)」を参照してください。

を使用せずに複数の Macie アカウントを一元管理する場合は AWS Organizations、代わりにメンバーシップの招待を使用できます。招待を送信し、別のアカウントによって受け入れられた場合、お客様のアカウントは別のアカウントの Macie 管理者アカウントになります。招待を受け取って受け入れると、お客様のアカウントは Macie メンバーアカウントになり、Macie 管理者アカウントは Macie アカウントの特定の設定、データ、およびリソースにアクセスして管理できるようになります。

**Topics**
+ [Macie 管理者とメンバーアカウントの関係](accounts-mgmt-relationships.md)
+ [を使用した複数の Macie アカウントの管理 AWS Organizations](accounts-mgmt-ao.md)
+ [招待による複数の Macie アカウントの管理](accounts-mgmt-invitations.md)

# Macie 管理者とメンバーアカウントの関係
<a name="accounts-mgmt-relationships"></a>

複数の Amazon Macie アカウントを組織として集中管理する場合、Macie 管理者は Amazon Simple Storage Service (Amazon S3) のインベントリデータ、ポリシーの結果、関連するメンバーアカウントの特定の Macie 設定とリソースにアクセスできます。管理者は、機密データ自動検出を実行して、機密データ検出ジョブを実行し、メンバーアカウントが所有する S3 バケット内の機密データを検出することもできます。特定のタスクのサポートは、Macie 管理者アカウントが を通じて、 AWS Organizations または招待によってメンバーアカウントに関連付けられているかどうかによって異なります。

以下のテーブルでは、Macie 管理者アカウントとメンバーアカウントの関係の詳細を示しています。これは、各タイプのアカウントに対するデフォルトのアクセス許可を示します。Macie の機能へのアクセスやオペレーションをさらに制限するには、カスタム [AWS Identity and Access Management (IAM) ポリシー](security-iam.md)を使用できます。

このテーブルの説明を以下に示します。
+ **セルフ** は、関連付けられたアカウントに対してそのアカウントがアクションを実行できないことを示します。
+ **いずれか** は、アカウントが個別の関連付けられたアカウントに対してアクションを実行できることを示します。
+ **すべて** は、アカウントがアクションを実行でき、アクションがすべての関連付けられたアカウントに適用されることを示します。

ダッシュ (–) は、アカウントがタスクを実行できないことを示します。


| 
| 
| **タスク** | **経由 AWS Organizations** | **招待により** | 
| --- |--- |--- |
| 管理者 | **メンバー** | 管理者 | **メンバー** | 
| --- |--- |--- |--- |
| Enable Macie | Any | – | Self | Self | 
| Review the organization's account inventory [1](#accounts-mgmt-relationships-note-inventory) | All | – | All | – | 
| Add a member account | Any | – | Any | – | 
| Review statistics and metadata for S3 buckets | All | Self | All | Self | 
| Review policy findings | All | Self | All | Self | 
| Suppress (archive) policy findings [2](#accounts-mgmt-relationships-note-suppress-policy) | All | – | All | – | 
| Publish policy findings [3](#accounts-mgmt-relationships-note-publish-policy) | Self | Self | Self | Self | 
| Configure a repository for sensitive data discovery results [4](#accounts-mgmt-relationships-note-sddr) | Self | Self | Self | Self | 
| Create and use allow lists | Self | Self | Self | Self | 
| Create and use custom data identifiers | Self | Self | Self | Self | 
| Configure automated sensitive data discovery settings | All | – | All | – | 
| Enable or disable automated sensitive data discovery | Any | – | Any | – | 
| Review automated sensitive data discovery statistics, data, and results [5](#accounts-mgmt-relationships-note-asdd-sdfs) | All | Self | All | Self | 
| Create and run sensitive data discovery jobs [6](#accounts-mgmt-relationships-note-jobs) | Any | Self | Any | Self | 
| Review the details of sensitive data discovery jobs [7](#accounts-mgmt-relationships-note-job-details) | Self | Self | Self | Self | 
| Review sensitive data findings [8](#accounts-mgmt-relationships-note-jobs-sdfs) | Self | Self | Self | Self | 
| Suppress (archive) sensitive data findings [8](#accounts-mgmt-relationships-note-jobs-sdfs) | Self | Self | Self | Self | 
| Publish sensitive data findings [8](#accounts-mgmt-relationships-note-jobs-sdfs) | Self | Self | Self | Self | 
| Configure Macie to retrieve sensitive data samples for findings | Self | Self | Self | Self | 
| Retrieve sensitive data samples for findings [9](#accounts-mgmt-relationships-note-sdsamples) | Self | Self | Self | Self | 
| Configure publication destinations for findings | Self | Self | Self | Self | 
| Set the publication frequency for findings | All | Self | All | Self | 
| Create sample findings | Self | Self | Self | Self | 
| Review account quotas and estimated usage costs | All | Self | All | Self | 
| Suspend Macie [10](#accounts-mgmt-relationships-note-suspend) | Any | – | Any | Self | 
| Disable Macie [11](#accounts-mgmt-relationships-note-disable) | Self | Self | Self | Self | 
| Remove (disassociate) a member account | Any | – | Any | – | 
| Disassociate from an administrator account | – | – | – | Self | 
| Delete an association with another account [12](#accounts-mgmt-relationships-note-delete) | Any | – | Any | Self | 

1. <a name="accounts-mgmt-relationships-note-inventory"></a>の組織の管理者は AWS Organizations 、Macie を有効にしていないアカウントを含め、組織内のすべてのアカウントを確認できます。招待ベースの組織の管理者は、インベントリに追加したアカウントのみを確認できます。

1. <a name="accounts-mgmt-relationships-note-suppress-policy"></a>ポリシー検出結果を非表示にできるのは管理者だけです。管理者が抑制ルールを作成すると、Macie は特定のアカウントを除外するようにルールが設定されていない限り、組織内のすべてのアカウントのポリシー検出結果にルールを適用します。メンバーが抑制ルールを作成しても、Macie はそのメンバーのアカウントのポリシー検出結果にルールを適用しません。

1. <a name="accounts-mgmt-relationships-note-publish-policy"></a>影響を受けるリソースを所有するアカウントのみが、リソースのポリシー結果を発行できます AWS Security Hub CSPM。管理者アカウントとメンバーアカウントの両方が、影響を受けたリソースのポリシー結果を Amazon EventBridge に自動的に発行します。

1. <a name="accounts-mgmt-relationships-note-sddr"></a>管理者が機密データ自動検出を有効にするか、メンバーアカウントが所有する S3 バケット内のオブジェクトを分析するようにジョブを設定すると、Macie は機密データの検出結果を管理者アカウントのリポジトリに保存します。

1. <a name="accounts-mgmt-relationships-note-asdd-sdfs"></a>機密データ自動検出で生成された機密データ検出結果にアクセスできるのは管理者だけです。機密データ自動検出でメンバーのアカウントに対して生成された他のタイプのデータについては、管理者とメンバーの両方とも確認できます。

1. <a name="accounts-mgmt-relationships-note-jobs"></a>メンバーは、アカウントが所有する S3 バケット内のオブジェクトのみを分析するためのジョブを設定できます。管理者は、アカウントとメンバーアカウントが所有するバケット内のオブジェクトを分析するためのジョブを設定できます。複数アカウントのジョブにおけるクォータの適用方法とコストの計算方法については、以下を参照してください[推定使用コストを把握する](account-mgmt-costs-calculations.md)。

1. <a name="accounts-mgmt-relationships-note-job-details"></a>ジョブを作成したアカウントのみが、ジョブの詳細にアクセスできます。これには、S3 バケットのインベントリ内のジョブ関連の詳細が含まれます。

1. <a name="accounts-mgmt-relationships-note-jobs-sdfs"></a>ジョブを作成するアカウントのみが、ジョブが生成する機密データの結果にアクセスし、それを抑制、発行できます。機密データ自動検出で生成された機密データ検出結果にアクセスしたり、非表示、公開したりできるのは管理者だけです。

1. <a name="accounts-mgmt-relationships-note-sdsamples"></a>機密データの検出結果がメンバーアカウント所有の S3 オブジェクトに適用される場合、管理者は、検出結果によって報告された機密データのサンプルを取得できる可能性があります。これは、検出結果のソース、および管理者アカウントとメンバーアカウントの構成設定とリソースによって異なります。詳細については、「[機密データのサンプルを取得するための設定オプション](findings-retrieve-sd-options.md)」を参照してください。

1. <a name="accounts-mgmt-relationships-note-suspend"></a>管理者が自身のアカウントの メイシーを一時停止には、まず管理者がすべてのメンバーアカウントから自分のアカウントの関連付けを解除する必要があります。

1. <a name="accounts-mgmt-relationships-note-disable"></a>管理者が自分のアカウントの Macie を無効化するには、まず管理者がすべてのメンバーアカウントから自分のアカウントの関連付けを解除し、そのアカウントとそれらのすべてのアカウント間の関連付けを削除する必要があります。の組織の管理者は AWS Organizations 、組織の管理アカウントと協力して別のアカウントを管理者アカウントとして指定することで、これを行うことができます。

    AWS Organizations 組織のメンバーで Macie を無効にするには、管理者はまずメンバーのアカウントの管理者アカウントとの関連付けを解除する必要があります。招待制の組織では、メンバーは自分のアカウントと管理者アカウントの関連付けを解除し、Macie を無効にすることもできます。

1. <a name="accounts-mgmt-relationships-note-delete"></a>の組織の管理者は、アカウントと管理者アカウントの関連付けを解除した後、メンバーアカウントとの関連付けを削除 AWS Organizations できます。アカウントは引き続き管理者のアカウントインベントリに表示されますが、ステータスはメンバーアカウントではないことを示しています。招待制の組織では、管理者とメンバーは、自分のアカウントと別のアカウントの関連付けを解除した後に、別のアカウントとの関連付けを削除できます。その後、他のアカウントはアカウントインベントリに表示されなくなります。

# を使用した複数の Macie アカウントの管理 AWS Organizations
<a name="accounts-mgmt-ao"></a>

 AWS Organizations を使用して複数の を一元管理する場合 AWS アカウント、Amazon Macie を と統合し AWS Organizations、組織内のアカウントの Macie を一元管理できます。この設定では、指定 Macie 管理者が 10,000 個ものアカウントの Macie を有効化および管理できます。管理者は、Amazon Simple Storage Service (Amazon S3) のインベントリデータにアクセスし、アカウントが所有する S3 バケット内の機密データを検出することもできます。管理者が実行できるタスクの詳細については、[Macie 管理者とメンバーアカウントの関係](accounts-mgmt-relationships.md)を参照してください。

AWS Organizations は、 AWS 管理者が複数の を統合して一元管理できるようにするグローバルアカウント管理サービスです AWS アカウント。予算、セキュリティ、コンプライアンスのニーズをサポートするように設計されたアカウント管理および一括請求 (コンソリデーティッドビリング) 機能が備わっています。追加料金なしで提供され、Macie AWS のサービス、、Amazon GuardDuty などの複数の AWS Security Hub CSPMと統合されます。詳細については、「[AWS Organizations ユーザーガイド](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)」を参照してください。

Macie を と統合するには AWS Organizations、まずアカウントの を組織の委任 Macie 管理者アカウントとして指定します。次に Macie 管理者は、組織内の他のアカウントで Macie を有効化し、それらのアカウントを Macie メンバーアカウントとして追加し、そのアカウントの Macie 設定とリソースを設定します。

**ヒント**  
招待を使用して Macie 管理者アカウントをメンバーアカウントにすでに関連付けている場合は、そのアカウントを AWS Organizations内で組織の委任 Macie 管理者アカウントとして指定できます。これを行うと、現在関連付けられているすべてのメンバーアカウントがメンバーとして残り、 AWS Organizationsを使用してアカウントを管理する利点を最大限に活用できます。詳細については、「[招待ベースの組織からの移行](accounts-mgmt-ao-notes.md#accounts-mgmt-ao-notes-transition-invitations)」を参照してください。

このセクションのトピックでは、Macie を と統合する方法 AWS Organizations と、組織内のアカウントの Macie を管理および管理する方法について説明します。

**Topics**
+ [考慮事項とレコメンデーション](accounts-mgmt-ao-notes.md)
+ [組織を統合および設定する](accounts-mgmt-ao-integrate.md)
+ [組織のアカウントの確認](accounts-mgmt-ao-review.md)
+ [メンバーアカウントの管理](accounts-mgmt-ao-administer.md)
+ [管理者アカウントの変更](accounts-mgmt-ao-admin-change.md)
+ [AWS Organizationsとの統合の無効化](accounts-mgmt-ao-disable.md)

# で Macie を使用する際の考慮事項 AWS Organizations
<a name="accounts-mgmt-ao-notes"></a>

Amazon Macie を と統合 AWS Organizations し、Macie で組織を設定する前に、次の要件と推奨事項を検討してください。また、[Macie 管理者アカウントとメンバーアカウントの関係](accounts-mgmt-relationships.md)を理解してください。

**Topics**
+ [管理者アカウントの指定](#accounts-mgmt-ao-notes-admin-designate)
+ [管理者アカウントの指定の変更または削除](#accounts-mgmt-ao-notes-admin-remove)
+ [メンバーアカウントの追加と削除](#accounts-mgmt-ao-notes-members-manage)
+ [招待ベースの組織からの移行](#accounts-mgmt-ao-notes-transition-invitations)

## Macie 管理者アカウントの指定
<a name="accounts-mgmt-ao-notes-admin-designate"></a>

組織の委任 Macie 管理者アカウントにする必要があるアカウントを決定する際には、次の点に注意してください。
+ 組織は、委任 Macie 管理者アカウントを 1 つだけ持つことができます。
+ アカウントを Macie 管理者とメンバーアカウントに同時に設定することはできません。
+ 組織の委任 Macie 管理者アカウントを指定できるのは、組織の AWS Organizations 管理アカウントのみです。その管理アカウントのみが、その後にその指定を変更または削除できます。
+ 組織の AWS Organizations 管理アカウントは、組織の委任 Macie 管理者アカウントにすることもできます。ただし、 AWS セキュリティのベストプラクティスと最小特権の原則に基づいてこの設定を行うことはお勧めしません。請求の目的で管理アカウントにアクセスできるユーザーは、情報セキュリティの目的で Macie にアクセスする必要があるユーザーとは異なる可能性があります。

  この設定を使用する場合は、アカウントを委任 Macie 管理者アカウントとして指定する AWS リージョン 前に、少なくとも 1 つの で組織の管理アカウントに対して Macie を有効にする必要があります。そうしないと、アカウントはメンバーアカウントの Macie 設定とリソースへのアクセスおよび管理ができなくなります。
+ Macie とは異なり AWS Organizations、Macie はリージョン別サービスです。これは、Macie 管理者アカウントの指定がリージョンでの指定であることを意味します。それは、Macie 管理者とメンバーアカウントの間の関連付けはリージョンでのものであることも意味します。たとえば、管理アカウントが米国東部 (バージニア北部) リージョンの Macie 管理者アカウントを指定している場合、Macie 管理者はそのリージョンのメンバーアカウントの Macie のみを管理できます。

  複数の で Macie アカウントを一元管理するには AWS リージョン、管理アカウントが、組織が現在 Macie を使用している、または使用する各リージョンにサインインし、それらの各リージョンで Macie 管理者アカウントを指定する必要があります。次に Macie 管理者は、それらの各リージョンで組織を設定できます。Macie が現在利用可能なリージョンの一覧については、AWS 全般のリファレンスの[Amazon Macie エンドポイントとクォータ](https://docs.aws.amazon.com/general/latest/gr/macie.html)を参照してください。
+ アカウントは、一度に 1 つの Macie 管理者アカウントのみと関連付けることができます。組織が複数のリージョンで Macie を使用している場合、指定 Macie 管理者アカウントは、それらのすべてのリージョンで同じである必要があります。ただし、組織の管理アカウントは、各リージョンで管理者アカウントを個別に指定する必要があります。
+ Macie 委任管理者アカウントになることができるアカウントは、一度に 1 つの組織に対してのみです。で複数の組織を管理する場合は AWS Organizations、組織ごとに異なる Macie 管理者アカウントを指定する必要があります。これは AWS Organizations 要件によるものです。アカウントが、組織のメンバーになることができるのは、一度に 1 つのみです。

Macie 管理者の AWS アカウント が停止、分離、または閉鎖されている場合、関連するすべての Macie メンバーアカウントは Macie メンバーアカウントとして自動的に削除されますが、Macie はアカウントに対して引き続き有効になります。[機密データ自動検出](discovery-asdd.md)は、1 つ以上のメンバーアカウントで有効になっていた場合、それらのアカウントでは無効になります。これにより、Macie が作成して、アカウントの自動検出の実行中に直接提供した統計データ、インベントリデータ、その他の情報にアクセスできなくなります。このデータへのアクセスを復元するには、30 日以内に次の手順を実行する必要があります。

1. Macie 管理者の AWS アカウント が復元されます。

1.  AWS Organizations 管理アカウントは、アカウントを再び Macie 管理者アカウントとして指定します。

1. Macie 管理者が組織を設定し、適切なアカウントの自動検出を再度有効にします。

30 日後、Macie は、以前に作成して、該当するアカウントの自動検出の実行中に直接提供したデータを完全に削除します。

## Macie 管理者アカウントの指定の変更または削除
<a name="accounts-mgmt-ao-notes-admin-remove"></a>

組織の委任 Macie 管理者アカウントの指定を変更または削除できるのは、組織の AWS Organizations 管理アカウントのみです。

管理アカウントが指定を変更または削除した場合:
+ 関連付けられたメンバーアカウントはすべて、Macie メンバーアカウントとして削除されますが、Macie は引き続きそれらのアカウントに対して有効なままです。それらのアカウントはスタンドアロンの Macie アカウントになります。Macie の使用を一時停止または停止するには、メンバーアカウントのユーザーがそのアカウントに対して Macie を中断 (一時停止) または無効化 (停止) する必要があります。
+ 機密データ自動検出は、有効化されたアカウントごとに無効になります。これにより、Macie が作成して、各アカウントの自動検出の実行中に直接提供した統計データ、インベントリデータ、その他の情報にはアクセスできなくなります。このデータへのアクセスを復元するには、30 日以内に管理アカウントが同じ Macie 管理者アカウントを再度指定する必要があります。さらに、Macie 管理者が組織を再度設定し、30 日以内にアカウントごとに自動検出を再度有効化する必要があります。30 日後、そのデータは期限切れになり、Macie はデータを完全に削除します。

## Macie メンバーアカウントの追加と削除
<a name="accounts-mgmt-ao-notes-members-manage"></a>

組織のメンバーアカウントを追加、削除、または管理する場合は、次の点に注意してください。
+ Macie 管理者アカウントは、各 AWS リージョン内では、最大 10,000 個の Macie メンバーアカウントに関連付けることができます。組織がこのクォータを超える場合、Macie 管理者は、リージョン内の必要な数の既存のメンバーアカウントを削除するまで、メンバーアカウントを追加できなくなります。組織がこのクォータを満たすと、アカウントの AWS Health イベントを作成して Macie 管理者に通知します。また、E メールが彼らのアカウントに関連付けられているアドレスに送信されます。

  お客様が組織の Macie 管理者である場合は、Amazon Macie コンソールの **[アカウント]** ページまたは Amazon Macie API の [ListMembers](https://docs.aws.amazon.com/macie/latest/APIReference/members.html) オペレーションを使用して、現在お客様のアカウントに関連付けられているメンバーアカウントの数を特定できます。詳細については、「[組織の Macie アカウントを確認する](accounts-mgmt-ao-review.md)」を参照してください。
+ アカウントは、一度に 1 つの Macie 管理者アカウントのみと関連付けることができます。これは、アカウントが AWS Organizations内で組織の Macie 管理者アカウントにすでに関連付けられている場合、別のアカウントからの Macie の招待は受け入れられないことを意味します。

  同様に、アカウントがすでに招待を承諾している場合、 の組織の Macie AWS Organizations 管理者はアカウントを Macie メンバーアカウントとして追加できません。そのアカウントは、まず現在の招待ベースの管理者アカウントから関連付けを解除する必要があります。
+  AWS Organizations 管理アカウントを Macie メンバーアカウントとして追加するには、管理アカウントのユーザーがまずアカウントの Macie を有効にする必要があります。Macie 管理者は、管理アカウントで Macie を有効化することはできません。
+ Macie 管理者が Macie メンバーアカウントを削除する場合:
  + Macie は引き続きそのアカウントに対して有効化されています。アカウントはスタンドアロンの Macie アカウントになります。Macie の使用を一時停止または停止するには、そのアカウントのユーザーが自身のアカウントに対して Macie を中断 (一時停止) または無効化 (停止) する必要があります。
  + 機密データ自動検出は、有効になっている場合、そのアカウントに対して無効になります。これにより、Macie が作成して、アカウントの自動検出の実行中に直接提供した統計データ、インベントリデータ、その他の情報にアクセスできなくなります。
+ メンバーアカウントは Macie 管理者アカウントから関連付けを解除できません。Macie 管理者のみが Macie メンバーアカウントとしてアカウントを削除できます。

## 招待ベースの組織からの移行
<a name="accounts-mgmt-ao-notes-transition-invitations"></a>

Macie メンバーシップの招待を使用して Macie 管理者アカウントをメンバーアカウントにすでに関連付けている場合は、そのアカウントを AWS Organizations内で組織の委任 Macie 管理者アカウントとして指定することをお勧めします。これにより、招待ベースの組織からの移行が簡素化されます。

これを行うと、現在関連付けられているすべてのメンバーアカウントが引き続きメンバーになります。メンバーアカウントが の組織の一部である場合 AWS Organizations、アカウントの関連付けは Macie **の Via への招待**によって から自動的に変更されます。 ** AWS Organizations**メンバーアカウントが AWS Organizations内で組織の一部ではない場合、アカウントの関連付けは引き続き **招待により**になります。どちらの場合も、アカウントは引き続きメンバーアカウントとして委任 Macie 管理者アカウントに関連付けられます。機密データ検出の場合、これは、アカウントに対して機密データ自動検出を実行している間に、Macie が生成して直接提供した統計データやその他のデータにアカウントが引き続きアクセスできることを意味します。さらに、Macie 管理者がアカウントのデータを分析するために機密データ検出ジョブを設定した場合、その後のジョブ実行には引き続きアカウントが所有するリソースが含まれます。

1 つのアカウントを複数の Macie 管理者アカウントに同時に関連付けることができないため、この方法をお勧めします。別のアカウントを の組織の Macie 管理者アカウントとして指定すると AWS Organizations、指定された管理者は招待によって別の Macie 管理者アカウントに既に関連付けられているアカウントを管理できなくなります。各メンバーアカウントは、まず現在の招待ベースの管理者アカウントから関連付けを解除する必要があります。次に、 AWS Organizations 内で組織の Macie 管理者アカウントはそのアカウントを Macie メンバーアカウントとして追加し、アカウントの管理を開始できます。

Macie を と統合 AWS Organizations し、Macie で組織を設定したら、必要に応じて組織の別の Macie 管理者アカウントを指定できます。招待を引き続き使用して、 AWS Organizations内で組織の一部ではないメンバーアカウントを関連付けて管理することもできます。

# Macie 内で組織を統合および設定する
<a name="accounts-mgmt-ao-integrate"></a>

で Amazon Macie の使用を開始するには AWS Organizations、組織の AWS Organizations 管理アカウントが組織の委任 Macie 管理者アカウントとしてアカウントを指定します。これにより、Macie は の信頼されたサービスとして有効になります AWS Organizations。それにより、Macie が指定管理者アカウントとして現在の AWS リージョン でも有効化され、指定管理者アカウントはそのリージョン内で組織内の他のアカウントの Macie を有効化および管理できるようになります。これらのアクセス許可の付与方法については、「 *AWS Organizations ユーザーガイド*」の「 を[他の AWS Organizations で使用する AWS のサービス](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html)」を参照してください。

委任 Macie 管理者は、主に組織のアカウントをリージョン内の Macie メンバーアカウントとして追加することで、Macie 内で組織を設定します。その後、管理者は、そのリージョン内のアカウントの特定の Macie 設定、データ、およびリソースにアクセスできます。また、自動機密データ検出を実行し、機密データ検出ジョブを実行して、アカウントが所有する Amazon Simple Storage Service (Amazon S3) バケット内の機密データを検出することもできます。

このトピックでは、組織の委任 Macie 管理者を指定する方法と、組織のアカウントを Macie メンバーアカウントとして追加する方法について説明します。これらのタスクを実行する前に、[Macie 管理者アカウントと メンバーアカウントの関係](accounts-mgmt-relationships.md)を理解してください。また、 で Macie を使用する際の[考慮事項と推奨事項](accounts-mgmt-ao-notes.md)を確認することをお勧めします AWS Organizations。

**Topics**
+ [ステップ 1: アクセス許可を確認する](#accounts-mgmt-ao-admin-designate-permissions)
+ [ステップ 2: 委任 Macie 管理者アカウントを指定する](#accounts-mgmt-ao-admin-designate)
+ [ステップ 3: 新しい組織のメンバーアカウントを自動的に有効化して追加する](#accounts-mgmt-ao-members-autoenable)
+ [ステップ 4: 既存の組織アカウントを有効化して追加する](#accounts-mgmt-ao-members-add-existing)

複数のリージョンで組織を統合して設定するには、 AWS Organizations 管理アカウントと委任 Macie 管理者が追加のリージョンごとにこれらのステップを繰り返します。

## ステップ 1: アクセス許可を確認する
<a name="accounts-mgmt-ao-admin-designate-permissions"></a>

組織の委任 Macie 管理者アカウントを指定する前に、自分 ( AWS Organizations 管理アカウントのユーザー) が Macie アクション の実行を許可されていることを確認します`macie2:EnableOrganizationAdminAccount`。この操作により、Macie を使用して組織の委任 Macie 管理者アカウントを指定できます。

また、次の AWS Organizations アクションを実行できることを確認します。
+ `organizations:DescribeOrganization`
+ `organizations:EnableAWSServiceAccess`
+ `organizations:ListAWSServiceAccessForOrganization`
+ `organizations:RegisterDelegatedAdministrator`

これらのアクションにより、組織に関する情報の取得、Macie との統合 AWS Organizations、 AWS のサービス 統合した に関する情報の取得 AWS Organizations、組織の委任 Macie 管理者アカウントの指定を行うことができます。

これらのアクセス許可を付与するには、アカウントの AWS Identity and Access Management (IAM) ポリシーに次のステートメントを含めます。

```
{
   "Sid": "Grant permissions to designate a delegated Macie administrator",
   "Effect": "Allow",
   "Action": [
      "macie2:EnableOrganizationAdminAccount",
      "organizations:DescribeOrganization",
      "organizations:EnableAWSServiceAccess",
      "organizations:ListAWSServiceAccessForOrganization",
      "organizations:RegisterDelegatedAdministrator"
   ],
   "Resource": "*"
}
```

 AWS Organizations 管理アカウントを組織の委任 Macie 管理者アカウントとして指定する場合、アカウントには次の IAM アクションを実行するアクセス許可も必要です: `CreateServiceLinkedRole`。このアクションにより、管理アカウントで Macie を有効化することが許可されます。ただし、 AWS セキュリティのベストプラクティスと最小特権の原則に基づいて、これを行うことはお勧めしません。

このアクセス許可を付与する場合は、 AWS Organizations 管理アカウントの IAM ポリシーに次のステートメントを追加します。

```
{
   "Sid": "Grant permissions to enable Macie",
   "Effect": "Allow",
   "Action": [
      "iam:CreateServiceLinkedRole"
   ],
   "Resource": "arn:aws:iam::111122223333:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie",
   "Condition": {
      "StringLike": {
         "iam:AWSServiceName": "macie.amazonaws.com"
      }
   }
}
```

ステートメントで、*111122223333* を管理アカウントのアカウント ID と置き換えます。

オプトイン AWS リージョン (デフォルトで無効になっているリージョン) で Macie を管理する場合は、 `Resource`要素と `iam:AWSServiceName`条件の Macie サービスプリンシパルの値も更新します。値には、リージョンのリージョンコードを指定する必要があります。たとえば、リージョンコード *me-south-1* を持つ中東 (バーレーン) リージョンで Macie を管理するには、以下を行います。
+ `Resource` 要素で、次を置き換えます:

  `arn:aws:iam::111122223333:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie`

  デプロイに

  `arn:aws:iam::111122223333:role/aws-service-role/macie.me-south-1.amazonaws.com/AWSServiceRoleForAmazonMacie`

  ここで、*111122223333* は管理アカウントのアカウント ID を指定し、*me-south-1* はリージョンのリージョンコードを指定します。
+ `iam:AWSServiceName` 条件では、`macie.amazonaws.com` を `macie.me-south-1.amazonaws.com` に置き換えます。ここで、*me-south-1* はリージョンのリージョンコードを指定します。

Macie が現在利用可能なリージョンのリストと、それぞれのリージョンコードについては、AWS 全般のリファレンスの [Amazon Macie のエンドポイントとクォータ](https://docs.aws.amazon.com/general/latest/gr/macie.html)を参照してください。リージョンがオプトインリージョンであるかどうかを確認するには、「*AWS アカウント管理 ユーザーガイド*」の「[アカウントでの AWS リージョン の有効化または無効化](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html)」を参照してください。

## ステップ 2: 組織の委任 Macie 管理者アカウントを指定する
<a name="accounts-mgmt-ao-admin-designate"></a>

アクセス許可を確認したら、 ( AWS Organizations 管理アカウントのユーザーとして) 組織の委任 Macie 管理者アカウントを指定できます。

**組織の委任 Macie 管理者アカウントを指定するには**  
組織の委任 Macie 管理者アカウントを指定するには、Amazon Macie コンソールまたは Amazon Macie API を使用できます。 AWS Organizations 管理アカウントのユーザーのみがこのタスクを実行できます。

------
#### [ Console ]

以下のステップに従って、Amazon Macie コンソールを使用して委任 Macie 管理者アカウントを指定します。

**委任 Macie 管理者アカウントを指定するには**

1.  AWS Organizations 管理アカウント AWS マネジメントコンソール を使用して にサインインします。

1. ページの右上隅にある AWS リージョン セレクターを使用して、組織の委任 Macie 管理者アカウントを指定するリージョンを選択します。

1. Amazon Macie コンソール ([https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)) を開きます。

1. Macie が現在のリージョンで管理アカウントに対して有効化されているかどうかに応じて、次のいずれかを実行します。
   + Macie が有効化されていない場合は、Welcome Page (ようこそページ) の **Get started** (開始方法) を選択します。
   + Macie が有効化されている場合は、ナビゲーションペインの **Settings** (設定) を選択します。

1. **委任された管理者**に、Macie 管理者アカウントとして AWS アカウント 指定する の 12 桁のアカウント ID を入力します。

1. **Delegate** (委任) を選択します。

組織を Macie と統合する追加のリージョンごとに、前述のステップを繰り返します。それらの各リージョンで同じ Macie 管理者アカウントを指定する必要があります。

------
#### [ API ]

委任 Macie 管理者アカウントをプログラムで指定するには、Amazon Macie API の [EnableOrganizationAdminAccount](https://docs.aws.amazon.com/macie/latest/APIReference/admin.html) オペレーションを使用します。複数のリージョンでアカウントを指定するには、組織を Macie と統合するリージョンごとに指定を送信します。それらの各リージョンで同じ Macie 管理者アカウントを指定する必要があります。

指定を送信するときは、必要な `adminAccountId`パラメータを使用して、組織の Macie 管理者アカウントとして AWS アカウント 指定する の 12 桁のアカウント ID を指定します。また、指定が適用されるリージョンも必ず指定してください。

[AWS Command Line InterfaceAWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html)を使用して Macie 管理者アカウントを指定するには、[enable-organization-admin-account](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/enable-organization-admin-account.html) コマンドを実行します `admin-account-id` パラメータには、 AWS アカウント 指定する の 12 桁のアカウント ID を指定します。`region` パラメータを使用して、指定が適用されるリージョンを指定します。例: 

```
C:\> aws macie2 enable-organization-admin-account --region us-east-1 --admin-account-id 111122223333
```

ここで、*us-east-1* は指定が適用されるリージョン (米国東部 (バージニア北部) リージョン) であり、*111122223333* は指定するアカウントのアカウント ID です。

------

組織の Macie 管理者アカウントを指定した後、Macie 管理者は Macie 内で組織の設定を開始できます。

## ステップ 3: 新しい組織のメンバーアカウントを Macie メンバーアカウントとして自動的に有効化して追加する
<a name="accounts-mgmt-ao-members-autoenable"></a>

デフォルトでは、アカウントが AWS Organizations内で組織に追加されたときに、Macie は新しいアカウントに対して自動的に有効化されません。また、アカウントは Macie メンバーアカウントとして自動的に追加されません。アカウントは Macie 管理者のアカウントインベントリに表示されます。ただし、Macie がアカウントに対して必ずしも有効化されているわけではなく、Macie 管理者はアカウントの Macie 設定、データ、およびリソースに必ずしもアクセスできるわけではありません。

お客様が組織の委任 Macie 管理者である場合は、この構成設定を変更できます。組織の自動有効化を有効にできます。これを行うと、アカウントが AWS Organizations内で組織に追加されたときに、Macie は新しいアカウントに対して自動的に有効化されます。また、アカウントは Macie 管理者アカウントに Macie メンバーアカウントとして自動的に関連付けられます。この設定を有効にしても、組織の既存のアカウントには影響しません。既存のアカウントで Macie を有効化して管理するには、アカウントを Macie メンバーアカウントとして手動で追加する必要があります。[次のステップ](#accounts-mgmt-ao-members-add-existing)では、これを行う方法を説明します。

**注記**  
自動有効化をオンにした場合、次の例外に注意してください。新しいアカウントがすでに別の Macie 管理者アカウントに関連付けられている場合、Macie は組織内のメンバーアカウントとしてアカウントを自動的に追加しません。そのアカウントは、Macie 内で組織の一部になる前に、現在の Macie 管理者アカウントから関連付けを解除する必要があります。その後、アカウントを手動で追加できます。これが当てはまるアカウントを特定するには、組織の[アカウントインベントリを確認](accounts-mgmt-ao-review.md)することができます。

**新しい組織アカウントを Macie メンバーアカウントとして自動的に有効化して追加するには**  
新しいアカウントを Macie メンバーアカウントとして自動的に有効化して追加するには、Amazon Macie コンソールまたは Amazon Macie API を使用できます。組織の委任 Macie 管理者のみが、このタスクを実行できます。

------
#### [ Console ]

コンソールを使用してこのタスクを実行するには、 の AWS Organizations アクションを実行できる必要があります`organizations:ListAccounts`。このアクションにより、組織内のアカウントに関する情報を取得して表示することが許可されます。これらのアクセス許可を持っている場合は、次のステップに従って、新しい組織アカウントを Macie メンバーアカウントとして自動的に有効化して追加します。

**新しい組織アカウントを自動的に有効化して追加するには**

1. Amazon Macie コンソール ([https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)) を開きます。

1. ページの右上隅にある AWS リージョン セレクターを使用して、Macie メンバーアカウントとして新しいアカウントを自動的に有効にして追加するリージョンを選択します。

1. ナビゲーションペインで、**[Accounts]** (アカウント) を選択します。

1. **[アカウント]**ページの **[新しいアカウント]** セクションで、**[編集]** を選択します。

1. **[新しいアカウントの設定の編集]** ダイアログボックスで、**[Macie を有効にする]** を選択します。

   新しいメンバーアカウントでも機密データの自動検出を自動的に有効にするには、**[機密データの自動検出を有効にする]** を選択します。アカウントにこの機能を有効にすると、Macie はアカウントの S3 バケットからサンプルオブジェクトを継続的に選択し、オブジェクトを分析して機密データが含まれているかどうかを判断します。詳細については、「[機密データ自動検出を実行する](discovery-asdd.md)」を参照してください。

1. **[保存]** を選択します。

Macie 内で組織を設定する追加のリージョンごとに、前述のステップを繰り返します。

これらの設定を後で変更するには、前述のステップを繰り返し、各設定のチェックボックスをオフにします。

------
#### [ API ]

新しい Macie メンバーアカウントをプログラムで自動的に有効化して追加するには、Amazon Macie API の [UpdateOrganizationConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/admin-configuration.html) オペレーションを使用します。リクエストを送信するときは、`autoEnable` パラメータの値を `true` に設定します。(デフォルト値は `false` です。) また、リクエストが適用されるリージョンを必ず指定してください。追加のリージョンで新しいアカウントを自動的に有効化して追加するには、追加のリージョンごとにリクエストを送信します。

を使用してリクエスト AWS CLI を送信する場合は、[update-organization-configuration](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/update-organization-configuration.html) コマンドを実行し、 `auto-enable`パラメータを指定して新しいアカウントを自動的に有効化および追加します。例えば、次のようになります。

```
$ aws macie2 update-organization-configuration --region us-east-1 --auto-enable
```

ここで、*us-east-1* は、新しいアカウントを自動的に有効化して追加するリージョン (米国東部 (バージニア北部) リージョン) です。

後でこの設定を変更し、新しいアカウントの自動的な有効化と追加を停止するには、同じコマンドを再度実行して、該当するリージョンごとに、`auto-enable` パラメータではなく、`no-auto-enable` パラメータを使用します。

また、新しいメンバーアカウントでも機密データの自動検出を自動的に有効にすることができます。アカウントにこの機能を有効にすると、Macie はアカウントの S3 バケットからサンプルオブジェクトを継続的に選択し、オブジェクトを分析して機密データが含まれているかどうかを判断します。詳細については、「[機密データ自動検出を実行する](discovery-asdd.md)」を参照してください。メンバーアカウントでこの機能を自動的に有効にするには、[UpdateAutomatedDiscoveryConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/automated-discovery-configuration.html) オペレーションを使用するか、 を使用している場合は AWS CLI update[update-automated-discovery-configuration](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/update-automated-discovery-configuration.html) コマンドを実行します。

------

## ステップ 4: 既存の組織アカウントを Macie メンバーアカウントとして有効化して追加する
<a name="accounts-mgmt-ao-members-add-existing"></a>

Macie を と統合する場合 AWS Organizations、Macie は組織内のすべての既存のアカウントに対して自動的に有効になるわけではありません。また、アカウントは委任 Macie 管理者アカウントに Macie メンバーアカウントとして自動的に関連付けられません。したがって、Macie 内で組織を統合して設定する最後のステップは、既存の組織アカウントを Macie メンバーアカウントとして追加することです。既存のアカウントを Macie メンバーアカウントとして追加すると、そのアカウントに対して Macie が自動的に有効化され、お客様は (委任 Macie 管理者として) アカウントの特定の Macie 設定、データ、およびリソースにアクセスできるようになります。

別の Macie 管理者アカウントに現在関連付けられているアカウントを追加することはできないことに注意してください。アカウントを追加するには、アカウント所有者と協力して、まずアカウントを現在の管理者アカウントから関連付けを解除します。また、Macie が現在そのアカウントで停止されている場合、既存のアカウントを追加することはできません。アカウント所有者は、まずアカウントの Macie を再度有効化する必要があります。最後に、 AWS Organizations 管理アカウントをメンバーアカウントとして追加したい場合、そのアカウントのユーザーは、まずアカウントの Macie を有効化する必要があります。

**既存の組織アカウントを Macie メンバーアカウントとして有効化して追加するには**  
既存の組織アカウントを Macie メンバーアカウントとして有効化して追加するには、Amazon Macie コンソールまたは Amazon Macie API を使用できます。組織の委任 Macie 管理者のみが、このタスクを実行できます。

------
#### [ Console ]

コンソールを使用してこのタスクを実行するには、 の AWS Organizations アクションを実行できる必要があります`organizations:ListAccounts`。このアクションにより、組織内のアカウントに関する情報を取得して表示することが許可されます。これらのアクセス許可を持っている場合は、次のステップに従って、既存のアカウントを Macie メンバーアカウントとして有効化して追加します。

**既存の組織アカウントを有効化して追加するには**

1. Amazon Macie コンソール ([https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)) を開きます。

1. ページの右上隅にある AWS リージョン セレクターを使用して、既存のアカウントを有効にして Macie メンバーアカウントとして追加するリージョンを選択します。

1. ナビゲーションペインで、**[Accounts]** (アカウント) を選択します。**Accounts** (アカウント) ページが開き、Macie アカウントに関連付けられているアカウントのテーブルが表示されます。

   アカウントが の組織の一部である場合 AWS Organizations、その**タイプ**は **Via AWS Organizations** です。アカウントが既に Macie メンバーアカウントである場合、その **[ステータス]** は **[有効]** または **[一時停止 (停止)]** になります。

1. **既存のアカウント** テーブルで、Macie メンバーアカウントとして追加する各アカウントのチェックボックスをオンにします。

1. **Actions** (アクション) メニューで、**Add member** (メンバーを追加) を選択します。

1. 選択したアカウントをメンバーアカウントとして追加することを確認します。

選択したアカウントの追加を確認すると、アカウントのステータスが **[有効化が進行中]**、**[有効済み]** の順に変わります。メンバーアカウントを追加したら、アカウントの機密データ自動検出を有効にすることもできます。**既存のアカウント**テーブルで、有効にする各アカウントのチェックボックスを選択し、**アクション**メニューで**機密データ自動検出を有効にする**を選択します。アカウントにこの機能を有効にすると、Macie はアカウントの S3 バケットからサンプルオブジェクトを継続的に選択し、オブジェクトを分析して機密データが含まれているかどうかを判断します。詳細については、「[機密データ自動検出を実行する](discovery-asdd.md)」を参照してください。

Macie 内で組織を設定する追加のリージョンごとに、前述のステップを繰り返します。

------
#### [ API ]

Macie メンバーアカウントとして 1 つ以上の既存のアカウントをプログラムで有効化して追加するには、Amazon Macie APIの [CreateMember](https://docs.aws.amazon.com/macie/latest/APIReference/members.html) オペレーションを使用します。リクエストを送信するときは、サポートされているパラメータを使用して、有効化および追加 AWS アカウント する各 の 12 桁のアカウント ID と E メールアドレスを指定します。また、リクエストが適用されるリージョンも指定します。追加のリージョンで既存のアカウントを有効化して追加するには、追加のリージョンごとにリクエストを送信します。

を有効にして追加 AWS アカウント する のアカウント ID と E メールアドレスを取得するには、オプションで Amazon Macie API の [ListMembers](https://docs.aws.amazon.com/macie/latest/APIReference/members.html) オペレーションを使用できます。このオペレーションは、Macie メンバーアカウントではないアカウントを含む、Macie アカウントに関連付けられているアカウントの詳細を提供します。アカウントの `relationshipStatus` プロパティの値が `Enabled` または `Paused` ではない場合、アカウントは Macie メンバーアカウントではありません。

を使用して 1 つ以上の既存のアカウントを有効にして追加するには AWS CLI、[create-member](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/create-member.html) コマンドを実行します。`region` パラメータを使用して、アカウントを有効化して追加するリージョンを指定します。`account` パラメータを使用して、追加 AWS アカウント する各 のアカウント ID と E メールアドレスを指定します。例えば、次のようになります。

```
C:\> aws macie2 create-member --region us-east-1 --account={\"accountId\":\"123456789012\",\"email\":\"janedoe@example.com\"}
```

ここで、*us-east-1* は、アカウントを Macie メンバーアカウントとして有効化して追加するリージョン (米国東部 (バージニア北部) リージョン) であり、`account` パラメータはそのアカウントのアカウント ID (*123456789012*) と E メールアドレス (*janedoe@example.com*) を指定します。

リクエストが成功すると、指定されたアカウントのステータス `relationshipStatus` がアカウントのインベントリの `Enabled` に変わります。

また、1 つ以上のアカウントの機密データ自動検出を有効にするには、[BatchUpdateAutomatedDiscoveryAccounts](https://docs.aws.amazon.com/macie/latest/APIReference/automated-discovery-accounts.html) オペレーションを使用するか、 を使用している場合は AWS CLI batch[batch-update-automated-discovery-accounts](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/batch-update-automated-discovery-accounts.html) コマンドを実行します。アカウントにこの機能を有効にすると、Macie はアカウントの S3 バケットからサンプルオブジェクトを継続的に選択し、オブジェクトを分析して機密データが含まれているかどうかを判断します。詳細については、「[機密データ自動検出を実行する](discovery-asdd.md)」を参照してください。

------

# 組織の Macie アカウントを確認する
<a name="accounts-mgmt-ao-review"></a>

 AWS Organizations 組織が Amazon Macie で[統合および設定](accounts-mgmt-ao-integrate.md)されると、委任 Macie 管理者は Macie 内の組織のアカウントのインベントリにアクセスできます。組織の Macie 管理者として、このインベントリを使用して、 AWS リージョン内で組織の Macie アカウントの統計と詳細を確認できます。このインベントリを使用すると、アカウントの[特定の管理タスクを実行](accounts-mgmt-ao-administer.md)することもできます。

**組織の Macie アカウントを確認するには**  
組織のアカウントを確認するには、Amazon Macie コンソールまたは Amazon Macie API を使用できます。コンソールを使用する場合は、 AWS Organizations のアクションの実行を許可する必要があります`organizations:ListAccounts`。このアクションにより、 AWS Organizations内で組織の一部であるアカウントに関する情報を取得して表示することが許可されます。

------
#### [ Console ]

Amazon Macie コンソールを使用して組織の Macie アカウントを確認するには、次のステップに従います。

**組織のアカウントを確認するには**

1. Amazon Macie コンソール ([https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)) を開きます。

1. ページの右上隅にある AWS リージョン セレクターを使用して、組織のアカウントを確認するリージョンを選択します。

1. ナビゲーションペインで、**[Accounts]** (アカウント) を選択します。

**アカウント**ページが開き、現在の AWS リージョン内で Macie アカウントに関連付けられている集約された統計とアカウントのテーブルが表示されます。

**アカウント**ページの先頭に、次の集約された統計が表示されます。

**経由 AWS Organizations**  
**Active** は、 を通じてアカウントに関連付けられ、現在組織内の Macie メンバーアカウント AWS Organizations であるアカウントの合計数を報告します。Macie はこれらのアカウントに対して有効化されており、お客様はアカウントの Macie 管理者です。  
**[すべて]** では、 AWS Organizationsを通じて、お客様のアカウントに関連付けられているアカウントの総数が報告されます。これには、現在は Macie メンバーアカウントではないアカウントが含まれます。Macie が現在停止しているメンバーアカウントも含まれます。

**招待により**  
**[アクティブ]** では、Macie の招待によってお客様のアカウントに関連付けられ、組織内で現在 Macie メンバーアカウントであるアカウントの総数が報告されます。このようなアカウントは、 AWS Organizationsを通じてお客様のアカウントに関連付けられていません。Macie はアカウントに対して有効化されており、お客様から Macie メンバーシップへの招待を受け入れたため、お客様はアカウントの Macie 管理者です。  
**すべて**により、お客様からの招待に応答していないアカウントを含む、Macie の招待によってお客様のアカウントに関連付けられているアカウントの総数が報告されます。

**アクティブ/すべて**  
**[アクティブ]** では、組織内で Macie が現在有効になっているアカウントの総数が報告されます。これには、自分のアカウントも含まれます。お客様は、 AWS Organizations を通じて、または Macie の招待によって、このようなアカウントの Macie 管理者になります。  
**すべての** は、 を通じて、 AWS Organizations または Macie の招待によって、アカウントに関連付けられているアカウントの合計数と、自分のアカウントを報告します。これには、 の組織の一部であり AWS Organizations 、現在 Macie メンバーアカウントではないアカウントが含まれます。また、お客様からの Macie メンバーシップ招待に応答していないアカウントも含まれます。

テーブルには、現在のリージョン内の各アカウントの詳細が表示されます。テーブルには、 AWS Organizations を通じて、または Macie の招待によって、Macie アカウントに関連付けられているすべてのアカウントが含まれます。

**アカウント ID**  
 AWS アカウントのアカウント ID と E メールアドレス。

**名前**  
 AWS アカウントのアカウント名。この値は通常、自分のアカウント、および Macie の招待によってお客様のアカウントに関連付けられているアカウントの場合、**[該当なし]** になります。

**Type**  
を通じて、 AWS Organizations または Macie の招待によって、アカウントがアカウントに関連付けられる方法。自分のアカウントの場合、この値は **[現在のアカウント]** です。

**ステータス**  
お客様のアカウントとそのアカウントの関係のステータス。 AWS Organizations 組織内のアカウント (**タイプ**は **経由) AWS Organizations**の場合、指定できる値は次のとおりです。  
+ **アカウントが停止** — AWS アカウント が停止されています。
+ **有効化**— アカウントは Macie メンバーアカウントです。Macie はアカウントに対して有効化されており、お客様はそのアカウントの Macie 管理者です。
+ **有効化が進行中** — Macie は、アカウントを Macie メンバーアカウントとして有効化して追加するためのリクエストを処理しています。
+ **メンバーではない** – アカウントは の組織の一部 AWS Organizations ですが、Macie メンバーアカウントではありません。
+ **一時停止 (停止)**— アカウントは Macie メンバーアカウントですが、現在 Macie はアカウントを停止しています。
+ **リージョンが無効** – アカウントは の組織の一部 AWS Organizations ですが、現在のリージョンは に対して無効になっています AWS アカウント。
+ **削除 (関連付け解除**— アカウントは以前は Macie メンバーアカウントでしたが、その後メンバーアカウントとして削除されました。(Macie 管理者アカウントからそのアカウントを解除しました。) Macie は引き続きそのアカウントに対して有効化されています。

**最終ステータスの更新**  
お客様または関連するアカウントが、お客様のアカウント間の関係に影響を与えたアクションを最後に実行したとき。

**機密データ自動検出**  
アカウントで機密データ自動検出が現在有効になっているか、または無効になっているか。

特定のフィールドでテーブルを並べ替えるには、フィールドの列見出しをクリックします。並べ替え順序を変更するには、列見出しをもう一度クリックします。テーブルをフィルタリングするには、フィルターボックスにカーソルを置き、フィールドのフィルター条件を追加します。結果をさらに絞り込むには、追加のフィールドでフィルター条件を追加します。

------
#### [ API ]

組織のアカウントをプログラムで確認するには、Amazon Macie API の [ListMembers](https://docs.aws.amazon.com/macie/latest/APIReference/members.html) オペレーションを使用して、リクエストが適用されるリージョンを指定してください。追加のリージョン内のアカウントを確認するには、追加のリージョンごとにリクエストを送信します。

リクエストを送信するときは、`onlyAssociated` パラメータを使用して、レスポンスに含めるアカウントを指定します。デフォルトでは、Macie は を通じて、 AWS Organizations または Macie の招待によって、指定されたリージョン内の Macie メンバーアカウントであるアカウントに関する詳細のみを返します。メンバーアカウントではないアカウントを含む、Macie アカウントに関連付けられているすべてのアカウントについて、これらの詳細を取得するには、リクエストに `onlyAssociated` パラメータを含め、パラメータの値を `false` に設定します。

[AWS Command Line InterfaceAWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html)を使用して組織のアカウントを確認するには、[list-members](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/list-members.html) コマンドを実行します。`only-associated` パラメータでは、関連するすべてのアカウントを含めるか、Macie メンバーアカウントのみを含めるかを指定します。メンバーアカウントのみを含めるには、このパラメータを省略するか、パラメータの値を `true` に設定します。すべてのアカウントを含めるには、この値を `false` に設定します。例: 

```
C:\> aws macie2 list-members --region us-east-1 --only-associated false
```

ここで、*us-east-1* は、リクエストが適用されるリージョン (米国東部 (バージニア北部) リージョン) です。

リクエストが成功すると、Macie は `members` 配列を返します 配列には、リクエストで指定された基準を満たす各アカウントの `member` オブジェクトが含まれます。そのオブジェクトでは、`relationshipStatus` フィールドは、指定されたリージョン内のお客様のアカウントと他方のアカウント間の関係の現在のステータスを示します。 AWS Organizations 組織内のアカウントの場合、指定できる値は次のとおりです。
+ `AccountSuspended` – AWS アカウント は停止されています。
+ `Created` — Macie は、アカウントを Macie メンバーアカウントとして有効化して追加するためのリクエストを処理しています。
+ `Enabled` — アカウントは Macie メンバーアカウントです。Macie はアカウントに対して有効化されており、お客様はそのアカウントの Macie 管理者です。
+ `Paused` — アカウントは Macie メンバーアカウントですが、Macie は現在アカウントが停止 (一時停止) されています。
+ `RegionDisabled` – アカウントは の組織の一部 AWS Organizations ですが、現在のリージョンは に対して無効になっています AWS アカウント。
+ `Removed`— アカウントは以前は Macie メンバーアカウントでしたが、その後メンバーアカウントとして削除されました。(Macie 管理者アカウントからそのアカウントの関連付けを解除しました。) Macie は引き続きそのアカウントに対して有効化されています。

`member` オブジェクト内の他のフィールドの詳細については、*Amazon Macie API リファレンス*の[メンバー](https://docs.aws.amazon.com/macie/latest/APIReference/members.html)を参照してください。

------

# 組織の Macie メンバーアカウントの管理
<a name="accounts-mgmt-ao-administer"></a>

 AWS Organizations 組織が Amazon Macie で[統合および設定](accounts-mgmt-ao-integrate.md)されると、組織の委任 Macie 管理者はメンバーアカウントの特定の Macie 設定、データ、リソースにアクセスできます。組織の Macie 管理者として、Macie を使用して、特定のアカウント管理およびアカウントの管理タスクを一元的に実行することもできます。例えば、以下のことが可能です:
+ アカウントを Macie メンバーアカウントとして追加および削除する。
+ アカウントの Macie を有効化または停止するなど、個々のアカウントの Macie のステータスを管理します。
+ 個別のアカウントおよび組織全体の Macie クォータと推定使用コストをモニタリングします。

また、Macie メンバーアカウントの Amazon Simple Storage Service (Amazon S3) のインベントリデータとポリシー結果を確認することもできます。また、アカウントが所有する S3 バケット内の機密データを検出できます。実行できるタスクの詳細なリストについては、[Macie 管理者とメンバーアカウントの関係](accounts-mgmt-relationships.md)を参照してください。

デフォルトでは、Macie は、組織内のすべての Macie メンバーアカウントの関連データとリソースを可視化します。ドリルダウンして、個々のアカウントのデータとリソースを確認することもできます。例えば、[概要ダッシュボードを使用](monitoring-s3-dashboard.md)して、組織の Amazon S3 セキュリティ体制を評価する場合は、アカウントごとにデータをフィルタリングできます。同様に、[推定使用量のコストをモニタリングする](account-mgmt-costs.md)場合は、個々のメンバーアカウントの推定コストの内訳にアクセスする。

管理者およびメンバーアカウントに共通するタスクに加えて、組織のさまざまな管理タスクを実行できます。

**Topics**
+ [メンバーアカウントを組織に追加する](#accounts-mgmt-ao-members-add)
+ [メンバーアカウントの メイシーを一時停止](#accounts-mgmt-ao-members-suspend)
+ [メンバーアカウントの削除](#accounts-mgmt-ao-members-remove)

組織の Macie 管理者は、Amazon Macie コンソールまたは Amazon Macie API を使用してこれらのタスクを実行できます。コンソールを使用する場合は、次の AWS Organizations アクションの実行を許可する必要があります: `organizations:ListAccounts`。このアクションにより、 AWS Organizations内で組織の一部であるアカウントに関する情報を取得して表示することが許可されます。

## Macie メンバーアカウントを組織に追加する
<a name="accounts-mgmt-ao-members-add"></a>

場合によっては、アカウントを Amazon Macie メンバーアカウントとして手動で追加する必要があります。これは、以前にメンバーアカウントとして削除 (関連付け解除) したアカウントの場合です。これは、アカウントが AWS Organizations内で組織に追加されたときに、Macie を[新しいメンバーアカウントを自動的に有効化して追加する](accounts-mgmt-ao-integrate.md#accounts-mgmt-ao-members-autoenable)ように設定しなかった場合にも当てはまります。

アカウントを Macie メンバーアカウントとして追加する場合:
+ Macie は、リージョンでまだ有効になっていない場合 AWS リージョン、現在のアカウントで有効になっています。
+ アカウントは、リージョン内のメンバーアカウントとして Macie 管理者アカウントに関連付けられます。メンバーアカウントは、招待またはお客様のアカウント間にこの関係を確立したというその他の通知を受け取りません。
+ 機密データの自動検出は、リージョン内のアカウントに対して有効化される必要があります。これは、組織に指定した設定によって異なります。詳細については、「[機密データ自動検出を設定する](discovery-asdd-account-manage.md)」を参照してください。

すでに関連付けられているアカウントは別の Macie 管理者アカウントに追加できないことに注意してください。アカウントは、まず現在の管理者アカウントから関連付けを解除する必要があります。さらに、Macie がアカウントに対して既に有効になっていない限り、 AWS Organizations 管理アカウントをメンバーアカウントとして追加することはできません。追加の要件については、[で Macie を使用する際の考慮事項 AWS Organizations](accounts-mgmt-ao-notes.md)を参照してください。

**組織に Macie メンバーアカウントを追加するには**  
1 つ以上の Macie メンバーアカウントを組織に追加するには、Amazon Macie コンソールまたは Amazon Macie API を使用することができます。

------
#### [ Console ]

Amazon Macie コンソールを使用して 1 つ以上の Macie メンバーアカウントを追加するには、次のステップに従います。

**Macie メンバーアカウントを追加するには**

1. Amazon Macie コンソール ([https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)) を開きます。

1. ページの右上隅にある AWS リージョン セレクターを使用して、メンバーアカウントを追加するリージョンを選択します。

1. ナビゲーションペインで、**[Accounts]** (アカウント) を選択します。**アカウント** ページが開き、お客様のアカウントに関連付けられているアカウントのテーブルが表示されます。

1. (オプショナル) AWS Organizations 内の組織の一部であり、Macie メンバーアカウントではないアカウントをより簡単に識別するには、**既存のアカウント**テーブル上のフィルタボックスを使用して、次のフィルタ条件を追加します。
   + **タイプ = 組織**
   + **ステータス = メンバーではない**

   また、以前に削除したがメンバーアカウントとして追加する可能性のあるアカウントを表示するには、**ステータス = 削除済み (関連付け解除済み)**も追加します。

1. **既存のアカウント** テーブルで、メンバーアカウントとして追加する各アカウントのチェックボックスをオンにします。

1. **Actions** (アクション) メニューで、**Add member** (メンバーを追加) を選択します。

1. 選択したアカウントをメンバーアカウントとして追加することを確認します。

選択を確認すると、選択したアカウントのステータスが、アカウントのインベントリで **[有効化が進行中]**、**[有効化]** の順に変わります。

追加のリージョンにメンバーアカウントを追加するには、追加のリージョンごとに前述のステップを繰り返します。

------
#### [ API ]

1 つ以上の Macie メンバーアカウントをプログラムで追加するには、Amazon Macie APIの [CreateMember](https://docs.aws.amazon.com/macie/latest/APIReference/members.html) オペレーションを使用します。

リクエストを送信するときは、サポートされているパラメータを使用して、追加 AWS アカウント する各 の 12 桁のアカウント ID と E メールアドレスを指定します。また、リクエストが適用されるリージョンも指定します。追加のリージョンでアカウントを追加するには、追加のリージョンごとにリクエストを送信します。

追加するアカウントのアカウント ID と E メールアドレスを取得するには、 AWS Organizations API の [ListAccounts](https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListAccounts.html) オペレーションと Amazon Macie API の [ListMembers](https://docs.aws.amazon.com/macie/latest/APIReference/members.html) オペレーションの出力を関連付けることができます。Macie API の **ListMembers** オペレーションでは、リクエストに `onlyAssociated` パラメータを含め、パラメータの値を `false` に設定します。オペレーションが成功すると、Macie は、指定されたリージョンの Macie 管理者アカウントに関連付けられているすべてのアカウント (現在メンバーアカウントではないアカウントを含む) の詳細を提供する `members` 配列を返します。配列では次の点に注意してください。
+ アカウントの `relationshipStatus` プロパティの値が `Enabled` または `Paused` ではない場合、そのアカウントはお客様のアカウントに関連付けられていますが、Macie メンバーアカウントではありません。
+ アカウントが配列に含まれていないが、 AWS Organizations API の **ListAccounts** オペレーションの出力に含まれている場合、そのアカウントは AWS Organizations 内で組織の一部となりますが、お客様のアカウントに関連付けられていないため、Macie メンバーアカウントではありません。

 AWS Command Line Interface (AWS CLI) を使用してメンバーアカウントを追加するには、[create-member](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/create-member.html) コマンドを実行します。`region` パラメータを使用して、アカウントを追加するリージョンを指定します。`account` パラメータを使用して、追加する各アカウントのアカウント ID とメールアドレスを指定します。例えば、次のようになります。

```
C:\> aws macie2 create-member --region us-east-1 --account={\"accountId\":\"123456789012\",\"email\":\"janedoe@example.com\"}
```

ここで *us-east-1* は、メンバーアカウントとしてアカウントを追加するリージョン (米国東部 (バージニア北部) リージョン) であり、`account` パラメータは、アカウントのアカウント ID (*123456789012*) とメールアドレス (*janedoe@example.com*) を指定します。

リクエストが成功すると、その指定されたアカウントのステータス`relationshipStatus`がアカウントインベントリの `Enabled` に変わります。

------

## 組織内のメンバーアカウントの Macie を停止する
<a name="accounts-mgmt-ao-members-suspend"></a>

の組織の Amazon Macie 管理者として AWS Organizations、組織内のメンバーアカウントの Macie を停止できます。これを行うと、後でアカウントの Macie を再度有効化することもできます。

メンバーアカウントの メイシーを一時停止と、次のようになります。
+ Macie は、現在の AWS リージョン内のアカウントの Amazon S3 データに関するメタデータへのアクセスを失い、提供を停止します。
+ Macie は、リージョン内のアカウントのすべてのアクティビティの実行を停止します。これには、セキュリティとアクセスコントロールのための S3 バケットのモニタリング、機密データ自動検出、および現在進行中の機密データ検出ジョブの実行などが含まれます。
+ Macie は、リージョン内のアカウントによって作成された機密データ検出ジョブをすべてキャンセルします。ジョブがキャンセルされた後は、ジョブを再開したり再起動したりすることはできません。メンバーアカウントが所有するデータを分析するためのジョブを作成した場合、Macie はジョブをキャンセルしません。代わりに、ジョブはアカウントが所有するリソースをスキップします。

停止中、Macie は該当するリージョンのアカウントのために保存または維持するセッション識別子、設定、およびリソースを保持します。Macie は、リージョン内のアカウントの特定のデータも保持します。たとえば、アカウントの調査結果はそのまま残り、最大 90 日間は影響を受けません。アカウントで機密データ自動検出が有効になっている場合、既存の結果もそのまま残り、最大 30 日間影響を受けません。Macie がリージョンのアカウントで停止されている間、そのリージョンのアカウントに Macie の料金は発生しません。

**組織内のメンバーアカウントの メイシーを一時停止には**  
組織内のメンバーアカウントの メイシーを一時停止には、Amazon Macie コンソールまたは Amazon Macie API を使用できます。

------
#### [ Console ]

Amazon Macie コンソールを使用してメンバーアカウントの メイシーを一時停止には、次のステップに従います。

**メンバーアカウントの メイシーを一時停止には**

1. Amazon Macie コンソール ([https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)) を開きます。

1. ページの右上隅にある AWS リージョン セレクターを使用して、メンバーアカウントの Macie を停止するリージョンを選択します。

1. ナビゲーションペインで、**[Accounts]** (アカウント) を選択します。**アカウント** ページが開き、お客様のアカウントに関連付けられているアカウントのテーブルが表示されます。

1. **既存のアカウント**テーブルで、Macie を停止するアカウントのチェックボックスをオンにします。

1. **アクション**メニューで、**メイシーを一時停止**を選択します。

1. アカウントの メイシーを一時停止ことを確認します。

停止を確認すると、アカウントのステータスがインベントリで **一時停止 (停止)**に変わります。追加のリージョンでアカウントの Macie を停止するには、追加のリージョンごとに前述のステップを繰り返します。

後でアカウントの Macie を再度有効にするには、 コンソールの**アカウント**ページに戻ります。アカウントのチェックボックスを選択し、**アクション**メニューで **Macie を有効にする**を選択します。追加のリージョンでアカウントの Macie を再度有効にするには、追加のリージョンごとにこれらのステップを繰り返します。

------
#### [ API ]

メンバーアカウントの Macie をプログラムで停止するには、Amazon Macie API の [UpdateMemberSession](https://docs.aws.amazon.com/macie/latest/APIReference/macie-members-id.html) オペレーションを使用します。このオペレーションを使用して、後でアカウントの Macie を再度有効にすることもできます。

リクエストを送信するときは、 `id`パラメータを使用して、Macie を停止 AWS アカウント する の 12 桁のアカウント ID を指定します。`status` パラメータでは、`PAUSED` を指定します。また、リクエストが適用されるリージョンも指定します。追加のリージョンでアカウントの Macie を停止するには、追加のリージョンごとにリクエストを送信します。

アカウントのアカウント ID を取得するには、Amazon Macie API の [ListMembers](https://docs.aws.amazon.com/macie/latest/APIReference/members.html) オペレーションを使用できます。これを実行する場合は、リクエストに `onlyAssociated` パラメータを含めることで結果をフィルタリングすることを検討してください。このパラメータの値を `true` に設定した場合、Macie は現在メンバーアカウントであるアカウントのみの詳細を提供する `members` 配列を返します。

を使用してメンバーアカウントの Macie を停止するには AWS CLI、[update-member-session](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/update-member-session.html) コマンドを実行します。`region` パラメータを使用して、アカウントの Macie を停止するリージョンを指定します。`id` パラメータを使用して、アカウントのアカウント ID を指定します。`status` パラメータでは、`PAUSED` を指定します。例: 

```
C:\> aws macie2 update-member-session --region us-east-1 --id 123456789012 --status PAUSED
```

ここで、*us-east-1* は メイシーを一時停止リージョン (米国東部 (バージニア北部) リージョン) であり、*123456789012* は メイシーを一時停止アカウントのアカウント ID であり、`PAUSED` はそのアカウントの Macie の新しいステータスです。

リクエストが成功すると、Macie は空のレスポンスを返し、指定されたアカウントのステータスはアカウントのインベントリの `Paused` に変わります。後でアカウントの Macie を再度有効にするには、 **update-member-session** コマンドを再度実行し、 `status`パラメータ`ENABLED`に を指定します。

------

## 組織からの Macie メンバーアカウントの削除
<a name="accounts-mgmt-ao-members-remove"></a>

メンバーアカウントの Amazon Macie 設定、データ、およびリソースへのアクセスを停止したい場合、お客様は Macie メンバーアカウントとしてアカウントを削除できます。これを行うには、Macie 管理者アカウントからそのアカウントの関連付けを解除します。ご自身でのみ、メンバーアカウントに対してこれを実行できることに注意してください。 AWS Organizations メンバーアカウントは、Macie 管理者アカウントとの関連付けを解除できません。

Macie メンバーアカウントを削除しても、Macie は現在の AWS リージョン内のアカウントに対して有効化されたままとなります。ただし、アカウントは Macie 管理者アカウントから関連付けが解除され、スタンドアロンの Macie アカウントになります。これは、アカウントの Amazon S3 データのメタデータやポリシーの結果など、アカウントのすべての Macie 設定、データ、およびリソースにアクセスできなくなることを意味します。これは、アカウントが所有する S3 バケット内の機密データ検出で Macie を使用できなくなることも意味します。このために機密データ検出ジョブを作成済みの場合、ジョブはアカウントが所有するバケットをスキップします。アカウントの機密データの自動検出を有効にした場合、お客様とメンバーアカウントの両方とも、Macie が作成して、アカウントの自動検出の実行中に直接提供した統計データ、インベントリデータ、およびその他の情報にアクセスできなくなります。

Macie メンバーアカウントを削除しても、アカウントは引き続きアカウントのインベントリに表示されます。Macie は、お客様がアカウントを削除したことをアカウントの所有者に通知しません。したがって、アカウント所有者に連絡して、アカウントの設定とリソースの管理を開始してもらうことを検討してください。

アカウントは後で組織に追加できます。これを行い、30 日以内にアカウントの機密データ自動検出を再度有効にすると、アカウントの自動検出の実行中に Macie が以前に生成して直接提供したデータや情報へのアクセスも回復します。さらに、既存のジョブの後続の実行には、アカウントの S3 バケットが再度含まれます。

**組織から Macie メンバーアカウントを削除するには**  
組織から Macie メンバーアカウントを削除するには、Amazon Macie コンソールまたは Amazon Macie API を使用できます。

------
#### [ Console ]

Amazon Macie コンソールを使用して Macie メンバーアカウントを削除するには、次のステップに従います。

**Macie メンバーアカウントを削除するには**

1. Amazon Macie コンソール ([https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)) を開きます。

1. ページの右上隅にある AWS リージョン セレクターを使用して、メンバーアカウントを削除するリージョンを選択します。

1. ナビゲーションペインで、**[Accounts]** (アカウント) を選択します。**アカウント** ページが開き、お客様のアカウントに関連付けられているアカウントのテーブルが表示されます。

1. **既存のアカウント** テーブルで、メンバーアカウントとして削除するアカウントのチェックボックスをオンにします。

1. **アクション** メニューで、**Disassociate account** (アカウントの関連付けを解除する) を選択します。

1. 選択されたアカウントをメンバーアカウントとして削除することを確認します。

選択を確認すると、アカウントのステータスが、アカウントのインベントリで **Removed (disassociated)** (削除 (関連付け解除)) に変わります。

追加のリージョンでメンバーアカウントを削除するには、追加のリージョンごとに前述のステップを繰り返します。

------
#### [ API ]

Macie メンバーアカウントをプログラムで削除するには、Amazon Macie APIの [DisassociateMember](https://docs.aws.amazon.com/macie/latest/APIReference/members-disassociate-id.html) オペレーションを使用します。

リクエストを送信するときは、 `id`パラメータを使用して、削除するメンバーアカウントの 12 桁の AWS アカウント ID を指定します。また、リクエストが適用されるリージョンも指定します。追加のリージョン内のアカウントを削除するには、追加のリージョンごとにリクエストを送信します。

削除するメンバーアカウントのアカウント ID を取得するには、Amazon Macie API の [ListMembers](https://docs.aws.amazon.com/macie/latest/APIReference/members.html) オペレーションを使用できます。これを実行する場合は、リクエストに `onlyAssociated` パラメータを含めることで結果をフィルタリングすることを検討してください。このパラメータの値を `true` に設定した場合、Macie は現在 Macie メンバーアカウントであるアカウントのみの詳細を提供する `members` 配列を返します。

を使用して Macie メンバーアカウントを削除するには AWS CLI、[disassociate-member](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/disassociate-member.html) コマンドを実行します。`region` パラメータを使用して、アカウントを削除するリージョンを指定します。`id` パラメータを使用して、削除するメンバーアカウントのアカウント ID を指定します。例: 

```
C:\> aws macie2 disassociate-member --region us-east-1 --id 123456789012
```

ここで、*us-east-1* は、アカウントを削除するリージョン (米国東部 (バージニア北部) リージョン) であり、*123456789012* は削除するアカウントのアカウント ID です。

リクエストが成功すると、Macie は空のレスポンスを返し、指定されたアカウントのステータスはアカウントのインベントリの `Removed` に変わります。

------

# 組織の Macie 管理者アカウントを変更する
<a name="accounts-mgmt-ao-admin-change"></a>

 AWS Organizations 組織が Amazon Macie で[統合および設定](accounts-mgmt-ao-integrate.md)されると、 AWS Organizations 管理アカウントは別のアカウントを組織の委任 Macie 管理者アカウントとして指定できます。新しい Macie 管理者は、Macie で組織を再度設定できます。

組織の AWS Organizations 管理アカウントのユーザーとして、組織に別の Macie 管理者アカウントを指定する前に、次のアクセス許可要件を満たしていることを確認してください。
+ 組織の Macie 管理者アカウントを最初に指定するために必要であったものと[同じアクセス許可](accounts-mgmt-ao-integrate.md#accounts-mgmt-ao-admin-designate-permissions)を持つ必要があります。また、次の AWS Organizations アクションを実行することも許可されている必要があります: `organizations:DeregisterDelegatedAdministrator`。この追加アクションにより、現在の指定の削除が許可されます。
+ お客様のアカウントが Macie メンバーアカウントとなっている場合は、現時点の Macie 管理者が、Macie メンバーアカウントとしてのお客様のアカウントを削除する必要があります。そうしないと、別の管理者アカウントを指定する Macie オペレーションにはアクセスできません。お客様が新しい管理者アカウントを指定すると、新しい Macie 管理者がお客様のアカウントを Macie メンバーアカウントとして再度追加できます。

組織が複数の で Macie を使用している場合は AWS リージョン、組織が Macie を使用する各リージョンの指定も変更してください。Macie 委任管理者アカウントは、これらのすべてのリージョンで同じである必要があります。で複数の組織を管理する場合 AWS Organizations、アカウントは一度に 1 つの組織の委任 Macie 管理者アカウントになることができることに注意してください。追加の要件については、[で Macie を使用する際の考慮事項 AWS Organizations](accounts-mgmt-ao-notes.md)を参照してください。

**注記**  
組織に別の Macie 管理者アカウントを指定する場合、Macie が作成して、組織内のアカウントの[機密データの自動検出](discovery-asdd.md)の実行中に直接提供した既存の統計データ、インベントリデータ、その他の情報へのアクセスも無効にします。新しい Macie 管理者は既存のデータにアクセスできません。指定を変更し、新しい Macie 管理者がアカウントの自動検出を有効にすると、Macie は、アカウントの自動検出を実行するときに新しいデータを作成して維持します。

**Macie 管理者アカウントの指定を変更するには**  
組織の別の Macie 管理者アカウントを指定するには、Amazon Macie コンソールまたは Amazon Macie と AWS Organizations APIsの組み合わせを使用できます。組織の指定を変更できるのは、 AWS Organizations 管理アカウントのユーザーのみです。

------
#### [ Console ]

Amazon Macie コンソールを使用して指定を変更するには、次の手順に従います。

**指定を変更するには**

1.  AWS Organizations 管理アカウント AWS マネジメントコンソール を使用して にサインインします。

1. ページの右上隅にある AWS リージョン セレクターを使用して、指定を変更するリージョンを選択します。

1. Amazon Macie コンソール ([https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)) を開きます。

1. Macie が現在のリージョンで管理アカウントに対して有効化されているかどうかに応じて、次のいずれかを実行します。
   + Macie が有効化されていない場合は、Welcome Page (ようこそページ) の **Get started** (開始方法) を選択します。
   + Macie が有効化されている場合は、ナビゲーションペインの **Settings** (設定) を選択します。

1. **Delegated administrator** (委任管理者) の下で、**Remove** (削除) を選択します。指定を変更するには、まず現在の指定を削除する必要があります。

1. 現在の指定を削除することを確認します。

1. **委任された管理者**に、組織の新しい Macie 管理者アカウントとして AWS アカウント 指定する の 12 桁のアカウント ID を入力します。

1. **[委任]** を選択します。

Macie を AWS Organizationsと統合する追加のリージョンごとに、前述のステップを繰り返します。

------
#### [ API ]

プログラムで指定を変更するには、Amazon Macie API の 2 つのオペレーションと API の 1 つのオペレーションを使用します AWS Organizations 。これは、新しい指定を送信する AWS Organizations 前に、Macie と の両方で現在の指定を削除する必要があるためです。

現在の指定を削除するには、以下を実行します。

1. Macie API の [DisableOrganizationAdminAccount](https://docs.aws.amazon.com/macie/latest/APIReference/admin.html) オペレーションを使用します。必須`adminAccountId`パラメータには、組織の Macie 管理者アカウントとして現在指定されている の 12 AWS アカウント 桁のアカウント ID を指定します。

1.  AWS Organizations API の [DeregisterDelegatedAdministrator](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DeregisterDelegatedAdministrator.html) オペレーションを使用します。`AccountId` パラメータでは、組織の Macie 管理者アカウントとして現在指定されているアカウントの 12 桁のアカウント ID を指定します。この値は、前の Macie リクエストで指定したアカウント ID と一致する必要があります。`ServicePrincipal` パラメータでは、Macie サービスプリンシパル`macie.amazonaws.com`を指定します。

現在の指定を削除した後、Macie API の [EnableOrganizationAdminAccount](https://docs.aws.amazon.com/macie/latest/APIReference/admin.html) オペレーションを使用して新しい指定を送信します。必須`adminAccountId`パラメータには、組織の新しい Macie 管理者アカウントとして AWS アカウント 指定する の 12 桁のアカウント ID を指定します。

 AWS Command Line Interface (AWS CLI) を使用して指定を変更するには、Macie API の [disable-organization-admin-account](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/disable-organization-admin-account.html) コマンドと AWS Organizations API の [deregister-delegated-administrator](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/organizations/deregister-delegated-administrator.html) コマンドを実行します。これらのコマンドは AWS Organizations、Macie および の現在の指定をそれぞれ削除します。`admin-account-id` および `account-id`パラメータには、削除する の 12 桁のアカウント ID AWS アカウント を現在の Macie 管理者アカウントとして指定します。`region` パラメータを使用して、削除が適用されるリージョンを指定します。例: 

```
C:\> aws macie2 disable-organization-admin-account --region us-east-1 --admin-account-id 111122223333 && aws organizations deregister-delegated-administrator --region us-east-1 --account-id 111122223333 --service-principal macie.amazonaws.com
```

ここで、
+ *us-east-1*は、削除が適用されるリージョン (米国東部 (バージニア北部) リージョン) です。
+ *111122223333*は、Macie 管理者アカウントとして削除するアカウントのアカウント ID です。
+ `macie.amazonaws.com` は、Macie サービスプリンシパルです。

現在の指定を削除した後、Macie API の [enable-organization-admin-account](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/enable-organization-admin-account.html) オペレーションを実行して新しい指定を送信します。`admin-account-id` パラメータには、組織の新しい Macie 管理者アカウントとして AWS アカウント 指定する の 12 桁のアカウント ID を指定します。`region` パラメータを使用して、指定が適用されるリージョンを指定します。例: 

```
C:\> aws macie2 enable-organization-admin-account --region us-east-1 --admin-account-id 444455556666
```

ここで、*us-east-1* は指定が適用されるリージョン (米国東部 (バージニア北部) リージョン) であり、*444455556666* は新しい Macie 管理者アカウントとして指定するアカウントのアカウント ID です。

------

# との Macie 統合の無効化 AWS Organizations
<a name="accounts-mgmt-ao-disable"></a>

 AWS Organizations 組織が Amazon Macie と統合されると、 AWS Organizations 管理アカウントはその後統合を無効にすることができます。 AWS Organizations 管理アカウントのユーザーは、Macie の信頼されたサービスアクセスを無効にすることでこれを行うことができます AWS Organizations。

Macie の信頼されたサービスアクセスを無効化すると、以下が起こります。
+ Macie は、信頼されたサービスとしてのステータスを失います AWS Organizations。
+ 組織の Macie 管理者アカウントは、すべての AWS リージョンの Macie メンバーアカウントのすべての Macie 設定、データ、およびリソースへのアクセスを失います。
+ Macie メンバーアカウントはすべてスタンドアロンの Macie アカウントになります。Macie が 1 つ以上のリージョン内のメンバーアカウントに対して有効化されている場合、Macie はそのリージョン内のアカウントに対して有効化された状態が継続します。ただし、そのアカウントはどのリージョンの Macie 管理者アカウントとも関連付けられなくなります。また、Macie が作成して、アカウントの機密データの自動検出の実行中に直接提供した統計データ、インベントリデータ、およびその他の情報にアクセスできなくなります。

信頼されたサービスアクセスを無効にする結果の詳細については、「 *AWS Organizations ユーザーガイド*」の「他の [AWS Organizations で AWS のサービス](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html)を使用する」を参照してください。

**Macie の信頼されたサービスのアクセスを無効にするには**  
信頼されたサービスアクセスを無効にするには、 AWS Organizations コンソールまたは AWS Organizations API を使用できます。Macie の信頼されたサービスアクセスを無効にすることができるのは、 AWS Organizations 管理アカウントのユーザーのみです。必要なアクセス許可に関する詳細は、「*AWS Organizations ユーザーガイド*」の「[信頼できるアクセスを無効にするために必要なアクセス許可](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html#orgs_trusted_access_disable_perms)」を参照してください。

信頼されたサービスアクセスを無効にする前に、必要に応じて組織の委任された Macie 管理者に連絡して、メンバーアカウントの Macie を停止または無効にし、そのアカウントの Macie リソースをクリーンアップしてください。

------
#### [ Console ]

 AWS Organizations コンソールを使用して信頼されたサービスへのアクセスを無効にするには、次の手順に従います。

**信頼されたサービスのアクセスを無効にするには**

1.  AWS Organizations 管理アカウント AWS マネジメントコンソール を使用して にサインインします。

1. [https://console.aws.amazon.com/organizations/](https://console.aws.amazon.com/organizations/) で AWS Organizations コンソールを開きます。

1. ナビゲーションペインで **Services** (サービス) を選択します。

1. **統合サービス** で **Amazon Macie** を選択します。

1. **Disable trusted access** (信頼されたアクセスを無効にする) を選択します。

1. 信頼されたアクセスを無効化することを確認します。

------
#### [ API ]

信頼されたサービスへのアクセスをプログラムで無効にするには、 AWS Organizations API の [DisableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html) オペレーションを使用します。`ServicePrincipal` パラメータでは、Macie サービスプリンシパル `macie.amazonaws.com` を指定します。

[AWS Command Line Interface （AWS CLI）](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html) を使用して信頼されたサービスアクセスを無効にするには、 AWS Organizations API の [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html) コマンドを実行します。`service-principal` パラメータでは、Macie サービスプリンシパル `macie.amazonaws.com` を指定します。以下に例を示します。

```
C:\> aws organizations disable-aws-service-access --service-principal macie.amazonaws.com
```

------

# 招待による複数の Macie アカウントの管理
<a name="accounts-mgmt-invitations"></a>

**注記**  
メンバーアカウントを管理するには、Macie の招待 AWS Organizations の代わりに を使用することをお勧めします。詳細については、「[を使用した複数の Macie アカウントの管理 AWS Organizations](accounts-mgmt-ao.md)」を参照してください。

Macie を と統合するか、メンバーシップの招待を使用することで、2 つの方法で複数の Amazon Macie アカウントを一元管理できます。 AWS Organizations メンバーシップの招待を使用する場合、指定 Macie 管理者は最大 1,000 アカウントの Macie を管理できます。管理者は、Amazon Simple Storage Service (Amazon S3) のインベントリデータにアクセスし、アカウントが所有する S3 バケット内の機密データを検出することもできます。管理者が実行できるタスクの詳細については、[Macie 管理者とメンバーアカウントの関係](accounts-mgmt-relationships.md)を参照してください。

招待ベースの組織では、Macie でメンバーシップ招待を送信および受け入れることで、Macie アカウントを相互に関連付けます。招待を送信し、別のアカウントによって受け入れられた場合、お客様は他のアカウントの Macie 管理者になり、他方のアカウントは組織のメンバーアカウントになります。招待を受け取って受け入れると、お客様のアカウントはメンバーアカウントになり、Macie 管理者はアカウントの特定の Macie 設定、データ、およびリソースにアクセスできるようになります。

Macie で招待ベースの組織を作成する場合は、後で代わりに [AWS Organizationsの使用に移行](accounts-mgmt-invitations-notes.md#accounts-mgmt-invitations-notes-transition-ao)します。両方の方法を同時に使用して、複数の Macie アカウントを管理することもできます。たとえば、 AWS 環境にテストアカウントが含まれている場合は、 の組織からアカウントを除外 AWS Organizations し、招待によって個別に管理できます。

このセクションのトピックでは、招待ベースの組織を作成して参加する方法、および組織のさまざまな管理タスクを実行する方法について説明します。

**Topics**
+ [考慮事項とレコメンデーション](accounts-mgmt-invitations-notes.md)
+ [組織の作成と管理](accounts-mgmt-invitations-administer.md)
+ [組織のアカウントの確認](accounts-mgmt-invitations-review.md)
+ [管理者アカウントの変更](accounts-mgmt-invitations-admin-change.md)
+ [組織内のメンバーシップを管理する](accounts-mgmt-invitations-membership-manage.md)

# Macie 内の招待ベースの組織に関する考慮事項
<a name="accounts-mgmt-invitations-notes"></a>

**注記**  
メンバーアカウントを管理するには、Macie の招待 AWS Organizations の代わりに を使用することをお勧めします。詳細については、「[を使用した複数の Macie アカウントの管理 AWS Organizations](accounts-mgmt-ao.md)」を参照してください。

Amazon Macie で招待ベースの組織を作成または管理する前に、次の要件とレコメンデーションを検討してください。また、[Macie 管理者アカウントとメンバーアカウントの関係](accounts-mgmt-relationships.md)を理解してください。

**Topics**
+ [Macie 管理者アカウントの選択](#accounts-mgmt-invitations-notes-admin-designate)
+ [招待の送信と Macie メンバーアカウントの管理](#accounts-mgmt-invitations-notes-members-manage)
+ [メンバーシップの招待への応答と管理](#accounts-mgmt-invitations-notes-invitations-manage)
+ [への移行 AWS Organizations](#accounts-mgmt-invitations-notes-transition-ao)

## Macie 管理者アカウントの選択
<a name="accounts-mgmt-invitations-notes-admin-designate"></a>

組織の Macie 管理者アカウントにするアカウントを決定する際には、次の点に注意してください。
+ 組織が持つことができる Macie 管理者アカウントは 1 つのみです。
+ アカウントを Macie 管理者とメンバーアカウントに同時に設定することはできません。
+ Macie はリージョンでのサービスです。つまり、Macie 管理者アカウントとメンバーアカウント間の関連付けはリージョン別です。関連付けは、招待が送信および承諾 AWS リージョン される にのみ存在します。たとえば、Macie 管理者が米国東部 (バージニア北部) リージョンで招待を送信し、それらの招待が受け入れられる場合、Macie 管理者はそのリージョン内のメンバーアカウントのみを管理できます。
+ Macie アカウントを複数の で一元管理するには AWS リージョン、Macie 管理者は、組織が現在 Macie を使用している、または使用する予定の各リージョンにサインインし、それらの各リージョンの適切なアカウントに招待を送信する必要があります。Macie が現在利用可能なリージョンの一覧については、AWS 全般のリファレンスの [Amazon Macie エンドポイントとクォータ](https://docs.aws.amazon.com/general/latest/gr/macie.html)を参照してください。
+ メンバーアカウントは、一度に 1 つの Macie 管理者アカウントのみと関連付けることができます。組織が複数のリージョンで Macie を使用している場合、これは Macie 管理者アカウントがそれらのすべてのリージョンで同じである必要があることを意味します。ただし、管理者アカウントとメンバーアカウントは、各リージョンで個別に招待を送信および受け入れる必要があります。

Macie 管理者の AWS アカウント が停止、分離、または閉鎖されている場合、関連するすべてのメンバーアカウントはメンバーアカウントとして自動的に削除されますが、Macie はアカウントに対して引き続き有効になります。それらのアカウントはスタンドアロンの Macie アカウントになります。[機密データ自動検出](discovery-asdd.md)は、メンバーアカウントで有効になっている場合、そのアカウントに対して無効になります。これにより、Macie が作成して、アカウントの自動検出の実行中に直接提供した統計データ、インベントリデータ、その他の情報にアクセスできなくなります。30 日後、このデータは期限切れになり、Macie はそのデータを完全に削除します。有効期限が切れる前にデータへのアクセスを復元するには、Macie 管理者の AWS アカウントを復元し、そのアカウントを使用して、組織を再度作成して設定します。

## 招待の送信と Macie メンバーアカウントの管理
<a name="accounts-mgmt-invitations-notes-members-manage"></a>

招待ベースの組織の Macie 管理者として、招待を送信し、組織内のアカウントを管理するときは、次の点に注意してください。
+ 招待を送信すると、関連データが転送される可能性があります AWS リージョン。これは、Macie が 米国東部 (バージニア北部) リージョンでのみ動作する E メール検証サービスを使用して、受信アカウントの E メールアドレスを検証するためです。
+ Macie を有効にしていないアカウントを含め AWS アカウント、アクティブなすべての に招待を送信できます。ただし、招待を受け入れまたは拒否するには、受信アカウントは招待の送信元のリージョンで Macie を有効化する必要があります。
+ 各 Macie 管理者アカウントは AWS リージョン、招待によって 1,000 個以下のアカウントに関連付けることができます。これには、まだ招待に応答していないアカウントも含まれます。アカウントがこのクォータを満たしている場合、アカウントをさらに追加または招待することはできません。アカウントに現在関連付けられているアカウントの数を確認するには、Amazon Macie コンソールの **アカウント** ページまたは Amazon Macie API の [ListMembers](https://docs.aws.amazon.com/macie/latest/APIReference/members.html) オペレーションを使用できます。詳細については、「[招待ベースの組織の Amazon Macie アカウントの確認](accounts-mgmt-invitations-review.md)」を参照してください。

  関連付けられているアカウントの数を減らすには、現在メンバーアカウントではないアカウントとの関連付けを削除するか、必要な数のメンバーアカウントを削除するか、または 2 つの組み合わせを使用します。アカウントが組織から脱退したり、送信した招待を拒否したりすると、アカウントに関連付けられているアカウントの数も減ります。
+ アカウントは、一度に 1 つの Macie 管理者アカウントのみと関連付けることができます。これは、アカウントが別の Macie 管理者アカウントに既に関連付けられている場合、お客様の招待は受け入れられないことを意味します。アカウントは、まず現在の Macie 管理者アカウントから関連付けを解除する必要があります。
+ 招待ベースの組織では、メンバーアカウントはいつでも Macie 管理者アカウントから関連付けを解除できます。この場合、Macie はアカウントに対して引き続き有効化されますが、アカウントはスタンドアロンの Macie アカウントになります。Macie は、メンバーアカウントが管理者アカウントから関連付けを解除してもお客様に通知しません。ただし、アカウントは引き続きアカウントのインベントリに表示され、**メンバー退会済み** ステータスとなります。
+ 組織からメンバーアカウントを削除しても、Macie はそのアカウントに対して引き続き有効化されます。アカウントはスタンドアロンの Macie アカウントになります。

## メンバーシップの招待への応答と管理
<a name="accounts-mgmt-invitations-notes-invitations-manage"></a>

招待の受信者または招待ベースの組織のメンバーとして、受け取った招待に応答して管理するときは、次の点に注意してください。
+ 招待を受け入れる前に、[Macie 管理者アカウントとメンバーアカウントの関係を理解](accounts-mgmt-relationships.md)してください。
+ アカウントは、一度に 1 つの Macie 管理者アカウントのみと関連付けることができます。招待を受け入れた後に別の組織に参加する場合は (招待または を通じて AWS Organizations)、まず現在の Macie 管理者アカウントからアカウントの関連付けを解除する必要があります。その後、他の組織に参加できます。
+ 招待を受け入れまたは拒否するには、招待の送信元の AWS リージョン 内の Macie を有効化する必要があります。招待を送信したアカウントは、そのリージョンで Macie を有効化することはできません。招待の拒否はオプションです。招待を拒否した場合、招待を拒否した後に、必要に応じて該当するリージョンで Macie を無効にできます。
+ Macie 管理者の場合、メンバーアカウントになるための招待を受け入れることはできません。アカウントを Macie 管理者とメンバーアカウントに同時に設定することはできません。メンバーアカウントになるには、まず現在の組織からすべてのメンバーアカウントを削除して、すべてのメンバーアカウントからアカウントの関連付けを解除する必要があります。
+ Macie はリージョンでのサービスです。招待を承諾した場合、アカウントと Macie 管理者アカウントとの関連付けはリージョン別です。関連付けは、招待が送信および承諾された AWS リージョン にのみ存在します。
+ Macie を複数のリージョンで使用する場合、アカウントの Macie 管理者アカウントは、それらのすべてのリージョンで同じである必要があります。ただし、Macie 管理者は各リージョンで個別に招待を送信する必要があり、お客様は各リージョンで個別に招待を受け入れる必要があります。
+ Macie 管理者アカウントからいつでもお客様のアカウントの関連付けを解除できます。同様に、Macie 管理者はいつでも組織からアカウントを削除できます。これらのいずれかが実行された場合:
  + Macie は引き続きそのアカウントに対して有効化されます。アカウントはスタンドアロンの Macie アカウントになります。
  + 機密データ自動検出は、有効になっている場合、そのアカウントに対して無効になります。これにより、Macie が作成して、アカウントの自動検出の実行中に直接提供した既存の統計データ、インベントリデータ、その他の情報にアクセスできなくなります。アカウントの自動検出は、再度有効にできます。ただし、既存のデータへのアクセスは復元されません。代わりに、Macie はお客様のアカウントの自動検出を実行しながら、そのアカウントに対して新しいデータを作成して維持します。

## への移行 AWS Organizations
<a name="accounts-mgmt-invitations-notes-transition-ao"></a>

Macie で招待ベースの組織を作成したら、 AWS Organizations 代わりに の使用に移行できます。移行を簡素化するために、 AWS Organizations内で組織の Macie 管理者アカウントとして、既存の招待ベースの管理者アカウントを指定することをお勧めします。

これを行うと、現在関連付けられているすべてのメンバーアカウントが引き続きメンバーになります。メンバーアカウントが の組織の一部である場合 AWS Organizations、アカウントの関連付けは Macie **の Via への招待**によって から自動的に変更されます。 ** AWS Organizations**メンバーアカウントが の組織に含まれていない場合 AWS Organizations、アカウントの関連付けは**引き続き招待によって**行われます。どちらの場合も、アカウントは引き続きメンバーアカウントとして Macie 管理者アカウントに関連付けられます。機密データ検出の場合、これは、Macie が生成して直接提供した統計データやその他のデータにアカウントが引き続きアクセスできることを意味します。さらに、Macie 管理者がアカウントのデータを分析するために機密データ検出ジョブを設定した場合、その後のジョブ実行には引き続きアカウントが所有するリソースが含まれます。

メンバーアカウントは一度に 1 つの Macie 管理者アカウントのみと関連付けることができるため、この方法をお勧めします。別のアカウントを の組織の Macie 管理者アカウントとして指定すると AWS Organizations、指定された管理者は招待によって別の Macie 管理者アカウントに既に関連付けられているアカウントを管理できなくなります。各メンバーアカウントは、まず現在の招待ベースの管理者アカウントから関連付けを解除する必要があります。その後のみ、 AWS Organizations 組織の Macie 管理者はメンバーアカウントを組織に追加し、アカウントの Macie の管理を開始できます。

Macie を と統合 AWS Organizations し、Macie で組織を設定したら、必要に応じて組織の別の Macie 管理者アカウントを指定できます。招待を引き続き使用して、 AWS Organizations内で組織の一部ではないメンバーアカウントを関連付けて管理することもできます。

Macie と の統合の詳細については AWS Organizations、「」を参照してください[を使用した複数の Macie アカウントの管理 AWS Organizations](accounts-mgmt-ao.md)。

# Macie で招待ベースの組織を作成して管理する
<a name="accounts-mgmt-invitations-administer"></a>

**注記**  
メンバーアカウントを管理するには、Macie の招待 AWS Organizations の代わりに を使用することをお勧めします。詳細については、「[を使用した複数の Macie アカウントの管理 AWS Organizations](accounts-mgmt-ao.md)」を参照してください。

Amazon Macie で招待ベースの組織を作成するには、まず、組織の Macie 管理者アカウントにするアカウントを決定します。次に、そのアカウントを使用してメンバーアカウントを追加します。他の にメンバーシップの招待を送信し AWS アカウント、そのアカウントを現在の の Macie メンバーアカウントとして組織に招待します AWS リージョン。複数のリージョンで組織を作成するには、他のアカウントが Macie を現在使用しているか、使用する予定の各リージョンからメンバーシップの招待を送信します。

アカウントが招待を受け入れると、そのアカウントは該当するリージョンの Macie 管理者アカウントに関連付けられた Macie メンバーアカウントになります。その後、Macie 管理者アカウントは、そのリージョン内のメンバーアカウントの特定の Macie 設定、データ、およびリソースにアクセスできます。

招待ベースの組織の Macie 管理者として、お客様は Amazon Simple Storage Service (Amazon S3) のインベントリデータとメンバーアカウントのポリシー結果を確認できます。また、機密データ自動検出を有効にし、機密データ検出ジョブを実行して、メンバーアカウントが所有する S3 バケット内の機密データを検出することもできます。実行できるタスクの詳細なリストについては、[Macie 管理者とメンバーアカウントの関係](accounts-mgmt-relationships.md)を参照してください。

デフォルトでは、Macie は、組織全体の関連データとリソースを可視化します。ドリルダウンして、組織内の個々のアカウントのデータとリソースを確認することもできます。たとえば、[概要ダッシュボードを使用](monitoring-s3-dashboard.md)して、組織の Amazon S3 セキュリティ体制を評価する場合は、アカウントごとにデータをフィルタリングできます。同様に、[推定使用量のコストをモニタリングする](account-mgmt-costs.md)場合は、個々のメンバーアカウントの推定コストの内訳にアクセスできます。

管理者およびメンバーアカウントに共通するタスクに加えて、組織のさまざまな管理タスクを一元的に実行できます。これらのタスクを実行する前に、Macie で招待ベースの組織を管理するために、[考慮事項とレコメンデーション](accounts-mgmt-invitations-notes.md)を確認することをお勧めします。

**Topics**
+ [メンバーアカウントを組織に追加する](#accounts-mgmt-invitations-members-add)
+ [メンバーアカウントの メイシーを一時停止](#accounts-mgmt-invitations-members-suspend)
+ [メンバーアカウントの削除](#accounts-mgmt-invitations-members-remove)
+ [他のアカウントとの関連付けを削除する](#accounts-mgmt-invitations-members-disassociate)

## Macie メンバーアカウントを招待ベースの組織に追加する
<a name="accounts-mgmt-invitations-members-add"></a>

招待ベースの組織の Amazon Macie 管理者は、2 つの主なステップを実行し、組織にメンバーアカウントを追加できます。

1. Macie のアカウントインベントリにお客様のアカウントを追加します。これによりそのアカウントをお客様のアカウントに関連付けます。

1. メンバーシップの招待をアカウントに送信します。

アカウントがお客様の招待を受け入れると、それは組織のメンバーアカウントになります。

### ステップ 1: アカウントを追加する
<a name="accounts-mgmt-invitations-members-add-associate"></a>

1 つ以上のアカウントをアカウントインベントリに追加するには、Amazon Macie コンソールまたは Amazon Macie API を使用することができます。

------
#### [ Console ]

Amazon Macie コンソールでは、一度に 1 つのアカウントを追加したり、カンマ区切り値 (CSV) ファイルをアップロードして複数のアカウントを同時に追加したりできます。コンソールを使用して 1 つ以上のアカウントを追加するには、次のステップに従います。

**1 つのアカウントを追加するには**

1. Amazon Macie コンソール ([https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)) を開きます。

1. ページの右上隅にある AWS リージョン セレクターを使用して、アカウントを追加するリージョンを選択します。

1. ナビゲーションペインで、**[Accounts]** (アカウント) を選択します。**[アカウント]** ページが開き、お客様のアカウントに現在関連付けられているアカウントのテーブルが表示されます。

1. **アカウントの追加**を選択します。

1. **[アカウントの詳細を入力]** セクションで、**[アカウントを追加]** を選択します。次に、以下の操作を実行します。
   + **アカウント ID** には、追加 AWS アカウント する の 12 桁のアカウント ID を入力します。
   + **E メールアドレス**には、追加 AWS アカウント する の E メールアドレスを入力します。

1. **[Add]** (追加) を選択します。

1. ページの最下部にある **[Next]** (次へ) を選択します。

Macie はアカウントインベントリにアカウントを追加します。アカウントのタイプは **招待により**で、そのステータスは **作成済み**です。追加のリージョンにアカウントを追加するには、追加のリージョンごとに前述のステップを繰り返します。

**複数のアカウントを追加するには**

1. テキストエディタを使用して、次のように CSV ファイルを作成します。

   1. ファイルの最初の行として、次のヘッダーを追加します: `Account ID,Email`

   1. アカウントごとに、 AWS アカウント 追加する の 12 桁のアカウント ID とアカウントの E メールアドレスを含む新しい行を作成します。エントリをカンマで区切ります。例: `111111111111,janedoe@example.com`

      E メールアドレスは、 AWS アカウントと関連付けられた E メールアドレスと一致する必要があります。

   1. ファイルの内容が、次の例に示すようにフォーマットされていることを確認します。これには、3 つのアカウントの必須ヘッダーと情報が含まれています。

      ```
      Account ID,Email
      111111111111,janedoe@example.com
      222222222222,jorgesouza@example.com
      333333333333,lijuan@example.com
      ```

   1. ファイルをコンピュータに保存します。

1. Amazon Macie コンソール ([https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)) を開きます。

1. ページの右上隅にある AWS リージョン セレクターを使用して、アカウントを追加するリージョンを選択します。

1. ナビゲーションペインで、**[Accounts]** (アカウント) を選択します。**[アカウント]** ページが開き、お客様のアカウントに現在関連付けられているアカウントのテーブルが表示されます。

1. **アカウントの追加**を選択します。

1. **[アカウントの詳細を入力]** セクションで、**[リスト (CSV) をアップロード]** を選択します。

1. **参照**を選択し、ステップ 1 で作成した CSV ファイルを選択します。

1. **アカウントの追加**を選択します。

1. ページの最下部にある **[Next]** (次へ) を選択します。

Macie はアカウントインベントリにそれらのアカウントを追加します。それらのタイプは **招待により**で、それらのステータスは **作成済み**です。追加のリージョンにアカウントを追加するには、追加のリージョンごとにステップ 3～8 を繰り返します。

------
#### [ API ]

1 つ以上のアカウントをプログラムで追加するには、Amazon Macie APIの [CreateMember](https://docs.aws.amazon.com/macie/latest/APIReference/members.html) オペレーションを使用します。リクエストを送信するときは、サポートされているパラメータを使用して、追加 AWS アカウント する各 の 12 桁のアカウント ID と E メールアドレスを指定します。また、リクエストが適用されるリージョンも指定します。追加のリージョンでアカウントを追加するには、追加のリージョンごとにリクエストを送信します。

 AWS Command Line Interface (AWS CLI) を使用してアカウントを追加するには、[create-member](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/create-member.html) コマンドを実行します。`region` パラメータを使用して、アカウントを追加するリージョンを指定します。`account` パラメータを使用して、追加 AWS アカウント する各 のアカウント ID と E メールアドレスを指定します。例えば、次のようになります。

```
C:\> aws macie2 create-member --region us-east-1 --account={\"accountId\":\"111111111111\",\"email\":\"janedoe@example.com\"}
```

ここで、*us-east-1* は、アカウントを追加するリージョン (米国東部 (バージニア北部) リージョン) であり、`account` パラメータは、追加するアカウントのアカウント ID (*111111111111*) とそのアカウントの E メールアドレス (*janedoe@example.com*) を指定します。

リクエストが成功すると、Macie は `Created` のステータスでアカウントのインベントリに各アカウントを追加し、お客様は次のような出力を受け取ります。

```
{
    "arn": "arn:aws:macie2:us-east-1:123456789012:member/111111111111"
}
```

ここで、`arn` は、お客様のアカウントと追加したアカウントとの関連付けのために作成されたリソースの Amazon リソースネーム (ARN) です。この例では、`123456789012` は関連付けを作成したアカウントのアカウント IDで、`111111111111` は追加されたアカウントのアカウント ID です。

------

### ステップ 2: アカウントへメンバーシップの招待を送信する
<a name="accounts-mgmt-invitations-members-add-invite"></a>

アカウントインベントリにアカウントを追加した後、そのアカウントを招待して Macie メンバーアカウントとして組織に参加させることができます。これを行うには、アカウントにメンバーシップの招待を送信します。招待を送信すると、アカウントで Macie が有効化されている場合、受信者のアカウントの Amazon Macie コンソールに **アカウント** バッジと通知が表示されます。Macie はアカウントの AWS Health イベントも作成します。

Amazon Macie コンソールまたは API を使用して招待を送信するかどうかに応じて、Macie は、アカウントを追加したときに受信者のアカウントで指定した E メールアドレスにも招待を送信します。E メールメッセージは、お客様が彼らのアカウントの Macie 管理者になりたいことを示し、それにはお客様の AWS アカウント のアカウント ID と受信者の AWS アカウントが含まれています。メッセージは、招待へのアクセス方法も説明しています。オプションで、メッセージにカスタムテキストを追加できます。

1 つ以上のアカウントにメンバーシップの招待を送信するには、Amazon Macie コンソールまたは Amazon Macie API を使用できます。

------
#### [ Console ]

Amazon Macie コンソールを使用してメンバーシップの招待を送信するには、次のステップに従います。

**メンバーシップの招待を送信するには**

1. Amazon Macie コンソール ([https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)) を開きます。

1. ページの右上隅にある AWS リージョン セレクターを使用して、招待を送信するリージョンを選択します。

1. ナビゲーションペインで、**[Accounts]** (アカウント) を選択します。**[アカウント]** ページが開き、お客様のアカウントに現在関連付けられているアカウントのテーブルが表示されます。

1. **既存のアカウント** テーブルで、招待を送信する各アカウントのチェックボックスをオンにします。
**ヒント**  
追加したアカウントや、招待をまだ送信していないアカウントをより簡単に識別するには、テーブルをフィルタリングします。これを行うには、テーブルの上にあるフィルターボックスにカーソルを置き、**[ステータス]** を選択します。次に **[ステータス = 作成済み]**を選択します。

1. **アクション**メニューで、**招待**を選択します。

1. (オプション) **メッセージ**ボックスに、招待を含む E メールメッセージに含めるカスタムテキストを入力します。テキストには最大 80 文字の英数字を含めることができます。

1. **招待**を選択します。

追加で招待を送信するには AWS リージョン、追加のリージョンごとに前述のステップを繰り返します。

招待を送信すると、受信者アカウントのステータスがアカウントのインベントリで **E メール認証中**に変わります。Macie がアカウントの E メールアドレスを確認できる場合、その後アカウントのステータスは **招待済み**に変わります。Macie がアドレスを確認できない場合、アカウントのステータスは **E メール認証に失敗しました**に変わります。このような場合は、アカウントの所有者と協力して、正しい E メールアドレスを取得してください。次に、[アカウント間の関連付けを削除](#accounts-mgmt-invitations-members-disassociate)し、もう一度[アカウントを追加](#accounts-mgmt-invitations-members-add-associate)し、再度招待を送信します。

受信者が招待を受け入れると、受信者のアカウントのステータスはアカウントのインベントリで **Enabled** (有効) に変わります 。受信者が招待を拒否すると、お客様のアカウントから受信者のアカウントの関連付けが解除され、お客様のアカウントのインベントリから削除されます。

------
#### [ API ]

プログラムで招待を送信するには、Amazon Macie API の [CreateInvitations](https://docs.aws.amazon.com/macie/latest/APIReference/invitations.html) オペレーションを使用します。リクエストを送信するときは、サポートされているパラメータを使用して、招待 AWS アカウント を送信する各 の 12 桁のアカウント ID を指定します。アカウント ID は、アカウントのインベントリ内のアカウントのアカウント ID と一致する必要があります。それ以外の場合は、エラーが発生します。招待の送信元のリージョンも指定します。追加のリージョンから招待を送信するには、追加のリージョンごとにリクエストを送信します。

リクエストでは、招待を E メールメッセージとして送信するかどうか、およびそのメッセージにカスタムテキストを含めるかどうかを指定することもできます。E メールメッセージを送信することを選択した場合、Macie は、アカウントのインベントリにアカウントを追加したときにアカウントで指定した E メールアドレスに招待を送信します。招待を E メールメッセージとして送信するには、`disableEmailNotification` パラメータを省略するか、パラメータの値を `false` に設定します。。(デフォルト値は`false`です。) メッセージにカスタムテキストを追加するには、`message` パラメータを使用して、追加するテキストを指定します。テキストには最大 80 文字の英数字を含めることができます。

を使用して招待を送信するには AWS CLI、[create-invitations](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/create-invitations.html) コマンドを実行します。`region` パラメータを使用して、招待の送信元のリージョンを指定します。`account-ids` パラメータを使用して、招待の送信先の各 AWS アカウント のアカウント ID を指定します。例: 

```
C:\> aws macie2 create-invitations --region us-east-1 --account-ids=[\"111111111111\",\"222222222222\",\"333333333333\"]
```

ここで、*us-east-1* は招待の送信元のリージョン (米国東部 (バージニア北部) リージョン) で、`account-ids` パラメータは、招待の送信先の 3 つのアカウントのアカウント ID を指定します。招待を E メールメッセージとして送信する場合も、`no-disable-email-notification` パラメータも含め、オプションで `message` パラメータを含めて、メッセージに追加するカスタムテキストを指定します。

招待を送信すると、各受信者アカウントのステータスが `EmailVerificationInProgress` に変わります。Macie がアカウントの E メールアドレスを確認できる場合、その後アカウントのステータスは `Invited` に変わります。Macie がアドレスを確認できない場合、アカウントのステータスは `EmailVerificationFailed` に変わります。このような場合は、アカウントの所有者と協力して正しいアドレスを取得してください。次に、[アカウント間の関連付けを削除](#accounts-mgmt-invitations-members-disassociate)し、もう一度[アカウントを追加](#accounts-mgmt-invitations-members-add-associate)し、再度招待を送信します。

受信者が招待を受け入れると、受信者のアカウントのステータスはアカウントのインベントリで `Enabled` に変わります 。受信者が招待を拒否すると、お客様のアカウントから受信者のアカウントの関連付けが解除され、お客様のアカウントのインベントリから削除されます。

------

## 招待ベースの組織内のメンバーアカウントに対して Macie を一時停止する
<a name="accounts-mgmt-invitations-members-suspend"></a>

組織の Amazon Macie 管理者は、組織内の個別のメンバーアカウントに対して特定の AWS リージョン の Macie を停止できます。ただし、停止した後、メンバーアカウントで Macie を再度有効化できないことに注意してください。その後、アカウントのユーザーのみがアカウントの Macie を再度有効化できます。

メンバーアカウントの メイシーを一時停止と、次のようになります。
+ Macie は、リージョン内のアカウントの Amazon S3 データに関するメタデータへのアクセスを失い、提供を停止します。
+ Macie は、リージョン内のアカウントのすべてのアクティビティの実行を停止します。これには、セキュリティとアクセスコントロールのための S3 バケットのモニタリング、機密データ自動検出、および現在進行中の機密データ検出ジョブの実行などが含まれます。
+ Macie は、リージョン内のアカウントによって作成された機密データ検出ジョブをすべてキャンセルします。ジョブがキャンセルされた後は、ジョブを再開したり再起動したりすることはできません。メンバーアカウントが所有するデータを分析するためのジョブを作成した場合、Macie はジョブをキャンセルしません。代わりに、ジョブはアカウントが所有するリソースをスキップします。

停止中、Macie は、該当するリージョンのアカウントに対して保存または維持する Macie セッション識別子、設定、およびリソースを保持します。Macie は、リージョン内のアカウントの特定のデータも保持します。たとえば、アカウントの調査結果はそのまま残り、最大 90 日間は影響を受けません。アカウントで機密データの自動検出が有効になっている場合、既存の結果もそのまま残り、最大 30 日間影響を受けません。そのリージョン内のアカウントで Macie が停止されている間、アカウントは該当するリージョン内での Macie の使用に対して請求されません。

**招待ベースの組織内のメンバーアカウントの メイシーを一時停止には**  
招待ベースの組織内のメンバーアカウントの メイシーを一時停止には、Amazon Macie コンソールまたは Amazon Macie API を使用できます。

------
#### [ Console ]

Amazon Macie コンソールを使用してメンバーアカウントの メイシーを一時停止には、次のステップに従います。

**メンバーアカウントの メイシーを一時停止には**

1. Amazon Macie コンソール ([https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)) を開きます。

1. ページの右上隅にある AWS リージョン セレクターを使用して、メンバーアカウントの Macie を停止するリージョンを選択します。

1. ナビゲーションペインで、**[Accounts]** (アカウント) を選択します。**[アカウント]** ページが開き、お客様のアカウントに現在関連付けられているアカウントのテーブルが表示されます。

1. **既存のアカウント**テーブルで、Macie を停止するアカウントのチェックボックスをオンにします。

1. **アクション** (アクション)メニューで、**メイシーを一時停止** を選択します。

1. 選択したアカウントの メイシーを一時停止ことを確認します。

停止を確認すると、アカウントのステータスがインベントリで **一時停止 (停止)** に変わります。

追加のリージョンでアカウントの Macie を停止するには、追加のリージョンごとに前述のステップを繰り返します。

------
#### [ API ]

メンバーアカウントの Macie をプログラムで停止するには、Amazon Macie API の [UpdateMemberSession](https://docs.aws.amazon.com/macie/latest/APIReference/macie-members-id.html) オペレーションを使用します。リクエストを送信するときは、 `id`パラメータを使用して、Macie を停止 AWS アカウント する の 12 桁のアカウント ID を指定します。`status` パラメータで、Macie の新しいステータス`PAUSED`として を指定します。また、リクエストが適用されるリージョンも指定します。追加のリージョンでメイシーを一時停止には、追加のリージョンごとにリクエストを送信します。

メンバーアカウントのアカウント ID を取得するには、Amazon Macie API の [ListMembers](https://docs.aws.amazon.com/macie/latest/APIReference/members.html) オペレーションを使用できます。これを実行する場合は、リクエストに `onlyAssociated` パラメータを含めることで結果をフィルタリングすることを検討してください。このパラメータの値を `true` に設定した場合、Macie は現在管理者アカウントのメンバーアカウントであるアカウントのみの詳細を提供する `members` 配列を返します。

を使用してメンバーアカウントの Macie を停止するには AWS CLI、[update-member-session](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/update-member-session.html) コマンドを実行します。`region` パラメータを使用して、Macie を停止するリージョンを指定します。`id` パラメータを使用して、Macie を停止するアカウントのアカウント ID を指定します。`status` パラメータでは、`PAUSED` を指定します。例: 

```
C:\> aws macie2 update-member-session --region us-east-1 --id 123456789012 --status PAUSED
```

ここで、*us-east-1* は メイシーを一時停止リージョン (米国東部 (バージニア北部) リージョン) であり、*123456789012* は メイシーを一時停止アカウントのアカウント ID であり、`PAUSED` はそのアカウントの Macie の新しいステータスです。

リクエストが成功すると、Macie は空のレスポンスを返し、指定されたアカウントのステータスはアカウントのインベントリの `Paused` に変わります。

------

## 招待ベースの組織から Macie メンバーアカウントを削除する
<a name="accounts-mgmt-invitations-members-remove"></a>

Amazon Macie 管理者は、組織からメンバーアカウントを削除できます。これを行うには、Macie 管理者アカウントからそのアカウントの関連付けを解除します。

メンバーアカウントを削除しても、Macie はそのアカウントに対して引き続き有効化され、アカウントは引き続きアカウントのインベントリに表示されます。ただし、そのアカウントがスタンドアロンの Macie アカウントになります。Macie は、お客様がアカウントを削除しても、アカウントの所有者に通知しません。したがって、アカウント所有者に連絡して、アカウントの設定とリソースの管理を開始してもらうことを検討してください。

メンバーアカウントを削除すると、アカウントのすべての Macie 設定、リソース、およびデータへのアクセスが失われます。これには、そのアカウントが所有するS3バケットのポリシー所見とメタデータが含まれます。さらに、アカウントが所有するS3バケット内の機密データを発見するためにMacieを使用することはできなくなりました。このために機密データ検出ジョブを作成済みの場合、ジョブはアカウントが所有するバケットをスキップします。アカウントの機密データ自動検出を有効にした場合、お客様とアカウントの両方とも、Macie が作成して、アカウントの自動検出の実行中に直接提供した統計データ、インベントリデータ、およびその他の情報にアクセスできなくなります。

メンバーアカウントを削除した後、アカウントに新しい招待を送信して、組織にアカウントを再度追加できます。アカウントが新しい招待を受け入れ、30 日以内に機密データの自動検出を有効にした場合、アカウントの自動検出の実行中に Macie が以前に生成して直接提供したデータや情報へのアクセスも回復します。さらに、既存のジョブの後続の実行には、アカウントの S3 バケットが再度含まれます。

メンバーアカウントを削除して再度追加する予定がない場合は、アカウントインベントリから完全に削除できます。この方法の詳細は、「[他のアカウントとの関連付けを削除する](#accounts-mgmt-invitations-members-disassociate)」を参照してください。

**招待ベースの組織からメンバーアカウントを削除するには**  
組織からメンバーアカウントを削除するには、Amazon Macie コンソールまたは Amazon Macie API を使用できます。

------
#### [ Console ]

Amazon Macie コンソールを使用してメンバーアカウントを削除するには、次のステップに従います。

**メンバーアカウントを削除するには**

1. Amazon Macie コンソール ([https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)) を開きます。

1. ページの右上隅にある AWS リージョン セレクターを使用して、メンバーアカウントを削除するリージョンを選択します。

1. ナビゲーションペインで、**[Accounts]** (アカウント) を選択します。**[アカウント]** ページが開き、お客様のアカウントに現在関連付けられているアカウントのテーブルが表示されます。

1. **既存のアカウント**テーブルで、削除するアカウントのチェックボックスをオンにします。

1. **アクション** メニューで、**Disassociate account** (アカウントの関連付けを解除する) を選択します。

1. 選択されたアカウントをメンバーアカウントとして削除することを確認します。

選択を確認すると、アカウントのステータスが、アカウントのインベントリで **Removed (disassociated)** (削除 (関連付け解除)) に変わります。

追加のリージョンでメンバーアカウントを削除するには、追加のリージョンごとに前述のステップを繰り返します。

------
#### [ API ]

メンバーアカウントをプログラムで削除するには、Amazon Macie APIの [DisassociateMember](https://docs.aws.amazon.com/macie/latest/APIReference/members-disassociate-id.html) オペレーションを使用します。リクエストを送信するときは、 `id`パラメータを使用して、削除するメンバーアカウントの 12 桁の AWS アカウント ID を指定します。また、リクエストが適用されるリージョンも指定します。追加のリージョン内のアカウントを削除するには、追加のリージョンごとにリクエストを送信します。

削除するアカウントのアカウント ID を取得するには、Amazon Macie API の [ListMembers](https://docs.aws.amazon.com/macie/latest/APIReference/members.html) オペレーションを使用できます。これを実行する場合は、リクエストに `onlyAssociated` パラメータを含めることで結果をフィルタリングすることを検討してください。このパラメータの値を `true` に設定した場合、Macie は現在お客様のアカウントのメンバーアカウントであるアカウントのみの詳細を提供する `members` 配列を返します。

を使用してメンバーアカウントを削除するには AWS CLI、[disassociate-member](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/disassociate-member.html) コマンドを実行します。`region` パラメータを使用して、アカウントを削除するリージョンを指定します。`id` パラメータを使用して、削除するアカウントのアカウント ID を指定します。例: 

```
C:\> aws macie2 disassociate-member --region us-east-1 --id 123456789012
```

ここで、*us-east-1* は、アカウントを削除するリージョン (米国東部 (バージニア北部) リージョン) であり、*123456789012* は削除するアカウントのアカウント ID です。

リクエストが成功すると、Macie は空のレスポンスを返し、指定されたアカウントのステータスはアカウントのインベントリの `Removed` に変わります。

------

## 他のアカウントとの関連付けを削除する
<a name="accounts-mgmt-invitations-members-disassociate"></a>

Amazon Macie のアカウントのインベントリにアカウントを追加すると、お客様のアカウントと他のアカウント間の関連付けを削除できます。この操作は、インベント内の任意のアカウントで実行できますが、以下を除きます。
+  AWS Organizations内の組織の一部であるアカウント このタイプの関連付けは、Macie AWS Organizations ではなく によって制御されます。
+ 組織に参加するための Macie メンバーシップの招待を受け入れたメンバーアカウント。このような場合は、関連付けを削除する前に[メンバーアカウントを削除する](#accounts-mgmt-invitations-members-remove)必要があります。

関連付けを削除すると、Macie はアカウントのインベントリからアカウントを削除します。その後、関連付けを復元する場合は、完全に新しいアカウントの場合と同様にアカウントを再度追加する必要があります。

**別のアカウントとの関連付けを削除するには**  
お客様のアカウントと他のアカウント間の関連付けを削除するには、Amazon Macie コンソールまたは Amazon Macie API を使用できます。

------
#### [ Console ]

Amazon Macie コンソールを使用して別のアカウントとの関連付けを削除するには、次のステップに従います。

**関連付けを削除するには**

1. Amazon Macie コンソール ([https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)) を開きます。

1. ページの右上隅にある AWS リージョン セレクターを使用して、関連付けを削除するリージョンを選択します。

1. ナビゲーションペインで、**[Accounts]** (アカウント) を選択します。**[アカウント]** ページが開き、お客様のアカウントに現在関連付けられているアカウントのテーブルが表示されます。

1. **既存のアカウント**テーブルで、関連付けを削除するアカウントのチェックボックスをオンにします。

1. **Actions** メニューで、**Delete** を選択します。

1. 選択した関連付けを削除することを確認します。

追加のリージョンで関連付けを削除するには、追加のリージョンごとに前述のステップを繰り返します。

------
#### [ API ]

別のアカウントとの関連付けをプログラムで削除するには、Amazon Macie API の [DeleteMember](https://docs.aws.amazon.com/macie/latest/APIReference/members-id.html) オペレーションを使用します。リクエストを送信するときは、 `id`パラメータを使用して、関連付け AWS アカウント を削除する の 12 桁のアカウント ID を指定します。また、リクエストが適用されるリージョンも指定します。追加のリージョンで関連付けを削除するには、追加のリージョンごとにリクエストを送信します。

アカウントのアカウント ID を取得するには、Amazon Macie API の [ListMembers](https://docs.aws.amazon.com/macie/latest/APIReference/members.html) オペレーションを使用できます。これを行う場合は、リクエストに `onlyAssociated` パラメータを含め、パラメータの値を `false` に設定します。オペレーションが成功すると、Macie は、お客様のアカウントに関連付けられているすべてのアカウント (現在メンバーアカウントではないアカウントを含む) の詳細を提供する `members` 配列を返します。

を使用して別のアカウントとの関連付けを削除するには AWS CLI、[delete-member](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/delete-member.html) コマンドを実行します。`region` パラメータを使用して、関連付けを削除するリージョンを指定します。`id` パラメータを使用して、アカウントのアカウント ID を指定します。例えば、次のようになります。

```
C:\> aws macie2 delete-member --region us-east-1 --id 123456789012
```

ここで、*us-east-1* は、他のアカウントとの関連付けを削除するリージョン (米国東部 (バージニア北部) リージョン) であり、*123456789012* はそのアカウントのアカウント ID です。

リクエストが成功すると、Macie は空の応答を返し、お客様のアカウントと他のアカウント間の関連付けは削除されます。以前に関連付けられたアカウントがアカウントのインベントリから削除されます。

------

# 招待ベースの組織の Amazon Macie アカウントの確認
<a name="accounts-mgmt-invitations-review"></a>

**注記**  
メンバーアカウントを管理するには、Macie の招待 AWS Organizations の代わりに を使用することをお勧めします。詳細については、「[を使用した複数の Macie アカウントの管理 AWS Organizations](accounts-mgmt-ao.md)」を参照してください。

招待ベースの組織の Amazon Macie 管理者である場合、Macie によって、Macie を使用する各 AWS リージョン で Macie アカウントに関連付けられているアカウントのインベントリが提供されます。このインベントリを使用すると、組織のアカウント統計と詳細を確認できます。また、これを使用して、メンバーアカウントの[特定の管理タスクを実行し](accounts-mgmt-invitations-administer.md)、アカウントと他のアカウントとの関係のステータスを管理することもできます。

**招待ベースの組織のアカウントを確認するには**  
組織内のアカウントを確認するには、Amazon Macie コンソールまたは Amazon Macie API を使用できます。

------
#### [ Console ]

Amazon Macie コンソールを使用して組織のアカウントを確認するには、次のステップに従います。

**組織のアカウントを確認するには**

1. Amazon Macie コンソール ([https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)) を開きます。

1. ページの右上隅にある AWS リージョン セレクターを使用して、組織のアカウントを確認するリージョンを選択します。

1. ナビゲーションペインで、**[Accounts]** (アカウント) を選択します。

**アカウント**ページが開き、現在の AWS リージョン内で Macie アカウントに関連付けられている集約された統計とアカウントのテーブルが表示されます。

**アカウント**ページの先頭に、次の集約された統計が表示されます。

**経由 AWS Organizations**  
ユーザーが の組織の Macie 管理者である場合 AWS Organizations、**Active** は、 を介してアカウントに関連付けられ、現在組織内の Macie メンバーアカウント AWS Organizations であるアカウントの総数を報告します。Macie はこれらのアカウントに対して有効化されており、お客様はアカウントの Macie 管理者です。  
**[すべて]** では、 AWS Organizationsを通じて、お客様のアカウントに関連付けられているアカウントの総数が報告されます。これには、現在は Macie メンバーアカウントではないアカウントが含まれます。Macie が現在停止しているメンバーアカウントも含まれます。

**招待により**  
**Active** (アクティブ) により、招待ベースの組織内で現在 Macie メンバーアカウントであるアカウントの総数が報告されます。Macie はこれらのアカウントに対して有効化されており、お客様からメンバーシップへの招待を受け入れたため、お客様はアカウントの Macie 管理者です。  
**すべて** により、お客様からの招待に応答していないアカウントを含む、Macie の招待によってお客様のアカウントに関連付けられているアカウントの総数が報告されます。

**アクティブ/すべて**  
**[アクティブ]** では、組織内で Macie が現在有効になっているアカウントの総数が報告されます。これには、自分のアカウントも含まれます。お客様は、 AWS Organizations を通じて、または Macie の招待によって、このようなアカウントの Macie 管理者になります。  
**すべての** は、 を通じて、 AWS Organizations または招待によって、自分のアカウントに関連付けられているアカウントの総数と、自分のアカウントをレポートします。これには、お客様からの Macie メンバーシップ招待に応答していないアカウントも含まれます。また、 を通じてアカウントに関連付けられており AWS Organizations 、現在 Macie メンバーアカウントではないアカウントも含まれます。

テーブルには、現在のリージョン内の各アカウントの詳細が表示されます。テーブルには、Macie の招待によって、または AWS Organizationsを通じて Macie アカウントに関連付けられているすべてのアカウントが含まれます。

**アカウント ID**  
 AWS アカウントのアカウント ID と E メールアドレス。

**名前**  
 AWS アカウントのアカウント名。この値は通常、自分のアカウント、および招待によってお客様のアカウントに関連付けられているアカウントの場合、**[該当なし]** になります。

**タイプ**  
Macie の招待によって、または AWS Organizationsを通じてそのアカウントがお客様のアカウントに関連付けられる方法。自分のアカウントの場合、この値は **[現在のアカウント]** です。

**ステータス**  
お客様のアカウントとそのアカウントの関係のステータス。招待ベースの組織のアカウントの場合 (**タイプ** は **(招待により**) です)、指定できる値は以下のとおりです。  
+ **アカウントが停止** — AWS アカウント が停止されています。
+ **作成済み (招待)**— アカウントを追加しましたが、メンバーシップの招待をそれに送信していません。
+ **E メール認証に失敗しました** — アカウントにメンバーシップの招待を送信しようとしましたが、指定された E メールアドレスがアカウントに対して有効ではありません。
+ **E メール認証中** — アカウントにメンバーシップの招待を送信済みで、Macie がリクエストを処理しています。
+ **有効** — アカウントはメンバーアカウントです。Macie はアカウントに対して有効化されており、お客様はそのアカウントの Macie 管理者です。
+ **招待済み** — アカウントにメンバーシップの招待を送信しましたが、アカウントが招待に応答していません。
+ **メンバー退会済み**— アカウントは以前メンバーアカウントでした。ただし、アカウントとの関連付けを解除して、アカウントが組織から脱退しました。
+ **一時停止 (停止)** — アカウントはメンバーアカウントですが、現在 Macie はアカウントを停止しています。
+ **リージョンが無効**— 現在のリージョンは AWS アカウントで無効です。
+ **削除 (関連付け解除)** — アカウントは以前メンバーアカウントでした。ただし、アカウントから関連付けを解除して、メンバーアカウントとしてそれを削除しました。

**最終ステータスの更新**  
お客様または関連するアカウントが、お客様のアカウント間の関係に影響を与えたアクションを最後に実行したとき。

**機密データ自動検出**  
アカウントで機密データ自動検出が現在有効になっているか、または無効になっているか。

特定のフィールドでテーブルを並べ替えるには、フィールドの列見出しをクリックします。並べ替え順序を変更するには、列見出しをもう一度クリックします。テーブルをフィルタリングするには、フィルターボックスにカーソルを置き、フィールドのフィルター条件を追加します。結果をさらに絞り込むには、追加のフィールドでフィルター条件を追加します。

------
#### [ API ]

組織のアカウントをプログラムで確認するには、Amazon Macie API の [ListMembers](https://docs.aws.amazon.com/macie/latest/APIReference/members.html) オペレーションを使用して、リクエストが適用されるリージョンを指定してください。追加のリージョン内の詳細を確認するには、追加のリージョンごとにリクエストを送信します。

リクエストを送信するときは、`onlyAssociated` パラメータを使用して、レスポンスに含めるアカウントを指定します。デフォルトでは、Macie は指定されたリージョンのメンバーアカウントであるアカウントに関する詳細のみを招待または を通じて返します AWS Organizations。メンバーアカウントではないアカウントを含む、すべてのアカウントの詳細を取得するには、リクエストに `onlyAssociated` パラメータを含め、パラメータの値を `false` に設定します。

[AWS Command Line InterfaceAWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html)を使用して組織のアカウントを確認するには、[list-members](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/list-members.html) コマンドを実行します。`only-associated` パラメータでは、関連するすべてのアカウントを含めるか、メンバーアカウントのみを含めるかを指定します。メンバーアカウントのみを含めるには、このパラメータを省略するか、パラメータの値を `true` に設定します。すべてのアカウントを含めるには、この値を `false` に設定します。例: 

```
C:\> aws macie2 list-members --region us-east-1 --only-associated false
```

ここで、*us-east-1* は、リクエストが適用されるリージョン (米国東部 (バージニア北部) リージョン) です。

リクエストが成功すると、Macie は `members` 配列を返します 配列には、リクエストで指定された基準を満たす各アカウントの `member` オブジェクトが含まれます。そのオブジェクトでは、`relationshipStatus` フィールドは、指定されたリージョン内のお客様のアカウントと他方のアカウント間の関連付けの現在のステータスを示します。招待ベースの組織のアカウントの場合、指定できる値は以下のとおりです。
+ `AccountSuspended` – AWS アカウント は中断されています。
+ `Created` — アカウントを追加しましたが、メンバーシップの招待をそれに送信していません。
+ `EmailVerificationFailed` — アカウントにメンバーシップの招待を送信しようとしましたが、指定された E メールアドレスがアカウントに対して有効ではありません。
+ `EmailVerificationInProgress` — アカウントにメンバーシップの招待を送信済みで、Macie がリクエストを処理しています。
+ `Enabled` — アカウントはメンバーアカウントです。Macie はアカウントに対して有効化されており、お客様はそのアカウントの Macie 管理者です。
+ `Invited` — アカウントにメンバーシップの招待を送信しましたが、アカウントが招待に応答していません。
+ `Paused` — アカウントはメンバーアカウントですが、Macie は現在アカウントが停止 (一時停止) されています。
+ `RegionDisabled` — 現在のリージョンは AWS アカウントで無効です。
+ `Removed` — アカウントは以前メンバーアカウントでした。ただし、アカウントから関連付けを解除して、メンバーアカウントとしてそれを削除しました。
+ `Resigned` — アカウントは以前メンバーアカウントでした。ただし、アカウントとの関連付けを解除して、アカウントが組織から脱退しました。

`member` オブジェクト内の他のフィールドの詳細については、*Amazon Macie API リファレンス*の[メンバー](https://docs.aws.amazon.com/macie/latest/APIReference/members.html)を参照してください。

------

# 招待ベースの組織の Macie 管理者アカウントを変更する
<a name="accounts-mgmt-invitations-admin-change"></a>

**注記**  
Macie の招待 AWS Organizations の代わりに を使用してメンバーアカウントを管理することをお勧めします。詳細については、「[を使用した複数の Macie アカウントの管理 AWS Organizations](accounts-mgmt-ao.md)」を参照してください。

招待ベースの組織を作成して確立した後、その組織の Amazon Macie 管理者アカウントを変更できます。これを行うには、組織の管理者とメンバーは次のステップに従う必要があります。

1. 現在の Macie 管理者は、必要に応じて、組織のメンバーアカウントの現在のインベントリをエクスポートできます。これにより、引き続き組織の一部となるアカウントを識別でき、移行が簡素化されます。

1. 現在の Macie 管理者は、現在の組織から[すべてのメンバーアカウントを削除](accounts-mgmt-invitations-administer.md#accounts-mgmt-invitations-members-remove)します。これにより、アカウントと現在の管理者アカウントの関連付けが解除されます。Macie はアカウントに対して引き続き有効ですが、アカウントはスタンドアロンの Macie アカウントになります。
**重要**  
現在の Macie 管理者がメンバーアカウントを削除すると、Macie はアカウントの機密データ自動検出を自動的に無効にします。これにより、Macie が作成して、アカウントの自動検出の実行中に直接提供した統計データ、インベントリデータ、その他の情報にアクセスできなくなります。新しい組織への移行が完了すると、新しい Macie 管理者はこのデータにアクセスできなくなります。

1. 新しい Macie 管理者は、新しい組織に[前のメンバーアカウントを追加](accounts-mgmt-invitations-administer.md#accounts-mgmt-invitations-members-add)します。これにより、アカウントが新しい管理者アカウントに関連付けられます。

1. 各メンバーアカウントは、新しい組織に参加するための招待を受け入れます。アカウントが招待を受け入れると、そのアカウントは新しい組織のメンバーアカウントになります。新しい Macie 管理者は、アカウントの Macie 設定、データ、およびリソースにアクセスできます。そのアカウントで以前に機密データ自動検出が有効になっていた場合、これに、Macie が作成して、アカウントの自動検出の実行中に直接提供したデータは含まれません。代わりに、新しい Macie 管理者がアカウントの自動検出を有効にすると、Macie はそのアカウントに対して新しいデータを作成して維持します。

組織が複数の で Macie を使用している場合は AWS リージョン、それらの各リージョンで前述のステップを実行します。

メンバーアカウントの現在のインベントリをエクスポートするには、現在の Macie 管理者が Amazon Macie コンソールまたは Amazon Macie API を使用します。コンソールを使用すると、現在の管理者は、データをカンマ区切り値 (CSV) ファイルにエクスポートできます。その後、新しい管理者は、コンソールを使用して CSV ファイルをアップロードし、すべてのアカウントを (一括で) 新しい組織に追加できます。

**コンソールを使用してメンバーアカウントのデータをエクスポートするには**

1. 現在の Macie 管理者アカウント AWS マネジメントコンソール を使用して にサインインします。

1. ページの右上隅にある AWS リージョン セレクターを使用して、データをエクスポートするリージョンを選択します。

1. Amazon Macie コンソール ([https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)) を開きます。

1. ナビゲーションペインで、**[Accounts]** (アカウント) を選択します。**[アカウント]** ページが開き、現在の Macie 管理者 アカウントに関連付けられているアカウントのテーブルが表示されます。

1. (オプション) テーブルをフィルタリングし、組織内の現在のメンバーアカウントであるアカウントのみを表示するには、フィルターバーを使用して次のフィルター条件を追加します。
   + **タイプ** は **招待** です。
   + **ステータス** は **有効** です。
   + **[ステータス]** は **[一時停止]** です。

1. テーブルで、エクスポートされたデータに含める各メンバーアカウントのチェックボックスをオンにします。

1. **Export CSV** (CSV のエクスポート) を選択します。

1. ファイルの場所とファイル名を指定します。

Amazon Macie API を使用すると、現在の Macie 管理者は JSON 形式でデータを取得できます。その後、新しい Macie 管理者は、そのデータを使用して、新しい組織に追加および招待するアカウントのアカウント ID と E メールアドレスのリストを生成できます。JSON 形式でデータを取得するには、Amazon Macie API の [ListMembers](https://docs.aws.amazon.com/macie/latest/APIReference/members.html) オペレーションを使用できます。オペレーションが成功すると、Macie は、管理者のアカウントに関連付けられているすべてのアカウントの詳細を提供する `members` 配列を返します。アカウントが現在、メンバーアカウントである場合、そのアカウントの `relationshipStatus` プロパティの値は `Enabled` または `Paused` であり、`invitedAt` プロパティは日付と時刻を指定します。

# Macie で組織のメンバーシップを管理する
<a name="accounts-mgmt-invitations-membership-manage"></a>

**注記**  
Macie の招待 AWS Organizations の代わりに を使用して、複数のアカウントの Macie を一元管理することをお勧めします。詳細については、「[を使用した複数の Macie アカウントの管理 AWS Organizations](accounts-mgmt-ao.md)」を参照してください。

Amazon Macie で組織への参加を招待されている場合は、必要に応じて招待を受け入れまたは拒否できます。Macie では、組織は、関連するアカウントのグループとして集中管理されるアカウントのセットです。組織は、指定された 1 つの Macie 管理者アカウントと 1 つ以上の関連付けられたメンバーアカウントで設定されています。

招待を受け入れると、お客様のアカウントは組織のメンバーアカウントになります。受け入れると、招待を送信したアカウントがお客様のアカウントの Macie 管理者アカウントになります。お客様のアカウントを他のアカウントに関連付けて、アカウント間の管理者とメンバーの関係を有効化します。その後、Macie 管理者アカウントは、該当する AWS リージョン内のアカウントの特定の Macie 設定、データ、およびリソースにアクセスできます。管理者アカウントで実行できるタスクの詳細については、「[Macie 管理者とメンバーアカウントの関係](accounts-mgmt-relationships.md)」を参照してください。

招待を拒否しても、Macie アカウントの現在のステータスと設定は変更されません。

**Topics**
+ [メンバーシップの招待への応答](#accounts-mgmt-invitations-respond)
+ [管理者アカウントから関連付けを解除する](#accounts-mgmt-invitations-disassociate-admin)

## 組織のメンバーシップの招待への応答
<a name="accounts-mgmt-invitations-respond"></a>

組織に参加するための招待を受け取ると、Amazon Macie はいくつかの方法でお客様に通知します。デフォルトでは、Macie は招待を E メールメッセージとして送信します。Macie は の AWS Health イベントも作成します AWS アカウント。招待の送信 AWS リージョン 元の で既に Macie を使用している場合、Macie は Macie コンソールに**アカウント**バッジと通知も表示します。

招待を受け取った後、必要に応じて招待を受け入れまたは拒否できます。応答する前に、次の点に注意してください。
+ お客様が組織のメンバーになることができるのは、一度に 1 つのみです。複数の招待を受け取った場合は、1 つのみ受け入れることができます。あるいは、お客様が既に組織のメンバーである場合は、別の組織に参加する前に、現在の Macie 管理者アカウントからお客様のアカウントの関連付けを解除する必要があります。
+ Macie を複数のリージョンで使用する場合、お客様のアカウントは、それらのすべてのリージョンで同じ Macie 管理者アカウントを持っている必要があります。Macie 管理者は各リージョンから個別に招待を送信する必要があり、お客様は各リージョンで個別に招待を受け入れる必要があります。
+ 招待を受け入れまたは拒否するには、招待の送信元のリージョン内の Macie を有効化する必要があります。招待の拒否はオプションです。招待を拒否するように Macie を有効化した場合、招待を拒否した後に、リージョンで [Macie を無効](disable-macie.md)にできます。これにより、リージョンでの Macie の使用で不必要な料金が発生しないようにできます。
+ お客様のアカウントの機密データ自動検出が有効になっている状態で招待を受け入れると、お客様は、Macie が作成して、アカウントの自動検出の実行中に直接提供した統計データ、インベントリデータ、およびその他の情報にアクセスできなくなります。お客様が招待を受け入れた後は、Macie 管理者がアカウントの自動検出を有効にできます。ただし、既存のデータへのアクセスは復元されません。代わりに、Macie はお客様のアカウントの自動検出を実行しながら、そのアカウントに対して新しいデータを作成して維持します。

その他の考慮事項については、[メンバーシップの招待への応答と管理](accounts-mgmt-invitations-notes.md#accounts-mgmt-invitations-notes-invitations-manage)を参照してください。

**組織のメンバーシップの招待に応答するには**  
メンバーシップの招待に応答するには、Amazon Macie コンソールまたは Amazon Macie API を使用できます。

------
#### [ Console ]

Amazon Macie コンソールを使用してメンバーシップの招待に応答するには、次のステップに従います。

**メンバーシップの招待に応答するには**

1. Amazon Macie コンソール ([https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)) を開きます。

1. ページの右上隅にある AWS リージョン セレクターを使用して、招待を受け取ったリージョンを選択します。

1. リージョンで Macie を有効化していない場合は、**開始方法** を選択し、**Macie を有効化する** を選択します。招待を受け入れまたは拒否する前に、Macie を有効化する必要があります。

1. ナビゲーションペインで、**[Accounts]** (アカウント) を選択します。

1. **管理者アカウント**で、次のいずれかを実行します。
   + 招待を受け入れるには、招待の横にある **受け入れる**(![\[A toggle switch with a gray background and the toggle positioned to the left.\]](http://docs.aws.amazon.com/ja_jp/macie/latest/user/images/tgl-gray-off.png)) をオンにします。次に、以前に別の招待を受け入れたかどうかに応じて、**招待を受け入れる**または **更新**を選択します。
   + 招待を拒否するには、招待の横にある **招待を拒否する**を選択し、次に招待を拒否することを確認します。

追加のリージョンで招待を受け取って返信する場合は、追加のリージョンごとに前述のステップを繰り返します。

------
#### [ API ]

プログラムで招待に応答するには、招待を受け入れるか拒否するかどうかに応じて、Amazon Macie API の [AcceptInvitation](https://docs.aws.amazon.com/macie/latest/APIReference/invitations-accept.html) または [DeclineInvitations](https://docs.aws.amazon.com/macie/latest/APIReference/invitations-decline.html) オペレーションを使用します。リクエストを送信するときは、招待の送信元のリージョンを必ず指定してください。追加のリージョンで招待に応答するには、追加のリージョンごとにリクエストを送信します。

`AcceptInvitation` リクエストで、 `administratorAccountId`パラメータを使用して、招待を送信 AWS アカウント した の 12 桁のアカウント ID を指定します。`invitationId` パラメータを使用して、受け入れる招待の一意の ID を指定します。

`DeclineInvitations` リクエストで、 `accountIds`パラメータを使用して、拒否の招待 AWS アカウント を送信した の 12 桁のアカウント ID を指定します。

ID を取得するには、Amazon Macie API の [ListInvitations](https://docs.aws.amazon.com/macie/latest/APIReference/invitations.html) オペレーションを使用できます。オペレーションが成功すると、Macie は、各招待を送信したアカウントのアカウント ID および各招待の一意の ID を含む、受け取った招待の詳細を提供する `invitations` 配列を返します。招待の `relationshipStatus` プロパティの値が `Invited` である場合、お客様は招待にまだ応答していません。

[AWS Command Line InterfaceAWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html)を使用して招待に応答するには、招待を受け入れるか拒否するかどうかに応じて、[accept-invitation](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/accept-invitation.html) または [decline-invitations](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/decline-invitations.html) コマンドを実行します。`region` パラメータを使用して、招待の送信元のリージョンを指定します。例: 

```
C:\> aws macie2 accept-invitation --region us-east-1 --administrator-account-id 123456789012 --invitation-id d8bdad0e203fd1242e0a4721bexample
```

ここで、*us-east-1* は、招待の送信元のリージョン (米国東部 (バージニア北部) リージョン) であり、*123456789012* は招待を送信したアカウントのアカウント ID で、*d8bdad0e203fd1242e0a4721bexample* は受け入れる招待の一意の ID です。

招待を受け入れるためのリクエストが成功すると、Macie は空の応答を返します。招待を拒否するためのリクエストが成功すると、Macie は空の `unprocessedAccounts` 配列を返します。

招待を拒否した後も、招待は Macie アカウントのリソースとして保持されます。オプションで [DeleteInvitations](https://docs.aws.amazon.com/macie/latest/APIReference/invitations-delete.html) オペレーション、または の場合は AWS CLI[delete-invitations](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/delete-invitations.html) コマンドを使用して削除できます。

------

## Macie 管理者アカウントからの関連付けを解除する
<a name="accounts-mgmt-invitations-disassociate-admin"></a>

Amazon Macie で組織に参加するための招待を受け入れても、その後に既存の Macie 管理者アカウントからお客様のアカウントの関連付けを解除することで、その組織から脱退できます。お客様のアカウントが AWS Organizations 組織のメンバーアカウントである場合は、これを行えないことに注意してください。 AWS Organizations 組織を辞めるには、Macie 管理者と協力して Macie メンバーアカウントとしてアカウントを削除します。

Macie 管理者アカウントからアカウントの関連付けを解除すると、Macie 管理者は Macie アカウントのすべての設定、データ、およびリソースへのアクセスを失います。これには、所有している Amazon S3 データのメタデータとポリシー結果が含まれます。これはまた、管理者がお客様の Amazon S3 データを、機密データ自動検出ジョブの実行や機密データ検出ジョブの実行で、分析できなくなることも意味します。

アカウントの関連付けを解除すると、Macie は該当するリージョンで引き続きアカウントに対して有効化されます。ただし、お客様のアカウントはリージョン内でスタンドアロンの Macie アカウントになります。アカウントのステータスは、管理者のアカウントインベントリで **辞職したメンバー** に変わります。

**Macie 管理者アカウントから関連付けを解除するには**  
現在の Macie 管理者アカウントからアカウントの関連付けを解除するには、Amazon Macie コンソールまたは Amazon Macie API を使用します。

------
#### [ Console ]

Amazon Macie コンソールを使用して、Macie 管理者アカウントからアカウントの関連付けを解除するには、次のステップに従います。

**管理者アカウントから関連付けを解除するには**

1. Amazon Macie コンソール ([https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)) を開きます。

1. ページの右上隅にある AWS リージョン セレクターを使用して、管理者アカウントからアカウントの関連付けを解除するリージョンを選択します。

1. ナビゲーションペインで、**[Accounts]** (アカウント) を選択します。

1. **管理者アカウント**の下で、招待の横にある **受け入れる**(![\[A toggle switch with a blue background and the toggle positioned to the right.\]](http://docs.aws.amazon.com/ja_jp/macie/latest/user/images/tgl-blue-on.png)) をオフにし、次に **更新**を選択します。

そのアカウントは、引き続き **アカウント** ページに表示されます。組織に再参加する場合は、このページを使用して元の招待を再度受け入れることができます。または、招待を拒否、削除もできます。これにより、お客様のアカウントと他のアカウント間の関連付けも削除されます。これを実行するには、[**招待を拒否**] を選択します。

追加のリージョンで Macie 管理者アカウントからアカウントの関連付けを解除する場合は、追加のリージョンごとに前述のステップを繰り返します。

------
#### [ API ]

Macie 管理者アカウントからプログラムでアカウントの関連付けを解除するには、Amazon Macie APIの [DisassociateFromAdministratorAccount](https://docs.aws.amazon.com/macie/latest/APIReference/administrator-disassociate.html) オペレーションを使用します。リクエストを送信するときは、リクエストが適用されるリージョンを必ず指定してください。追加のリージョンでアカウントから関連付けを解除するには、追加のリージョンごとにリクエストを送信します。

を使用して Macie 管理者アカウントからアカウントの関連付けを解除するには AWS CLI、[disassociate-from-administrator-account](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/disassociate-from-administrator-account.html) コマンドを実行します。`region` パラメータを使用して、アカウントから関連付けを解除するリージョンを指定します。

リクエストが成功すると、Macie は空のレスポンスを返します。

アカウントから関連付けを解除した後、元の招待は、削除しない限り Macie アカウントのリソースとして保持されます。組織に再参加する場合は、このリソースを使用して元の招待を再度受け入れることができます。または、[DeleteInvitations](https://docs.aws.amazon.com/macie/latest/APIReference/invitations-delete.html) オペレーション、または の場合は AWS CLI[delete-invitations](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/macie2/delete-invitations.html) コマンドを使用して招待を削除することもできます。招待を削除すると、お客様のアカウントと他のアカウント間の関連付けも削除されます。

------