マルチアカウント環境でRDSの保護の有効化 - Amazon GuardDuty

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

マルチアカウント環境でRDSの保護の有効化

マルチアカウント環境では、委任された GuardDuty 管理者アカウントのみが、組織内のメンバーアカウントのRDS保護機能を有効または無効にすることができます。 GuardDuty メンバーアカウントは、自分のアカウントからこの設定を変更することはできません。委任 GuardDuty 管理者アカウントは、 を使用してメンバーアカウントを管理します AWS Organizations。この委任 GuardDuty 管理者アカウントは、組織に参加するすべての新しいアカウントのRDSログインアクティビティモニタリングを自動有効化することを選択できます。マルチアカウント環境の詳細については、「の複数のアカウント GuardDuty」を参照してください。

任意のアクセス方法を選択して、委任 GuardDuty 管理者アカウントの RDS Login Activity Monitoring を設定します。

Console

  1. で GuardDuty コンソールを開きますhttps://console.aws.amazon.com/guardduty/

  2. ナビゲーションペインで、RDS保護を選択します。

  3. RDS 保護ページで、編集を選択します。

  4. 次のいずれかを行います。

    [すべてのアカウントについて有効にする] の使用

    • [すべてのアカウントについて有効にする] を選択します。これにより、 AWS 組織に参加する新しい GuardDuty アカウントを含め、組織内のすべてのアクティブなアカウントの保護プランが有効になります。

    • [Save] を選択します。

    [アカウントを手動で設定] の使用

    • 委任 GuardDuty 管理者アカウントアカウントに対してのみ保護プランを有効にするには、アカウントを手動で設定を選択します。

    • 委任された GuardDuty 管理者アカウント (このアカウント) セクションで 有効化 を選択します。

    • [Save] を選択します。

API/CLI

を実行します。updateDetector API 独自のリージョンレベルのディテクター ID を使用して オペレーションを実行し、 features オブジェクトを nameとしてRDS_LOGIN_EVENTSstatusとして渡しますENABLED

または、 AWS CLI を使用してRDS保護を有効にすることもできます。次のコマンドを実行し、 をアカウントのディテクター ID 12abc34d567e8fa901bc2d34e56789f0に置き換え、 を RDS Protection を有効にするリージョンus-east-1に置き換えます。

アカウントと現在のリージョンdetectorIdの を検索するには、 https://console.aws.amazon.com/guardduty/コンソールの設定ページを参照するか、 ListDetectors API.

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --region us-east-1 --features '[{"Name": "RDS_LOGIN_EVENTS", "Status": "ENABLED"}]'

任意のアクセス方法を選択して、すべてのメンバーアカウントのRDS保護機能を有効にします。これには、既存のメンバーアカウントと、組織に参加する新しいアカウントが含まれます。

Console

  1. で GuardDuty コンソールを開きますhttps://console.aws.amazon.com/guardduty/

    必ず委任 GuardDuty 管理者アカウントの認証情報を使用してください。

  2. 次のいずれかを行います。

    RDS 保護ページの使用

    1. ナビゲーションペインで、RDS保護を選択します。

    2. [すべてのアカウントについて有効にする] を選択します。このアクションにより、組織内の既存アカウントと新規アカウントの両方に対してRDS保護が自動的に有効になります。

    3. [Save] を選択します。

      注記

      メンバーアカウントの設定を更新するには、最大 24 時間かかる場合があります。

    [アカウント] ページの使用

    1. ナビゲーションペインで、[Accounts] (アカウント) を選択します。

    2. [アカウント] ページで、[招待によるアカウントの追加] の前に [自動有効化] の詳細設定を選択します。

    3. 設定の自動有効化の管理ウィンドウで、RDSLogin Activity Monitoringすべてのアカウントに対して有効化を選択します。

    4. [Save] を選択します。

    [すべてのアカウントについて有効にする] オプションを使用できない場合は、「メンバーアカウントのRDS保護を選択的に有効にする」を参照してください。

API/CLI

メンバーアカウントのRDS保護を選択的に有効または無効にするには、 updateMemberDetectors API 独自の を使用した オペレーションdetector ID

または、 AWS CLI を使用してRDS保護を有効にすることもできます。次のコマンドを実行し、 をアカウントのディテクター ID 12abc34d567e8fa901bc2d34e56789f0に置き換え、 を RDS Protection を有効にするリージョンus-east-1に置き換えます。

アカウントと現在のリージョンdetectorIdの を検索するには、 https://console.aws.amazon.com/guardduty/コンソールの設定ページを参照するか、 ListDetectors API.

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --region us-east-1 --account-ids 111122223333 --features '[{"name": "RDS_LOGIN_EVENTS", "status": "ENABLED"}]'

アカウントのリストをスペースでIDs区切って渡すこともできます。

コードが正常に実行されると、UnprocessedAccounts の空のリストが返されます。アカウントのディテクター設定を変更する際に問題が発生した場合は、そのアカウント ID と問題の概要が表示されます。

任意のアクセス方法を選択して、組織内のすべての既存のアクティブなメンバーアカウントのRDS保護を有効にします。既に GuardDuty が有効になっているメンバーアカウントは、既存のアクティブなメンバーと呼ばれます。

Console

  1. にサインイン AWS Management Console し、 で GuardDuty コンソールを開きますhttps://console.aws.amazon.com/guardduty/

    委任 GuardDuty 管理者アカウントの認証情報を使用してサインインします。

  2. ナビゲーションペインで、RDS保護を選択します。

  3. Protection RDSページで、設定の現在のステータスを表示できます。[アクティブなメンバーアカウント] セクションで、[アクション] を選択します。

  4. [アクション] ドロップダウンメニューから、[すべての既存のアクティブなメンバーアカウントについて有効にする] を選択します。

  5. [確認] を選択します。

API/CLI

を実行します。updateMemberDetectors API 独自の を使用した オペレーションdetector ID

または、 AWS CLI を使用してRDS保護を有効にすることもできます。次のコマンドを実行し、 をアカウントのディテクター ID 12abc34d567e8fa901bc2d34e56789f0に置き換え、 を RDS Protection を有効にするリージョンus-east-1に置き換えます。

アカウントと現在のリージョンdetectorIdの を検索するには、https://console.aws.amazon.com/guardduty/コンソールの設定ページを参照するか、 ListDetectors API.

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --region us-east-1 --account-ids 111122223333 --features '[{"name": "RDS_LOGIN_EVENTS", "status": "ENABLED"}]'

アカウントのリストをスペースでIDs区切って渡すこともできます。

コードが正常に実行されると、UnprocessedAccounts の空のリストが返されます。アカウントのディテクター設定を変更する際に問題が発生した場合は、そのアカウント ID と問題の概要が表示されます。

任意のアクセス方法を選択して、組織に参加する新しいアカウントのRDSログインアクティビティを有効にします。

Console

委任 GuardDuty 管理者アカウントは、RDS保護ページまたはアカウントページを使用して、コンソールから組織内の新しいメンバーアカウントに対して を有効にできます。

新しいメンバーアカウントの RDS Protection を自動有効化するには

  1. で GuardDuty コンソールを開きますhttps://console.aws.amazon.com/guardduty/

    必ず委任 GuardDuty 管理者アカウントの認証情報を使用してください。

  2. 次のいずれかを行います。

    • RDS 保護ページの使用:

      1. ナビゲーションペインで、RDS保護を選択します。

      2. RDS 保護ページで、編集を選択します。

      3. [アカウントを手動で設定] を選択します。

      4. [新しいメンバーアカウントについて自動的に有効にする] を選択します。このステップにより、新しいアカウントが組織に加わるたびに、そのアカウントに対して RDS Protection が自動的に有効になります。この設定を変更できるのは、組織の委任 GuardDuty 管理者アカウントのみです。

      5. [Save] を選択します。

    • [Accounts] (アカウント) ページを使用する場合:

      1. ナビゲーションペインで、[Accounts] (アカウント) を選択します。

      2. [アカウント] ページで、[自動有効化] 設定を選択します。

      3. 設定の自動有効化の管理ウィンドウで、RDSLogin Activity Monitoring新しいアカウントの有効化を選択します。

      4. [Save] を選択します。

API/CLI

メンバーアカウントの RDS Protection を選択的に有効または無効にするには、 UpdateOrganizationConfiguration API 独自の を使用した オペレーションdetector ID

または、 AWS CLI を使用してRDS保護を有効にすることもできます。次のコマンドを実行し、 をアカウントのディテクター ID 12abc34d567e8fa901bc2d34e56789f0に置き換え、 を RDS Protection を有効にするリージョンus-east-1に置き換えます。組織に参加する新規アカウントすべてに対して有効にしたくない場合は、autoEnableNONE に設定します。

アカウントと現在のリージョンdetectorIdの を検索するには、https://console.aws.amazon.com/guardduty/コンソールの設定ページを参照するか、 ListDetectors API.

aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --region us-east-1 --auto-enable --features '[{"Name": "RDS_LOGIN_EVENTS", "AutoEnable": "NEW"}]'

コードが正常に実行されると、UnprocessedAccounts の空のリストが返されます。アカウントのディテクター設定を変更する際に問題が発生した場合は、そのアカウント ID と問題の概要が表示されます。

任意のアクセス方法を選択して、メンバーアカウントのRDSログインアクティビティのモニタリングを選択的に有効にします。

Console

  1. で GuardDuty コンソールを開きますhttps://console.aws.amazon.com/guardduty/

    必ず委任 GuardDuty 管理者アカウントの認証情報を使用してください。

  2. ナビゲーションペインで、[Accounts] (アカウント) を選択します。

    アカウントページで、RDSログインアクティビティ列でメンバーアカウントのステータスを確認します。

  3. RDS ログインアクティビティを選択的に有効または無効にするには

    Protection を設定するアカウントを選択しますRDS。一度に複数のアカウントを選択できます。保護プランの編集ドロップダウンメニューで、RDSログインアクティビティを選択し、適切なオプションを選択します。

API/CLI

メンバーアカウントのRDS保護を選択的に有効または無効にするには、 updateMemberDetectors API 独自の を使用した オペレーションdetector ID

または、 AWS CLI を使用してRDS保護を有効にすることもできます。次のコマンドを実行し、 をアカウントのディテクター ID 12abc34d567e8fa901bc2d34e56789f0に置き換え、 を RDS Protection を有効にするリージョンus-east-1に置き換えます。

アカウントと現在のリージョンdetectorIdの を検索するには、https://console.aws.amazon.com/guardduty/コンソールの設定ページを参照するか、 ListDetectors API.

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --region us-east-1 --account-ids 111122223333 --features '[{"Name": "RDS_LOGIN_EVENTS", "Status": "ENABLED"}]'
注記

アカウントのリストをスペースでIDs区切って渡すこともできます。

コードが正常に実行されると、UnprocessedAccounts の空のリストが返されます。アカウントのディテクター設定を変更する際に問題が発生した場合は、そのアカウント ID と問題の概要が表示されます。