による GuardDuty アカウントの管理 AWS Organizations - Amazon GuardDuty
考慮事項とレコメンデーション

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

による GuardDuty アカウントの管理 AWS Organizations

AWS 組織 GuardDuty で を使用する場合、その組織の管理アカウントは、組織内の任意のアカウントを委任された GuardDuty 管理者アカウントとして指定できます。この管理者アカウントでは、 GuardDuty は指定された でのみ自動的に有効になります AWS リージョン。このアカウントには、そのリージョン内の組織内のすべてのアカウント GuardDuty に対して を有効化および管理するためのアクセス許可もあります。管理者アカウントは、 のメンバーを表示し、この AWS 組織にメンバーを追加できます。

招待によって関連付けられたメンバーアカウントを持つ GuardDuty 管理者アカウントをすでに設定していて、そのメンバーアカウントが同じ組織の一部である場合、組織の委任 GuardDuty 管理者アカウントを設定すると、そのタイプ招待によって組織経由で変わります。委任された GuardDuty 管理者アカウントが同じ組織に属していない招待によって以前にメンバーを追加した場合、そのタイプ招待によって のままになります。どちらの場合も、以前に追加されたアカウントは、組織の委任 GuardDuty 管理者アカウントに関連付けられているメンバーアカウントです。

組織外にいる場合でも、引き続きアカウントをメンバーとして追加できます。詳細については、招待によるアカウントの追加と管理または GuardDuty コンソールを使用した委任 GuardDuty 管理者アカウントの指定とメンバーの管理を参照してください。

内容

委任 GuardDuty 管理者アカウントを指定する際の考慮事項と推奨事項

以下の考慮事項と推奨事項は、委任された GuardDuty 管理者アカウントが でどのように動作するかを理解するのに役立ちます GuardDuty。

委任 GuardDuty 管理者アカウントは、最大 50,000 人のメンバーを管理できます。

委任 GuardDuty 管理者アカウントあたり 50,000 のメンバーアカウントに制限があります。これには、 を通じて追加されたメンバーアカウント AWS Organizations 、または GuardDuty 管理者アカウントの組織への招待を受け入れたメンバーアカウントが含まれます。ただし、 AWS 組織内に 50,000 を超えるアカウントが存在する可能性があります。

メンバーアカウントの上限である 50,000 を超えると、 から通知が送信され CloudWatch AWS Health Dashboard、指定された委任 GuardDuty 管理者アカウントに E メールが送信されます。

委任 GuardDuty 管理者アカウントはリージョン別です。

とは異なり AWS Organizations、 はリージョンサービス GuardDuty です。委任された GuardDuty 管理者アカウントとそのメンバーアカウントは、 GuardDuty 有効にした各リージョン AWS Organizations で を通じて追加する必要があります。組織管理アカウントが米国東部 (バージニア北部) でのみ委任 GuardDuty された管理者アカウントを指定している場合、委任された GuardDuty 管理者アカウントは、そのリージョンの組織に追加されたメンバーアカウントのみを管理します。 GuardDuty が利用可能なリージョンの機能パリティの詳細については、「」を参照してくださいリージョンとエンドポイント

オプトインリージョンの特殊なケース

  • 委任された GuardDuty 管理者アカウントがオプトインリージョンをオプトアウトすると、組織 GuardDuty で自動有効化設定が新しいメンバーアカウントのみ (NEW) またはすべてのメンバーアカウント () に設定されている場合でもALL、 GuardDuty現在 GuardDuty 無効になっている組織内のメンバーアカウントに対して有効にすることはできません。メンバーアカウントの設定については、GuardDuty コンソールのナビゲーションペインでアカウントを開くか、 ListMembers を使用しますAPI。

  • GuardDuty 自動有効化設定を に設定する場合はNEW、次のシーケンスが満たされていることを確認してください。

    1. メンバーアカウントはオプトインリージョンにオプトインします。

    2. のメンバーアカウントを の組織に追加します AWS Organizations。

    これらのステップの順序を変更すると、メンバーアカウントNEWが組織に新しくなくなるため、 で GuardDuty の自動有効化設定は特定のオプトインリージョンでは機能しません。 GuardDuty には、次の 2 つの代替ソリューションがあります。

    • 新規および既存のメンバーアカウントALLを含む GuardDuty 自動有効化設定を に設定します。この場合、これらのステップの順序は関係ありません。

    • メンバーアカウントが既に組織の一部である場合は、 GuardDuty コンソールまたは を使用して、特定のオプトインリージョンでこのアカウントの設定を個別に管理 GuardDuty しますAPI。

AWS 組織がすべての で同じ委任 GuardDuty 管理者アカウントを持つために必要です AWS リージョン。

AWS リージョン GuardDuty が有効になっているすべての で、委任 GuardDuty 管理者アカウントとして 1 つのメンバーアカウントを指定する必要があります。例えば、メンバーアカウントを指定する場合 111122223333 in Europe (Ireland)、別のメンバーアカウントは使用できません 555555555555 in Canada (Central)。 他のすべてのリージョンで、委任 GuardDuty 管理者アカウントと同じアカウントを使用する必要があります。

新しい委任 GuardDuty 管理者アカウントはいつでも指定できます。既存の委任 GuardDuty 管理者アカウントの削除の詳細については、「」を参照してください委任 GuardDuty 管理者アカウントの変更

組織の管理アカウントを委任 GuardDuty 管理者アカウントとして設定することはお勧めしません。

組織の管理アカウントは、委任 GuardDuty 管理者アカウントとすることができます。ただし、 AWS  のセキュリティのベストプラクティスは最小特権の原則に従っており、この設定は推奨されていません。

委任された GuardDuty 管理者アカウントを変更しても、メンバーアカウントの GuardDuty は無効になりません。

委任された GuardDuty 管理者アカウントを削除すると、 はこの委任された GuardDuty 管理者アカウントに関連付けられているすべてのメンバーアカウント GuardDuty を削除します。 GuardDuty 保持は、これらのすべてのメンバーアカウントに対して有効のままです。