Amazon Detective と AWS Organizations

Amazon Detective がログデータを使用して可視化を生成することにより、セキュリティに関する検出結果や疑わしいアクティビティの根本原因を分析、調査、および特定できるようになります。

AWS Organizations を使用すると、Detective の動作グラフですべての組織アカウントのアクティビティを可視化できます。

Detective への信頼されたアクセスを許可すると、組織のメンバーシップに変更があった場合、Detective サービスが自動的に対応します。委任管理者が、任意の組織アカウントを動作グラフのメンバーアカウントとして有効にできます。Detective では、新しい組織アカウントをメンバーアカウントとして自動的に有効化することもできます。組織アカウントの動作グラフとの関連付けを解除することはできません。

詳細については、「Amazon Detective 管理ガイド」の「Using Amazon Detective in your organization」(組織内で Amazon Detective を使用する) を参照してください。

Amazon Detective を と統合するには、次の情報を使用します AWS Organizations。

統合を有効にする際に作成されるサービスにリンクされたロール

信頼されたアクセスを有効にすると、以下のサービスにリンクされたロールが組織の管理アカウントに自動的に作成されます。このロールにより、Detective はサポートされているオペレーションを組織内のアカウントで実行できます。

このロールを削除または変更できるのは、Detective と Organizations 間の信頼されたアクセスを無効にした場合か、組織から当該のメンバーアカウントを削除した場合だけです。

• AWSServiceRoleForDetective

サービスにリンクされたロールで使用されるサービスプリンシパル

前のセクションで説明したサービスにリンクされたロールを引き受けることができるのは、ロールに定義された信頼関係によって承認されたサービスプリンシパルだけです。Detective によって使用されるサービスにリンクされたロールには、次のサービスプリンシパルへのアクセス許可が付与されます。

• detective.amazonaws.com

Detective との信頼されたアクセスを有効にするには

信頼されたアクセスの有効化に必要な権限に関しては、信頼されたアクセスを有効にするために必要なアクセス許可 を参照してください。

注記

Amazon Detective の委任管理者を指定すると、組織の Detective に対する信頼されたアクセスが自動的に有効になります。

Detective では、組織のこのサービスの委任管理者となるメンバーアカウントを指定する AWS Organizations 前に、 への信頼されたアクセスが必要です。

Organizations ツールだけで、信頼されたアクセスを有効にできます。

AWS Organizations コンソールを使用して、信頼されたアクセスを有効にできます。

AWS Management Console

Organizations コンソールを使用して信頼されたアクセスを有効にするには

1. AWS Organizations コンソールにサイン・インします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザーとしてサインインする推奨されません必要があります。

2. ナビゲーションペインで [Services (サービス)] を選択します。

3. サービスのリストで Amazon Detective を選択します。

4. [Enable trusted access (信頼されたアクセスを有効にする)] を選択します。

5. Amazon Detective の信頼されたアクセスを有効にするダイアログボックスで、確認のために有効化と入力し、信頼されたアクセスを有効にするを選択します。

6. のみの管理者である場合は AWS Organizations、Amazon Detective の管理者に、コンソールを使用してそのサービスを有効にして と連携できるようになったことを知らせます AWS Organizations。

Detective との信頼されたアクセスを無効にするには

信頼されたアクセスの無効化に必要なアクセス権限に関しては、信頼されたアクセスを無効にするために必要なアクセス許可 を参照してください。

Amazon Detective との信頼されたアクセスを無効にすることができるのは、 AWS Organizations 管理アカウントの管理者のみです。

Organizations ツールだけで、信頼されたアクセスを無効にできます。

AWS Organizations コンソールを使用して、信頼されたアクセスを無効にすることができます。

AWS Management Console

Organizations コンソールを使用して信頼されたアクセスを無効にするには

1. AWS Organizations コンソールにサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザーとしてサインインする推奨されません必要があります。

2. ナビゲーションペインで [Services (サービス)] を選択します。

3. サービスのリストで Amazon Detective を選択します。

4. Disable trusted access (信頼されたアクセスを無効にする) を選択します。

5. Amazon Detective の信頼されたアクセスを無効にするダイアログボックスで、無効にして確認します。次に、信頼されたアクセスを無効にするを選択します。

6. のみの管理者の場合は AWS Organizations、コンソールまたはツールを使用してそのサービスを無効にできるようになったことを Amazon Detective の管理者に知らせます AWS Organizations。

Detective 用の委任管理者アカウントの有効化

Detective 用の委任管理者アカウントは、Detective 動作グラフの管理者アカウントになります。委任管理者は、その動作グラフのメンバーアカウントとして有効または無効にする組織アカウントを決定します。委任管理者は、新しい組織アカウントが組織に追加されたときに、メンバーアカウントとして自動的に有効にするように Detective を設定できます。委任管理者が組織アカウントを管理する方法については、「Amazon Detective 管理ガイド」の「組織アカウントをメンバーアカウントとして管理する」を参照してください。

Detective 用の委任管理者を設定できるのは、組織管理アカウントの管理者だけです。

委任管理者アカウントを指定する場合は、Detective コンソールまたは API を介して、あるいは Organizations CLI または SDK オペレーションを使用して行います。

最小アクセス許可

Organizations 管理アカウントのユーザーまたはロールのみが、組織内で Detective の委任管理者としてメンバーアカウントを設定できます

Detective コンソールまたは API を使用して委任管理者を設定するには、「Amazon Detective 管理ガイド」の「組織の Detective 管理者アカウントの指定」を参照してください。

AWS CLI, AWS API

CLI または AWS SDKs のいずれかを使用して AWS 委任管理者アカウントを設定する場合は、次のコマンドを使用できます。

• AWS CLI:

  $ aws organizations register-delegated-administrator \
      --account-id 123456789012 \
      --service-principal detective.amazonaws.com

• AWS SDK: Organizations RegisterDelegatedAdministratorオペレーションとメンバーアカウントの ID 番号を呼び出し、アカウントサービスプリンシパルをパラメータaccount.amazonaws.comとして識別します。

Detective 用の委任管理者の無効化

委任管理者アカウントを削除する場合は、Detective コンソールまたは API を使用して、あるいは Organizations DeregisterDelegatedAdministrator CLI または SDK オペレーションを使用して行います。Detective コンソールまたは API、あるいは Organizations API を使用して委任管理者を削除する方法については、「Amazon Detective 管理ガイド」の「組織の Detective 管理者アカウントの指定」を参照してください。