AWS Organizations を使用した GuardDuty アカウントの管理
AWS 組織では、管理アカウントは、この組織内の任意のアカウントを委任 GuardDuty 管理者アカウントとして指定できます。この管理者アカウントでは、GuardDuty は現在の AWS リージョンでのみ自動的に有効になります。デフォルトでは、管理者アカウントは、そのリージョン内の組織のすべてのメンバーアカウントに対して GuardDuty を有効化および管理できます。管理者アカウントは、メンバーを表示し、この AWS 組織に追加することができます。
以下のセクションでは、委任 GuardDuty 管理者アカウントとして実行できるさまざまなタスクについて説明します。
内容
- AWS Organizations を用いて GuardDuty を使用するための考慮事項とレコメンデーション
- 委任 GuardDuty 管理者アカウントの指定に必要な許可
- 委任 GuardDuty 管理者アカウントの指定
- 組織の自動有効化の詳細設定の指定
- 組織へのメンバーの追加
- (オプション) 既存のメンバーアカウントの保護プランの有効化
- GuardDuty 内でのメンバーアカウントの継続的管理
- メンバーアカウントの GuardDuty の停止
- 管理者アカウントからのメンバーアカウントの関連付け解除 (削除)
- GuardDuty 組織からのメンバーアカウントの削除
- 委任 GuardDuty 管理者アカウントの変更
AWS Organizations を用いて GuardDuty を使用するための考慮事項とレコメンデーション
以下の考慮事項と推奨事項は、委任 GuardDuty 管理者アカウントが GuardDuty でどのように機能するかを理解するのに役立ちます。
- 委任 GuardDuty 管理者アカウントは、最大 50,000 のメンバーを管理することができます。
-
委任 GuardDuty 管理者アカウント 1 つあたりのメンバーアカウント数は 50,000 件までとされています。これには、AWS Organizations を通じて追加されたメンバーアカウント、または GuardDuty 管理者アカウントの組織への招待を承諾したメンバーアカウントが含まれます。ただし、AWS 組織内に 50,000 を超えるアカウントが存在する可能性があります。
メンバーアカウント数が 50,000 件を超えると、CloudWatch、AWS Health Dashboard から通知が届き、指定された委任 GuardDuty 管理者アカウントに E メールが送信されます。
- 委任 GuardDuty 管理者アカウントはリージョン別です。
-
AWS Organizations とは異なり、GuardDuty はリージョンレベルのサービスです。委任 GuardDuty 管理者アカウントとそのメンバーアカウントは、GuardDuty が有効になっている希望の各リージョンで AWS Organizations を通じて追加する必要があります。組織の管理アカウントが米国東部 (バージニア北部) のみで委任 GuardDuty 管理者アカウントを指定している場合、委任 GuardDuty 管理者アカウントは、そのリージョンの組織に追加されたメンバーアカウントのみを管理します。GuardDuty が利用可能なリージョンの同等の機能の詳細については、「リージョンとエンドポイント」を参照してください。
- オプトインリージョンの特殊なケース
-
委任 GuardDuty 管理者アカウントがオプトインリージョンをオプトアウトした場合、組織の GuardDuty の自動有効化設定が新しいメンバーアカウントのみ (
NEW) またはすべてのメンバーアカウント (ALL) に設定されている場合でも、現在 GuardDuty が無効になっている組織内のメンバーアカウントの GuardDuty を有効にすることはできません。メンバーアカウントの設定に関する情報を確認するには、GuardDuty コンソールのナビゲーションペインの [アカウント] を開くか、ListMembers API を使用します。 -
GuardDuty の自動有効化設定を
NEWに設定して使用するときは、次の順序が守られていることを確認してください。-
メンバーアカウントがオプトインリージョンにオプトインします。
-
AWS Organizations で組織にメンバーアカウントを追加します。
これらのステップの順序を変更すると、メンバーアカウントが組織にとって新規ではなくなるため、
NEWの GuardDuty の自動有効化設定は特定のオプトインリージョンで機能しません。GuardDuty では 2 つの代替ソリューションがあります。-
GuardDuty の自動有効化設定を
ALLに設定します。これには、新規と既存のメンバーアカウントが含まれます。この場合、これらのステップの順序は関係ありません。 -
メンバーアカウントが既に組織の一部である場合は、GuardDuty コンソールまたは API を使用して、特定のオプトインリージョンでこのアカウントの GuardDuty の設定を個別に管理します。
-
- AWS 組織では、すべての AWS リージョンで同じ委任 GuardDuty 管理者アカウントを設ける必要があります。
-
GuardDuty が有効になっているすべての AWS リージョンで 1 つのメンバーアカウントを委任 GuardDuty 管理者アカウントとして指定する必要があります。例えば、
欧州 (アイルランド)でメンバーアカウント111122223333を指定する場合、カナダ (中部)で別のメンバーアカウント555555555555を指定することはできません。他のすべてのリージョンで委任 GuardDuty 管理者アカウントと同じアカウントを使用する必要があります。任意の時点で新しい委任 GuardDuty 管理者アカウントを指定できます。既存の委任 GuardDuty 管理者アカウントの削除の詳細については、「委任 GuardDuty 管理者アカウントの変更」を参照してください。
- 組織の管理アカウントを委任 GuardDuty 管理者アカウントとして設定することは推奨されません。
-
組織の管理アカウントは、委任 GuardDuty 管理者アカウントになることができます。ただし、AWS のセキュリティのベストプラクティスは最小特権の原則に従っており、この設定は推奨されていません。
- 委任 GuardDuty 管理者アカウントを変更しても、メンバーアカウントの GuardDuty は無効になりません。
-
委任 GuardDuty 管理者アカウントを削除すると、GuardDuty はこの委任 GuardDuty 管理者アカウントに関連付けられているすべてのメンバーアカウントを削除します。GuardDuty は、これらすべてのメンバーアカウントのために引き続き有効になっています。
