を使用したGuardDutyアカウントの管理 AWS Organizations - Amazon GuardDuty
に関する重要な考慮事項 GuardDuty 委任された管理者sを指定するために必要なアクセス許可 委任された管理者の指定 GuardDuty 委任された管理者単一の組織でGuardDuty管理者のアカウントの統合 委任された管理者の登録解除 GuardDuty 委任された管理者

「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」

を使用したGuardDutyアカウントの管理 AWS Organizations

組織GuardDutyで を使用するとAWS Organizations、組織内の任意のアカウントを に指定できますGuardDuty委任された管理者。組織のみが 管理アカウント を指定できますGuardDuty委任された管理者。

として指定されたアカウントは委任された管理者GuardDutyアカウント管理者になり、指定されたリージョンで GuardDuty が自動的に有効になり、そのリージョン内の組織内のすべてのアカウントGuardDutyに対して を有効にして管理するアクセス許可が付与されます。組織内の他のアカウントは、GuardDutyアカウントに関連付けられた委任された管理者メンバーアカウントとして表示および追加できます。

招待によって関連付けられたメンバーアカウントGuardDuty管理者で をすでに設定していて、メンバーアカウントが同じ組織に属している場合、組織の を設定すると、その [Type] は [via Organizations] によって から [GuardDutyvia委任された管理者 Organizations] に変わります。委任された管理者 以前に追加した新しいメンバーが、同じ組織に属していない場合、[Type] は [by Invitation] になります。どちらの場合も、以前に追加されたこれらのアカウントは、組織の のメンバーアカウントですGuardDuty委任された管理者。

組織外にいる場合でも、引き続きアカウントをメンバーとして追加できます。詳細については、「指定 管理者 招待(コンソール)によるメンバーアカウント」と「指定 GuardDuty 管理者 招待(API)による会員アカウント」を参照してください。

に関する重要な考慮事項 GuardDuty 委任された管理者s

での 委任された管理者 の動作を定義する次の要素に注意してくださいGuardDuty。

委任された管理者 では、最大 5000 のメンバーを管理できます。

あたりのメンバーアカウント数は 5000 に制限されていますGuardDuty委任された管理者。ただし、組織内に 5,000 を超えるアカウントが存在する可能性があります。[組織内のすべてのアカウント] の数が、 コンソールの [アカウントGuardDuty] ページに表示されます。

5,000 のメンバーアカウントを超えるCloudWatchとPersonal Health Dashboard、、、および を介して委任された管理者アカウントの E メールで通知が送信されます。

委任された管理者 はリージョン別です。

とは異なりAWS Organizations、 GuardDuty はリージョン別サービスです。つまり、 によるアカウント管理が各リージョンでアクティブGuardDutyになるようにAWS Organizations、委任管理者とそのメンバーアカウントを各希望するリージョンに追加する必要があります。つまり、組織が 管理アカウント の 委任された管理者 に GuardDuty を指定した場合、 米国東部(バージニア北部) 委任された管理者 はそのリージョンに追加されたメンバーアカウントのみを管理します。のリージョンの詳細についてはGuardDuty、「」を参照してくださいリージョンとエンドポイント

組織が持つことができる は 1 つのみです委任された管理者。

アカウント委任された管理者ごとに 1 つのみ持つことができます。あるリージョン委任された管理者でアカウントを として指定した場合、そのアカウントは他のすべてのリージョン委任された管理者で である必要があります。設定委任された管理者後に を変更するには、 の登録を解除する手順を参照してください委任された管理者。

[組織] を 管理アカウント として設定することは推奨委任された管理者されません。

Organization は に管理アカウントすることができますが委任された管理者、最小権限の原則に従う AWS Security のベストプラクティスに基づいてお勧めしません。

を変更して委任された管理者も、メンバーアカウントの GuardDuty は無効になりません。

を削除すると委任された管理者、関連するすべてのメンバーアカウントはGuardDutyメンバーとして削除されますが、それらのアカウントでは無効GuardDutyになりません。

を指定するために必要なアクセス許可 委任された管理者

を委任する場合GuardDuty委任された管理者、 と、次のポリシーステートメントにリストされているGuardDuty特定の AWS Organizations API アクションを有効にするアクセス許可が必要です。

IAM ポリシーの末尾に次のステートメントを追加して、これらのアクセス許可を付与できます。


{
    "Sid": "Permissions to Enable GuardDuty 委任された管理者",
    "Effect": "Allow",
    "Action": [
        "guardduty:EnableOrganizationAdminAccount",
        "organizations:EnableAWSServiceAccess",
        "organizations:RegisterDelegatedAdministrator",
        "organizations:ListDelegatedAdministrators",
        "organizations:ListAWSServiceAccessForOrganization",
        "organizations:DescribeOrganizationalUnit",
        "organizations:DescribeAccount",
        "organizations:DescribeOrganization"
    ],
    "Resource": "*"
}

さらに、 を AWS Organizations 管理アカウント として指定する場合はGuardDuty委任された管理者、そのエンティティに を初期化するためのCreateServiceLinkedRoleアクセス許可が必要ですGuardDuty。これは、次のステートメントを使用して IAM ポリシーに追加し、アカウント ID を組織の ID に置き換えることができます管理アカウント。 


{
	'Sid": "Permissions to Enable GuardDuty"
	"Effect": "Allow",
	"Action": [
		"iam:CreateServiceLinkedRole"
	],
	"Resource": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty",
	"Condition": {
		"StringLike": {
			"iam:AWSServiceName": "guardduty.amazonaws.com"
		}
	}
}
注記

手動で有効にしたリージョンで GuardDuty を使用している場合は、「service」の値をリージョンのサービスエンドポイントに置き換えます。たとえば、GuardDuty (me-south-1) リージョンで 中東 (バーレーン) を使用している場合は、"Service": "guardduty.amazonaws.com""Service": "guardduty.me-south-1.amazonaws.com" に置き換えます。

の指定 GuardDuty 委任された管理者

次の手順では、AWS Organization 委任された管理者 に を指定し、メンバーアカウントを追加する方法を示します。[Console (コンソール)] または [API] を選択し、指定された手順に従います。

Console

ステップ 1 組織の — GuardDuty 委任された管理者 を登録する

  1. AWS マネジメントコンソール 管理アカウント 組織の AWS Organizations を使用して にログインします。

  2. GuardDuty コンソール (https://console.aws.amazon.com/guardduty/) を開きます。

    アカウントに対して GuardDuty がすでに有効になっているかどうかを確認します。

    • GuardDuty がまだ有効になっていない場合は、[Get Started] を選択しGuardDuty、[Welcome to] GuardDuty ページで代理管理者を指定できます。

      注記

      委任管理者がそのアカウントGuardDutyで を有効にして管理できるようにするには、管理アカウントには GuardDuty サービスにリンクされたロールが必要です。管理アカウントの任意のリージョンGuardDutyで を有効にして、このロールを自動的に作成できます。

    • GuardDuty が有効になっている場合はGuardDuty、[設定] ページで代理管理者を指定できます。

  3. 組織の として指定するアカウントの 12 桁の AWS アカウント ID GuardDuty 委任された管理者 を入力します。

  4. [Delegate (委任)] を選択します。GuardDuty がまだ有効になっていない場合、 を指定する委任された管理者と、現在のリージョンでGuardDutyそのアカウントの が有効になります。

  5. (推奨) 各 AWS リージョンで前の手順を繰り返します。

を指定したら委任された管理者、組織を使用して管理アカウントアカウント委任された管理者を変更または削除するだけで済みます。

重要

アカウントをメンバーとして追加すると、現在のリージョンでそのアカウントに対して GuardDuty が自動的に有効になります。この動作は、招待メソッドとは異なります。このメソッドでは、アカウントがメンバーとして追加される前に有効にGuardDutyする必要があります。

各リージョンで GuardDuty を有効にするには、それらのリージョンに組織メンバーを追加する必要があります。

ステップ 2 - 既存の組織アカウントをメンバーとして追加する

  1. GuardDuty コンソール (https://console.aws.amazon.com/guardduty/) を開きます。

  2. ナビゲーションパネルで [Settings (設定)] を選択してから、[Accounts (アカウント)] を選択します。

    アカウントの一覧に組織内のすべてのアカウントが表示されます。これらのアカウントの [Type (タイプ)] は、[via organizations (組織経由)] です。組織の に関連付けられているメンバーアカウントではないアカウントのステータスはGuardDuty、[Not a 委任された管理者member] になります。

  3. アカウント ID の横にあるチェックボックスをオンにして、メンバーとして追加するアカウントを選択します。

    注記

    ページ上部のバナーで [enable (有効)] を選択することで、すべての組織アカウントの現在のリージョンで GuardDuty を有効にできます。このアクションにより、自動有効化機能がトリガーされ、組織に今後追加されるアカウントに対して GuardDuty が有効になります。

    または、[filter (フィルタ)] フィールドを使用して [Relationship status: Not a member (関係ステータス: メンバーでない)] でフィルタ処理し、現在のリージョンで GuardDuty が有効になっていないすべてのアカウントを選択することもできます。

  4. [Actions (アクション)]、[Add member (メンバーの追加)] の順に選択します。

  5. 選択したアカウントの数をメンバーとして追加することを確認します。アカウントの [ステータス] が [有効] に変わります。

  6. (推奨) 各 AWS リージョンでこれらのステップを繰り返し委任された管理者、すべてのリージョンのメンバーアカウントの結果を で管理できるようにします。

ステップ 3 - メンバーとしての新しい組織アカウントの追加を自動化する

  1. 委任管理者アカウントを使用して https://console.aws.amazon.com/guardduty/ コンソールにログインします。

  2. ナビゲーションペインで [Settings] の [Accounts] を選択します。

  3. [Auto-enable (自動有効化)] を選択します。

  4. 新しいメンバーの S3 脅威検出を有効にし、さらに S3 GuardDutyS3保護の切り替えアイコンを有効にする場合は、最初の切り替えアイコンを選択して自動有効化を有効にします。詳細については複数アカウント環境でS3 保護の設定、「」を参照してください。更新を行ったら、[Update Settings (設定の更新)] を選択します。

  5. (推奨) 各 AWS リージョンでこれらの手順を繰り返して、すべてのリージョンで新しいアカウントに対して GuardDuty が自動的に有効になるようにします。

自動有効化機能は、組織の今後のすべてのGuardDutyメンバーに対して を有効にします。これにより、GuardDuty委任管理者は、組織内で作成された、または組織に追加された新しいメンバーを管理できます。メンバーアカウント数が 5,000 の上限に達すると、自動有効化機能は自動的にオフになります。アカウントが削除され、メンバーの合計数が 5000 未満になった場合、[Auto-enable (自動有効化)] 機能は再びオンになります。

API

を指定してメンバーアカウント委任された管理者を追加する (API)

  1. の AWS アカウントの認証情報を使用してenableOrganizationAdminAccount API オペレーションを実行しますOrganizations管理アカウント。

    この操作は、AWS Command Line Tools で以下の CLI コマンドを実行しても可能です。を作成するアカウントのアカウント ID を指定しますGuardDuty委任された管理者。

    aws guardduty enable-organization-admin-account —admin-account-id 11111111111

    このコマンドは、現在のリージョンにのみ 委任された管理者 を設定します。現在のリージョンでそのアカウントに対して GuardDuty がまだ有効になっていない場合は、自動的に有効になります。

    他のリージョン委任された管理者の を設定するには、 委任された管理者 で管理するリージョンを指定する必要があります。詳細については、「GuardDuty エンドポイントとクォータ」を参照してください。次の例は、米国西部 (オレゴン) 委任された管理者 で を有効にする方法を示しています。 

    aws guardduty enable-organization-admin-account --admin-account-id 11111111111 --region us-west-2

  2. 前のステップCreateMembers の として指定した AWS アカウントの認証情報を使用して委任された管理者ためにGuardDuty API オペレーションを実行します。

    委任された管理者 AWS アカウントのリージョンディテクター ID、および GuardDuty メンバーにするアカウントのアカウント IDs と E メールアドレスを含むアカウントの詳細を指定する必要があります。この API オペレーションを使用して 1 人以上のメンバーを作成できます。

    重要

    メンバーとして追加されたアカウントでは、そのリージョンで がGuardDuty有効になります。ただし、組織 は例外であり管理アカウント、まず を有効にGuardDutyしてから、メンバーアカウントとして追加する必要があります。

    この操作は、AWS コマンドラインツールで以下の CLI コマンドを実行しても可能です。自身の有効なディテクター ID、アカウント ID、E メールを使用してください。

    aws guardduty create-members --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-details AccountId=123456789012,Email=guarddutymember@amazon.com

    ListAccounts API オペレーションを使用するか、以下の CLI コマンドを実行することで、すべての組織メンバーのリストを表示できます。 

    aws organizations list-accounts

  3. updateOrganizationConfiguration アカウントの認証情報を使用して GuardDuty 委任された管理者 API オペレーションを実行し、そのリージョンGuardDutyで新しいメンバーアカウントの を自動的に有効にします。

    委任された管理者 AWS アカウントのディテクター ID を指定する必要があります。

    この操作は、AWS コマンドラインツールで以下の CLI コマンドを実行しても可能です。自身の有効なディテクター ID を使用してください。

    aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --auto-enable

    GuardDutydescribeOrganizationConfiguration API オペレーションを実行するか、目的のリージョンの のディテクター ID を使用して次の CLI コマンドを実行することで、リージョンで自動有効化委任された管理者機能がオンになっていることを確認できます。 

    aws guardduty describe-organization-configuration —detector-id 12abc34d567e8fa901bc2d34e56789f0

  4. (推奨) すべての AWS リージョンのすべてのGuardDutyメンバーについてモニタリングカバレッジを有効にするには、各リージョンで、そのリージョンの一意のディテクター ID を使用してこれらのステップを繰り返します。

単一の組織でGuardDuty管理者のアカウントの統合 委任された管理者

GuardDuty ではAWS Organizations、 による関連付けを使用して委任された管理者、アカウントのメンバーアカウントを管理することをお勧めします。以下に示しているプロセス例を使用して、 管理者 とメンバーを統合し、単一の で組織に招待することができますGuardDuty委任された管理者。

  1. GuardDuty を管理するすべてのアカウントが組織に属していることを確認します。組織にアカウントを追加する方法については、「組織への AWS アカウントの招待」を参照してください。

  2. 組織の 管理者 委任管理者として指定するアカウントの下にあるものを除く、すべてのメンバーアカウントの既存のGuardDutyアカウントへの関連付けを解除します。

    注記

    既にアクティブなメンバーによって管理されているアカウントGuardDuty委任された管理者や、アクティブなメンバーを持つ委任された管理者アカウントは、別のGuardDuty委任された管理者アカウントに追加できません。各組織で、リージョンごとに 1 つのGuardDuty委任された管理者アカウントのみを持つことができ、各メンバーアカウントで持つことができる は 1 つのみです委任された管理者。

  3. [GuardDutySettings委任された管理者] ページから、組織の を指定します。

  4. 指定された委任管理者アカウントにログインします。

  5. 組織からメンバーの追加に進みます。

    重要

    GuardDuty はリージョン別サービスであるという点にご注意ください。の有効性を最大化するために、 委任された管理者 アカウントを指定し、すべてのリージョンにすべてのメンバーを追加することをお勧めしますGuardDuty。

の登録解除 GuardDuty 委任された管理者

注記

のみを登録解除Organizations管理アカウントできます委任された管理者。

[Console (コンソール)] または [API] を選択し、指定されたステップに従って の登録を解除します委任された管理者。登録解除が完了したら、新しい を指定できます委任された管理者。

Console

コンソール委任された管理者から を登録解除する場合、アカウントが でもある場合はOrganizations管理アカウント、アカウントが指定された各リージョンでこのプロセスを繰り返す必要があります委任された管理者。

重要

ユーザーが で、すべてのリージョンで登録解除Organizationsされるため別のアカウントを管理アカウント委任された管理者指定した場合。

  1. GuardDuty コンソール (https://console.aws.amazon.com/guardduty/) を開きます。

  2. [設定] を選択します。

  3. [設定] ページの [委任管理者] で、[削除] を選択します。

  4. [Remove Administrator] を選択して、変更を確認します。

API

API 委任された管理者 から を登録解除する場合、新しい を指定する前に、常にリージョンで登録を解除する必要があります委任された管理者。

  1. の認証情報を使用して DisableOrganizationAdminAccount API オペレーションを実行しますOrganizations管理アカウント。 

    aws guardduty disable-organization-admin-account ‐‐admin-account-id "123456789012"

  2. その によって管理される各リージョンで、この手順を繰り返します委任された管理者。