GuardDuty アカウントを管理するAWS Organizations - Amazon GuardDuty
GuardDuty 委任管理者に関する重要な考慮事項委任された管理者の指定に必要な権限GuardDuty 委任管理者の指定GuardDuty 管理者アカウントを単一の組織委任管理者に統合するGuardDuty 委任管理者の登録解除

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

GuardDuty アカウントを管理するAWS Organizations

GuardDuty をAWS Organizations組織では、組織内の任意のアカウントを GuardDuty 委任管理者に指定することができます。GuardDuty 委任管理者を指定できるのは、組織の管理アカウントのみです。

委任管理者として指定されたアカウントは GuardDuty 管理者アカウントになり、指定されたリージョンで GuardDuty が自動的に有効になります。また、そのリージョン内の組織のすべてのアカウントに対して GuardDuty を有効にして管理するアクセス許可が付与されます。組織の他のアカウントは、委任管理者アカウントに関連付けられた GuardDuty メンバーアカウントとして表示および追加できます。

招待によってメンバーアカウントを関連付けられた既に GuardDuty 管理者を設定しており、メンバーアカウントが同じ組織に属している場合、そのタイプからの変更InvitationOrganizations 経由組織の GuardDuty 委任管理者を設定したとき。新しい委任管理者が、以前に同じ組織に属していない招待によってメンバーを追加した場合、そのタイプInvitation。いずれの場合も、以前に追加されたこれらのアカウントは、組織の GuardDuty 委任管理者のメンバーアカウントです。

組織外にいる場合でも、引き続きアカウントをメンバーとして追加できます。詳細については、招待による管理者アカウントとメンバーアカウントの指定 (コンソール)、および 招待(API)によるGuardDuty管理者およびメンバーアカウントの指定 を参照してください。

GuardDuty 委任管理者に関する重要な考慮事項

委任管理者が GuardDuty での操作方法を定義する次の要素に注意してください。

委任された管理者は、最大 5000 のメンバーを管理できます。

GuardDuty 委任管理者あたりのメンバーアカウント数は 5000 に制限されています。ただし、組織内に 5,000 を超えるアカウントが存在する可能性があります。の数すべて組織内のアカウントはアカウントGuardDuty コンソールのページ。

メンバーアカウント数が 5,000 を超えると、CloudWatch を通じて通知が届きます。AWS Personal Health Dashboard、委任管理者アカウントへの電子メールで送信します。

委任された管理者は Regional です。

と違ってAWS Organizations、GuardDuty はリージョナルサービスです。つまり、GuardDuty が委任された管理者とそのメンバーアカウントは、アカウント管理に必要な各リージョンに追加する必要があります。AWS Organizationsは、すべてのリージョンでアクティブになります。つまり、組織管理アカウントが米国東部 (バージニア北部) のみで GuardDuty の委任管理者を指定した場合、その委任管理者は、そのリージョンに追加されたメンバーアカウントのみを管理します。GuardDuty のリージョンに関する詳細は、を参照してください。リージョンとエンドポイント

組織には、委任された管理者を 1 人だけ持つことができます。

委任管理者を持つことができるのは、アカウントごとに 1 人のみ委任管理者です。あるリージョンの委任管理者としてアカウントを指定した場合、そのアカウントは他のすべてのリージョンの委任管理者である必要があります。委任管理者を設定した後に委任管理者を変更するには、委任された管理者の登録を解除する手順を参照してください。

組織の管理アカウントを委任された管理者として設定することはお勧めしません。

組織の管理アカウントは委任管理者になることができますが、これは以下に基づいてお勧めしません。AWS最小権限の原則に従うセキュリティのベストプラクティス。

委任された管理者を変更しても、メンバーアカウントの GuardDuty は無効になりません。

委任管理者を削除すると、関連するすべてのメンバーアカウントが GuardDuty メンバーとして削除されますが、その GuardDuty はそれらのアカウントに対して無効になりません。

委任された管理者の指定に必要な権限

GuardDuty 委任された管理者を委任する場合は、GuardDuty を有効にする権限と特定の権限が必要です。AWS Organizations以下のポリシーステートメントにリストされている API アクション。

IAM ポリシーの最後に次のステートメントを追加することで、これらのアクセス許可を付与できます。


{
    "Sid": "PermissionsForGuardDutyAdmin",
    "Effect": "Allow",
    "Action": [
        "guardduty:EnableOrganizationAdminAccount",
        "organizations:EnableAWSServiceAccess",
        "organizations:RegisterDelegatedAdministrator",
        "organizations:ListDelegatedAdministrators",
        "organizations:ListAWSServiceAccessForOrganization",
        "organizations:DescribeOrganizationalUnit",
        "organizations:DescribeAccount",
        "organizations:DescribeOrganization"
    ],
    "Resource": "*"
}

さらに、あなたの指定を希望する場合AWS Organizations管理アカウント GuardDuty 委任管理者として、そのエンティティが必要とするCreateServiceLinkedRoleGuardDuty を初期化するためのアクセス許可。これは、次のステートメントを使用して IAM ポリシーに追加できます。アカウント ID を組織の管理アカウントの ID に置き換えます。 


{
	'Sid": "PermissionsToEnableGuardDuty"
	"Effect": "Allow",
	"Action": [
		"iam:CreateServiceLinkedRole"
	],
	"Resource": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty",
	"Condition": {
		"StringLike": {
			"iam:AWSServiceName": "guardduty.amazonaws.com"
		}
	}
}
注記

手動で有効にしたリージョンで GuardDuty を使用している場合は、「Service」の値をリージョンのリージョンエンドポイントに置き換えます。たとえば、中東 (バーレーン) (me-south-1) リージョンで GuardDuty を使用している場合は、"Service": "guardduty.amazonaws.com""Service": "guardduty.me-south-1.amazonaws.com"

GuardDuty 委任管理者の指定

次の手順では、の委任管理者を指定する方法を示します。AWS組織を作成し、メンバーアカウントを追加します。[コンソール] または [API] を選択し、表示される手順に従います。

Console

ステップ 1 — 組織の GuardDuty 委任管理者を登録する

  1. にログインするAWS Management Consoleの管理アカウントを使用してAWS Organizations組織。

  2. GuardDuty コンソールを開きます。https://console.aws.amazon.com/guardduty/

    GuardDuty はアカウントに対してすでに有効になっているかどうかを確認します。

    • GuardDuty がまだ有効になっていない場合は、開始方法次に、GuardDuty 委任管理者をGuardDuty へようこそページで.

      注記

      委任された管理者がそのアカウントで GuardDuty を有効におよび管理できるようにするには、管理アカウントに GuardDuty サービスにリンクされたロールが必要です。管理アカウントのどのリージョンでも GuardDuty を有効にして、このロールを自動的に作成できます。

    • GuardDuty が有効になっている場合、GuardDuty 委任管理者を設定ページで.

  3. 12 桁を入力します。AWS組織の GuardDuty 委任管理者として指定するアカウントのアカウント ID です。

  4. [Delegate (委任)] を選択します。GuardDuty がまだ有効になっていない場合、委任管理者を指定すると、現在のリージョンでそのアカウントに対して GuardDuty が有効になります。

  5. (推奨) それぞれの前の手順を繰り返します。AWSリージョン。

委任管理者を指定したら、組織の管理アカウントを使用して、委任管理者アカウントを変更または削除するだけです。

重要

アカウントをメンバーとして追加すると、現在のリージョンでそのアカウントで GuardDuty が自動的に有効になります。この動作は、アカウントがメンバーとして追加される前に GuardDuty を有効にする必要がある招待方法とは異なります。

各リージョンで GuardDuty を有効にするには、それらのリージョンに組織メンバーを追加する必要があります。

ステップ 2-既存の組織アカウントをメンバーとして追加する

  1. GuardDuty コンソールを開きます。https://console.aws.amazon.com/guardduty/

  2. ナビゲーションパネルで [Settings (設定)] を選択してから、[Accounts (アカウント)] を選択します。

    アカウントの一覧に組織内のすべてのアカウントが表示されます。これらのアカウントの [Type (タイプ)] は、[via organizations (組織経由)] です。組織の GuardDuty 委任管理者に関連付けられたメンバーアカウントではないアカウントのステータスは、次のとおりです。メンバーではない

  3. アカウント ID の横にあるチェックボックスをオンにして、メンバーとして追加するアカウントを選択します。

    注記

    ページ上部のバナーで [enable (有効)] を選択することで、すべての組織アカウントの現在のリージョンで GuardDuty を有効にできます。このアクションは、自動有効化組織に今後追加されるアカウントで GuardDuty を有効にする機能。

    を使用することもできます。フィルターフィルタリングするフィールド関係ステータス: メンバーではないをクリックし、現在のリージョンで GuardDuty が有効になっていないすべてのアカウントを選択します。

  4. [Actions (アクション)]、[Add member (メンバーの追加)] の順に選択します。

  5. 選択したアカウントの数をメンバーとして追加することを確認します。-ステータスアカウントがに変更されるためです[Enabled (有効)]

  6. (推奨) 各手順を繰り返します。AWS[Region (リージョン)]: 委任管理者がすべてのリージョンでメンバーアカウントの結果を管理できるようにします。

ステップ 3-メンバーとしての新しい組織アカウントの追加を自動化する

  1. にログインするhttps://console.aws.amazon.com/guardduty/委任管理者アカウントを使用するコンソール。

  2. ナビゲーションペインで [Settings] の [Accounts] を選択します。

  3. 自動有効化を選択します。

  4. 最初のトグルアイコンを選択して自動有効化をオンにします。新しいメンバーに対して S3 脅威検出を有効にする場合は、GuardDuty を有効にすることに加えて、S3 保護トグルアイコン。詳細については、を参照してください。複数アカウント環境での S3 保護の設定。更新を行ったら、設定の更新

  5. (推奨) 各手順を繰り返します。AWS[ReGuardDuty] は、すべてのリージョンで新しいアカウントに対してが自動的に有効になるようにします。

自動有効化機能を使用すると、組織の将来のすべてのメンバーに対して GuardDuty が有効になります。これにより、GuardDuty 委任管理者は、組織内で作成された、または組織に追加された新しいメンバーを管理できます。メンバーアカウント数が 5,000 の上限に達すると、自動有効化機能は自動的にオフになります。アカウントが削除され、メンバーの総数が 5000 未満になると、自動有効化機能が再度オンになります。

API

委任管理者を指定し、メンバーアカウント (API) を追加します。

  1. を実行enableOrganizationAdminAccountの認証情報を使用した API オペレーションAWSOrganizations管理アカウントのアカウント。

    また、 を使用することもできますAWSこの操作を行うには、コマンドラインで以下の CLI コマンドを実行します。GuardDuty 委任管理者にするアカウントのアカウント ID を必ず指定してください。 

     AWS  guardduty enable-organization-admin-account --admin-account-id 11111111111

    このコマンドは、現在のリージョンにのみ委任管理者を設定します。現在のリージョンでそのアカウントに対して GuardDuty がまだ有効になっていない場合は、自動的に有効になります。

    他のリージョンに委任管理者を設定するには、委任管理者に担当させるリージョンを指定する必要があります。詳細については、「」を参照してください。GuardDuty エンドポイントとクォータ。次の例では、米国西部 (オレゴン) で委任管理者を有効にする方法を示します。 

     AWS  guardduty enable-organization-admin-account --admin-account-id 11111111111 --region us-west-2

  2. を実行CreateMembersの認証情報を使用した API オペレーションAWS前の手順で GuardDuty の委任管理者として指定したアカウント。

    委任管理者のリージョンディテクター ID を指定する必要があります。AWSGuardDuty メンバーにするアカウントのアカウントと、アカウント ID や E メールアドレスなど、アカウント詳細。この API オペレーションを使用して 1 人以上のメンバーを作成できます。

    重要

    メンバーとして追加されたアカウントでは、そのリージョンで GuardDuty が有効になります。ただし、組織管理アカウントは例外で、GuardDuty をメンバーアカウントとして追加するには、まず GuardDuty を有効にする必要があります。

    これはを使用して行うこともできます。AWSコマンドラインツールで以下の CLI コマンドを実行します。自身の有効なディテクター ID、アカウント ID、E メールを使用してください。

     AWS  guardduty create-members --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-details AccountId=123456789012,Email=guarddutymember@amazon.com

    ListAccounts API オペレーションを使用するか、以下の CLI コマンドを実行することで、すべての組織メンバーのリストを表示できます。 

     AWS  organizations list-accounts

  3. を実行updateOrganizationConfigurationGuardDuty 委任管理者アカウントの認証情報を使用して、新しいメンバーアカウントに対してそのリージョンの GuardDuty を自動的に有効にする API 操作。

    委任管理者のディテクター ID を指定する必要があります。AWSアカウント.

    これはを使用して行うこともできます。AWSコマンドラインツールで以下の CLI コマンドを実行します。自身の有効なディテクター ID を使用してください。

     AWS  guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --auto-enable

    リージョンで GuardDuty の自動有効化機能を有効にしていることを確認するには、describeOrganizationConfiguration するAPI オペレーションまたは、目的のリージョンで委任管理者のディテクター ID を使用して、次の CLI コマンドを実行します。 

     AWS  guardduty describe-organization-configuration —detector-id 12abc34d567e8fa901bc2d34e56789f0

  4. (推奨) 各リージョンでこれらの手順を繰り返し、すべてのメンバーに対して GuardDuty 監視カバレッジを有効にします。AWS地域。

GuardDuty 管理者アカウントを単一の組織委任管理者に統合する

GuardDuty は、関連付けの使用を推奨していますAWS Organizationsで委任管理者アカウントの下でメンバーアカウントを管理します。以下で説明するプロセスの例を使用すると、組織の招待によって関連付けられた管理者とメンバーを単一の GuardDuty 委任管理者の下に統合できます。

  1. GuardDuty を管理するすべてのアカウントが組織に属していることを確認します。組織にアカウントを追加する方法については、「」を参照してください。の招待AWS組織に参加するためのアカウント

  2. 組織の委任管理者として指定するアカウントの下にある場合を除き、既存の管理者アカウントからすべてのメンバーGuardDuty 関連付けを解除します。

    注記

    GuardDuty 委任管理者またはアクティブなメンバーを持つ委任された管理者アカウントによって既に管理されているアカウントは、別の GuardDuty 委任管理者アカウントに追加することはできません。各組織でリージョンごとに設定できる GuardDuty 委任管理者アカウントは 1 つのみであり、各メンバーアカウントに設定できる委任管理者も 1 つのみです。

  3. 組織の GuardDuty 委任管理者を設定ページで.

  4. 指定された委任管理者アカウントにログインします。

  5. 組織からメンバーの追加に進みます。

    重要

    GuardDuty はリージョン別サービスであることに注意してください。GuardDuty の有効性を最大限に活用するには、委任管理者アカウントを指定し、すべてのリージョンにすべてのメンバーを追加することをお勧めします。

GuardDuty 委任管理者の登録解除

注記

委任管理者の登録を解除できるのは、Organizations 管理アカウントのみです。

[コンソール] または [API] を選択し、提供された手順に従って、委任された管理者の登録を解除します。登録解除が完了したら、新しい委任管理者を指定できます。

Console

コンソールから委任された管理者の登録を解除するときに、アカウントが Organizations 管理アカウントでもある場合は、アカウントが委任管理者として指定された各リージョンでこのプロセスを繰り返す必要があります。

重要

Organizations 管理アカウントで、別のアカウントを委任管理者として指定している場合、それらはすべてのリージョンで登録解除されます。

  1. GuardDuty コンソールを開きます。https://console.aws.amazon.com/guardduty/

  2. [設定] を選択します。

  3. [Settings (設定)] ページの [委任管理者選ぶを削除します。

  4. を選択して、変更を確認します。管理者の削除

API

委任された管理者を API から登録解除する場合は、新しい委任管理者を指定する前に、すべてのリージョンで登録する必要があります。

  1. を実行組織管理者アカウントを無効にするOrganizations 管理アカウントの認証情報を使用した API 操作。 

     AWS  guardduty disable-organization-admin-account ‐‐admin-account-id "123456789012"

  2. 委任された管理者によって管理される各リージョンで繰り返します。