翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
を使用した GuardDuty アカウントの管理 AWS Organizations
AWS 組織では、管理アカウントは、この組織内の任意のアカウントを委任 GuardDuty 管理者アカウントとして指定できます。この管理者アカウントでは、 GuardDuty は現在の でのみ自動的に有効になります AWS リージョン。デフォルトでは、管理者アカウントは、そのリージョン内の組織内のすべてのメンバーアカウント GuardDuty に対して を有効にして管理できます。管理者アカウントは、この AWS 組織を表示してメンバーを追加できます。
以下のセクションでは、委任 GuardDuty 管理者アカウントとして実行できるさまざまなタスクについて説明します。
内容
- GuardDuty で を使用する際の考慮事項と推奨事項 AWS Organizations
- 委任 GuardDuty 管理者アカウントを指定するために必要なアクセス許可
- 委任 GuardDuty 管理者アカウントの指定
- 組織の自動有効化の詳細設定の指定
- 組織へのメンバーの追加
- (オプション) 既存のメンバーアカウントの保護プランの有効化
- 内のメンバーアカウントの継続的な管理 GuardDuty
- GuardDuty メンバーアカウントの停止
- 管理者アカウントからのメンバーアカウントの関連付け解除 (削除)
- GuardDuty 組織からのメンバーアカウントの削除
- 委任 GuardDuty 管理者アカウントの変更
GuardDuty で を使用する際の考慮事項と推奨事項 AWS Organizations
以下の考慮事項と推奨事項は、委任 GuardDuty 管理者アカウントがどのように動作するかを理解するのに役立ちます GuardDuty。
- 委任 GuardDuty 管理者アカウントは、最大 50,000 人のメンバーを管理できます。
-
委任 GuardDuty 管理者アカウントあたり 50,000 のメンバーアカウントに制限されています。これには、 を通じて追加されたメンバーアカウント AWS Organizations 、または GuardDuty 管理者アカウントの組織への招待を受け入れたメンバーアカウントが含まれます。ただし、 AWS 組織内に 50,000 を超えるアカウントが存在する可能性があります。
メンバーアカウントの上限である 50,000 を超えると、 から通知が送信され CloudWatch AWS Health Dashboard、指定された委任 GuardDuty 管理者アカウントに E メールが送信されます。
- 委任 GuardDuty 管理者アカウントはリージョン別です。
-
とは異なり AWS Organizations、 はリージョナルサービス GuardDuty です。委任 GuardDuty 管理者アカウントとそのメンバーアカウントは、 GuardDuty を有効にした各希望するリージョン AWS Organizations で、 を介して追加する必要があります。組織管理アカウントが米国東部 (バージニア北部) でのみ委任 GuardDuty 管理者アカウントを指定している場合、委任 GuardDuty 管理者アカウントはそのリージョンの組織に追加されたメンバーアカウントのみを管理します。 GuardDuty が利用可能なリージョンの機能パリティの詳細については、「」を参照してくださいリージョンとエンドポイント。
- オプトインリージョンの特殊なケース
-
委任 GuardDuty 管理者アカウントがオプトインリージョンをオプトアウトすると、組織 GuardDuty で自動有効化設定が新しいメンバーアカウントのみ (
NEW) またはすべてのメンバーアカウント () に設定されている場合でもALL、 GuardDuty現在 GuardDuty 無効になっている組織内のメンバーアカウントに対して を有効にすることはできません。メンバーアカウントの設定については、GuardDuty コンソールのナビゲーションペインでアカウントを開くかListMembers、 を使用しますAPI。 -
に設定された GuardDuty 自動有効化設定を使用する場合は
NEW、次のシーケンスが満たされていることを確認してください。-
メンバーアカウントがオプトインリージョンにオプトインします。
-
AWS Organizationsで組織にメンバーアカウントを追加します。
これらのステップの順序を変更すると、メンバーアカウント
NEWが組織に新しくなくなるため、 による GuardDuty 自動有効化設定は特定のオプトインリージョンでは機能しません。 GuardDuty は 2 つの代替ソリューションを提供します。-
新規および既存のメンバーアカウント
ALLを含む GuardDuty 自動有効化設定を に設定します。この場合、これらのステップの順序は関係ありません。 -
メンバーアカウントがすでに組織の一部である場合は、 GuardDuty コンソールまたは を使用して、特定のオプトインリージョンでこのアカウント GuardDuty の設定を個別に管理しますAPI。
-
- AWS 組織がすべての で同じ委任 GuardDuty 管理者アカウントを持つために必要です AWS リージョン。
-
GuardDuty が有効になってい AWS リージョン るすべての で、1 つのメンバーアカウントを委任 GuardDuty 管理者アカウントとして指定する必要があります。たとえば、
111122223333でメンバーアカウントを指定した場合Europe (Ireland)、555555555555で別のメンバーアカウントを指定することはできませんCanada (Central)。他のすべてのリージョンで、委任 GuardDuty 管理者アカウントと同じアカウントを使用する必要があります。新しい委任 GuardDuty 管理者アカウントはいつでも指定できます。既存の委任 GuardDuty 管理者アカウントの削除の詳細については、「」を参照してください委任 GuardDuty 管理者アカウントの変更。
- 組織の管理アカウントを委任 GuardDuty 管理者アカウントとして設定することはお勧めしません。
-
組織の管理アカウントは、委任された GuardDuty 管理者アカウントにすることができます。ただし、 AWS のセキュリティのベストプラクティスは最小特権の原則に従っており、この設定は推奨されていません。
- 委任された GuardDuty 管理者アカウントを変更しても、メンバーアカウントの GuardDuty は無効になりません。
-
委任された GuardDuty 管理者アカウントを削除すると、 はこの委任された GuardDuty 管理者アカウントに関連付けられているすべてのメンバーアカウント GuardDuty を削除します。 GuardDuty の保持は、これらのすべてのメンバーアカウントに対して有効のままです。
