GuardDuty アカウントを管理するAWS Organizations - Amazon GuardDuty

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

GuardDuty アカウントを管理するAWS Organizations

あなたがとGuardDuty を使用する場合AWS Organizations組織では、組織内の任意のアカウントを GuardDuty 委任管理者として指定することができます。GuardDuty 委任管理者を指定できるのは、組織の管理アカウントのみです。

委任管理者として指定されたアカウントは GuardDuty 管理者アカウントになり、指定されたリージョンで GuardDuty が自動的に有効になります。また、そのリージョン内の組織のすべてのアカウントに対して GuardDuty を有効にして管理するアクセス許可が付与されます。組織内の他のアカウントは、委任管理者アカウントに関連付けられた GuardDuty メンバーアカウントとして表示および追加できます。

招待によってメンバーアカウントを関連付けられた GuardDuty 管理者を設定しており、メンバーアカウントが同じ組織に属している場合、そのタイプからの変更招待によるOrganizations 経由組織の GuardDuty 委任管理者を設定したとき。新しい委任管理者が、以前に同じ組織に属していない招待によってメンバーを追加した場合、そのタイプ招待による。いずれの場合も、以前に追加されたこれらのアカウントは、組織の GuardDuty 委任管理者のメンバーアカウントです。

組織外にいる場合でも、引き続きアカウントをメンバーとして追加できます。詳細については、「招待による管理者アカウントとメンバーアカウントの指定 (コンソール)」と「招待(API)によるGuardDuty管理者およびメンバーアカウントの指定」を参照してください。

GuardDuty 委任管理者に関する重要な考慮事項

委任された管理者が GuardDuty でどのように動作するかを定義する次の要素に注意してください。

委任された管理者は、最大 5000 人のメンバーを管理できます。

GuardDuty 委任管理者あたりのメンバーアカウント数は 5000 に制限されています。ただし、組織内に 5,000 を超えるアカウントが存在する可能性があります。の数すべて組織のアカウントは、[] ダイアログボックスに表示されます。アカウントページで、GuardDuty コンソールを開きます。

メンバーアカウント数が 5,000 を超える場合は、CloudWatch から通知が届きます。AWS Personal Health Dashboard、委任管理者アカウントに電子メールで送信します。

委任された管理者は [地域] です。

違ってAWS Organizations, GuardDuty は地域サービスです. つまり、GuardDuty yの委任された管理者とそのメンバーアカウントは、AWS Organizationsは、すべてのリージョンでアクティブになります。つまり、組織管理アカウントが、米国東部 (バージニア北部) のみの GuardDuty の委任管理者を指定した場合、委任管理者はそのリージョンに追加されたメンバーアカウントのみを管理します。GuardDuty ティのリージョンの詳細については、リージョンとエンドポイント

組織は、委任された管理者を 1 人だけ持つことができます。

1 アカウントにつき 1 人のみ委任管理者を割り当てることができます。あるリージョンでアカウントを委任管理者として指定した場合、そのアカウントは他のすべてのリージョンで委任された管理者である必要があります。委任管理者を設定した後に委任管理者を変更するには、委任管理者の登録を解除する手順を参照してください。

組織管理アカウントを委任管理者として設定することはお勧めしません。

組織の管理アカウントは委任管理者になることができますが、これはAWS最小権限の原則に従うセキュリティのベストプラクティス

委任された管理者を変更しても、メンバーアカウントの GuardDuty は無効になりません。

委任管理者を削除すると、関連するすべてのメンバーアカウントが GuardDuty メンバーとして削除されますが、これらのアカウントでは GuardDuty が無効になりません。

委任された管理者の指定に必要な権限

GuardDuty 委任された管理者を委任する場合、GuardDuty を有効にする権限と、特定のAWS Organizations以下のポリシーステートメントにリストされている API アクション

IAM ポリシーの最後に次のステートメントを追加することで、これらのアクセス許可を付与できます。

{ "Sid": "Permissions to Enable GuardDuty delegated administrator", "Effect": "Allow", "Action": [ "guardduty:EnableOrganizationAdminAccount", "organizations:EnableAWSServiceAccess", "organizations:RegisterDelegatedAdministrator", "organizations:ListDelegatedAdministrators", "organizations:ListAWSServiceAccessForOrganization", "organizations:DescribeOrganizationalUnit", "organizations:DescribeAccount", "organizations:DescribeOrganization" ], "Resource": "*" }

さらに、あなたが指定したい場合AWS Organizations管理アカウントを GuardDuty 委任された管理者として、エンティティに必要なCreateServiceLinkedRoleアクセス許可を使用して GuardDuty を初期化します。これは、次のステートメントを使用して IAM ポリシーに追加できます。アカウント ID を組織の管理アカウントの ID に置き換えてください。

{ 'Sid": "Permissions to Enable GuardDuty" "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty", "Condition": { "StringLike": { "iam:AWSServiceName": "guardduty.amazonaws.com" } } }
注記

手動で有効にしたリージョンで GuardDuty を使用している場合は、「service」の値をリージョンのリージョンエンドポイントに置き換えます。たとえば、中東 (バーレーン) (me-south-1) リージョンで GuardDuty を使用している場合は、"Service": "guardduty.amazonaws.com""Service": "guardduty.me-south-1.amazonaws.com"

GuardDuty 委任管理者の指定

次の手順では、委任管理者を指定する方法を示しています。AWS組織を作成し、メンバーアカウントを追加します。[コンソール] または [API] を選択し、表示される手順に従います。

Console

ステップ 1 — 組織の GuardDuty 委任管理者を登録します。

  1. にログインします。AWS Management Consoleの管理アカウントを使用してAWS Organizations組織。

  2. で GuardDuty コンソール () を開きます。https://console.aws.amazon.com/guardduty/

    アカウントで GuardDuty がすでに有効になっていますか?

    • GuardDuty がまだ有効になっていない場合は、開始方法し、GuardDuty の委任された管理者をGuardDuty へようこそページで.

      注記

      委任された管理者がそのアカウントで GuardDuty を有効にして管理できるようにするには、管理アカウントに GuardDuty サービスリンクロールが必要です。管理アカウントの任意のリージョンで GuardDuty を有効にして、このロールを自動的に作成できます。

    • GuardDuty が有効になっている場合は、GuardDuty の委任された管理者を設定ページで.

  3. 12 桁のAWS組織の GuardDuty 委任管理者として指定するアカウントのアカウント ID。

  4. [Delegate (委任)] を選択します。GuardDuty がまだ有効になっていない場合は、委任管理者を指定すると、現在のリージョンでそのアカウントに対して GuardDuty が有効になります。

  5. (推奨) 各で前の手順を繰り返します。AWSリージョン。

委任管理者を指定したら、組織の管理アカウントを使用して、委任管理者アカウントを変更または削除するだけです。

重要

アカウントをメンバーとして追加すると、現在のリージョンでそのアカウントに対して GuardDuty が自動的に有効になります。この動作は、アカウントをメンバーとして追加する前にGuardDutyを有効にする必要がある招待方法とは異なります。

各リージョンで GuardDuty を有効にするには、各リージョンに組織メンバーを追加する必要があります。

ステップ 2-既存の組織アカウントをメンバーとして追加する

  1. で GuardDuty コンソール () を開きます。https://console.aws.amazon.com/guardduty/

  2. ナビゲーションパネルで [Settings (設定)] を選択してから、[Accounts (アカウント)] を選択します。

    アカウントの一覧に組織内のすべてのアカウントが表示されます。これらのアカウントの [Type (タイプ)] は、[via organizations (組織経由)] です。組織の GuardDuty 委任管理者に関連付けられたメンバーアカウントではないアカウントのステータスは、メンバーではありません

  3. アカウント ID の横にあるチェックボックスをオンにして、メンバーとして追加するアカウントを選択します。

    注記

    ページ上部のバナーで [enable (有効)] を選択することで、すべての組織アカウントの現在のリージョンで GuardDuty を有効にできます。このアクションはまた、自動イネーブル化機能を使用すると、組織に追加される将来のアカウントに対して GuardDuty を有効にするようになります。

    または、フィルターフィルタの基準となるフィールド関係ステータス: メンバーではありませんをクリックし、現在のリージョンで GuardDuty が有効になっていないすべてのアカウントを選択します。

  4. [Actions (アクション)]、[Add member (メンバーの追加)] の順に選択します。

  5. 選択したアカウントの数をメンバーとして追加することを確認します。-ステータスに変更されます。[Enabled (有効)]

  6. (推奨) 各でこれらの手順を繰り返します。AWSリージョンで:すべてのリージョンでメンバーアカウントの結果を委任管理者が管理できるようにします。

ステップ 3-メンバーとしての新しい組織アカウントの追加を自動化する

  1. にログインします。https://console.aws.amazon.com/guardduty/コンソールで、委任管理者アカウントを使用します。

  2. ナビゲーションペインで [Settings] の [Accounts] を選択します。

  3. 自動有効化を選択します。

  4. 最初のトグルアイコンを選択して自動有効化を有効にします。GuardDuty を有効にするだけでなく、新しいメンバーの S3 脅威検出を有効にする場合は、S3 保護トグルアイコンを参照してください。詳細については、複数アカウント環境での S3 保護の設定。更新を行ったら、設定の更新

  5. (推奨) 各でこれらの手順を繰り返します。AWSすべてのリージョンで、新しいアカウントに対して GuardDuty が自動的に有効になるようにします。

自動有効化機能を使用すると、組織のすべての将来のメンバーに対して GuardDuty が有効になります。これにより、GuardDuty の委任管理者は、組織内で作成された、または組織に追加された新しいメンバーを管理できます。メンバーアカウント数が 5,000 の上限に達すると、自動有効化機能は自動的にオフになります。アカウントが削除され、メンバーの総数が 5,000 未満になると、自動有効化機能が再びオンになります。

API

委任管理者を指定し、メンバーアカウント (API) を追加する

  1. を実行enableOrganizationAdminAccountの認証情報を使用した API オペレーションの呼び出しAWSOrganizations 管理アカウントのアカウント。

    また、 を使用することもできますAWSこの操作は、コマンドラインで以下の CLI コマンドを実行しても可能です。GuardDuty 委任管理者にするアカウントのアカウント ID を指定してください。

    AWS guardduty enable-organization-admin-account --admin-account-id 11111111111

    このコマンドは、現在のリージョンにのみ委任管理者を設定します。現在のリージョンでそのアカウントに対して GuardDuty がまだ有効になっていない場合は、自動的に有効になります。

    他のリージョンに委任管理者を設定するには、委任管理者が管理するリージョンを指定する必要があります。詳細については、「」を参照してください。GuardDuty エンドポイントとクォータ。次の例では、米国西部 (オレゴン) で委任管理者を有効にする方法を示します。

    AWS guardduty enable-organization-admin-account --admin-account-id 11111111111 --region us-west-2
  2. を実行CreateMembersの認証情報を使用した API オペレーションの呼び出しAWSアカウントを、前の手順で GuardDuty の委任管理者として指定しました。

    委任管理者のリージョンディテクター ID を指定する必要がありますAWSアカウントと、GuardDuty メンバーにするアカウントのアカウント詳細 (アカウント ID や E メールアドレスなど) が表示されます。この API オペレーションを使用して 1 人以上のメンバーを作成できます。

    重要

    メンバーとして追加されたアカウントは、そのリージョンで GuardDuty が有効になります。ただし、組織管理アカウントは GuardDuty を有効にしてからメンバーアカウントとして追加する必要があります。

    この操作は、AWSコマンドラインツールは、以下の CLI コマンドを実行します。自身の有効なディテクター ID、アカウント ID、E メールを使用してください。

    AWS guardduty create-members --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-details AccountId=123456789012,Email=guarddutymember@amazon.com

    ListAccounts API オペレーションを使用するか、以下の CLI コマンドを実行することで、すべての組織メンバーのリストを表示できます。

    AWS organizations list-accounts
  3. を実行updateOrganizationConfigurationAPI オペレーションでは、GuardDuty 委任管理者アカウントの認証情報を使用して、そのリージョンで GuardDuty を新しいメンバーアカウントに対して自動的に有効にします。

    委任管理者のディテクター ID を指定する必要がありますAWSアカウント.

    この操作は、AWSコマンドラインツールは、以下の CLI コマンドを実行します。自身の有効なディテクター ID を使用してください。

    AWS guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --auto-enable

    リージョンで GuardDuty の自動有効化機能が有効になっていることを確認するには、describeOrganizationConfigurationAPI オペレーションを実行するか、目的のリージョンで委任管理者のディテクター ID を使用して次の CLI コマンドを実行してください。

    AWS guardduty describe-organization-configuration —detector-id 12abc34d567e8fa901bc2d34e56789f0
  4. (推奨) 各リージョンでこれらの手順を繰り返し、すべてのメンバーに対して GuardDuty モニタリングカバレッジを有効にするには、そのリージョンに一意のディテクター ID を使用します。AWSリージョン

単一の組織の委任された管理者による GuardDuty 管理者アカウントの統合

GuardDuty yは、AWS Organizationsを使用して、委任管理者アカウントの下でメンバーアカウントを管理します。以下で説明するプロセスの例を使用すると、招待によって関連付けられた管理者とメンバーを単一の委任管理者の下に統合できます。

  1. GuardDuty を管理するすべてのアカウントが組織に属していることを確認します。組織へのアカウントの追加については、を招待AWS組織へのアカウントの招待

  2. 組織の GuardDuty 委任管理者として指定するアカウントの下にある場合を除き、既存の管理者アカウントからすべてのメンバーアカウントの関連付けを解除します。

    注記

    GuardDuty 委任された管理者またはアクティブなメンバーを持つ委任された管理者アカウントによって既に管理されているアカウントは、別の GuardDuty 委任された管理者アカウントに追加できません。各組織でリージョンごとに設定できる GuardDuty 委任管理者アカウントは 1 つのみであり、各メンバーアカウントに設定できる委任管理者も 1 つのみです。

  3. 組織の GuardDuty 委任管理者を設定ページで.

  4. 指定された委任管理者アカウントにログインします。

  5. 組織からメンバーの追加に進みます。

    重要

    GuardDuty はリージョン別サービスであることを忘れないでください。GuardDuty の有効性を最大限に活用するには、委任管理者アカウントを指定し、すべてのリージョンにすべてのメンバーを追加することをお勧めします。

GuardDuty 委任管理者を登録解除する

注記

委任管理者の登録を解除できるのは、Organizations 管理アカウントのみです。

[コンソール] または [API] を選択し、指示された手順に従って、委任された管理者の登録を解除します。登録解除が完了したら、新しい委任された管理者を指定できます。

Console

コンソールから委任された管理者の登録を解除するときに、アカウントがOrganizations 管理アカウントでもある場合は、アカウントが委任された管理者として指定された各リージョンでこのプロセスを繰り返す必要があります。

重要

Organizations 管理アカウントで、別のアカウントを委任管理者として指定している場合は、すべてのリージョンで登録が解除されます。

  1. で GuardDuty コンソール () を開きます。https://console.aws.amazon.com/guardduty/

  2. [設定] を選択します。

  3. [Settings (設定)] ページで、委任された管理者選択するを削除します。

  4. 変更を確認します。管理者の削除

API

委任された管理者を API から登録解除する場合、新しい委任された管理者を指定する前に、これまでリージョンで登録解除する必要があります。

  1. を実行無効化組織管理者アカウントOrganizations 管理アカウントの認証情報を使用して API オペレーションを実行します。

    AWS guardduty disable-organization-admin-account ‐‐admin-account-id "123456789012"
  2. 委任された管理者が管理する各リージョンで繰り返します。