Amazon Detective および AWS Organizations - AWS Organizations

Amazon Detective および AWS Organizations

Amazon Detective がログデータを使用して可視化を生成することにより、セキュリティに関する検出結果や疑わしいアクティビティの根本原因を分析、調査、および特定できるようになります。

AWS Organizations を使用すると、すべての組織アカウントのアクティビティを Detective の動作グラフで可視化できるようになります。

Detective への信頼されたアクセスを許可すると、組織のメンバーシップに変更があった場合、Detective サービスが自動的に対応します。委任管理者が、任意の組織アカウントを動作グラフのメンバーアカウントとして有効にできます。Detective では、新しい組織アカウントをメンバーアカウントとして自動的に有効化することもできます。組織アカウントの動作グラフとの関連付けを解除することはできません。

詳細については、「Amazon Detective 管理ガイド」の「Using Amazon Detective in your organization」(組織内で Amazon Detective を使用する) を参照してください。

Amazon Detective と AWS Organizations の統合には、次の情報を参考にしてください。

統合を有効にする際に作成されるサービスにリンクされたロール

信頼されたアクセスを有効にすると、以下のサービスにリンクされたロールが組織の管理アカウントに自動的に作成されます。このロールにより、Detective はサポートされているオペレーションを組織内のアカウントで実行できます。

このロールを削除または変更できるのは、Detective と Organizations 間の信頼されたアクセスを無効にした場合か、組織から当該のメンバーアカウントを削除した場合だけです。

  • AWSServiceRoleForDetective

サービスにリンクされたロールで使用されるサービスプリンシパル

前のセクションで説明したサービスにリンクされたロールを引き受けることができるのは、ロールに定義された信頼関係によって承認されたサービスプリンシパルだけです。Detective によって使用されるサービスにリンクされたロールには、次のサービスプリンシパルへのアクセス許可が付与されます。

  • detective.amazonaws.com

Detective との信頼されたアクセスを有効にするには

信頼されたアクセスの有効化に必要なアクセス許可に関しては、信頼されたアクセスを有効にするために必要なアクセス許可 を参照してください。

注記

Amazon Detective の委任管理者を指定すると、組織の Detective に対する信頼されたアクセスが自動的に有効になります。

組織でこのサービスの委任管理者にするメンバーアカウントを指定するにあたり、Detective には AWS Organizations への信頼されたアクセスが必要です。

Organizations ツールだけで、信頼されたアクセスを有効にできます。

AWS Organizations コンソールを使用して信頼されたアクセスを有効にできます。

AWS Management Console

Organizations コンソールを使用して信頼されたアクセスを有効にするには

  1. AWS Organizations コンソールにサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザーとしてサインインする (推奨されません) 必要があります。

  2. [Services] (サービス) ページで Amazon Detective の行を探し、サービスの名前を選択してから、[Enable trusted access] (信頼されたアクセスを有効にする) を選択します。

  3. 確認ダイアログボックスで、[Show the option to enable trusted access] (信頼されたアクセスを有効にするオプションを表示する) を有効にし、ボックスに「enable」と入力してから、[Enable trusted access] (信頼されたアクセスを有効にする) を選択します。

  4. AWS Organizations だけの管理者である場合は、Amazon Detective の管理者に、コンソールを使用してそのサービスを有効にし、AWS Organizations と連携させて使用できるようになったことを知らせます。

Detective との信頼されたアクセスを無効にするには

信頼されたアクセスの無効化に必要なアクセス許可に関しては、信頼されたアクセスを無効にするために必要なアクセス許可 を参照してください。

AWS Organizations 管理アカウントの管理者だけが Amazon Detective との信頼されたアクセスを無効にできます。

Organizations ツールだけで、信頼されたアクセスを無効にできます。

AWS Organizations コンソールを使用して信頼されたアクセスを無効にできます。

AWS Management Console

Organizations コンソールを使用して信頼されたアクセスを無効にするには

  1. AWS Organizations コンソールにサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザーとしてサインインする (推奨されません) 必要があります。

  2. [Services] (サービス) ページで Amazon Detective の行を探し、サービスの名前を選択します。

  3. [Disable trusted access] (信頼されたアクセスを無効にする) を選択します。

  4. 確認ダイアログボックスで、ボックスに「disable」と入力してから、[Disable trusted access] (信頼されたアクセスを無効にする) を選択します。

  5. AWS Organizations だけの管理者である場合は、Amazon Detective の管理者に、コンソールかツールを使用してそのサービスを無効にし、AWS Organizations との連携を停止できるようになったことを知らせます。

Detective 用の委任管理者アカウントの有効化

Detective 用の委任管理者アカウントは、Detective 動作グラフの管理者アカウントになります。委任管理者は、その動作グラフのメンバーアカウントとして有効または無効にする組織アカウントを決定します。委任管理者は、新しい組織アカウントが組織に追加されたときに、メンバーアカウントとして自動的に有効にするように Detective を設定できます。委任管理者が組織アカウントを管理する方法については、「Amazon Detective 管理ガイド」の「組織アカウントをメンバーアカウントとして管理する」を参照してください。

Detective 用の委任管理者を設定できるのは、組織管理アカウントの管理者だけです。

委任管理者アカウントを指定する場合は、Detective コンソールまたは API を介して、あるいは Organizations CLI または SDK オペレーションを使用して行います。

最小限必要なアクセス権限

組織内で Detective 用の委任管理者としてメンバーアカウントを設定できるのは、Organizations 管理アカウントの IAM ユーザーまたはロールだけです

Detective コンソールまたは API を使用して委任管理者を設定するには、「Amazon Detective 管理ガイド」の「組織の Detective 管理者アカウントの指定」を参照してください。

AWS CLI, AWS API

AWS CLI または AWS SDK を使用して委任管理者アカウントを設定するには、次のコマンドを使用します。

  • AWS CLI:

    $ aws organizations register-delegated-administrator \ --account-id 123456789012 \ --service-principal detective.amazonaws.com
  • AWS SDK: Organizations RegisterDelegatedAdministrator オペレーションおよびメンバーアカウントの ID 番号を呼び出して、アカウントサービス principal account.amazonaws.com をパラメータとして識別します。

Detective 用の委任管理者の無効化

委任管理者アカウントを削除する場合は、Detective コンソールまたは API を使用して、あるいは Organizations DeregisterDelegatedAdministrator CLI または SDK オペレーションを使用して行います。Detective コンソールまたは API、あるいは Organizations API を使用して委任管理者を削除する方法については、「Amazon Detective 管理ガイド」の「組織の Detective 管理者アカウントの指定」を参照してください。