マルチアカウント環境でRDSの保護の有効化

マルチアカウント環境では、委任された GuardDuty 管理者アカウントのみが、組織内のメンバーアカウントのRDS保護機能を有効または無効にすることができます。 GuardDuty メンバーアカウントは、アカウントからこの設定を変更することはできません。委任 GuardDuty 管理者アカウントは、を使用してメンバーアカウントを管理します AWS Organizations。この委任された GuardDuty 管理者アカウントは、組織に参加するすべての新しいアカウントのRDSログインアクティビティモニタリングを自動的に有効にすることを選択できます。マルチアカウント環境の詳細については、「」を参照してくださいの複数のアカウント GuardDuty。

任意のアクセス方法を選択して、委任された GuardDuty 管理者アカウントのRDSログインアクティビティモニタリングを設定します。

Console

で GuardDuty コンソールを開きますhttps://console.aws.amazon.com/guardduty/。

必ず管理アカウントの認証情報を使用してください。
ナビゲーションペインで、RDS保護 を選択します。
RDS 保護ページで、編集を選択します。
次のいずれかを行います。
[すべてのアカウントについて有効にする] の使用
- [すべてのアカウントについて有効にする] を選択します。これにより、 AWS 組織に参加する新しい GuardDuty アカウントを含め、組織内のすべてのアクティブなアカウントに対して保護プランが有効になります。
- [Save] を選択します。
[アカウントを手動で設定] の使用
- 委任された GuardDuty 管理者アカウントアカウントに対してのみ保護プランを有効にするには、アカウントを手動で設定 を選択します。
- 委任された GuardDuty 管理者アカウント (このアカウント） セクションで有効化を選択します。
- [Save] を選択します。

API/CLI

を実行updateDetector API 独自のリージョンディテクター ID を使用して、featuresオブジェクトを name としてRDS_LOGIN_EVENTS、および statusとして渡すオペレーションENABLED。

または、 AWS CLI を使用してRDS保護を有効にすることもできます。次のコマンドを実行し、を置き換えます。12abc34d567e8fa901bc2d34e56789f0 アカウントのディテクター ID と us-east-1 RDS Protection を有効にするリージョン。

アカウントと現在のリージョンdetectorIdのを検索するには、https://console.aws.amazon.com/guardduty/コンソールの設定ページを参照するか、 ListDetectors API.


aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --region us-east-1 --features '[{"Name": "RDS_LOGIN_EVENTS", "Status": "ENABLED"}]'

任意のアクセス方法を選択して、すべてのメンバーアカウントのRDS保護機能を有効にします。これには、既存のメンバーアカウントと、組織に参加する新しいアカウントが含まれます。

Console

で GuardDuty コンソールを開きますhttps://console.aws.amazon.com/guardduty/。

委任された GuardDuty 管理者アカウントの認証情報を使用してください。
次のいずれかを行います。
RDS Protection ページの使用
1. ナビゲーションペインで、RDS保護 を選択します。
2. [すべてのアカウントについて有効にする] を選択します。このアクションにより、組織内の既存アカウントと新規アカウントの両方に対するRDS保護が自動的に有効になります。
3. [Save] を選択します。
  
  注記
  メンバーアカウントの設定を更新するには、最大 24 時間かかる場合があります。
[アカウント] ページの使用
1. ナビゲーションペインで、[Accounts] (アカウント) を選択します。
2. [アカウント] ページで、[招待によるアカウントの追加] の前に [自動有効化] の詳細設定を選択します。
3. 自動有効化設定の管理ウィンドウで、RDSログインアクティビティモニタリング のすべてのアカウントで有効化 を選択します。
4. [Save] を選択します。
[すべてのアカウントについて有効にする] オプションを使用できない場合は、「メンバーアカウントのRDS保護を選択的に有効にする」を参照してください。

API/CLI

メンバーアカウントのRDS保護を選択的に有効または無効にするには、を呼び出します。 updateMemberDetectors API 独自のを使用したオペレーション detector ID.


aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --region us-east-1 --account-ids 111122223333 --features '[{"name": "RDS_LOGIN_EVENTS", "status": "ENABLED"}]'

スペースでIDs区切られたアカウントのリストを渡すこともできます。

コードが正常に実行されると、UnprocessedAccounts の空のリストが返されます。アカウントのディテクター設定を変更する際に問題が発生した場合は、そのアカウント ID と問題の概要が表示されます。

希望するアクセス方法を選択して、組織内のすべての既存のアクティブなメンバーアカウントのRDS保護を有効にします。既に GuardDuty 有効になっているメンバーアカウントは、既存のアクティブメンバーと呼ばれます。

Console

にサインイン AWS Management Console し、で GuardDuty コンソールを開きますhttps://console.aws.amazon.com/guardduty/。

委任された GuardDuty 管理者アカウントの認証情報を使用してサインインします。
ナビゲーションペインで、RDS保護 を選択します。
Protection RDSページで、設定の現在のステータスを表示できます。[アクティブなメンバーアカウント] セクションで、[アクション] を選択します。
[アクション] ドロップダウンメニューから、[すべての既存のアクティブなメンバーアカウントについて有効にする] を選択します。
[確認] を選択します。

API/CLI

を実行updateMemberDetectors API 独自のを使用したオペレーション detector ID.

アカウントと現在のリージョンdetectorIdのを検索するには、https://console.aws.amazon.com/guardduty/コンソールの設定ページを参照するか、を実行します。 ListDetectors API.


aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --region us-east-1 --account-ids 111122223333 --features '[{"name": "RDS_LOGIN_EVENTS", "status": "ENABLED"}]'

スペースでIDs区切られたアカウントのリストを渡すこともできます。

希望するアクセス方法を選択して、組織に参加する新しいアカウントのRDSログインアクティビティを有効にします。

Console

委任された GuardDuty 管理者アカウントは、RDS保護ページまたはアカウントページを使用して、コンソールを通じて組織内の新しいメンバーアカウントに対してを有効にできます。

新しいメンバーアカウントのRDS保護を自動的に有効にするには

で GuardDuty コンソールを開きますhttps://console.aws.amazon.com/guardduty/。

委任された GuardDuty 管理者アカウントの認証情報を使用してください。
次のいずれかを行います。
- RDS Protection ページの使用：
  1. ナビゲーションペインで、RDS保護 を選択します。
  2. RDS 保護ページで、編集を選択します。
  3. [アカウントを手動で設定] を選択します。
  4. [新しいメンバーアカウントについて自動的に有効にする] を選択します。このステップにより、新しいアカウントが組織に加わるたびに、そのアカウントに対して RDS Protection が自動的に有効になります。組織委任 GuardDuty 管理者アカウントのみがこの設定を変更できます。
  5. [Save] を選択します。
- [Accounts] (アカウント) ページを使用する場合:
  1. ナビゲーションペインで、[Accounts] (アカウント) を選択します。
  2. [アカウント] ページで、[自動有効化] 設定を選択します。
  3. 自動有効化設定の管理ウィンドウで、RDSログインアクティビティモニタリング で新しいアカウントの有効化を選択します。
  4. [Save] を選択します。

API/CLI

メンバーアカウントのRDS保護を選択的に有効または無効にするには、を呼び出します。 UpdateOrganizationConfiguration API 独自のを使用したオペレーション detector ID.

または、 AWS CLI を使用してRDS保護を有効にすることもできます。次のコマンドを実行し、を置き換えます。12abc34d567e8fa901bc2d34e56789f0 アカウントのディテクター ID と us-east-1 RDS Protection を有効にするリージョン。組織に参加する新規アカウントすべてに対して有効にしたくない場合は、autoEnable を NONE に設定します。


aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --region us-east-1 --auto-enable --features '[{"Name": "RDS_LOGIN_EVENTS", "AutoEnable": "NEW"}]'

任意のアクセス方法を選択して、メンバーアカウントのRDSログインアクティビティのモニタリングを選択的に有効にします。

Console

で GuardDuty コンソールを開きますhttps://console.aws.amazon.com/guardduty/。

委任された GuardDuty 管理者アカウントの認証情報を使用してください。
ナビゲーションペインで、[Accounts] (アカウント) を選択します。

アカウントページで、RDSログインアクティビティ列でメンバーアカウントのステータスを確認します。
RDS ログインアクティビティを選択的に有効または無効にするには

Protection を設定するアカウントを選択しますRDS。一度に複数のアカウントを選択できます。保護プランの編集ドロップダウンメニューで、RDSログインアクティビティ を選択し、適切なオプションを選択します。

API/CLI


aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --region us-east-1 --account-ids 111122223333 --features '[{"Name": "RDS_LOGIN_EVENTS", "Status": "ENABLED"}]'

注記

スペースでIDs区切られたアカウントのリストを渡すこともできます。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

RDS 保護

スタンドアロンアカウントのRDS保護の有効化

マルチアカウント環境でRDSの保護の有効化

[すべてのアカウントについて有効にする] の使用

[アカウントを手動で設定] の使用

RDS Protection ページの使用

注記

[アカウント] ページの使用

新しいメンバーアカウントのRDS保護を自動的に有効にするには

RDS ログインアクティビティを選択的に有効または無効にするには

注記