Amazon GuardDuty と AWS Organizations - AWS Organizations

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon GuardDuty と AWS Organizations

Amazon GuardDuty は、脅威インテリジェンスフィードと機械学習を使用して、さまざまなデータソースを分析して処理し、環境内の予期しないアクティビティや、潜在的に不正なアクティビティ、悪意のあるアクティビティを特定する継続的なセキュリティモニタリングサービスです AWS 。これには、権限のエスカレーション、公開された認証情報の使用、悪意のある IP アドレス、、URLsまたはドメインとの通信、Amazon Elastic Compute Cloud インスタンスおよびコンテナワークロードでのマルウェアの存在などの問題が含まれます。

Organizations を使用して組織内のすべてのアカウント GuardDuty で を管理する GuardDuty ことで、 の管理を簡素化できます。

詳細については、「Amazon GuardDuty ユーザーガイド」の「 による GuardDuty アカウントの管理 AWS Organizations」を参照してください。

Amazon を GuardDuty と統合するには、以下の情報を参考にしてください AWS Organizations。

統合を有効にする際に作成されるサービスにリンクされたロール

信頼されたアクセスを有効にすると、次の「サービスにリンクされたロール」が組織の管理アカウントに自動的に作成されます。これらのロールにより GuardDuty 、 はサポートされているオペレーションを組織内のアカウント内で実行できます。ロールを削除できるのは、 GuardDuty と Organizations 間の信頼されたアクセスを無効にした場合、または組織からメンバーアカウントを削除した場合のみです。

サービスにリンクされたロールで使用されるサービスプリンシパル

  • guardduty.amazonaws.comAWSServiceRoleForAmazonGuardDuty サービスにリンクされたロールによって使用される。

  • malware-protection.guardduty.amazonaws.comAmazonGuardDutyMalwareProtectionServiceRolePolicy サービスにリンクされたロールによって使用される。

GuardDuty との信頼されたアクセスの有効化

信頼されたアクセスの有効化に必要な権限に関しては、信頼されたアクセスを有効にするために必要なアクセス許可 を参照してください。

Amazon を使用してのみ、信頼されたアクセスを有効にできます GuardDuty。

Amazon では、組織の GuardDuty 管理者となるメンバーアカウントを指定する AWS Organizations 前に、 への信頼されたアクセス GuardDuty が必要です。 GuardDuty コンソールを使用して委任された管理者を設定すると、 は信頼されたアクセス GuardDuty を自動的に有効にします。

ただし、 AWS CLI または のいずれかを使用して委任管理者アカウントを設定する場合は AWS SDKs、E nableAWSServiceAccess オペレーションを明示的に呼び出し、サービスプリンシパルをパラメータとして指定する必要があります。その後、 を呼び出しEnableOrganizationAdminAccountて GuardDuty 管理者アカウントを委任できます。

GuardDuty との信頼されたアクセスの無効化

信頼されたアクセスの無効化に必要なアクセス権限に関しては、信頼されたアクセスを無効にするために必要なアクセス許可 を参照してください。

Organizations ツールを使用してのみ、信頼されたアクセスを無効にできます。

信頼されたアクセスを無効にするには、Organizations AWS CLI コマンドを実行するか、 のいずれかで Organizations APIオペレーションを呼び出します AWS SDKs。

AWS CLI, AWS API
Organizations CLI/ を使用して信頼されたサービスアクセスを無効にするにはSDK

信頼されたサービスアクセスを無効にするには、次の AWS CLI コマンドまたはAPIオペレーションを使用します。

  • AWS CLI: disable-aws-service-access

    次のコマンドを実行して、Organizations で Amazon を信頼されたサービス GuardDuty として無効にします。

    $ aws organizations disable-aws-service-access \ --service-principal guardduty.amazonaws.com

    このコマンドが成功した場合、出力は生成されません。

  • AWS API: D isableAWSServiceアクセス

の委任管理者アカウントの有効化 GuardDuty

メンバーアカウントを組織の委任管理者として指定すると、そのアカウントのユーザーおよびロールは、 GuardDuty の管理アクションを実行できるようになります。通常この管理アクションは、組織の管理アカウントのユーザーとロールだけが実行できるものです。この手法は、 GuardDuty の管理から 組織の管理を分離するのに有効です。

最小アクセス許可

メンバーアカウントを委任管理者として指定するために必要なアクセス許可については、「Amazon GuardDuty ユーザーガイド」の「委任管理者の指定に必要なアクセス許可」を参照してください。

メンバーアカウントを  GuardDuty の委任管理者として指定するには

「委任管理者の指定とメンバーアカウントの追加 (コンソール)」および「委任管理者の指定とメンバーアカウントの追加 (API)」を参照してください。