「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」
を使用したGuardDutyアカウントの管理 AWS Organizations
組織GuardDutyで を使用するとAWS Organizations、組織内の任意のアカウントを に指定できますGuardDuty委任された管理者。組織のみが 管理アカウント を指定できますGuardDuty委任された管理者。
として指定されたアカウントは委任された管理者GuardDutyアカウント管理者になり、指定されたリージョンで GuardDuty が自動的に有効になり、そのリージョン内の組織内のすべてのアカウントGuardDutyに対して を有効にして管理するアクセス許可が付与されます。組織内の他のアカウントは、GuardDutyアカウントに関連付けられた委任された管理者メンバーアカウントとして表示および追加できます。
招待によって関連付けられたメンバーアカウントGuardDuty管理者で をすでに設定していて、メンバーアカウントが同じ組織に属している場合、組織の を設定すると、その [Type] は [via Organizations] によって から [GuardDutyvia委任された管理者 Organizations] に変わります。委任された管理者 以前に追加した新しいメンバーが、同じ組織に属していない場合、[Type] は [by Invitation] になります。どちらの場合も、以前に追加されたこれらのアカウントは、組織の のメンバーアカウントですGuardDuty委任された管理者。
組織外にいる場合でも、引き続きアカウントをメンバーとして追加できます。詳細については、「指定 管理者 招待(コンソール)によるメンバーアカウント」と「指定 GuardDuty 管理者 招待(API)による会員アカウント」を参照してください。
に関する重要な考慮事項 GuardDuty 委任された管理者s
での 委任された管理者 の動作を定義する次の要素に注意してくださいGuardDuty。
- 委任された管理者 では、最大 5000 のメンバーを管理できます。
-
あたりのメンバーアカウント数は 5000 に制限されていますGuardDuty委任された管理者。ただし、組織内に 5,000 を超えるアカウントが存在する可能性があります。[組織内のすべてのアカウント] の数が、 コンソールの [アカウントGuardDuty] ページに表示されます。
5,000 のメンバーアカウントを超えるCloudWatchとPersonal Health Dashboard、、、および を介して委任された管理者アカウントの E メールで通知が送信されます。
- 委任された管理者 はリージョン別です。
-
とは異なりAWS Organizations、 GuardDuty はリージョン別サービスです。つまり、 によるアカウント管理が各リージョンでアクティブGuardDutyになるようにAWS Organizations、委任管理者とそのメンバーアカウントを各希望するリージョンに追加する必要があります。つまり、組織が 管理アカウント の 委任された管理者 に GuardDuty を指定した場合、 米国東部(バージニア北部) 委任された管理者 はそのリージョンに追加されたメンバーアカウントのみを管理します。のリージョンの詳細についてはGuardDuty、「」を参照してくださいリージョンとエンドポイント。
- 組織が持つことができる は 1 つのみです委任された管理者。
-
アカウント委任された管理者ごとに 1 つのみ持つことができます。あるリージョン委任された管理者でアカウントを として指定した場合、そのアカウントは他のすべてのリージョン委任された管理者で である必要があります。設定委任された管理者後に を変更するには、 の登録を解除する手順を参照してください委任された管理者。
- [組織] を 管理アカウント として設定することは推奨委任された管理者されません。
-
Organization は に管理アカウントすることができますが委任された管理者、最小権限の原則に従う AWS Security のベストプラクティスに基づいてお勧めしません。
- を変更して委任された管理者も、メンバーアカウントの GuardDuty は無効になりません。
-
を削除すると委任された管理者、関連するすべてのメンバーアカウントはGuardDutyメンバーとして削除されますが、それらのアカウントでは無効GuardDutyになりません。
を指定するために必要なアクセス許可 委任された管理者
を委任する場合GuardDuty委任された管理者、 と、次のポリシーステートメントにリストされているGuardDuty特定の AWS Organizations API アクションを有効にするアクセス許可が必要です。
IAM ポリシーの末尾に次のステートメントを追加して、これらのアクセス許可を付与できます。
{ "Sid": "Permissions to Enable GuardDuty 委任された管理者", "Effect": "Allow", "Action": [ "guardduty:EnableOrganizationAdminAccount", "organizations:EnableAWSServiceAccess", "organizations:RegisterDelegatedAdministrator", "organizations:ListDelegatedAdministrators", "organizations:ListAWSServiceAccessForOrganization", "organizations:DescribeOrganizationalUnit", "organizations:DescribeAccount", "organizations:DescribeOrganization" ], "Resource": "*" }
さらに、 を AWS Organizations 管理アカウント として指定する場合はGuardDuty委任された管理者、そのエンティティに を初期化するためのCreateServiceLinkedRole
アクセス許可が必要ですGuardDuty。これは、次のステートメントを使用して IAM ポリシーに追加し、アカウント ID を組織の ID に置き換えることができます管理アカウント。
{ 'Sid": "Permissions to Enable GuardDuty" "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "arn:aws:iam::
123456789012
:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty", "Condition": { "StringLike": { "iam:AWSServiceName": "guardduty.amazonaws.com" } } }
手動で有効にしたリージョンで GuardDuty を使用している場合は、「service」の値をリージョンのサービスエンドポイントに置き換えます。たとえば、GuardDuty
(me-south-1) リージョンで 中東 (バーレーン) を使用している場合は、"Service":
"guardduty.amazonaws.com"
を "Service":
"guardduty.me-south-1.amazonaws.com"
に置き換えます。
の指定 GuardDuty 委任された管理者
次の手順では、AWS Organization 委任された管理者 に を指定し、メンバーアカウントを追加する方法を示します。[Console (コンソール)] または [API] を選択し、指定された手順に従います。
単一の組織でGuardDuty管理者のアカウントの統合 委任された管理者
GuardDuty ではAWS Organizations、 による関連付けを使用して委任された管理者、アカウントのメンバーアカウントを管理することをお勧めします。以下に示しているプロセス例を使用して、 管理者 とメンバーを統合し、単一の で組織に招待することができますGuardDuty委任された管理者。
-
GuardDuty を管理するすべてのアカウントが組織に属していることを確認します。組織にアカウントを追加する方法については、「組織への AWS アカウントの招待」を参照してください。
-
組織の 管理者 委任管理者として指定するアカウントの下にあるものを除く、すべてのメンバーアカウントの既存のGuardDutyアカウントへの関連付けを解除します。
注記 既にアクティブなメンバーによって管理されているアカウントGuardDuty委任された管理者や、アクティブなメンバーを持つ委任された管理者アカウントは、別のGuardDuty委任された管理者アカウントに追加できません。各組織で、リージョンごとに 1 つのGuardDuty委任された管理者アカウントのみを持つことができ、各メンバーアカウントで持つことができる は 1 つのみです委任された管理者。
-
[GuardDutySettings委任された管理者] ページから、組織の を指定します。
-
指定された委任管理者アカウントにログインします。
-
組織からメンバーの追加に進みます。
重要 GuardDuty はリージョン別サービスであるという点にご注意ください。の有効性を最大化するために、 委任された管理者 アカウントを指定し、すべてのリージョンにすべてのメンバーを追加することをお勧めしますGuardDuty。
の登録解除 GuardDuty 委任された管理者
のみを登録解除Organizations管理アカウントできます委任された管理者。
[Console (コンソール)] または [API] を選択し、指定されたステップに従って の登録を解除します委任された管理者。登録解除が完了したら、新しい を指定できます委任された管理者。