Amazon GuardDuty と AWS Organizations - AWS Organizations

Amazon GuardDuty と AWS Organizations

Amazon GuardDuty は、さまざまなデータソースを分析および処理する継続的セキュリティモニタリングサービスです。脅威インテリジェンスフィードおよび機械学習を使用して、AWS 環境内の予期しないアクティビティ、不正の可能性があるアクティビティ、悪意のあるアクティビティを識別します。これには、権限のエスカレーション、公開された認証情報の使用、悪意のある IP アドレス、URL、またはドメインとの通信、Amazon Elastic Compute Cloud インスタンスおよびコンテナ ワークロードでのマルウェアの存在などの問題が含まれる場合があります。

Organizations を使用し、組織のすべてのアカウントを対象に GuardDuty を管理することで、GuardDuty の管理を簡素化できます。

詳細については、Amazon GuardDuty ユーザーガイドManaging GuardDuty accounts with AWS Organizations を参照してください。

Amazon GuardDuty と AWS Organizations の統合には、次の情報を参考にしてください。

統合を有効にする際に作成されるサービスにリンクされたロール

信頼されたアクセスを有効にすると、以下のサービスにリンクされたロールが組織の管理アカウントに自動的に作成されます。このロールにより、GuardDuty はサポートされているオペレーションを組織内の組織アカウントで実行できます。このロールを削除できるのは、GuardDuty と Organizations 間の信頼されたアクセスを無効にした場合か、組織から当該のメンバーアカウントを削除した場合だけです。

  • AWSServiceRoleForAmazonGuardDuty サービスにリンクされたロールは、GuardDuty をOrganizations と統合したアカウントで自動的に作成されます。詳細については、Amazon GuardDuty ユーザーガイドの Managing GuardDuty accounts with Organizations を参照してください。

  • AmazonGuardDutyMalwareProtectionServiceRolePolicy サービスにリンクされたロールは、GuardDuty Malware Protection が有効になっているアカウントで自動的に作成されます。詳細については、Amazon GuardDuty ユーザーガイドの GuardDuty マルウェア保護のためのサービスにリンクされたロールの許可を参照してください。

サービスにリンクされたロールで使用されるサービスプリンシパル

  • guardduty.amazonaws.comAWSServiceRoleForAmazonGuardDuty サービスにリンクされたロールによって使用される。

  • malware-protection.guardduty.amazonaws.comAmazonGuardDutyMalwareProtectionServiceRolePolicy サービスにリンクされたロールによって使用される。

GuardDuty との信頼されたアクセスの有効化

信頼されたアクセスの有効化に必要なアクセス許可に関しては、信頼されたアクセスを有効にするために必要なアクセス許可 を参照してください。

Amazon GuardDuty だけで、信頼されたアクセスを有効にできます。

組織の GuardDuty の委任管理者にするメンバーアカウントを指定するにあたり、Amazon GuardDuty には AWS Organizations への信頼されたアクセスが必要です。GuardDuty コンソールを使用して委任管理者を設定すると、信頼されたアクセスが GuardDuty によって自動的に有効になります。

ただし、AWS CLI または AWS SDK を使用して委任管理者アカウントを設定する場合は、明示的に EnableAWSServiceAccess オペレーションを呼び出し、サービスプリンシパルをパラメーターとして渡します。次に、EnableOrganizationAdminAccount を呼び出し、GuardDuty の管理者アカウントを委任します。

GuardDuty との信頼されたアクセスの無効化

信頼されたアクセスの無効化に必要なアクセス許可に関しては、信頼されたアクセスを無効にするために必要なアクセス許可 を参照してください。

Organizations ツールだけで、信頼されたアクセスを無効にできます。

信頼されたアクセスの無効化には、Organizations の AWS CLI コマンドを実行する方法と、いずれかの AWS SDK で Organizations API オペレーションを呼び出す方法があります。

AWS CLI, AWS API

Organizations CLI/SDK を使用して信頼されたアクセスを無効にするには

サービスへの信頼されたアクセスを無効にするには、次の AWS CLI コマンドまたは API オペレーションを使用できます。

  • AWS CLI: disable-aws-service-access

    次のコマンドを実行し、Organizations で信頼されたサービスとして Amazon GuardDuty を無効にすることができます。

    $ aws organizations disable-aws-service-access \ --service-principal guardduty.amazonaws.com

    このコマンドが成功した場合、出力は生成されません。

  • AWS API: DisableAWSServiceAccess

GuardDuty 用の委任管理者アカウントの有効化

メンバーアカウントを組織の委任管理者として指定すると、そのアカウントのユーザーおよびロールは、GuardDuty の管理アクションを実行できるようになります。通常この管理アクションは、組織の管理アカウントのユーザーとロールだけが実行できるものです。この手法は、組織の管理から GuardDuty の管理を分離するのに有効です。

最小アクセス許可

メンバーアカウントを委任管理者として指定するために必要なアクセス許可については、Amazon GuardDuty ユーザーガイド委任された管理者の指定に必要な権限を参照してください。

GuardDuty の委任管理者としてメンバーアカウントを指定するには

Designate a delegated administrator and add member accounts (console)、および Designate a delegated administrator and add member accounts (API) を参照してください。