Posted at

Amazon Macieで複数のAWSアカウントを統合管理できない人生に終止符を打とう

More than 1 year has passed since last update.

俺です。

Amazon MacieでDLPな人生を送るためのTipsです。

AWS Macieは複数のAWSアカウントからCloudTrailやS3の証跡を分析できるData loss prevention プロダクトですが、導入時の設計が重要のように思えます。

試験的にdevelop用AWSアカウントでMacieを試した後、

Production利用のために別のAWSアカウントでMacieを使うとき

develop用AWSアカウントで有効にしたMacieは無効(削除)しないとdevelop用AWSアカウントを

SecurityアカウントのMacieへ招待できないのDEATH.


Macieを活用するAWSアカウントの設計

image.png


招待対象のAWSアカウントでMacieを有効にしていたときの対応

招待するAWSアカウントでMacieが招待されて情報収集されている、もしくは他のAWSアカウントに招待されている場合はMacieを停止します。


Macieの停止

Macieを止めた場合はデータを吹き飛ばされますなーむー

image.png


Macieへの招待

image.png

安易にリージョンの変更がきかないプロダクトっぽいように見えるので、

現状us-west-2/us-east-1で有効にして集約しているのであれば、そのままにしておいたほうがよいように思えました。(小並感)

という話だったのさ終わり。