いわさです。
先日、Amazon Macie の委任管理者による機密データ自動検出の機能を検証するために、AWS Organizations 環境下で Amazon Macie の有効化を行いました。
有効化方法を調べてみたのですが、どうやらあまり Organizations が有効化する例が多くなく公式ドキュメントとマネジメントコンソールを突き合わせながら有効化方法を確認しました。
せっかくなので Oranizations + Macie を使う際の手順として残しておきたいと思います。
Macie を Organizations と統合する
まずは Organizations と Macie を統合します。
Organizations 管理アカウントで Macie 管理アカウントを指定することが出来ます。
Macie のセットアップあるいは既に管理アカウントで有効化済みの場合は設定画面から指定が可能です。
AWS アカウント ID を入力し「委任」ボタンを押します。
委任完了です。これだけ!
有効化とステータス
Organizations 管理アカウントから委任された管理者アカウントを、この記事では Macie 管理アカウントと呼ばせてもらいます。
なお、今回知ったのですが Macie はリージョナルサービスだそうです。
なので、Organizations 統合した場合でもリージョンごとに Macie 管理アカウントを登録することが出来ます。出来ますというか必要です。
で、Macie 管理アカウントで Macie にアクセスしてみるとサイドメニューに「アカウント」を確認することが出来ます。
Macie 管理アカウントの場合は次のようにメンバーの含まれているかどうかにかかわらず Organizaitons 配下のアカウントが列挙されています。
この画面でメンバーの追加や個別の機能の有効化・無効化を行えるわけです。
他の Organizations 統合系のサービスとまぁ似ていますね。
このアカウントメニュー、メンバーアカウントから見たときは次のように表示されます。
Macie 管理アカウントが表示されていますね。
メンバーアカウントからはこのようにどのアカウントに管理されているのかがわかります。
そして管理化に追加されたアカウントは Macie 管理アカウントからまとめて管理することが出来ます。これは良いですね。
メンバーステータス:有効化済み
各メンバーアカウントのステータスですが、まずデフォルトで登録されていない状態では「メンバーではない」というステータスで表示されます。
そして前述のようにメンバーとして追加操作を行うと次のように「有効化が進行中」となり...
「有効化済み」に変更されます。
メンバーステータス:削除済み(関連付け解除済み)
メンバーアカウントを組織の関連付けから解除することが出来ます。
有効化済みのアカウントを選択してメニューから「アカウントの関連付け解除」を押します。
確認ダイアログが表示されるので確定します。
関連付けが解除されました。組織の管理外になったことを指しています。
ただし、このステータスに変更されてもそれぞれのアカウントの Macie は無効化や停止はされていませんのでご注意ください。
Macie が有効化されているアカウントに対してそのまま関連付け解除をした場合もスタンドアロンで実行され続けています。
こうなった場合はメンバーアカウントにアクセスして個別に無効化しましょう。
あるいはメンバーとして登録し直すことも出来ます。
メンバーステータス:一時停止
Macie 管理者はメンバーアカウントごとに Macie 機能の停止を行うことが出来ます。
変更したいアカウントを選択し「Macie を一時停止する」を操作します。
料金の発生を抑えたい時などは不要なアカウントの Macie を一時停止すると良いでしょう。
確認ダイアログが表示されるので確定します。
停止後に対象メンバーアカウントの Macie コンソールにアクセスしてみると、次のように停止されているのでモニタリングが分析されていないと表示されていますね。
なお、一時停止したアカウントに対して再度有効化操作が可能です。
無効化
組織全体の Macie を無効化する方法を紹介します。
まず、個別のメンバーアカウントから「無効化」をしようとしても次のエラーメッセージが表示され無効操作が出来ません。
disableMacie: Cannot disable Macie while associated with an administrator account
組織管理されているとダメっぽいですね。
では Macie 管理アカウント自身の無効化をしてみましょう。
実はこれも出来ません。関連づけられたメンバーアカウントが存在していると自身の無効化が出来ないということです。
disableMacie: The request failed because one or more member accounts are associated with your account. Delete the associations and try again
というわけで今度はメンバーアカウント一覧から削除操作をポチポチおこない、全てのアカウントがメンバーではない状態にしましょう。
そして無効化操作をしてみると...なんとまたしても怒られました。
Organizations 管理アカウントから委任管理者の解除が必要ということのようです。ほう。
disableMacie: To disable Macie for your account, the AWS Organizations management account must first remove your account as the Macie administrator account for the organization.
Organizations 管理アカウントで Macie にアクセスすると、委任管理者の管理が可能なので、削除操作を行いましょう。
委任管理者から削除されると、それまでの Macie 管理者はスタンドアロンアカウントと同じ状態になるので、あとは設定機能から無効化を行いましょう。
新規メンバーの自動
なおメンバーアカウント管理画面の上部の次のパネルからアカウント追加時のデフォルト設定を変更することが出来ます。
デフォルトでは新しく組織に追加されたアカウントの Macie は自動では有効になりません。
次のようにデフォルト設定を変更しておくことで、新規メンバーアカウントが追加された際に自動で Macie や機密データ自動検出機能を有効化することも出来ます。
組織のポリシーにあわせてこのあたりも使い分けると良さそうですね。
さいごに
本日は Amazon Macie を AWS Organizations 環境で有効化・無効化してみました。
追加はシンプルですが、委任管理者の概念だけ先に抑えておくと良いですね。
そしてメンバーアカウントのステータスは色々と存在しており少し混乱するので気をつけましょう。わからなくなったら個別にメンバーアカウント上にアクセスするとトップ画面にバナーが表示されるのでそちらでも確認してみましょう。
また、アカウント統合を終了する際もメンバーアカウントを削除したり委任管理者の削除をしたりと色々と条件があることを知っておきましょう。
3
