翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
GuardDuty 管理者アカウントとメンバーアカウントの関係を理解する
GuardDuty マルチアカウント環境で を使用すると、管理者アカウントはメンバーアカウント GuardDuty に代わって の特定の側面を管理できます。管理者アカウントが実行できる主な機能は次のとおりです。
-
関連付けられたメンバーアカウントを追加および削除する。このためのプロセスは、アカウントが組織を通じて関連付けられているか、招待によって関連付けられているかによって異なります。
-
の有効化と停止など、関連するメンバーアカウント GuardDuty 内の のステータスを管理します GuardDuty。
注記
で管理される委任された管理者アカウントは、メンバーとして追加されたアカウント GuardDuty で AWS Organizations 自動的に を有効にします。
-
抑制ルール、信頼できる IP リスト、脅威リストの作成と管理を通じて、 GuardDuty ネットワーク内の検出結果をカスタマイズします。マルチアカウント環境では、これらの機能の設定は委任された GuardDuty 管理者アカウントでのみ使用できます。メンバーアカウントはこの設定を更新できません。
次の表は、 GuardDuty 管理者アカウントとメンバーアカウントの関係の詳細を示しています。
この表で以下の点に注意してください。
自己 – アカウントは、自分のアカウントに対してのみ、リストされたアクションを実行できます。
任意 – アカウントは、関連付けられたアカウントに対してリストされたアクションを実行できます。
すべて – アカウントはリストされたアクションを実行でき、関連付けられたすべてのアカウントに適用されます。通常、このアクションを実行するアカウントは指定された GuardDuty 管理者アカウントです。
ダッシュ (—) が付いたテーブルセルは、アカウントがリストされたアクションを実行できないことを示します。
[アクション] | 経由 AWS Organizations | 招待により | ||
---|---|---|---|---|
委任 GuardDuty 管理者アカウント | 関連付けられたメンバーアカウント | 委任 GuardDuty 管理者アカウント | 関連付けられたメンバーアカウント | |
を有効にする GuardDuty | すべて | – | 自分 | 自分 |
組織全体で GuardDuty を自動的に有効にする (ALL 、NEW 、NONE ) |
すべて | – | – | – |
GuardDuty ステータスに関係なく、すべての Organizations メンバーアカウントを表示する | すべて | – | – | – |
検出結果サンプルを生成する | Self | 自分 | 自分 | 自分 |
すべての GuardDuty 結果を表示する | すべて | Self | すべて | Self |
GuardDuty 結果のアーカイブ | すべて | – | 任意 | – |
抑制ルールを適用する | すべて | – | すべて | – |
信頼できる IP リストまたは脅威リストを作成する | すべて | – | すべて | – |
信頼できる IP リストまたは脅威リストを更新する | すべて | – | すべて | – |
信頼できる IP リストまたは脅威リストを削除する | すべて | – | すべて | – |
EventBridge 通知頻度を設定する | すべて | – | すべて | 自分 |
検出結果をエクスポートする Amazon S3 の場所を設定する | すべて | – | すべて | 自分 |
組織全体で 1 つ以上のオプションの保護プランを有効にする ( これには、Malware Protection for S3 は含まれません。 |
すべて | – | – | – |
個々のアカウントの GuardDuty 保護プランを有効にする これには、Malware Protection for S3 は含まれません。 |
すべて | – | すべて | Self |
S3 のマルウェア保護 |
– | 自分 | – | 自分 |
メンバーアカウントの関連付けを解除する | すべて | – | すべて | – |
管理者アカウントとの関連付けを解除する | – | セルフ # | – | 自分 |
関連付けが解除されたメンバーアカウントを削除する | すべて | – | すべて | – |
一時停止 GuardDuty | 任意* | – | 任意* | – |
無効化 GuardDuty | 任意* | – | 任意* | – |
#委任 GuardDuty 管理者アカウントがALL
組織メンバーに対して自動有効化設定を設定していない場合にのみ、アカウントがこのアクションを実行できることを示します。
*このアカウントに対して実行する前に、関連するすべてのアカウントに対してこのアクションを実行する必要があることを示します。これらのアカウントの関連付けを解除したら、削除する必要があります。組織でこれらのタスクを実行する方法の詳細については、「」を参照してください内の組織の維持 GuardDuty。