管理 GuardDuty 件のアカウント AWS Organizations

GuardDuty を AWS Organizations の組織で使用する場合は、その組織の任意のアカウントを GuardDuty 委任管理者に指定することができます。組織のみ マスターアカウント 指定可能 GuardDuty 代理管理者。

注記

組織 マスターアカウント は委任された管理者にできますが、最小権限の原則に従ったAWSセキュリティのベストプラクティスに基づいて推奨されません。

代理管理者として指定されたアカウントは、 GuardDuty master アカウントは GuardDuty 自動的に有効になり、 GuardDuty その地域内の組織内のすべてのアカウントについて。組織の他のアカウントは、次のように表示および追加できます。 GuardDuty 委任された管理者アカウントに関連付けられているメンバー アカウント。

すでに GuardDuty master 関連メンバーアカウントで、そのメンバーアカウントが同じ組織の一部である場合、そのメンバーの 種類 変更 招待別 ～ 組織経由 設定する場合、 GuardDuty 管理者に委任されます。新しい委任された管理者が、同じ組織の一部ではないメンバーを招待によって以前追加した場合、 種類 は 招待別. いずれの場合も、これらの以前に追加されたアカウントは、組織の GuardDuty 代理管理者。

組織外にいる場合でも、引き続きアカウントをメンバーとして追加できます。詳細については、「指定 master 招待(コンソール)によるメンバーアカウント」と「指定 GuardDuty master 招待(API)による会員アカウント」を参照してください。

注記

1つのアカウントにつき、最大5.000の会員アカウントが GuardDuty 代理管理者。ただし、組織内に 5,000 を超えるアカウントが存在する可能性があります。組織内の [All (すべて)] のアカウントの数は、GuardDuty コンソールの [Accounts (アカウント)] ページに表示されます。

5.000を超える会員アカウントをお持ちの場合は、 CloudWatch、 Personal Health Dashboard、および を、委任された管理者アカウントへの電子メールに添付します。

以下の手順に従って、組織の GuardDuty 委任管理者を登録し、既存の組織アカウントをメンバーとして追加して、GuardDuty メンバーアカウントとしての新しい組織アカウントの追加を自動化します。

重要

普通とは違う AWS Organizations、 GuardDuty は地域サービスです。つまり GuardDuty 委任された管理者とメンバーアカウントは、アカウント管理のために、 AWS Organizations 各地域でアクティブにする必要があります。言い換えれば、組織が マスターアカウント は、次の代理管理者を指定します。 GuardDuty (のみ) 米国東部（バージニア北部） 代理管理者は、その地域に追加されたメンバーアカウントのみを管理します。地域の詳細については、 GuardDuty 参照 リージョンとエンドポイント.

代理管理者を指定するために必要な権限

権限を委任する場合、 GuardDuty 代理管理者は、 GuardDuty また、 AWS Organizations 次のポリシー ステートメントに記載されている API アクション。

IAMポリシーの末尾に次のステートメントを追加して、これらの権限を付与できます。

{
    "Sid": "Permissions to Enable GuardDuty Delegated Administrator",
    "Effect": "Allow",
    "Action": [
        "guardduty:EnableOrganizationAdminAccount",
        "organizations:EnableAWSServiceAccess",
        "organizations:RegisterDelegatedAdministrator",
        "organizations:ListDelegatedAdministrators",
        "organizations:ListAWSServiceAccessForOrganization",
        "organizations:DescribeOrganizationalUnit",
        "organizations:DescribeAccount",
        "organizations:DescribeOrganization"
    ],
    "Resource": "*"
}

また、 AWS Organizations マスターアカウント を GuardDuty 委任された管理者、そのエンティティは CreateServiceLinkedRole 初期化する許可 GuardDuty. これは、次のステートメントを使用してIAMポリシーに追加でき、アカウントIDを組織のIDに置き換えます。 マスターアカウント:

{
	'Sid": "Permissions to Enable GuardDuty"
	"Effect": "Allow",
	"Action": [
		"iam:CreateServiceLinkedRole"
	],
	"Resource": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty",
	"Condition": {
		"StringLike": {
			"iam:AWSServiceName": "guardduty.amazonaws.com"
		}
	}
}
    

注記

手動で有効にしたリージョンで GuardDuty を使用している場合は、「service」の値をリージョンのサービスエンドポイントに置き換えます。たとえば、中東 (バーレーン) (me-south-1) リージョンで GuardDuty を使用している場合は、"Service": "guardduty.amazonaws.com" を "Service": "guardduty.me-south-1.amazonaws.com" に置き換えます。

代理管理者を指定し、メンバーアカウント(コンソール)を追加する

以下の手順に従って、GuardDuty コンソールで GuardDuty 委任管理者を指定し、メンバーアカウントを追加します。

ステップ1 - 登録 GuardDuty 組織の代理管理者

1. にログインします。 AWS マネジメントコンソール 使用 マスターアカウント あなたの AWS Organizations 組織。

2. GuardDuty コンソール (https://console.aws.amazon.com/guardduty/) を開きます。

   アカウントに対して GuardDuty がすでに有効になっているかどうかを確認します。

   • 次の場合: GuardDuty は有効になっていません。 はじめに そして GuardDuty の委任管理者 へようこそ GuardDuty ページ。

   • GuardDuty が有効になっている場合は、[Settings (設定)] ページで GuardDuty 委任管理者を指定できます。

3. 組織の GuardDuty 委任管理者として指定するアカウントの 12 桁の AWS アカウント ID を入力します。

4. [Delegate (委任)] を選択します。GuardDuty がまだ有効になっていない場合、委任管理者を指定すると、現在のリージョンでそのアカウントに対して GuardDuty が有効になります。

5. (推奨) 各 AWS リージョンで前の手順を繰り返します。各地域に同じ代理管理者を登録することをお勧めします。

代理管理者を指定した後は、組織のみを使用する必要がある マスターアカウント 代理管理者アカウントを変更または削除します。

注記

委任管理者を削除すると、関連するすべてのメンバーアカウントが GuardDuty メンバーとして削除されますが、GuardDuty はそれらのアカウントに対して無効になりません。

ステップ2 - 既存の組織アカウントをメンバーとして追加する

重要

アカウントをメンバーとして追加すると、現在のリージョンでそのアカウントに対して GuardDuty が自動的に有効になります。この動作は、招待方法とは異なります。 GuardDuty は、アカウントがメンバーとして追加される前に有効にする必要があります。

各リージョンで GuardDuty を有効にするには、それらのリージョンに組織メンバーを追加する必要があります。

1. GuardDuty コンソール (https://console.aws.amazon.com/guardduty/) を開きます。

2. ナビゲーションパネルで [Settings (設定)] を選択してから、[Accounts (アカウント)] を選択します。

   アカウントの一覧に組織内のすべてのアカウントが表示されます。これらのアカウントの [Type (タイプ)] は、[via organizations (組織経由)] です。組織の GuardDuty 委任された管理者は 会員ではありません.

3. アカウント ID の横にあるチェックボックスをオンにして、メンバーとして追加するアカウントを選択します。

   注記

   有効化できます。 GuardDuty を選択して、すべての組織アカウントの現在のリージョンで 有効化 ページ上部のバナー内にあります。このアクションにより、自動有効化機能がトリガーされ、組織に今後追加されるアカウントに対して GuardDuty が有効になります。

   または、 フィルター フィルタするフィールド 関係ステータス: 会員ではありませんを選択し、 GuardDuty を現在の地域で有効にします。

4. [Actions (アクション)]、[Add member (メンバーの追加)] の順に選択します。

5. 選択したアカウントの数をメンバーとして追加することを確認します。招待されたアカウントの [Status (ステータス)] が [Enabled (有効)] に変わります。

6. (推奨) 各 AWS リージョンでこれらの手順を繰り返し、すべてのリージョンでメンバーアカウントの結果を委任管理者が管理できるようにします。

ステップ3 - 新しい組織アカウントをメンバーとして追加します。

1. 委任管理者アカウントを使用して https://console.aws.amazon.com/guardduty/ コンソールにログインします。

2. ナビゲーションペインで [Settings] の [Accounts] を選択します。

3. [自動有効化] を選択します。

4. S3 Threat Detection を新規メンバーに対して有効にするには、 GuardDuty [ S3保護 トグルアイコン、詳細は 複数アカウント環境でのS3保護の構成. 更新したら、 設定の更新.

5. (推奨) 各 AWS リージョンでこれらの手順を繰り返して、すべてのリージョンで新しいアカウントに対して GuardDuty が自動的に有効になるようにします。

この設定を有効にすると、組織で作成または追加されたすべての新規アカウントが、組織の GuardDuty 委任された管理者と GuardDuty その地域では有効になっています。メンバーアカウント数が 5,000 の上限に達すると、自動有効化機能は自動的にオフになります。アカウントが削除され、メンバーの総数が 5000 未満に減少すると、自動有効化機能が再びオンになります。

代理管理者を指定し、メンバーアカウント(API)を追加する

組織の委任管理者と GuardDuty のメンバーアカウントは API オペレーションを使用して指定できます。組織の委任管理者と GuardDuty のメンバーアカウントを追加するには、以下の手順を実行します。

1. 実行 enableOrganizationAdminAccount のAWSアカウントの認証情報を使用したAPI操作 Organizations マスターアカウント.

   この操作は、AWS Command Line Tools で以下の CLI コマンドを実行しても可能です。作成したいアカウントのアカウントIDを指定してください。 GuardDuty 代理管理者。

   aws guardduty enable-organization-admin-account —admin-account-id 11111111111
                   

   このコマンドは、現在の地域の代理管理者のみを設定します。現在のリージョンでそのアカウントに対して GuardDuty がまだ有効になっていない場合は、自動的に有効になります。

   他の地域の代理管理者を設定するには、代理管理者が管理する地域を指定する必要があります。詳細については、「GuardDuty エンドポイントとクォータ」を参照してください。次の例は、米国西部(Oregon)で代理管理者を有効にする方法を示しています。

   aws guardduty enable-organization-admin-account --admin-account-id 11111111111 --region us-west-2
                   

2. 実行 CreateMembers 代理管理者として指定したAWSアカウントの認証情報を使用したAPI操作 GuardDuty 前のステップで行います。

   委任された管理者AWSアカウントの地域ディテクターIDとアカウントを含むアカウント詳細を指定する必要があります。 IDs Eメールアドレス、 GuardDuty です。この API オペレーションを使用して 1 人以上のメンバーを作成できます。

   重要

   メンバーとして追加されたアカウントには、 GuardDuty その地域で有効になっています。ただし、 マスターアカウントは、最初に有効にする必要があります GuardDuty 会員アカウントとして追加できます。

   この操作は、AWS コマンドラインツールで以下の CLI コマンドを実行しても可能です。自身の有効なディテクター ID、アカウント ID、E メールを使用してください。

   aws guardduty create-members --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-details AccountId=123456789012,Email=guarddutymember@amazon.com
                   

   すべての組織メンバーのリストは、 ListAccounts API 操作を実行するか、次の CLI コマンドを実行します。

   aws organizations list-accounts
                   

3. 実行 updateOrganizationConfiguration の資格情報を使用した API 操作 GuardDuty 代理管理者アカウントを自動的に有効にします。 GuardDuty その地域の新規会員アカウントで

   委任管理者の AWS アカウントのディテクター ID を指定する必要があります。

   この操作は、AWS コマンドラインツールで以下の CLI コマンドを実行しても可能です。自身の有効なディテクター ID を使用してください。

   aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --auto-enable 
                   

   自動有効化をオンにしたことを確認できます。 GuardDuty 機能、地域内の describeOrganizationConfiguration API 操作、または目的の地域の委任された管理者のディテクター ID を使用して次の CLI コマンドを実行します。

   aws guardduty describe-organization-configuration —detector-id 12abc34d567e8fa901bc2d34e56789f0 
                   

4. (推奨)各地域でこれらのステップを繰り返し、その地域の固有のディテクター ID を使用して、 GuardDuty すべてのAWS地域のすべてのメンバーの監視範囲。

連結 GuardDuty master 単一の組織の代理管理者の下のアカウント

GuardDuty では、以下の方法でアソシエーションを使用することをお勧めします。 AWS Organizations 委任された管理者アカウントの下でメンバーアカウントを管理します。以下に示すプロセス例を使用して、 master およびメンバーが、単一の GuardDuty 代理管理者 。

1. GuardDuty を管理するすべてのアカウントが組織に属していることを確認します。組織にアカウントを追加する方法については、「組織への AWS アカウントの招待」を参照してください。

2. すべてのメンバーのアカウントを既存のアカウントと関連付け解除する master の口座(ただし、 GuardDuty 管理者に委任されます。

   注記

   によってすでに管理されているアカウント GuardDuty 代理管理者またはアクティブなメンバーを持つ代理管理者アカウントは、別の GuardDuty 代理管理者アカウント。各組織には、1つの GuardDuty 各メンバーアカウントには、1人の代理管理者しか割り当てられません。

3. [設定] ページから、組織の GuardDuty 委任管理者を指定します。

4. 指定された委任管理者アカウントにログインします。

5. 組織からメンバーの追加に進みます。

   重要

   GuardDuty はリージョン別サービスであるという点にご注意ください。権限を委任された管理者アカウントを指定し、すべての地域のすべてのメンバーを追加して、 GuardDuty