メンバーアカウントとして組織アカウントを有効にする

新しい組織アカウントを自動的に有効化しない場合は、それらのアカウントを手動で有効にできます。また、関連付けを解除したアカウントは手動で有効にする必要があります。

アカウントを有効にできるかどうかの設定

組織動作グラフにすでに最大数である 1,200 個の有効なアカウントがある場合、その組織アカウントをメンバーアカウントとして有効にすることはできません。その場合、組織アカウントのステータスは [メンバーではありません] のままになります。

組織アカウントを有効にすると、Detective はそのアカウントが 48 GuardDuty 時間以上Amazonの顧客であったかどうかを確認します。48 時間以上が経過している場合、Detective は、アカウントのデータによって、動作グラフのデータレートがクォータを超えていないかどうかをチェックします。このチェックには 24～48 時間かかることがあります。

Detective がデータレートを検証している間、メンバーアカウントのステータスは [有効になっていません] です。

メンバーアカウントがこれらの両方のチェックに合格すると、メンバーアカウントのステータスが [有効] に更新されます。Detective は、メンバーアカウントから動作グラフへのデータの取り込みを開始します。

これらのチェックのいずれかに合格しなかった場合、メンバーアカウントのステータスは [有効になっていません] のままになります。アカウントは、動作グラフにデータを提供しません。

メンバーアカウントが有効チェックに合格するとすぐに、Detective はメンバーアカウントのステータスを自動的に [有効] に変更します。

組織アカウントをメンバーアカウントとして有効にする (コンソール)

[アカウント管理] ページで、メンバーアカウントとして組織アカウントを有効にできます。

メンバーアカウントとして組織アカウントを有効にするには

1. https://console.aws.amazon.com/detective/ で Amazon Detective コンソールを開きます。

2. Detective のナビゲーションペインで、[Account management] (アカウント管理) を選択します。

3. 現在有効になっていないアカウントのリストを表示するには、[有効になっていません] を選択します。

4. 有効化対象として、特定の組織アカウントを選択することも、すべての組織アカウントを選択することもできます。

   選択した組織アカウントを有効にするには:

   1. 有効にする個々の組織アカウントを選択します。

   2. [Enable accounts] (アカウントを有効化) を選択します。

   すべての組織アカウントを有効にするには、[すべての組織アカウントを有効化] を選択します。

組織アカウントをメンバーアカウントとして有効にする (Detective API、 AWS CLI)

Detective API またはを使用して、 AWS Command Line Interface 組織アカウントを組織行動グラフのメンバーアカウントとして有効にできます。リクエストで使用する動作グラフの ARN を取得するには、ListGraphs オペレーションを使用します。

組織アカウントをメンバーアカウントとして有効にするには (Detective API、 AWS CLI)

• Detective API: CreateMembers オペレーションを使用します。グラフ ARN を入力する必要があります。

  各アカウントについて、アカウント識別子を指定します。組織動作グラフ内の組織アカウントは招待されません。メールアドレスや、招待に関するその他の情報を指定する必要はありません。

• AWS CLI: コマンドラインで create-members コマンドを実行します。

  aws detective create-members --accounts AccountId=<AWS account ID> --graph-arn <behavior graph ARN>

  例

  aws detective create-members --accounts AccountId=444455556666 AccountId=123456789012 --graph-arn arn:aws:detective:us-east-1:111122223333:graph:123412341234