マルチアカウント環境での GuardDuty 実行型マルウェアスキャンの有効化 - Amazon GuardDuty

マルチアカウント環境での GuardDuty 実行型マルウェアスキャンの有効化

マルチアカウント環境では、メンバーアカウントに代わって GuardDuty 実行型マルウェアスキャンを有効にできるのは、GuardDuty 管理者アカウントのみです。さらに、AWS Organizations サポートでメンバーアカウントを管理する管理者アカウントは、組織内のすべての既存および新しいアカウントで GuardDuty 実行型マルウェアスキャンを自動的に有効にすることを選択できます。詳細については、「AWS Organizations を使用した GuardDuty アカウントの管理」を参照してください。

GuardDuty 実行型マルウェアスキャンを有効にするための信頼されたアクセスの確立

GuardDuty 委任管理者アカウントが組織の管理アカウントと同じではない場合、管理アカウントは組織の GuardDuty 実行型マルウェアスキャンを有効にする必要があります。このようにすることで、委任管理者アカウントが、AWS Organizations を通じて管理されるメンバーアカウント内で「Malware Protection for EC2 のためのサービスにリンクされたロールの許可」を作成できます。

注記

委任 GuardDuty 管理者アカウントを指定する前に、「考慮事項とレコメンデーション」を参照してください。

任意のアクセス方法を選択して、委任 GuardDuty 管理者アカウントが、組織内のメンバーアカウントで GuardDuty 実行型マルウェアスキャンを有効にできるようにします。

Console
  1. https://console.aws.amazon.com/guardduty/ で GuardDuty コンソールを開きます。

    ログインするには、AWS Organizations 組織の管理者アカウントを使用します。

    1. 委任 GuardDuty 管理者アカウントを指定していない場合は、次の操作を実行します。

      [設定] ページの [委任 GuardDuty 管理者アカウント] で、組織で GuardDuty ポリシーを管理するために指定する 12 桁の account ID を入力します。[委任] を選択します。

      1. 管理アカウントとは異なる委任 GuardDuty 管理者アカウントを既に指定している場合は、次の操作を実行します。

        [Settings] (設定) ページの [Delegated Administrator] (委任された管理者) で、[Permissions] (許可) 設定をオンにします。このアクションにより、委任 GuardDuty 管理者アカウントが関連するアクセス許可をメンバーアカウントにアタッチし、これらのメンバーアカウントで GuardDuty 実行型マルウェアスキャンを有効にすることができます。

      2. 管理アカウントと同じ委任 GuardDuty 管理者アカウントを既に指定している場合、メンバーアカウントで GuardDuty 実行型マルウェアスキャンを直接有効にできます。詳細については、「すべてのメンバーアカウントのために GuardDuty が開始するマルウェアスキャンを自動的に有効にする」を参照してください。

      ヒント

      委任 GuardDuty 管理者アカウントが管理アカウントと異なる場合、メンバーアカウントで GuardDuty 実行型マルウェアスキャンを有効にできるようにするため、アクセス許可を委任 GuardDuty 管理者アカウントに付与する必要があります。

  2. 委任 GuardDuty 管理者アカウントが他のリージョンのメンバーアカウントで GuardDuty 実行型マルウェアスキャンを有効にすることを許可する場合、AWS リージョンを変更して上記のステップを繰り返します。

API/CLI
  1. 管理アカウントの認証情報を使用して、次のコマンドを実行します。

    aws organizations enable-aws-service-access --service-principal malware-protection.guardduty.amazonaws.com
  2. (オプション) 委任管理者アカウントではない管理アカウントで GuardDuty 実行型マルウェアスキャンを有効にするには、管理アカウントで最初に「Malware Protection for EC2 のためのサービスにリンクされたロールの許可」を明示的に作成し、他のメンバーアカウントと同様に、委任管理者アカウントから GuardDuty 実行型マルウェアスキャンを有効にします。

    aws iam create-service-linked-role --aws-service-name malware-protection.guardduty.amazonaws.com
  3. 現在選択されている AWS リージョンで委任 GuardDuty 管理者アカウントを指定しました。あるリージョンでアカウントを委任 GuardDuty 管理者アカウントに指定した場合、そのアカウントは他のすべてのリージョンで委任 GuardDuty 管理者アカウントである必要があります。上記のステップを他のすべてのリージョンについて繰り返します。

任意のアクセス方法を選択して、委任 GuardDuty 管理者アカウントで GuardDuty 実行型マルウェアスキャンを有効または無効にします。

Console
  1. https://console.aws.amazon.com/guardduty/ で GuardDuty コンソールを開きます。

    必ず管理アカウントの認証情報を使用してください。

  2. ナビゲーションペインで、[Malware Protection for EC2] を選択します。

  3. [Malware Protection for EC2] ページで、[GuardDuty 実行型マルウェアスキャン] の横にある [編集] を選択します。

  4. 次のいずれかを行います。

    [すべてのアカウントについて有効にする] の使用
    • [すべてのアカウントについて有効にする] を選択します。これにより、組織に参加する新しいアカウントを含む、AWS 組織内のすべてのアクティブな GuardDuty アカウントの保護プランが有効になります。

    • [Save] を選択します。

    [アカウントを手動で設定] の使用
    • 委任 GuardDuty 管理者アカウントでのみ保護プランを有効にするには、[アカウントを手動で設定] を選択します。

    • [委任 GuardDuty 管理者 (このアカウント)] セクションで [有効にする] を選択します。

    • [Save] を選択します。

API/CLI

ユーザー独自のリージョンレベルのディテクター ID を使用し、features オブジェクト nameEBS_MALWARE_PROTECTION として、statusENABLED として渡して、updateDetector API オペレーションを実行します。

次の AWS CLI コマンドを実行して、GuardDuty 実行型マルウェアスキャンを有効にできます。必ず委任 GuardDuty 管理者アカウントの有効なディテクター ID を使用してください。

アカウントと現在のリージョンの detectorId を検索するには、https://console.aws.amazon.com/guardduty/ コンソールの [設定] ページを参照するか、ListDetectors API を実行します。

aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 / --account-ids 555555555555 / --features '[{"Name": "EBS_MALWARE_PROTECTION", "Status": "ENABLED"}]'

任意のアクセス方法を選択して、すべてのメンバーアカウントのために GuardDuty が開始するマルウェアスキャン機能を有効にします。これには、既存のメンバーアカウントと、組織に参加する新しいアカウントが含まれます。

Console
  1. AWS Management Console にサインインし、https://console.aws.amazon.com/guardduty/ で GuardDuty コンソールを開きます。

    必ず委任 GuardDuty 管理者アカウントの認証情報を使用してください。

  2. 次のいずれかを行います。

    [Malware Protection for EC2] ページの使用
    1. ナビゲーションペインで、[Malware Protection for EC2] を選択します。

    2. [Malware Protection for EC2] ページの [GuardDuty 実行型マルウェアスキャン] セクションで [編集] を選択します。

    3. [すべてのアカウントについて有効にする] を選択します。このアクションにより、組織内の既存のアカウントと新しいアカウントの両方について GuardDuty が開始するマルウェアスキャンが自動的に有効になります。

    4. [Save] を選択します。

      注記

      メンバーアカウントの設定を更新するには、最大 24 時間かかる場合があります。

    [アカウント] ページの使用
    1. ナビゲーションペインで、[Accounts] (アカウント) を選択します。

    2. [アカウント] ページで、[招待によるアカウントの追加] の前に [自動有効化] の詳細設定を選択します。

    3. [自動有効化の詳細設定を管理] ウィンドウで、[GuardDuty が開始したマルウェアスキャン] の下の [すべてのアカウントについて有効にする] を選択します。

    4. [Malware Protection for EC2] ページの [GuardDuty 実行型マルウェアスキャン] セクションで [編集] を選択します。

    5. [すべてのアカウントについて有効にする] を選択します。このアクションにより、組織内の既存のアカウントと新しいアカウントの両方について GuardDuty が開始するマルウェアスキャンが自動的に有効になります。

    6. [Save] を選択します。

      注記

      メンバーアカウントの設定を更新するには、最大 24 時間かかる場合があります。

    [アカウント] ページの使用
    1. ナビゲーションペインで、[Accounts] (アカウント) を選択します。

    2. [アカウント] ページで、[招待によるアカウントの追加] の前に [自動有効化] の詳細設定を選択します。

    3. [自動有効化の詳細設定を管理] ウィンドウで、[GuardDuty が開始したマルウェアスキャン] の下の [すべてのアカウントについて有効にする] を選択します。

    4. [Save] を選択します。

    [すべてのアカウントについて有効にする] オプションを使用できない場合は、「メンバーアカウントで GuardDuty 実行型マルウェアスキャンを選択的に有効にする」を参照してください。

API/CLI
  • メンバーアカウントで GuardDuty 実行型マルウェアスキャンを選択的に有効にするには、ユーザー独自のディテクター ID を使用して updateMemberDetectors API オペレーションを呼び出します。

  • 次の例では、単一のメンバーアカウントに GuardDuty 実行型マルウェアスキャンを有効にする方法を示しています。メンバーアカウントを無効にするには、DISABLEDENABLED に置き換えてください。

    アカウントと現在のリージョンの detectorId を検索するには、https://console.aws.amazon.com/guardduty/ コンソールの [設定] ページを参照するか、ListDetectors API を実行します。

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name": "EBS_MALWARE_PROTECTION", "Status": "ENABLED"}]'

    スペースで区切られたアカウント ID のリストを渡すこともできます。

  • コードが正常に実行されると、UnprocessedAccounts の空のリストが返されます。アカウントのディテクター設定を変更する際に問題が発生した場合は、そのアカウント ID と問題の概要が表示されます。

任意のアクセス方法を選択して、組織内のすべての既存のアクティブなメンバーアカウントのために GuardDuty が開始するマルウェアスキャンを有効にします。

すべての既存のアクティブなメンバーアカウントのために GuardDuty が開始するマルウェアスキャンを設定するには
  1. AWS Management Console にサインインし、https://console.aws.amazon.com/guardduty/ で GuardDuty コンソールを開きます。

    委任 GuardDuty 管理者アカウントの認証情報を使用してサインインします。

  2. ナビゲーションペインで、[Malware Protection for EC2] を選択します。

  3. [Malware Protection for EC2] では、[GuardDuty 実行型マルウェアスキャン] 設定の現在のステータスを表示できます。[アクティブなメンバーアカウント] セクションで、[アクション] を選択します。

  4. [アクション] ドロップダウンメニューから、[すべての既存のアクティブなメンバーアカウントについて有効にする] を選択します。

  5. [Save] を選択します。

新しく追加されたメンバーアカウントは、GuardDuty が開始するマルウェアスキャンの設定を選択する前に GuardDuty を [有効にする] 必要があります。招待によって管理されるメンバーアカウントは、各自でアカウントに GuardDuty 実行型マルウェアスキャンを手動で設定できます。詳細については、「Step 3 - Accept an invitation」を参照してください。

任意のアクセス方法を選択して、組織に参加する新しいアカウントのために GuardDuty が開始するマルウェアスキャンを有効にします。

Console

委任 GuardDuty 管理者アカウントは、[Malware Protection for EC2] または [アカウント] のいずれかのページを使用して、組織内の新しいメンバーアカウントで GuardDuty 実行型マルウェアスキャンを有効にすることができます。

新しいメンバーアカウントのために GuardDuty が開始するマルウェアスキャンを自動的に有効にするには
  1. https://console.aws.amazon.com/guardduty/ で GuardDuty コンソールを開きます。

    必ず委任 GuardDuty 管理者アカウントの認証情報を使用してください。

  2. 次のいずれかを行います。

    • [Malware Protection for EC2] ページの使用:

      1. ナビゲーションペインで、[Malware Protection for EC2] を選択します。

      2. [Malware Protection for EC2] ページの [GuardDuty 実行型マルウェアスキャン] で [編集] を選択します。

      3. [アカウントを手動で設定] を選択します。

      4. [新しいメンバーアカウントについて自動的に有効にする] を選択します。このステップにより、新しいアカウントが組織に参加するたびに、そのアカウントのために GuardDuty が開始するマルウェアスキャンが自動的に有効になります。この設定を変更できるのは、組織の委任 GuardDuty 管理者アカウントだけです。

      5. [Save] を選択します。

    • [Accounts] (アカウント) ページを使用する場合:

      1. ナビゲーションペインで、[Accounts] (アカウント) を選択します。

      2. [アカウント] ページで、[自動有効化] 設定を選択します。

      3. [自動有効化の詳細設定を管理] ウィンドウで、[GuardDuty が開始するマルウェアスキャン] の下の [新しいアカウントについて有効にする] を選択します。

      4. [Save] を選択します。

API/CLI
  • 新しいメンバーアカウントに GuardDuty が開始するマルウェアスキャンを有効または無効にするには、自分のディテクター ID を使用して UpdateOrganizationConfiguration API オペレーションを起動します。

  • 次の例では、単一のメンバーアカウントに GuardDuty 実行型マルウェアスキャンを有効にする方法を示しています。無効にするには、「メンバーアカウントで GuardDuty 実行型マルウェアスキャンを選択的に有効にする」を参照してください。組織に参加する新規アカウントすべてに対して有効にしたくない場合は、AutoEnableNONE に設定します。

    アカウントと現在のリージョンの detectorId を検索するには、https://console.aws.amazon.com/guardduty/ コンソールの [設定] ページを参照するか、ListDetectors API を実行します。

    aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --AutoEnable --features '[{"Name": "EBS_MALWARE_PROTECTION", "AutoEnable": NEW}]'

    スペースで区切られたアカウント ID のリストを渡すこともできます。

  • コードが正常に実行されると、UnprocessedAccounts の空のリストが返されます。アカウントのディテクター設定を変更する際に問題が発生した場合は、そのアカウント ID と問題の概要が表示されます。

任意のアクセス方法を選択して、GuardDuty が開始するマルウェアスキャンをメンバーアカウントのために選択的に設定します。

Console
  1. https://console.aws.amazon.com/guardduty/ で GuardDuty コンソールを開きます。

  2. ナビゲーションペインで、[Accounts] (アカウント) を選択します。

  3. [アカウント] ページで、[GuardDuty が開始するマルウェアスキャン] の列でメンバーアカウントのステータスを確認します。

  4. GuardDuty が開始するマルウェアスキャンを設定するアカウントを選択します。一度に複数のアカウントを選択できます。

  5. [保護プランを編集] メニューから、[GuardDuty が開始するマルウェアスキャン] に適切なオプションを選択します。

API/CLI

メンバーアカウントに GuardDuty 実行型マルウェアスキャンを選択的に有効または無効にするには、お持ちのディテクター ID を使用して updateMemberDetectors API オペレーションを起動します。

次の例では、単一のメンバーアカウントに GuardDuty 実行型マルウェアスキャンを有効にする方法を示しています。

アカウントと現在のリージョンの detectorId を検索するには、https://console.aws.amazon.com/guardduty/ コンソールの [設定] ページを参照するか、ListDetectors API を実行します。

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name": "EBS_MALWARE_PROTECTION", "Status": "ENABLED"}]'

スペースで区切られたアカウント ID のリストを渡すこともできます。

コードが正常に実行されると、UnprocessedAccounts の空のリストが返されます。アカウントのディテクター設定を変更する際に問題が発生した場合は、そのアカウント ID と問題の概要が表示されます。

メンバーアカウントに GuardDuty 実行型マルウェアスキャンを選択的に有効にするには、ユーザー独自のディテクター ID を使用して updateMemberDetectors API オペレーションを実行します。次の例では、単一のメンバーアカウントに GuardDuty 実行型マルウェアスキャンを有効にする方法を示しています。

アカウントと現在のリージョンの detectorId を検索するには、https://console.aws.amazon.com/guardduty/ コンソールの [設定] ページを参照するか、ListDetectors API を実行します。

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --data-sources '{"MalwareProtection":{"ScanEc2InstanceWithFindings":{"EbsVolumes":true}}}'

スペースで区切られたアカウント ID のリストを渡すこともできます。

コードが正常に実行されると、UnprocessedAccounts の空のリストが返されます。アカウントのディテクター設定を変更する際に問題が発生した場合は、そのアカウント ID と問題の概要が表示されます。

メンバーアカウントで GuardDuty Malware Protection for EC2 のサービスにリンクされたロール (SLR) が作成されている必要があります。AWS Organizations によって管理されていないメンバーアカウントで、管理者アカウントが GuardDuty 実行型マルウェアスキャン機能を有効にすることはできません。

現在、https://console.aws.amazon.com/guardduty/ の GuardDuty コンソールから次の手順を実行し、既存のメンバーアカウントに GuardDuty 実行型マルウェアスキャンを有効にできます。

Console
  1. https://console.aws.amazon.com/guardduty/ で GuardDuty コンソールを開きます。

    管理者アカウントの認証情報を使用してサインインします。

  2. ナビゲーションペインで、[Accounts] (アカウント) を選択します。

  3. GuardDuty が開始するマルウェアスキャンを有効にするメンバーアカウントを選択します。一度に複数のアカウントを選択できます。

  4. [アクション] を選択します。

  5. [Disassociate member] (メンバーの関連付けを解除する) を選択します。

  6. メンバーアカウントのナビゲーションペインで、[保護プラン] から [Malware Protection] を選択します。

  7. [GuardDuty が開始するマルウェアスキャンを有効にする] を選択します。GuardDuty でメンバーアカウントの SLR が作成されます。SLR の詳細については、「Malware Protection for EC2 のためのサービスにリンクされたロールの許可」を参照してください。

  8. 管理者アカウントのナビゲーションペインで [アカウント] を選択します。

  9. 組織に追加し直す必要があるメンバーアカウントを選択します。

  10. [Actions] (アクション)、[Add member] (メンバーの追加) の順に選択します。

API/CLI
  1. 管理者アカウントを使用し、GuardDuty 実行型マルウェアスキャンを有効にするメンバーアカウントで DisassociateMembers API を実行します。

  2. メンバーアカウントを使用して UpdateDetector を起動し、GuardDuty 実行型マルウェアスキャンを有効にします。

    アカウントと現在のリージョンの detectorId を検索するには、https://console.aws.amazon.com/guardduty/ コンソールの [設定] ページを参照するか、ListDetectors API を実行します。

    aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --data-sources '{"MalwareProtection":{"ScanEc2InstanceWithFindings":{"EbsVolumes":true}}}'
  3. 管理者アカウントを使用して CreateMembers API を実行して、メンバーを組織に追加し直します。