による GuardDuty アカウントの管理AWS Organizations - Amazon GuardDuty
委任管理者を指定するために必要なアクセス許可委任管理者を指定し、メンバーアカウントを追加する (コンソール)委任管理者を指定し、メンバーアカウントを追加する (API)単一の組織の委任管理者での GuardDuty アカウントの統合管理者

「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」

による GuardDuty アカウントの管理AWS Organizations

GuardDuty を AWS Organizations の組織で使用する場合は、その組織の任意のアカウントを GuardDuty 委任管理者に指定することができます。委任管理者を指定できるのは、組織 マスターアカウント のみです。GuardDuty

注記

組織の マスターアカウント を代理管理者にすることもできますが、これは最小権限の原則に従う AWS Security のベストプラクティスに基づいてお勧めしません。

委任管理者として指定されたアカウントは、GuardDuty 管理者 アカウントになり、指定されたリージョンで GuardDuty が自動的に有効になります。また、そのリージョン内の組織内のすべてのアカウントに対して GuardDuty を有効にして管理するアクセス許可が付与されます。組織内の他のアカウントは、委任管理者アカウントに関連付けられた GuardDuty メンバーアカウントとして表示および追加できます。

招待によってメンバーアカウントが関連付けられた GuardDuty 管理者 をすでに設定しており、そのメンバーアカウントが同じ組織に属している場合、組織の 委任管理者を設定すると、[Type (タイプ)] が [by Invitation (招待経由)] から [via Organizations (組織経由)GuardDuty] に変わります。新しい委任管理者が以前に同じ組織に属していない招待によってメンバーを追加した場合、その [Type] は [by Invitation] です。いずれの場合も、以前に追加されたこれらのアカウントは、組織の GuardDuty 委任管理者のメンバーアカウントです。

組織外にいる場合でも、引き続きアカウントをメンバーとして追加できます。詳細については、「指定 管理者 招待(コンソール)によるメンバーアカウント」と「指定 GuardDuty 管理者 招待(API)による会員アカウント」を参照してください。

注記

委任管理者あたり 5000 メンバーアカウントという制限があります。GuardDutyただし、組織内に 5,000 を超えるアカウントが存在する可能性があります。組織内の [All (すべて)] のアカウントの数は、 コンソールの [Accounts (アカウント)GuardDuty] ページに表示されます。

メンバーアカウント数が 5,000 を超えると、CloudWatch、Personal Health Dashboard、E メールで代理管理者アカウントに通知が送信されます。

以下の手順に従って、組織の GuardDuty 委任管理者を登録し、既存の組織アカウントをメンバーとして追加して、GuardDuty メンバーアカウントとしての新しい組織アカウントの追加を自動化します。

重要

とは異なり、AWS Organizations はリージョン別サービスです。GuardDutyつまり、GuardDuty を介したアカウント管理を各リージョンでアクティブにするには、AWS Organizations 委任管理者とメンバーアカウントを各リージョンに追加する必要があります。つまり、組織 マスターアカウント が GuardDuty の委任管理者を 米国東部(バージニア北部) でのみ指定する場合、委任管理者はそのリージョンに追加されたメンバーアカウントのみを管理します。のリージョンの詳細については、「GuardDuty」を参照してください。リージョンとエンドポイント

委任管理者を指定するために必要なアクセス許可

委任管理者を委任する場合は、GuardDuty を有効にするアクセス権限と、次のポリシーステートメントに示されている特定の GuardDuty API アクションを有効にする必要があります。AWS Organizations

IAM ポリシーの末尾に次のステートメントを追加して、これらのアクセス許可を付与できます。


{
    "Sid": "Permissions to Enable GuardDuty Delegated Administrator",
    "Effect": "Allow",
    "Action": [
        "guardduty:EnableOrganizationAdminAccount",
        "organizations:EnableAWSServiceAccess",
        "organizations:RegisterDelegatedAdministrator",
        "organizations:ListDelegatedAdministrators",
        "organizations:ListAWSServiceAccessForOrganization",
        "organizations:DescribeOrganizationalUnit",
        "organizations:DescribeAccount",
        "organizations:DescribeOrganization"
    ],
    "Resource": "*"
}
重要

これらのアクションは AmazonGuardDutyFullAccess 管理ポリシー に含まれていません。

さらに、AWS Organizations マスターアカウント を GuardDuty 委任管理者として指定する場合は、そのエンティティに CreateServiceLinkedRole を初期化するための GuardDuty アクセス許可が必要になります。これは、次のステートメントを使用して IAM ポリシーに追加することができます。アカウント ID を組織の マスターアカウント の ID に置き換えてください。 


{
	'Sid": "Permissions to Enable GuardDuty"
	"Effect": "Allow",
	"Action": [
		"iam:CreateServiceLinkedRole"
	],
	"Resource": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty",
	"Condition": {
		"StringLike": {
			"iam:AWSServiceName": "guardduty.amazonaws.com"
		}
	}
}
注記

手動で有効にしたリージョンで GuardDuty を使用している場合は、「service」の値をリージョンのサービスエンドポイントに置き換えます。たとえば、中東 (バーレーン) (me-south-1) リージョンで GuardDuty を使用している場合は、"Service": "guardduty.amazonaws.com""Service": "guardduty.me-south-1.amazonaws.com" に置き換えます。

委任管理者を指定し、メンバーアカウントを追加する (コンソール)

以下の手順に従って、GuardDuty コンソールで GuardDuty 委任管理者を指定し、メンバーアカウントを追加します。

ステップ 1 - 組織の GuardDuty 委任管理者を登録する

  1. 組織の AWS マネジメントコンソール を使用して マスターアカウント にログインします。AWS Organizations

  2. GuardDuty コンソール (https://console.aws.amazon.com/guardduty/) を開きます。

    アカウントに対して GuardDuty がすでに有効になっているかどうかを確認します。

    • がまだ有効になっていない場合は、[GuardDuty開始方法] を選択し、[ へようこそGuardDuty] ページで 委任管理者を指定できます。GuardDuty

      注記

      委任管理者がそのアカウントで GuardDuty を有効にして管理できるようにするには、管理アカウントに GuardDuty サービスにリンクされたロールが必要です。管理アカウントの任意のリージョンで GuardDuty を有効にすると、このロールを自動的に作成できます。

    • が有効になっている場合は、[GuardDuty設定GuardDuty] ページで 委任管理者を指定できます。

  3. 組織の GuardDuty 委任管理者として指定するアカウントの 12 桁の AWS アカウント ID を入力します。

  4. [Delegate (委任)] を選択します。GuardDuty がまだ有効になっていない場合、委任管理者を指定すると、現在のリージョンでそのアカウントに対して GuardDuty が有効になります。

  5. (推奨) 各 AWS リージョンで前の手順を繰り返します。各リージョンに同じ委任管理者を登録することをお勧めします。

委任管理者を指定した後、組織の マスターアカウント を使用して、委任管理者アカウントを変更または削除するだけです。

注記

委任管理者を削除すると、関連するすべてのメンバーアカウントが GuardDuty メンバーとして削除されますが、GuardDuty はそれらのアカウントに対して無効になりません。

ステップ 2 - 既存の組織アカウントをメンバーとして追加する

重要

アカウントをメンバーとして追加すると、現在のリージョンでそのアカウントに対して GuardDuty が自動的に有効になります。この動作は、アカウントがメンバーとして追加される前に GuardDuty を有効にする必要がある招待方法とは異なります。

各リージョンで GuardDuty を有効にするには、それらのリージョンに組織メンバーを追加する必要があります。

  1. GuardDuty コンソール (https://console.aws.amazon.com/guardduty/) を開きます。

  2. ナビゲーションパネルで [Settings (設定)] を選択してから、[Accounts (アカウント)] を選択します。

    アカウントの一覧に組織内のすべてのアカウントが表示されます。これらのアカウントの [Type (タイプ)] は、[via organizations (組織経由)] です。組織の GuardDuty 委任管理者に関連付けられたメンバーアカウントではないアカウントのステータスは、[Not a member (メンバーではありません)] です。

  3. アカウント ID の横にあるチェックボックスをオンにして、メンバーとして追加するアカウントを選択します。

    注記

    ページ上部のバナーで [GuardDuty有効化] を選択すると、すべての組織アカウントの現在のリージョンで を有効にできます。このアクションにより、自動有効化機能がトリガーされ、組織に今後追加されるアカウントに対して GuardDuty が有効になります。

    または、[filter] フィールドを使用して [Relationship status:] でフィルタリングすることもできます。 メンバーではないで、現在のリージョンで GuardDuty が有効になっていないすべてのアカウントを選択します。

  4. [Actions (アクション)]、[Add member (メンバーの追加)] の順に選択します。

  5. 選択したアカウントの数をメンバーとして追加することを確認します。アカウントの [Status (ステータス)] が [Enabled (有効)] に変わります。

  6. (推奨) 各 AWS リージョンでこれらの手順を繰り返し、すべてのリージョンでメンバーアカウントの結果を委任管理者が管理できるようにします。

ステップ 3 - メンバーとしての新しい組織アカウントの追加を自動化する

  1. 委任管理者アカウントを使用して https://console.aws.amazon.com/guardduty/ コンソールにログインします。

  2. ナビゲーションペインで [Settings] の [Accounts] を選択します。

  3. [Auto-enable] を選択します。

  4. を有効にして、新しいメンバーに対して S3 脅威検出を有効にする場合は、[GuardDutyS3 保護] 切り替えアイコンを選択し、詳細については「」を参照してください。複数アカウント環境での S3 保護の設定更新を行ったら、[Update Settings] を選択します。

  5. (推奨) 各 AWS リージョンでこれらの手順を繰り返して、すべてのリージョンで新しいアカウントに対して GuardDuty が自動的に有効になるようにします。

この設定を有効にすると、組織で作成または追加されたすべての新しいアカウントが組織の GuardDuty 委任管理者のメンバーアカウントとして追加され、そのリージョンで GuardDuty が有効になります。メンバーアカウント数が 5,000 の上限に達すると、自動有効化機能は自動的にオフになります。アカウントが削除され、メンバーの総数が 5000 未満になると、自動有効化機能が再度オンになります。

委任管理者を指定し、メンバーアカウントを追加する (API)

組織の委任管理者と GuardDuty のメンバーアカウントは API オペレーションを使用して指定できます。組織の委任管理者と GuardDuty のメンバーアカウントを追加するには、以下の手順を実行します。

  1. の AWS アカウントの認証情報を使用して enableOrganizationAdminAccount API オペレーションを実行します。Organizationsマスターアカウント

    この操作は、AWS Command Line Tools で以下の CLI コマンドを実行しても可能です。委任管理者にするアカウントのアカウント ID を指定してください。GuardDuty

    aws guardduty enable-organization-admin-account —admin-account-id 11111111111

    このコマンドは、現在のリージョンにのみ委任管理者を設定します。現在のリージョンでそのアカウントに対して GuardDuty がまだ有効になっていない場合は、自動的に有効になります。

    他のリージョンに委任管理者を設定するには、委任管理者に管理させるリージョンを指定する必要があります。詳細については、「GuardDuty エンドポイントとクォータ」を参照してください。次の例は、米国西部 (オレゴン) で委任管理者を有効にする方法を示しています。 

    aws guardduty enable-organization-admin-account --admin-account-id 11111111111 --region us-west-2

  2. 前のステップで の委任管理者として指定した AWS アカウントの認証情報を使用して、CreateMembers API オペレーションを実行します。GuardDuty

    委任管理者の AWS アカウントのリージョンディテクター ID と、IDs メンバーにするアカウントのアカウント詳細 (アカウント GuardDuty や E メールアドレスなど) を指定する必要があります。この API オペレーションを使用して 1 人以上のメンバーを作成できます。

    重要

    メンバーとして追加されたアカウントでは、そのリージョンで GuardDuty が有効になっています。ただし、組織 マスターアカウント は例外で、メンバーアカウントとして追加する前にまず GuardDuty を有効にする必要があります。

    この操作は、AWS コマンドラインツールで以下の CLI コマンドを実行しても可能です。自身の有効なディテクター ID、アカウント ID、E メールを使用してください。

    aws guardduty create-members --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-details AccountId=123456789012,Email=guarddutymember@amazon.com

    API の ListAccounts オペレーションを使用するか、次の CLI コマンドを実行することで、すべての組織メンバーのリストを表示できます。 

    aws organizations list-accounts

  3. 委任管理者アカウントの認証情報を使用して updateOrganizationConfigurationAPI オペレーションを実行し、新しいメンバーアカウントに対してそのリージョンで を自動的に有効にします。GuardDutyGuardDuty

    委任管理者の AWS アカウントのディテクター ID を指定する必要があります。

    この操作は、AWS コマンドラインツールで以下の CLI コマンドを実行しても可能です。自身の有効なディテクター ID を使用してください。

    aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --auto-enable

    GuardDuty API オペレーションを実行するか、目的のリージョンの委任管理者のディテクター ID を使用して以下の CLI コマンドを実行することで、リージョンで describeOrganizationConfiguration の自動有効化機能がオンになっていることを確認できます。

    aws guardduty describe-organization-configuration —detector-id 12abc34d567e8fa901bc2d34e56789f0

  4. (推奨) そのリージョンの一意のディテクター ID を使用して、各リージョンでこれらのステップを繰り返し、すべての AWS リージョン内のすべてのメンバーについて GuardDuty のモニタリングカバレッジを有効にします。

単一の組織の委任管理者での GuardDuty アカウントの統合管理者

GuardDuty では、AWS Organizations による関連付けを使用して、委任管理者アカウントでメンバーアカウントを管理することをお勧めします。以下で説明するプロセスの例を使用すると、招待によって関連付けられた 管理者 とメンバーを、単一の GuardDuty 委任管理者の下の組織に統合できます。

  1. GuardDuty を管理するすべてのアカウントが組織に属していることを確認します。組織にアカウントを追加する方法については、「組織への AWS アカウントの招待」を参照してください。

  2. 組織の 管理者 委任管理者として指定するアカウントの下にある場合を除き、既存の GuardDuty アカウントからすべてのメンバーアカウントの関連付けを解除します。

    注記

    委任管理者、またはアクティブなメンバーを持つ委任管理者アカウントによって既に管理されているアカウントは、別の GuardDuty 委任管理者アカウントに追加できません。GuardDuty各組織でリージョンごとに設定できる GuardDuty 委任管理者アカウントは 1 つのみで、各メンバーアカウントは委任管理者を 1 つのみ持つことができます。

  3. [GuardDuty設定] ページから、組織の 委任管理者を指定します。

  4. 指定された委任管理者アカウントにログインします。

  5. 組織からメンバーの追加に進みます。

    重要

    GuardDuty はリージョン別サービスであるという点にご注意ください。の有効性を最大化するために、委任管理者アカウントを指定し、すべてのリージョンにすべてのメンバーを追加することをお勧めします。GuardDuty