Amazon GuardDutyAWS Organizations - AWS Organizations

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon GuardDutyAWS Organizations

Amazon GuardDuty は、脅威インテリジェンスフィードおよび機械学習を使用して、さまざまなデータソースを分析して処理する継続的なセキュリティモニタリングサービスです。これにより、お客様の内の予期しない潜在的に未許可なアクティビティや悪意のあるアクティビティを識別します。AWS環境。このアクティビティには、権限昇格や、公開されている認証情報の使用、悪意のある IP アドレスや URL、ドメインとの通信などの問題も含まれます。

Organizations を使用して、組織内のすべてのアカウントにわたって GuardDuty を管理することで、GuardDuty の管理を簡素化できます。

詳細については、「」を参照してください。GuardDuty アカウントを管理するAWS Organizations()Amazon GuardDuty ユーザーガイド

以下の情報を参考にして、Amazon GuardDuty をAWS Organizations。

統合を有効にしたときに作成されるサービスリンクロール

以下のようになりますサービスにリンクされたロールは、信頼されたアクセスを有効にすると、組織の管理カウントに自動的に作成されます。このロールにより、GuardDuty は組織内の組織のアカウント内でサポートされている操作を実行できます。

このロールを削除または変更できるのは、GuardDuty と Organizations 間の信頼されたアクセスを無効にするか、組織からメンバーアカウントを削除した場合のみです。

  • AWSServiceRoleForAmazonGuardDuty

サービスにリンクされたロールによって使用されるサービスプリンシパル

前のセクションで説明したサービスリンクロールは、ロールに定義された信頼関係によって承認されたサービスプリンシパルによってのみ引き受けることができます。GuardDuty で使用されるサービスリンクロールは、次のサービスプリンシパルへのアクセスを許可します。

  • guardduty.amazonaws.com

GuardDuty による信頼されたアクセスの有効化

信頼されたアクセスを有効にするには、」を参照してください。信頼されたアクセスを有効にするために必要なアクセス許可

信頼されたアクセスを有効にするには、Amazon GuardDuty を使用します。

Amazon GuardDuty には、AWS Organizations組織の GuardDuty 管理者としてメンバーアカウントを指定する前に、GuardDuty コンソールを使用して委任された管理者を構成すると、GuardDuty は信頼されたアクセスを自動的に有効にします。

ただし、委任された管理者アカウントを構成する場合は、AWS CLIまたは、AWSSDK を使用する場合は、明示的に呼び出す必要があります。EnableAWSServiceAccessオペレーションを実行し、サービスプリンシパルをパラメーターとして指定します。次に、呼び出し元有効化組織管理者アカウントを使用して GuardDuty 管理者アカウントを委任します。

GuardDuty による信頼されたアクセスの無効化

信頼されたアクセスを無効にするアクセス許可の詳細については、」信頼されたアクセスを無効にするために必要なアクセス許可

信頼されたアクセスを無効にするには、Organizations ツールを使用するのが唯一の方法です。

信頼されたアクセスを無効にするには、Organizations のAWS CLIコマンドを使用するか、Organizations の API オペレーションをAWSSDK。

AWS CLI, AWS API

Organizations CLI/SDK を使用して信頼されたサービスアクセスを無効にするには

以下を使用できます。AWS CLIサービスへの信頼されたアクセスを無効にするには、コマンドまたは API オペレーションを使用できます。

  • AWS CLI:aws-service-access

    以下のコマンドを実行して、Organizations との信頼できるサービスとして Amazon GuardDuty を無効にすることができます。

    $ aws organizations disable-aws-service-access \ --service-principal guardduty.amazonaws.com

    このコマンドが成功した場合、出力は生成されません。

  • AWS API: DisableAWSServiceAccess

GuardDuty に対する委任管理者アカウントの有効化

メンバーアカウントを組織の委任管理者として指定すると、そのアカウントのユーザーおよびロールが GuardDuty の管理アクションを実行できます。それ以外の場合は、組織の管理アカウントのユーザーまたはロールのみが実行できます。これは、GuardDuty yの管理から組織の管理を分離するのに役立ちます。

最小限必要なアクセス権限

メンバアカウントを委任管理者として指定するために必要なアクセス許可の詳細については、」委任された管理者の指定に必要な権限()Amazon GuardDuty ユーザーガイド

GuardDuty の委任管理者としてメンバーアカウントを指定するには

「」を参照してください。委任管理者を指定し、メンバーアカウントを追加します (コンソール)および委任管理者を指定し、メンバーアカウントを追加します (API)