翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
GuardDuty 管理者アカウントとメンバーアカウントの関係を理解する
マルチ GuardDuty アカウント環境で を使用すると、管理者アカウントはメンバーアカウント GuardDuty に代わって の特定の側面を管理できます。管理者アカウントは、次のプライマリ関数を実行できます。
-
関連付けられたメンバーアカウントの追加と削除 – 管理者アカウントがこれを行うプロセスは、アカウントの管理方法によって異なります。 AWS Organizations または GuardDuty 招待方法によって異なります。
GuardDuty では、 を使用してメンバーアカウントを管理することをお勧めします AWS Organizations。
-
管理アカウント GuardDuty で有効にする委任 GuardDuty 管理者アカウント – AWS Organizations 管理アカウントが を無効にした場合 GuardDuty、委任 GuardDuty 管理者アカウントは管理アカウント GuardDuty で を有効にできます。ただし、管理アカウントが を明示的に削除していない必要がありますのサービスにリンクされたロールのアクセス許可 GuardDuty。
-
メンバーアカウントのステータスの設定 – 管理者アカウントは、 GuardDuty 保護プランのステータスを有効または無効にし、関連するメンバーアカウント GuardDuty に代わって のステータスを有効、停止、または無効にできます。
で管理されている委任 GuardDuty 管理者アカウントは AWS Organizations 、 AWS アカウント がメンバーとして追加 GuardDuty されると、自動的に を有効にできます。
-
検出結果を生成するタイミングをカスタマイズする – 管理者アカウントは、抑制ルール、信頼できる IP リスト、脅威リストを作成および管理することで、 GuardDuty ネットワーク内の検出結果をカスタマイズできます。マルチアカウント環境では、これらの機能の設定のサポートは、委任された GuardDuty 管理者アカウントでのみ利用できます。メンバーアカウントはこの設定を更新できません。
次の表に、 GuardDuty 管理者アカウントとメンバーアカウント間の関係を示します。
テーブルのキー
-
自己 – アカウントは、自分のアカウントに対してのみ、リストされたアクションを実行できます。
-
任意 – アカウントは、関連付けられたアカウントに対してリストされたアクションを実行できます。
-
すべて – アカウントはリストされたアクションを実行でき、関連付けられたすべてのアカウントに適用されます。通常、このアクションを実行するアカウントは指定された GuardDuty 管理者アカウントです。
-
ダッシュ (–) を含むセル – ダッシュ (–) を含むテーブルセルは、アカウントがリストされたアクションを実行できないことを示します。
| [アクション] | 経由 AWS Organizations | 招待により | ||
|---|---|---|---|---|
| 委任 GuardDuty 管理者アカウント | 関連付けられたメンバーアカウント | 委任 GuardDuty 管理者アカウント | 関連付けられたメンバーアカウント | |
| 有効にする GuardDuty | すべて | – | 自分 | 自分 |
組織全体で GuardDuty 自動的に有効にする (ALL、NEW、NONE) |
すべて | – | – | – |
| GuardDuty ステータスに関係なく、すべての Organizations メンバーアカウントを表示する | すべて | – | – | – |
| 検出結果サンプルを生成する | Self | 自分 | 自分 | 自分 |
| すべての GuardDuty 検出結果を表示する | すべて | Self | すべて | Self |
| GuardDuty 結果のアーカイブ | すべて | – | 任意 | – |
| 抑制ルールを適用する | すべて | – | すべて | – |
| 信頼できる IP リストまたは脅威リストを作成する | すべて | – | すべて | – |
| 信頼された IP リストまたは脅威リストを更新する | すべて | – | すべて | – |
| 信頼された IP リストまたは脅威リストを削除する | すべて | – | すべて | – |
| EventBridge 通知頻度を設定する | すべて | – | すべて | – |
| 検出結果をエクスポートする Amazon S3 の場所を設定する | すべて | 自分 | すべて | 自分 |
|
組織全体で 1 つ以上のオプションの保護プランを有効にする ( これには、S3 の Malware Protection は含まれません。 |
すべて | – | – | – |
個々のアカウントの GuardDuty 保護プランを有効にする これには、Malware Protection for EC2および Malware Protection for S3 は含まれません。 |
すべて | – | すべて | – |
|
のマルウェア保護 EC2 |
すべて | – | 自分 | 自分 |
|
S3 向けのマルウェア防御 |
– | 自分 | – | 自分 |
| メンバーアカウントの関連付けを解除する | すべて | – | すべて | – |
| 管理者アカウントアカウントとの関連付けを解除する | – | Self+ | – | 自分 |
| 関連付け解除されたメンバーアカウントを削除する | すべて | – | すべて | – |
| 一時停止 GuardDuty | 任意の* | – | 任意の* | – |
| 無効 GuardDuty | 任意の* | – | 任意の* | – |
+委任された GuardDuty 管理者アカウントがALL組織メンバーに対して自動有効化設定を設定していない場合にのみ、アカウントがこのアクションを実行できることを示します。
*委任された GuardDuty 管理者アカウントがメンバーアカウント GuardDuty で直接無効にできないことを示します。委任された GuardDuty 管理者アカウントは、まずメンバーアカウントの関連付けを解除してから、削除する必要があります。その後、各メンバーアカウントは自分のアカウント GuardDuty で を無効にできます。組織でこれらのタスクを実行する方法の詳細については、「」を参照してください内のメンバーアカウントの継続的な管理 GuardDuty。
