AWS Organizations による GuardDuty アカウントの管理
GuardDuty を AWS Organizations の組織で使用する場合は、その組織の任意のアカウントを GuardDuty 委任管理者に指定することができます。GuardDuty 委任管理者を指定できるのは、組織のマスターアカウントのみです。
組織のマスターアカウントは委任管理者になることができますが、これは最小限の特権の原則に従う AWS Security のベストプラクティスに基づいてお勧めしません。
委任管理者として指定されたアカウントは GuardDuty マスターアカウントになり、指定されたリージョンで GuardDuty が自動的に有効になります。また、そのリージョン内の組織のすべてのアカウントに対して GuardDuty を有効にして管理するアクセス許可が付与されます。組織内の他のアカウントは、マスターアカウントに関連付けられた GuardDuty メンバーアカウントとして表示および追加できます。
招待によってメンバーアカウントを関連付けられた GuardDuty マスターをすでに設定しており、そのメンバーアカウントが同じ組織に属している場合、組織の GuardDuty 代理管理者を設定すると、[Type (タイプ)] が [by Invitation (招待経由)] から [via Organizations (組織経由)] に変わります。組織の GuardDuty マスターアカウントが以前に、招待によって同じ組織に属していないメンバーを追加した場合、その [Type (タイプ)] は [by Invitation (招待経由)] です。いずれの場合も、以前に追加されたこれらのアカウントは、組織の GuardDuty 委任管理者のメンバーアカウントです。
組織外にいる場合でも、引き続きアカウントをメンバーとして追加できます。詳細については、「招待によるマスターアカウントとメンバーアカウントの指定 (コンソール)」と「招待による GuardDuty のマスターアカウントとメンバーアカウントの指定 (API)」を参照してください。
GuardDuty マスターアカウントあたりのメンバーアカウント数は 5000 に制限されています。ただし、組織内に 5,000 を超えるアカウントが存在する可能性があります。組織内の [All (すべて)] のアカウントの数は、GuardDuty コンソールの [Accounts (アカウント)] ページに表示されます。
メンバーアカウント数が 5,000 を超えると、CloudWatch、Personal Health Dashboard、E メールによりマスターアカウントに通知が届きます。
以下の手順に従って、組織の GuardDuty 委任管理者を登録し、既存の組織アカウントをメンバーとして追加して、GuardDuty メンバーアカウントとしての新しい組織アカウントの追加を自動化します。
委任管理者の指定に必要なアクセス許可
GuardDuty マスターを委任する場合は、以下のアクションのアクセス許可が必要です。
-
organizations:EnableAWSServiceAccess
-
organizations:ListAWSServiceAccessForOrganization
-
organizations:RegisterDelegatedAdministrator
-
organizations:DescribeOrganization
既存の GuardDuty ポリシーの最後に次のステートメントを追加することで、これらのアクセス許可を付与できます。
{ "Sid": "Permissions to Enable GuardDuty Delegated Administrator", "Effect": "Allow", "Action": [ "organizations:EnableAWSServiceAccess", "organizations:ListAWSServiceAccessForOrganization", "organizations:RegisterDelegatedAdministrator", "organizations:DescribeOrganization" ], "Resource": "*" }
また、AWS Organizations のマスターアカウントを GuardDuty 委任管理者に指定する場合は、そのエンティティに GuardDuty を初期化するための
CreateServiceLinkedRole アクセス許可が必要になります。これは、次のステートメントを使用して IAM ポリシーに追加することができます。アカウント ID を組織のマスターの ID に置き換えてください。
{ 'Sid": "Permissions to Enable GuardDuty" "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty", "Condition": { "StringLike": { "iam:AWSServiceName": "guardduty.amazonaws.com" } } }
手動で有効にしたリージョンで GuardDuty を使用している場合は、「service」の値をリージョンのサービスエンドポイントに置き換えます。たとえば、中東 (バーレーン)
(me-south-1) リージョンで GuardDuty を使用している場合は、"Service": "guardduty.amazonaws.com" を "Service": "guardduty.me-south-1.amazonaws.com" に置き換えます。
委任管理者を指定し、メンバーアカウントを追加する (コンソール)
以下の手順に従って、GuardDuty コンソールで GuardDuty 委任管理者を指定し、メンバーアカウントを追加します。
委任管理者に関連付けられた組織メンバーアカウントのすべてのリージョンをモニタリングする場合は、GuardDuty を使用している各リージョンでこれらの手順を繰り返す必要があります。
ステップ 1 - 組織の GuardDuty 委任管理者を登録する
-
AWS Organizations 組織のマスターアカウントを使用して AWS マネジメントコンソール にログインします。
-
GuardDuty コンソール (https://console.aws.amazon.com/guardduty/
) を開きます。 アカウントに対して GuardDuty がすでに有効になっているかどうかを確認します。
-
GuardDuty がまだ有効になっていない場合は、[Welcome to GuardDuty (GuardDuty へようこそ)] ページで GuardDuty 委任管理者を指定できます。
-
GuardDuty が有効になっている場合は、[Settings (設定)] ページで GuardDuty 委任管理者を指定できます。
-
-
組織の GuardDuty 委任管理者として指定するアカウントの 12 桁の AWS アカウント ID を入力します。
-
[Delegate (委任)] を選択します。
注記 GuardDuty がまだ有効になっていない場合、委任管理者を指定すると、現在のリージョンでそのアカウントに対して GuardDuty が有効になります。
-
(推奨) 各 AWS リージョンで前の手順を繰り返します。
注記 各 AWS リージョンに同じ委任管理者を登録することをお勧めします。
委任管理者を指定した後、委任管理者アカウントを変更または削除するには、マスターアカウントの組織を使用するだけで済みます。
委任管理者を削除すると、関連するすべてのメンバーアカウントが GuardDuty メンバーとして削除されますが、GuardDuty はそれらのアカウントに対して無効になりません。
ステップ 2 - 既存の組織アカウントをメンバーとして追加する
アカウントをメンバーとして追加すると、現在のリージョンでそのアカウントに対して GuardDuty が自動的に有効になります。
各リージョンで GuardDuty を有効にするには、それらのリージョンに組織メンバーを追加する必要があります。
-
GuardDuty コンソール (https://console.aws.amazon.com/guardduty/
) を開きます。 -
ナビゲーションパネルで [Settings (設定)] を選択してから、[Accounts (アカウント)] を選択します。
アカウントの一覧に組織内のすべてのアカウントが表示されます。これらのアカウントの [Type (タイプ)] は、[via organizations (組織経由)] です。組織の GuardDuty 委任管理者に関連付けられたメンバーアカウントではないアカウントのステータスは、[Not a member (メンバーではありません)] です。
-
アカウント ID の横にあるチェックボックスをオンにして、メンバーとして追加するアカウントを選択します。
注記 ページ上部のバナーで [enable (有効)] を選択することで、すべての組織アカウントの現在のリージョンで GuardDuty を有効にできます。このアクションにより、自動有効化機能がトリガーされ、組織に今後追加されるアカウントに対して GuardDuty が有効になります。
または、[filter (フィルタ)] フィールドを使用して [Relationship status: Not a member (関係ステータス: メンバーでない)] でフィルタ処理し、現在のリージョンで GuardDuty が有効になっていないすべてのアカウントを選択することもできます。
-
[Actions (アクション)]、[Add member (メンバーの追加)] の順に選択します。
-
選択したアカウントの数をメンバーとして追加することを確認します。招待されたアカウントの [Status (ステータス)] が [Enabled (有効)] に変わります。
-
(推奨) 各 AWS リージョンでこれらの手順を繰り返し、すべてのリージョンでメンバーアカウントの結果を委任管理者が管理できるようにします。
ステップ 3 - メンバーとしての新しい組織アカウントの追加を自動化する
-
委任管理者アカウントを使用して https://console.aws.amazon.com/guardduty/
コンソールにログインします。 -
ナビゲーションペインで [Settings] の [Accounts] を選択します。
-
自動有効化をオンにします。
-
選択内容を確認します。
-
(推奨) 各 AWS リージョンでこれらの手順を繰り返して、すべてのリージョンで新しいアカウントに対して GuardDuty が自動的に有効になるようにします。
この設定を有効にすると、組織で作成または追加されたすべての新しいアカウントが組織の GuardDuty 委任管理者のメンバーアカウントとして追加され、そのリージョンで GuardDuty が有効になります。メンバーアカウント数が 5,000 の上限に達すると、自動有効化機能は自動的にオフになります。アカウントが削除され、メンバーの総数が 5,000 未満になると、自動有効化機能が再度オンになります。
委任管理者を指定し、メンバーアカウントを追加する (API)
組織の委任管理者と GuardDuty のメンバーアカウントは API オペレーションを使用して指定できます。組織の委任管理者と GuardDuty のメンバーアカウントを追加するには、以下の手順を実行します。
委任管理者に関連付けられた組織メンバーアカウントのすべてのリージョンをモニタリングする場合は、GuardDuty を使用している各リージョンでこれらの手順を繰り返す必要があります。
-
Organizations マスターの AWS アカウントの認証情報を使用して、enableOrganizationAdminAccount API オペレーションを実行します。
GuardDuty 委任管理者にするアカウントのアカウント ID を指定する必要があります。
この操作は、AWS Command Line Tools で以下の CLI コマンドを実行しても可能です。有効なアカウント ID を使用してください。
aws guardduty enable-organization-admin-account —admin-account-id 11111111111注記 このコマンドは、現在のリージョンにのみ委任管理者を設定します。現在のリージョンでそのアカウントに対して GuardDuty がまだ有効になっていない場合は、自動的に有効になります。
他のリージョンに委任管理者を設定するには、委任管理者に担当させるリージョンにリージョンエンドポイントを指定する必要があります。詳細については、「GuardDuty エンドポイントとクォータ」を参照してください。以下の例では、米国西部 (オレゴン) にエンドポイントを設定する方法を示しています。
aws guardduty enable-organization-admin-account —admin-account-id 11111111111 --endpoint-url guardduty.us-west-2.amazonaws.com -
前のステップで GuardDuty の委任管理者として指定された AWS アカウントの認証情報を使用して、CreateMembers API オペレーションを実行します。
委任管理者の AWS アカウントのディテクター ID と、GuardDuty メンバーにするアカウントのアカウント詳細 (アカウント ID や E メールアドレスなど) を指定する必要があります。この API オペレーションを使用して 1 人以上のメンバーを作成できます。
この操作は、AWS コマンドラインツールで以下の CLI コマンドを実行しても可能です。自身の有効なディテクター ID、アカウント ID、E メールを使用してください。
aws guardduty create-members --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-details AccountId=123456789012,Email=guarddutymember@amazon.comListAccounts API オペレーションを使用するか、以下の CLI コマンドを実行することで、すべての組織メンバーのリストを表示できます。
aws organizations list-accounts注記 ディテクター ID はリージョン別です。他のリージョンの組織メンバーに対して GuardDuty を有効にするには、各リージョンの委任管理者の一意のディテクター ID を指定する必要があります。
-
GuardDuty 委任管理者アカウントの認証情報を使用して updateOrganizationConfiguration API オペレーションを実行することで、そのリージョンで新しいメンバーアカウントに対して GuardDuty が自動的に有効になるようにします。
委任管理者の AWS アカウントのディテクター ID を指定する必要があります。
注記 ディテクター ID はリージョン別です。各リージョンの新しいメンバーに対して自動的に GuardDuty が有効になるようにするには、各リージョンの委任管理者の一意のディテクター ID を指定する必要があります。
この操作は、AWS コマンドラインツールで以下の CLI コマンドを実行しても可能です。自身の有効なディテクター ID を使用してください。
aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --auto-enabledescribeOrganizationConfiguration API オペレーションを実行するか、目的のリージョンの委任管理者のディテクター ID を使用して以下の CLI コマンドを実行することで、リージョンで GuardDuty の自動有効化機能がオンになっていることを確認できます。
aws guardduty describe-organization-configuration —detector-id 12abc34d567e8fa901bc2d34e56789f0
単一の組織委任管理者での GuardDuty マスターアカウントの統合
GuardDuty では、AWS Organizations 経由の関連付けを使用して、マスターアカウントの下でメンバーアカウントを管理することをお勧めします。以下で説明するプロセスの例を使用すると、招待によって関連付けられたマスターとメンバーを単一の組織マスターの下に統合できます。
-
GuardDuty を管理するすべてのアカウントが組織に属していることを確認します。組織にアカウントを追加する方法については、「組織への AWS アカウントの招待」を参照してください。
-
組織の GuardDuty 委任管理者として指定するアカウントの下にある場合を除き、既存のマスターアカウントからすべてのメンバーアカウントの関連付けを解除します。
注記 アクティブなメンバーを持つ GuardDuty マスターまたはマスターアカウントによって既に管理されているアカウントは、別の GuardDuty マスターアカウントに追加できません。各組織でリージョンごとに設定できる GuardDuty マスターアカウントは 1 つのみであり、各メンバーアカウントに設定できるマスターも 1 つのみです。
-
[設定] ページから、組織の GuardDuty 委任管理者を指定します。
-
指定された委任管理者アカウントにログインします。
-
組織からメンバーの追加に進みます。
重要 GuardDuty はリージョン別サービスであるという点にご注意ください。GuardDuty の有効性を最大限に活用するには、マスターアカウントを指定し、すべてのリージョンにすべてのメンバーを追加することをお勧めします。
