俺です。
Amazon MacieでDLPな人生を送るためのTipsです。
AWS Macieは複数のAWSアカウントからCloudTrailやS3の証跡を分析できるData loss prevention プロダクトですが、導入時の設計が重要のように思えます。
試験的にdevelop用AWSアカウントでMacieを試した後、
Production利用のために別のAWSアカウントでMacieを使うとき
develop用AWSアカウントで有効にしたMacieは無効(削除)しないとdevelop用AWSアカウントを
SecurityアカウントのMacieへ招待できないのDEATH.
Macieを活用するAWSアカウントの設計
招待対象のAWSアカウントでMacieを有効にしていたときの対応
招待するAWSアカウントでMacieが招待されて情報収集されている、もしくは他のAWSアカウントに招待されている場合はMacieを停止します。
Macieの停止
Macieを止めた場合はデータを吹き飛ばされますなーむー
Macieへの招待
安易にリージョンの変更がきかないプロダクトっぽいように見えるので、
現状us-west-2/us-east-1で有効にして集約しているのであれば、そのままにしておいたほうがよいように思えました。(小並感)
という話だったのさ終わり。