翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
API を使用した GuardDuty 委任 GuardDuty 管理者アカウントの指定とメンバーの管理
内容
ステップ 1 – AWS 組織の委任 GuardDuty 管理者アカウントを指定する
-
組織の管理アカウントの AWS アカウント の認証情報enableOrganizationAdminAccountを使用して を実行します。
-
または、 AWS Command Line Interface を使用してこれを行うことができます。次の AWS CLI コマンドは、現在のリージョンの委任 GuardDuty 管理者アカウントのみを指定します。次の AWS CLI コマンドを実行し、
111111111111
を委任 GuardDuty 管理者アカウントとして指定するアカウントの AWS アカウント ID に置き換えます。aws guardduty enable-organization-admin-account --admin-account-id
111111111111
他のリージョンの委任 GuardDuty 管理者アカウントを指定するには、 AWS CLI コマンドでリージョンを指定します。次の例は、米国西部 (オレゴン) で委任 GuardDuty 管理者アカウントを有効にする方法を示しています。
us-west-2
は、 GuardDuty 必ず委任された GuardDuty 管理者アカウントを割り当てるリージョンに置き換えてください。aws guardduty enable-organization-admin-account --admin-account-id
111111111111
--regionus-west-2
GuardDuty が利用可能な の詳細については、 AWS リージョン 「」を参照してくださいリージョンとエンドポイント。
GuardDuty が委任された GuardDuty 管理者アカウントに対して有効になっていない場合、アクションを実行することはできません。まだ有効にしていない場合は、新しく指定された委任 GuardDuty 管理者アカウント GuardDuty に対して を有効にしてください。
-
-
(推奨) 前のステップを繰り返して、 GuardDuty 有効に AWS リージョン した各 の委任 GuardDuty 管理者アカウントを指定します。
ステップ 2 - 組織の自動有効化の詳細設定を構成する
-
-
委任された GuardDuty 管理者アカウントの認証情報UpdateOrganizationConfigurationを使用して を実行し、組織のそのリージョンで GuardDuty およびオプションの保護プランを自動的に設定します。
アカウントと現在のリージョン
detectorId
の を検索するには、https://console.aws.amazon.com/guardduty/コンソールの設定ページを参照するか、 ListDetectors API を実行します。 注記
さまざまな自動有効化設定の詳細については、autoEnableOrganization「メンバー」を参照してください。
-
リージョンでサポートされているオプションの保護プランの自動有効化の設定を行うには、各保護プランの対応するドキュメントセクションに記載されているステップに従ってください。
-
現在のリージョンで組織の詳細設定を検証できます。describeOrganizationConfiguration を実行します。委任 GuardDuty 管理者アカウントのディテクター ID を必ず指定してください。
注記
すべてのメンバーアカウントの設定を更新するには、最大 24 時間かかる場合があります。
-
-
または、次の AWS CLI コマンドを実行して、組織に参加する新しいアカウント (
NEW
)、すべてのアカウント ()、または組織内のアカウント (NONE
) のいずれも有効または無効にしない GuardDuty リージョンで を自動的に有効ALL
または無効にするように設定します。詳細については、autoEnableOrganization「メンバー」を参照してください。必要に応じて、NEW
をALL
またはNONE
に置き換える必要がある場合があります。で保護プランを設定するとALL
、委任された GuardDuty 管理者アカウントでも保護プランが有効になります。組織設定を管理する委任 GuardDuty 管理者アカウントのディテクター ID を必ず指定してください。アカウントと現在のリージョン
detectorId
の を検索するには、https://console.aws.amazon.com/guardduty/コンソールの設定ページを参照するか、 ListDetectors API を実行します。 aws guardduty update-organization-configuration --detector-id
12abc34d567e8fa901bc2d34e56789f0
--auto-enable-organization-members=NEW -
現在のリージョンで組織の詳細設定を検証できます。委任 GuardDuty 管理者アカウントのディテクター ID を使用して、次の AWS CLI コマンドを実行します。
aws guardduty describe-organization-configuration --detector-id
12abc34d567e8fa901bc2d34e56789f0
-
-
-
(推奨) 委任 GuardDuty 管理者アカウントディテクター ID を使用して、各リージョンで前の手順を繰り返します。
注記
委任された GuardDuty 管理者アカウントがオプトインリージョンをオプトアウトすると、組織 GuardDuty で自動有効化設定が新しいメンバーアカウントのみ (
NEW
) またはすべてのメンバーアカウント () に設定されている場合でもALL
、 GuardDuty現在 GuardDuty 無効になっている組織内のメンバーアカウントに対して有効にすることはできません。メンバーアカウントの設定については、GuardDuty コンソールのナビゲーションペインでアカウントを開くか、 ListMembers API を使用します。
ステップ 3 – アカウントをメンバーとして組織に追加する
-
前のステップで指定した委任 GuardDuty 管理者アカウントの認証情報CreateMembersを使用して を実行します。
委任された GuardDuty 管理者アカウントのリージョンレベルのディテクター ID と、 GuardDuty メンバーとして追加するアカウントのアカウント詳細 (AWS アカウント IDsと対応する E メールアドレス) を指定する必要があります。この API オペレーションを使用して 1 名以上のメンバーを作成できます。
組織CreateMembersで を実行すると、新しいメンバーアカウントが組織に参加すると、新しいメンバーの自動有効化設定が適用されます。既存のメンバーアカウントCreateMembersで を実行すると、組織設定は既存のメンバーにも適用されます。これにより、既存のメンバーアカウントの現在の設定が変更される場合があります。
AWS Organizations API リファレンス ListAccountsで を実行して、 AWS 組織内のすべてのアカウントを表示します。
重要
アカウントを GuardDuty メンバーとして追加すると、そのリージョンで が自動的に GuardDuty 有効になります。組織管理アカウントには例外があります。管理アカウントを GuardDuty メンバーとして追加する前に、 GuardDuty が有効になっている必要があります。
-
または、 を使用することもできます AWS Command Line Interface。次の AWS CLI コマンドを実行し、必ず自分の有効なディテクター ID、 AWS アカウント ID、およびアカウント ID に関連付けられたメールアドレスを使用してください。
アカウントと現在のリージョン
detectorId
の を検索するには、https://console.aws.amazon.com/guardduty/コンソールの設定ページを参照するか、 ListDetectors API を実行します。 aws guardduty create-members --detector-id
12abc34d567e8fa901bc2d34e56789f0
--account-details AccountId=111122223333
,Email=guardduty-member-name@amazon.com
次の AWS CLI コマンドを実行すると、すべての組織メンバーのリストを表示できます。
aws organizations list-accounts
このアカウントをメンバーとして追加すると、自動有効化 GuardDuty設定が適用されます。
-