翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
GuardDuty 管理者アカウントとメンバーアカウントの関係を理解する
GuardDuty マルチアカウント環境で を使用すると、管理者アカウントはメンバーアカウント GuardDuty に代わって の特定の側面を管理できます。管理者アカウントは次の主な機能を実行できます。
-
関連付けられたメンバーアカウントの追加と削除 – 管理者アカウントがこれを行うプロセスは、 AWS Organizations または GuardDuty 招待方法によるアカウントの管理方法によって異なります。
GuardDuty では、 を通じてメンバーアカウントを管理することをお勧めします AWS Organizations。
-
管理アカウント GuardDuty で を有効にする委任 GuardDuty 管理者アカウント – AWS Organizations 管理アカウントが無効にした場合 GuardDuty、委任 GuardDuty 管理者アカウントは管理アカウント GuardDuty で を有効にできます。ただし、管理アカウントが GuardDuty のためのサービスにリンクされたロールの許可を明示的に削除していない必要があります。
-
メンバーアカウントのステータスの設定 – 管理者アカウントは、 GuardDuty 保護プランのステータスを有効または無効にし、関連付けられたメンバーアカウント GuardDuty に代わって のステータスを有効、停止、または無効にできます。
で管理される委任 GuardDuty 管理者アカウントは、 AWS アカウント がメンバーとして追加された GuardDuty ときに自動的に を有効に AWS Organizations できます。
-
検出結果を生成するタイミングをカスタマイズする – 管理者アカウントは、抑制ルール、信頼できる IP リスト、脅威リストを作成および管理することで、 GuardDuty ネットワーク内の検出結果をカスタマイズできます。マルチアカウント環境では、これらの機能の設定のサポートは、委任 GuardDuty 管理者アカウントでのみ利用できます。メンバーアカウントはこの設定を更新できません。
次の表は、 GuardDuty 管理者アカウントとメンバーアカウントの関係の詳細を示しています。
表の説明
-
自分 - アカウントは、自分のアカウントに対してのみ、リストされたアクションを実行できます。
-
任意 – アカウントは、関連付けられた任意のアカウントに対して、リストされたアクションを実行できます。
-
すべて – アカウントは、リストされたアクションを実行でき、そのアクションは関連付けられたすべてのアカウントに適用されます。通常、このアクションを実行するアカウントは指定された GuardDuty 管理者アカウントです。
-
ダッシュ (–) のセル – ダッシュ (-) の付いた表のセルは、アカウントがリストされたアクションを実行できないことを示します。
| アクション | 経由 AWS Organizations | 招待により | ||
|---|---|---|---|---|
| 委任 GuardDuty 管理者アカウント | 関連付けられたメンバーアカウント | GuardDuty 管理者アカウント | 関連付けられたメンバーアカウント | |
| を有効にする GuardDuty | すべて | – | 自分 | 自分 |
組織全体で GuardDuty を自動的に有効にする (ALL、NEW、NONE) |
すべて | – | – | – |
| GuardDuty ステータスに関係なく、すべての Organizations メンバーアカウントを表示する | いずれか | – | – | – |
| 検出結果サンプルを生成する | Self | 自分 | 自分 | 自分 |
| すべての GuardDuty 検出結果を表示する | すべて | Self | すべて | Self |
| GuardDuty 結果をアーカイブする | いずれか | – | 任意 | – |
| 抑制ルールを適用する | すべて | – | すべて | – |
| 信頼できる IP リストまたは脅威リストを作成する | すべて | – | すべて | – |
| 信頼できる IP リストまたは脅威リストを更新する | すべて | – | すべて | – |
| 信頼できる IP リストまたは脅威リストを削除する | すべて | – | すべて | – |
| EventBridge 通知頻度を設定する | すべて | – | すべて | – |
| 検出結果をエクスポートする Amazon S3 の場所を設定する | すべて | 自分 | すべて | 自分 |
|
組織全体でオプションの 1 つ以上の保護プランを有効にする ( これには Malware Protection for S3 は含まれません。 |
すべて | – | – | – |
個々のアカウントの GuardDuty 保護プランを有効にする これには、Malware Protection for EC2と Malware Protection for S3 は含まれません。 |
いずれか | – | すべて | – |
|
Malware Protection for EC2 |
すべて | – | 自分 | 自分 |
|
S3 向けのマルウェア防御 |
– | 自分 | – | 自分 |
| メンバーアカウントの関連付けを解除する | その他 | – | いずれか | – |
| 管理者アカウントとの関連付けを解除する | – | – | – | 自分 |
| 関連付けが解除されたメンバーアカウントを削除する | いずれか | – | すべて | – |
| 一時停止 GuardDuty | 任意* | – | 任意* | – |
| 無効 GuardDuty | 任意* | – | 任意* | – |
+委任 GuardDuty 管理者アカウントがALL組織メンバーに対して自動有効化設定をセットアップしていない場合にのみ、このアクションを実行できることを示します。
*委任 GuardDuty 管理者アカウントがメンバーアカウント GuardDuty で直接無効にできないことを示します。委任 GuardDuty 管理者アカウントは、まずメンバーアカウントの関連付けを解除してから、削除する必要があります。その後、各メンバーアカウントは自分のアカウント GuardDuty で を無効にできます。組織でこれらのタスクを実行する方法の詳細については、「内のメンバーアカウントの継続的な管理 GuardDuty」を参照してください。
