Amazon GuardDuty での複数のアカウントの管理 - Amazon GuardDuty

Amazon GuardDuty での複数のアカウントの管理

Amazon GuardDuty で複数のアカウントを管理するには、GuardDuty の管理者アカウントになる 1 つの AWS アカウントを選択する必要があります。その後、他の AWS アカウントを管理者アカウントにメンバーアカウントとして関連付けることができます。アカウントを GuardDuty 管理者アカウントに関連付けるには、2 つの方法があります。両方のアカウントがメンバーである AWS Organizations 組織を通じて関連付ける方法、または GuardDuty を通じて招待を送信する方法です。

GuardDuty では、AWS Organizations メソッドを使用することをお勧めします。組織の設定については、「AWS Organizations ユーザーガイド」の「組織の作成」を参照してください。

AWS Organizations を使用した複数のアカウントの管理

GuardDuty 管理者アカウントとして指定したいアカウントが AWS Organizations の組織のパートである場合は、そのアカウントを GuardDuty の組織の委任された管理者として指定できます。委任された管理者として登録されたアカウントが自動的に GuardDuty 管理者アカウントになります。

この管理者アカウントを使用して、組織内の任意のアカウントに対して GuardDuty を有効にし、そのアカウントをメンバーアカウントとして追加できます。

招待によってメンバーアカウントが関連付けられた GuardDuty 管理者アカウントが既にある場合は、そのアカウントを組織の GuardDuty の委任された管理者として登録できます。これを行うと、現在関連付けられているすべてのメンバーアカウントがメンバーとして残り、AWS Organizations で GuardDuty アカウントを管理する追加機能を最大限に活用できます。

GuardDuty で組織を通じて複数のアカウントをサポートする方法の詳細については、「AWS Organizations を使用した GuardDuty アカウントの管理」を参照してください。

招待による複数のアカウントの管理

関連付けるアカウントが AWS Organizations 組織の一部でない場合は、GuardDuty で管理者アカウントを指定し、その管理者アカウントを使用して、他の AWS アカウントをメンバーアカウントとして招待できます。招待されたアカウントが招待を承諾すると、そのアカウントは管理者アカウントに関連付けられた GuardDuty メンバーアカウントになります。

GuardDuty で招待によって複数のアカウントをサポートする方法の詳細については、「招待による GuardDuty アカウントの管理」を参照してください。

GuardDuty 管理者とメンバーアカウントの関係

複数アカウント環境で GuardDuty を使用すると、管理者アカウントはメンバーアカウントに代わって GuardDuty の特定の側面を管理できます。管理者アカウントが実行できる主な機能は次のとおりです。

  • 関連付けられたメンバーアカウントを追加および削除する。このためのプロセスは、アカウントが組織を通じて関連付けられているか、招待によって関連付けられているかによって異なります。

  • 関連付けられたメンバーアカウント内の GuardDuty のステータス (GuardDuty の有効化中や停止中など) を管理する。

    注記

    AWS Organizations で管理される委任された管理者アカウントはメンバーとして追加されたアカウントで GuardDuty を自動的に有効にします。

  • 抑制ルール、信頼できる IP リスト、脅威リストを作成して管理することで、GuardDuty ネットワーク内の検出結果をカスタマイズする。複数アカウント環境でメンバーアカウントはこれらの機能にアクセスできなくなります。

次の表では、GuardDuty の管理者アカウントとメンバーアカウントの関係を示しています。

[Self] (セルフ) と表示されている指定では、アカウントがこのアクションを自身のアカウントでのみ実行できることを示します。[Any] (任意) と表示されている指定では、アカウントがこのアクションを実行すると、任意の関連付けられたアカウントにそのアクションが適用されることを示します。[All] (すべて) と表示されている指定では、アカウントがこのアクションを実行すると、すべての関連付けられたアカウントにそのアクションが適用されることを示します。ダッシュ (-) の付いた表のセルは、その指定のアカウントがリストされたアクションを実行できないことを示します。

Action Designation
管理者 管理者 メンバー
(組織経由) (招待経由)
GuardDuty ステータス問わず、すべての AWS Organizations メンバーアカウント表示する 任意
新しいアカウントの S3 Protection を自動的に有効にする すべて
新しいアカウントの Kubernetes Protection を自動的に有効にする すべて
新しいアカウントの Malware Protection を自動的に有効にする すべて
GuardDuty を有効にする 任意 Self
GuardDuty の検出結果を表示する 任意 すべて Self
検出結果をアーカイブする 任意 任意
抑制ルールを適用する すべて すべて
検出結果サンプルを生成する Self 自分 自分
信頼できる IP リストまたは脅威の IP リストを作成する すべて すべて
信頼できる IP リストまたは脅威の IP リストを更新する すべて すべて
信頼できる IP リストまたは脅威の IP リストを削除する すべて すべて
CloudWatch Events の通知頻度の設定する すべて すべて
検出結果をエクスポートする Amazon S3 の場所を設定する すべて すべて
GuardDuty を停止する 任意* 任意*

* このアクションが、関連付けられたすべてのアカウントで実行されてから、指定されたアカウントで実行されることを示します。