DevelopersIOAmazon Macie のコスト削減方法を教えてください
https://dev.classmethod.jp/articles/tsnote-macie-s3-cost-of-discovering-sensitive-data/
Amazon Macie の検出結果に含まれる情報を教えてください
https://dev.classmethod.jp/articles/tsnote-macie-detection-findings-information/
Amazon Macie で検出結果の JSON を取得する方法を教えてください
https://dev.classmethod.jp/articles/tsnote-macie-get-finding-json/
[プレビュー]AWS Security Hubが機能分離され統合セキュリティソリューションに生まれ変わりました #AWSreInforce
https://dev.classmethod.jp/articles/aws-security-hub-unified-solution/
#dev_classmethod #AWS_Security_Hub #AWS #Amazon_GuardDuty #Amazon_Inspector #Amazon_Macie #セキュリティ
Amazon Macie の機密情報サンプル取得で指定する KMS キーの要件を教えてください
https://dev.classmethod.jp/articles/tsnote-macie-kms-key-requirements-for-sensitive-data-sample/
AWS Security Hubなどセキュリティサービスのボリュームディスカウントを確認してみた
https://dev.classmethod.jp/articles/aws-security-service-volume-discount/
#dev_classmethod #AWS_Security_Hub #Amazon_GuardDuty #Amazon_Detective #Amazon_Macie #AWS
【Security Hub修復手順】[Macie.2]Macie自動機密データ検出を有効にする必要があります
https://dev.classmethod.jp/articles/securityhub-fsbp-remediation-macie-2/
Amazon Macie の AWS Organizations 統合機能でメンバーアカウントの有効化・無効化してみた
https://dev.classmethod.jp/articles/macie-organizations/
Amazon Macie の AWS Organizations 統合機能でメンバーアカウントの有効化・無効化してみた | DevelopersIO
いわさです。 先日、Amazon Macie の委任管理者による機密データ自動検出の機能を検証するために、AWS Organizations 環境下で Amazon Macie の有効化を行いました。 有効化方法を調べてみたのですが、どうやらあまり Organizations が有効化する例が多くなく公式ドキュメントとマネジメントコンソールを突き合わせながら有効化方法を確認しました。 せっかくなので Oranizations + Macie を使う際の手順として残しておきたいと思います。 Macie を Organizations と統合する まずは Organizations と Macie を統合します。 Organizations 管理アカウントで Macie 管理アカウントを指定することが出来ます。 Macie のセットアップあるいは既に管理アカウントで有効化済みの場合は設定画面から指定が可能です。 AWS アカウント ID を入力し「委任」ボタンを押します。 委任完了です。これだけ! 有効化とステータス Organizations 管理アカウントから委任された管理者アカウントを、この記事では Macie 管理アカウントと呼ばせてもらいます。 なお、今回知ったのですが Macie はリージョナルサービスだそうです。 なので、Organizations 統合した場合でもリージョンごとに Macie 管理アカウントを登録することが出来ます。出来ますというか必要です。 で、Macie 管理アカウントで Macie にアクセスしてみるとサイドメニューに「アカウント」を確認することが出来ます。 Macie 管理アカウントの場合は次のようにメンバーの含まれているかどうかにかかわらず Organizaitons 配下のアカウントが列挙されています。 この画面でメンバーの追加や個別の機能の有効化・無効化を行えるわけです。 他の Organizations 統合系のサービスとまぁ似ていますね。 このアカウントメニュー、メンバーアカウントから見たときは次のように表示されます。 Macie 管理アカウントが表示されていますね。 メンバーアカウントからはこのようにどのアカウントに管理されているのかがわかります。 そして管理化に追加されたアカウントは Macie 管理アカウントからまとめて管理することが出来ます。これは良いですね。 メンバーステータス:有効化済み 各メンバーアカウントのステータスですが、まずデフォルトで登録されていない状態では「メンバーではない」というステータスで表示されます。 そして前述のようにメンバーとして追加操作を行うと次のように「有効化が進行中」となり… 「有効化済み」に変更されます。 メンバーステータス:削除済み(関連付け解除済み) メンバーアカウントを組織の関連付けから解除することが出来ます。 有効化済みのアカウントを選択してメニューから「アカウントの関連付け解除」を押します。 確認ダイアログが表示されるので確定します。 関連付けが解除されました。組織の管理外になったことを指しています。 ただし、このステータスに変更されてもそれぞれのアカウントの Macie は無効化や停止はされていませんのでご注意ください。 Macie が有効化されているアカウントに対してそのまま関連付け解除をした場合もスタンドアロンで実行され続けています。 こうなった場合はメンバーアカウントにアクセスして個別に無効化しましょう。 あるいはメンバーとして登録し直すことも出来ます。 メンバーステータス:一時停止 Macie 管理者はメンバーアカウントごとに Macie 機能の停止を行うことが出来ます。 変更したいアカウントを選択し「Macie を一時停止する」を操作します。 料金の発生を抑えたい時などは不要なアカウントの Macie を一時停止すると良いでしょう。 確認ダイアログが表示されるので確定します。 停止後に対象メンバーアカウントの Macie コンソールにアクセスしてみると、次のように停止されているのでモニタリングが分析されていないと表示されていますね。 なお、一時停止したアカウントに対して再度有効化操作が可能です。 無効化 組織全体の Macie を無効化する方法を紹介します。 まず、個別のメンバーアカウントから「無効化」をしようとしても次のエラーメッセージが表示され無効操作が出来ません。 disableMacie: Cannot disable Macie while associated …
[アップデート] Amazon Macie + Organizations で組織の委任された管理者がメンバーアカウントに対して機密データ自動検出機能の有効・無効を切り替えれるようになりました
https://dev.classmethod.jp/articles/macie-auto-detect-sensitive-organizations/
[アップデート] Amazon Macie + Organizations で組織の委任された管理者がメンバーアカウントに対して機密データ自動検出機能の有効・無効を切り替えれるようになりました | DevelopersIO
いわさです。 Amazon Macie には機密データ自動検出というものがあります。 これまでこの機能はそれぞれの AWS アカウント上で個別に有効・無効を行う必要があったのですが、先日の Amazon Macie のアップデートで委任された管理者が一括で管理出来るようになりました。 組織内のメンバーアカウントを Macie 管理化に追加する Amazon Macie には組織管理者を委任する概念があって、Organizations 管理アカウントから指定された AWS アカウントが移管管理者となることが出来ます。 移管管理者の場合は、Macie コンソールの「アカウント」メニューから管理対象の AWS アカウント一覧を確認することが出来ます。 今回のアップデートでアカウント一覧の右側に「Automated sensitive data discovery」という列が追加されています。 次は私が管理するとある Organizations 組織のものでして、この時点ではまだ管理化として追加されていないため「Not a member」という表示となっています。 ここにアカウントを追加してみます。 まだメンバーではないステータスの適当なアカウントを選択し、アクションメニューから「メンバーを追加」を押しましょう。 メンバーとして有効化され、さらに機密データ自動検出機能が自動で Enabled になったことも確認が出来ます。 デフォルト構成を変更出来る このように Macie メンバーとして追加されるとデフォルトでは自動で機密データ自動検出機能が有効化されます。 ただしこのデフォルト動作は変更することが可能です。 まぁわかりやすいのですが、アカウント管理画面の上部に新アカウントのデフォルト動作について記載がされています。 この右の自動検出の設定はメンバーとして追加された時に機密データ自動検出を有効化するかどうかを指しています。 編集ボタンからこのデフォルト設定を変更してみます。 この設定は AWS Organizations のメンバーとして加わった設定を行う場所なのですが、既存のメンバーアカウントを Macie メンバーとして追加される場合も指しています。二通りのメンバーの意味が混在していてちょっと困惑しそうですが… 上記設定ををオフにして、先程と同じように新しい Macie メンバーアカウントを追加してみましょう。 先ほどと異なり、機密データ自動検出が無効なままで、Macie メンバーアカウントとして追加されていることが確認出来るはずです。 手動で有効・無効の切り替えも出来る アカウント追加時のデフォルト構成を変更しましたが、既にメンバーであるアカウントの機密データ自動検出機能設定も変更が可能です。 変更したいアカウントを選択してメニューから「Disable automated sensitive data discovery」を選択します。 無効化するか問われますので確定させます。 すぐに対象アカウントの機密データ自動検出機能が無効になりました。 無効化されている AWS アカウントに対して機密データ自動検出機能を有効化したい場合は、「Enable automated sensitive data discovery」を操作します。 有効化されました。 バケットの除外 また、冒頭のブログを見て頂くと機密データ自動検出を行う対象バケットを除外設定することが出来るのですが、委任されたアカウントから Macie を通してクロスアカウントでバケット参照した際に同じようにバケットごとの除外設定を行うことも可能になっています。 さいごに 本日は Amazon Macie + Organizations で組織の委任された管理者がメンバーアカウントに対して機密データ自動検出機能の有効・無効を切り替えれるようになったので検証用の Organizations 環境で使ってみました。 今回実は初めて Macie で Organizatins 統合機能を使ってみたのですが、なかなか便利ですね。 サポート出来るアカウント数が拡充されていたり、今回のように委任管理者が操作出来る範囲が広がっていたり結構アップデートされているようです。
AWS入門ブログリレー2024〜Amazon Macie編〜
https://dev.classmethod.jp/articles/introduction-2024-amazon-macie/
