いわさです。
Amazon Macie には機密データ自動検出というものがあります。
これまでこの機能はそれぞれの AWS アカウント上で個別に有効・無効を行う必要があったのですが、先日の Amazon Macie のアップデートで委任された管理者が一括で管理出来るようになりました。
組織内のメンバーアカウントを Macie 管理化に追加する
Amazon Macie には組織管理者を委任する概念があって、Organizations 管理アカウントから指定された AWS アカウントが移管管理者となることが出来ます。
移管管理者の場合は、Macie コンソールの「アカウント」メニューから管理対象の AWS アカウント一覧を確認することが出来ます。
今回のアップデートでアカウント一覧の右側に「Automated sensitive data discovery」という列が追加されています。
次は私が管理するとある Organizations 組織のものでして、この時点ではまだ管理化として追加されていないため「Not a member」という表示となっています。
ここにアカウントを追加してみます。
まだメンバーではないステータスの適当なアカウントを選択し、アクションメニューから「メンバーを追加」を押しましょう。
メンバーとして有効化され、さらに機密データ自動検出機能が自動で Enabled になったことも確認が出来ます。
デフォルト構成を変更出来る
このように Macie メンバーとして追加されるとデフォルトでは自動で機密データ自動検出機能が有効化されます。
ただしこのデフォルト動作は変更することが可能です。
まぁわかりやすいのですが、アカウント管理画面の上部に新アカウントのデフォルト動作について記載がされています。
この右の自動検出の設定はメンバーとして追加された時に機密データ自動検出を有効化するかどうかを指しています。
編集ボタンからこのデフォルト設定を変更してみます。
この設定は AWS Organizations のメンバーとして加わった設定を行う場所なのですが、既存のメンバーアカウントを Macie メンバーとして追加される場合も指しています。二通りのメンバーの意味が混在していてちょっと困惑しそうですが...
上記設定ををオフにして、先程と同じように新しい Macie メンバーアカウントを追加してみましょう。
先ほどと異なり、機密データ自動検出が無効なままで、Macie メンバーアカウントとして追加されていることが確認出来るはずです。
手動で有効・無効の切り替えも出来る
アカウント追加時のデフォルト構成を変更しましたが、既にメンバーであるアカウントの機密データ自動検出機能設定も変更が可能です。
変更したいアカウントを選択してメニューから「Disable automated sensitive data discovery」を選択します。
無効化するか問われますので確定させます。
すぐに対象アカウントの機密データ自動検出機能が無効になりました。
無効化されている AWS アカウントに対して機密データ自動検出機能を有効化したい場合は、「Enable automated sensitive data discovery」を操作します。
有効化されました。
バケットの除外
また、冒頭のブログを見て頂くと機密データ自動検出を行う対象バケットを除外設定することが出来るのですが、委任されたアカウントから Macie を通してクロスアカウントでバケット参照した際に同じようにバケットごとの除外設定を行うことも可能になっています。
さいごに
本日は Amazon Macie + Organizations で組織の委任された管理者がメンバーアカウントに対して機密データ自動検出機能の有効・無効を切り替えれるようになったので検証用の Organizations 環境で使ってみました。
今回実は初めて Macie で Organizatins 統合機能を使ってみたのですが、なかなか便利ですね。
サポート出来るアカウント数が拡充されていたり、今回のように委任管理者が操作出来る範囲が広がっていたり結構アップデートされているようです。