Amazon GuardDuty での複数のアカウントの管理 - Amazon GuardDuty

Amazon GuardDuty での複数のアカウントの管理

Amazon GuardDuty で複数のアカウントを管理するには、GuardDuty のマスターアカウントになる 1 つの AWS アカウントを選択する必要があります。その後、他の AWS アカウントをマスターアカウントにメンバーアカウントとして関連付けることができます。アカウントを GuardDuty マスターアカウントに関連付けるには、2 つの方法があります。両方のアカウントがメンバーである AWS Organizations 組織を通じて関連付ける方法、または GuardDuty を通じて招待を送信する方法です。

GuardDuty では、AWS Organizations による方法を使用することをお勧めします。組織の設定の詳細については、AWS Organizations ユーザーガイドの「組織の作成」を参照してください。

組織を通じた複数のアカウントの管理

AWS Organizations で組織の一部で GuardDuty マスターアカウントとして指定する場合は、そのアカウントを GuardDuty の組織の委任管理者として指定できます。委任管理者として登録されたアカウントが自動的に GuardDuty マスターアカウントになります。

マスターアカウントを使用して、組織内の任意のアカウントに対して GuardDuty を有効にし、そのアカウントをメンバーアカウントとして追加できます。

招待によってメンバーアカウントが関連付けられた GuardDuty マスターアカウントがすでにある場合は、そのアカウントを組織の GuardDuty 委任管理者として登録できます。これを行うと、現在関連付けられているすべてのメンバーアカウントがメンバーとして残り、AWS Organizations で GuardDuty アカウントを管理する追加機能を最大限に活用できます。

GuardDuty で組織を通じて複数のアカウントをサポートする方法の詳細については、「AWS Organizations による GuardDuty アカウントの管理」を参照してください。

招待による複数のアカウントの管理

関連付けるアカウントが AWS Organizations 組織の一部でない場合は、GuardDuty でマスターアカウントを指定し、そのマスターアカウントを使用して、他の AWS アカウントをメンバーアカウントとして招待できます。招待されたアカウントが招待を承諾すると、そのアカウントはマスターアカウントに関連付けられた GuardDuty メンバーアカウントになります。

GuardDuty で招待によって複数のアカウントをサポートする方法の詳細については、「招待による GuardDuty アカウントの管理」を参照してください。

GuardDuty のマスターアカウントとメンバーアカウントの関係について

複数アカウント環境で GuardDuty を使用すると、マスターアカウントはメンバーアカウントに代わって GuardDuty の特定の側面を管理できます。マスターアカウントが実行できる主な機能は以下のとおりです。

  • 関連付けられたメンバーアカウントを追加および削除する。このためのプロセスは、アカウントが組織を通じて関連付けられているか、招待によって関連付けられているかによって異なります。

  • 関連付けられたメンバーアカウント内の GuardDuty のステータス (GuardDuty の有効化中や停止中など) を管理する。

    注記

    AWS Organizations で管理されているマスターアカウントは、メンバーとして追加されたアカウントに対して GuardDuty を自動的に有効にします。

  • 抑制ルール、信頼された IP リスト、脅威リストを作成して管理することで、GuardDuty ネットワーク内の結果をカスタマイズする。複数アカウント環境でメンバーアカウントはこれらの機能にアクセスできなくなります。

以下の表では、GuardDuty のマスターアカウントとメンバーアカウントの関係を示しています。

Self」と表示されている指定では、アカウントがこのアクションを自身のアカウントでのみ実行できることを示します。「任意」と表示されている指定では、アカウントがこのアクションを実行すると、任意の関連付けられたアカウントにそのアクションが適用されることを示します。「すべて」と表示されている指定では、アカウントがこのアクションを実行すると、すべての関連付けられたアカウントにそのアクションが適用されることを示します。

Action Designation
マスター マスター メンバー
(組織経由) (招待経由)
AWS Organizations 組織のアカウントを表示する 任意
GuardDuty を有効にする 任意 Self
GuardDuty の結果を表示する 任意 任意 Self
結果をアーカイブする 任意 任意
抑制ルールを適用する すべて すべて
結果サンプルを生成する Self Self Self
信頼された IP または脅威のリストを作成する すべて すべて
信頼された IP または脅威のリストを更新する すべて すべて
信頼された IP または脅威のリストを削除する すべて すべて
CloudWatch イベント 通知頻度を設定する すべて すべて
結果をエクスポートする Amazon S3 の場所を設定する すべて すべて
GuardDuty を停止する 任意* 任意*

* このアクションは、関連付けられたすべてのアカウントで実行されてから、指定されたアカウントで実行されることを示します。