Amazon GuardDuty で複数のアカウントを管理する - Amazon GuardDuty

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon GuardDuty で複数のアカウントを管理する

Amazon GuardDuty で複数のアカウントを管理するには、1 つのAWSアカウントを GuardDuty の管理者アカウントにします。その後、他のAWSアカウントを、管理者アカウントをメンバアカウントとして使用します。アカウントを GuardDuty 管理者アカウントに関連付けるには、2 つの方法があります。AWS Organizations両方のアカウントがメンバーである組織である。または GuardDuty を通じて招待を送信する。

GuardDuty は、AWS Organizationsメソッドです。組織の設定の詳細については、」組織の作成()AWS Organizationsユーザーガイド

で複数のアカウントを管理するAWS Organizations

GuardDuty 管理者アカウントとして指定する場合は、AWS Organizationsで組織の GuardDuty の委任管理者としてそのアカウントを指定できます。委任された管理者として登録されたアカウントは、自動的に GuardDuty 管理者アカウントになります。

組織内の任意のアカウントに対して GuardDuty を有効にして管理するには、この管理者アカウントを使用して、そのアカウントをメンバーアカウントとして追加するときに GuardDuty を有効にし、管理できます。

招待によってメンバーアカウントが関連付けられた GuardDuty 管理者アカウントが既にある場合は、そのアカウントを組織の GuardDuty 委任管理者として登録できます。これを行うと、現在関連付けられているすべてのメンバーアカウントがメンバーとして残り、GuardDuty アカウントの管理の追加機能を最大限に活用できます。AWS Organizations。

組織を通じてGuardDutyで複数のアカウントをサポートする方法の詳細については、GuardDuty アカウントを管理するAWS Organizations

招待によって複数のアカウントを管理する

関連付けたいアカウントがAWS Organizations組織では、GuardDuty で管理者アカウントを指定し、管理者アカウントを使用して他のAWSアカウントをメンバーアカウントにします。招待されたアカウントが招待を承諾すると、そのアカウントは管理者アカウントに関連付けられた GuardDuty メンバーアカウントになります。

GuardDuty で招待によって複数のアカウントをサポートする方法の詳細については、招待によるGuardDutyアカウントの管理

GuardDuty 管理者アカウントとメンバーアカウントの関係を理解する

複数のアカウント環境で GuardDuty を使用すると、管理者アカウントはメンバーアカウントに代わって GuardDuty の特定の側面を管理できます。管理者アカウントが実行できる主な機能は以下のとおりです。

  • 関連付けられたメンバーアカウントを追加および削除する。このためのプロセスは、アカウントが組織を通じて関連付けられているか、招待によって関連付けられているかによって異なります。

  • GuardDuty の関連メンバーアカウント内で GuardDuty の状態を管理する。GuardDuty の有効化中や停止中など。

    注記

    で管理される委任された管理者アカウントAWS Organizationsメンバーとして追加されたアカウントのGuardDutyは自動的にGuardDutyを有効にします。

  • 抑制ルール、信頼された IP リスト、脅威リストを作成して管理することで、GuardDuty ネットワーク内の結果をカスタマイズする。複数アカウント環境でメンバーアカウントはこれらの機能にアクセスできなくなります。

以下の表では、GuardDuty 管理者アカウントとメンバーアカウントの関係を示しています。

Self」と表示されている指定では、アカウントがこのアクションを自身のアカウントでのみ実行できることを示します。「任意」と表示されている指定では、アカウントがこのアクションを実行すると、任意の関連付けられたアカウントにそのアクションが適用されることを示します。「すべて」と表示されている指定では、アカウントがこのアクションを実行すると、すべての関連付けられたアカウントにそのアクションが適用されることを示します。ダッシュ (—) が付いた表のセルは、その指定の勘定科目がリストされたアクションを実行できないことを示します。

Action Designation
管理者 管理者 メンバー
(組織経由) (招待経由)
すべてを表示AWS OrganizationsGuardDuty のステータスにかかわらず、メンバー・アカウント すべて
新しいアカウントの S3 保護を自動的に有効にする すべて
guardDuty すべて Self
GuardDuty の結果を表示する すべて すべて Self
結果をアーカイブする すべて すべて
抑制ルールを適用する すべて すべて
結果サンプルを生成する Self Self Self
信頼された IP または脅威のリストを作成する すべて すべて
信頼された IP または脅威のリストを更新する すべて すべて
信頼された IP または脅威のリストを削除する すべて すべて
CloudWatch イベントの通知頻度の設定 すべて すべて
結果をエクスポートする Amazon S3 の場所を設定する すべて すべて
GuardDuty 任意* 任意*

* このアクションは、関連付けられたすべてのアカウントで実行されてから、指定されたアカウントで実行されることを示します。