Cookie の設定を選択する

当社は、当社のサイトおよびサービスを提供するために必要な必須 Cookie および類似のツールを使用しています。当社は、パフォーマンス Cookie を使用して匿名の統計情報を収集することで、お客様が当社のサイトをどのように利用しているかを把握し、改善に役立てています。必須 Cookie は無効化できませんが、[カスタマイズ] または [拒否] をクリックしてパフォーマンス Cookie を拒否することはできます。

お客様が同意した場合、AWS および承認された第三者は、Cookie を使用して便利なサイト機能を提供したり、お客様の選択を記憶したり、関連する広告を含む関連コンテンツを表示したりします。すべての必須ではない Cookie を受け入れるか拒否するには、[受け入れる] または [拒否] をクリックしてください。より詳細な選択を行うには、[カスタマイズ] をクリックしてください。

設定
お問い合わせ
フィードバック
AWS Documentation
今すぐ無料サインアップ »

を使用した GuardDuty アカウントの管理 AWS Organizations

PDF
RSS
フォーカスモード
を使用した GuardDuty アカウントの管理 AWS Organizations - Amazon GuardDuty
考慮事項とレコメンデーション

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS 組織では、管理アカウントは、この組織内の任意のアカウントを委任 GuardDuty 管理者アカウントとして指定できます。この管理者アカウントでは、GuardDuty は現在の でのみ自動的に有効になります AWS リージョン。デフォルトでは、管理者アカウントは、そのリージョン内の組織のすべてのメンバーアカウントに対して GuardDuty を有効化および管理できます。管理者アカウントは、この AWS 組織を表示してメンバーを追加できます。

以下のセクションでは、委任 GuardDuty 管理者アカウントとして実行できるさまざまなタスクについて説明します。

内容

で GuardDuty を使用する際の考慮事項と推奨事項 AWS Organizations

以下の考慮事項と推奨事項は、委任 GuardDuty 管理者アカウントが GuardDuty でどのように機能するかを理解するのに役立ちます。

委任 GuardDuty 管理者アカウントは、最大 50,000 のメンバーを管理することができます。

委任 GuardDuty 管理者アカウント 1 つあたりのメンバーアカウント数は 50,000 件までとされています。これには、 を通じて追加されたメンバーアカウント AWS Organizations 、または GuardDuty 管理者アカウントの組織への招待を受け入れたメンバーアカウントが含まれます。ただし、 AWS 組織内に 50,000 を超えるアカウントが存在する可能性があります。

メンバーアカウントの上限である 50,000 を超えると、CloudWatch から通知が送信され AWS Health Dashboard、指定された委任 GuardDuty 管理者アカウントに E メールが送信されます。

委任 GuardDuty 管理者アカウントはリージョン別です。

GuardDuty とは異なり AWS Organizations、GuardDuty はリージョンレベルのサービスです。 GuardDuty 委任 GuardDuty 管理者アカウントとそのメンバーアカウントは、GuardDuty が有効になっている各希望するリージョン AWS Organizations で、 を介して追加する必要があります。組織の管理アカウントが米国東部 (バージニア北部) のみで委任 GuardDuty 管理者アカウントを指定している場合、委任 GuardDuty 管理者アカウントは、そのリージョンの組織に追加されたメンバーアカウントのみを管理します。GuardDuty が利用可能なリージョンの同等の機能の詳細については、「リージョンとエンドポイント」を参照してください。

オプトインリージョンの特殊なケース

  • 委任 GuardDuty 管理者アカウントがオプトインリージョンをオプトアウトした場合、組織の GuardDuty の自動有効化設定が新しいメンバーアカウントのみ (NEW) またはすべてのメンバーアカウント (ALL) に設定されている場合でも、現在 GuardDuty が無効になっている組織内のメンバーアカウントの GuardDuty を有効にすることはできません。メンバーアカウントの設定に関する情報を確認するには、GuardDuty コンソールのナビゲーションペインの [アカウント] を開くか、ListMembers API を使用します。

  • GuardDuty の自動有効化設定を NEW に設定して使用するときは、次の順序が守られていることを確認してください。

    1. メンバーアカウントがオプトインリージョンにオプトインします。

    2. AWS Organizationsで組織にメンバーアカウントを追加します。

    これらのステップの順序を変更すると、メンバーアカウントが組織にとって新規ではなくなるため、NEW の GuardDuty の自動有効化設定は特定のオプトインリージョンで機能しません。GuardDuty では 2 つの代替ソリューションがあります。

    • GuardDuty の自動有効化設定を ALL に設定します。これには、新規と既存のメンバーアカウントが含まれます。この場合、これらのステップの順序は関係ありません。

    • メンバーアカウントが既に組織の一部である場合は、GuardDuty コンソールまたは API を使用して、特定のオプトインリージョンでこのアカウントの GuardDuty の設定を個別に管理します。

AWS 組織がすべての で同じ委任 GuardDuty 管理者アカウントを持つために必要です AWS リージョン。

GuardDuty が有効になっているすべての AWS リージョン で 1 つのメンバーアカウントを委任 GuardDuty 管理者アカウントとして指定する必要があります。例えば、欧州 (アイルランド) でメンバーアカウント 111122223333 を指定する場合、カナダ (中部) で別のメンバーアカウント 555555555555 を指定することはできません。他のすべてのリージョンで委任 GuardDuty 管理者アカウントと同じアカウントを使用する必要があります。

任意の時点で新しい委任 GuardDuty 管理者アカウントを指定できます。既存の委任 GuardDuty 管理者アカウントの削除の詳細については、「委任 GuardDuty 管理者アカウントの変更」を参照してください。

組織の管理アカウントを委任 GuardDuty 管理者アカウントとして設定することは推奨されません。

組織の管理アカウントは、委任 GuardDuty 管理者アカウントになることができます。ただし、 AWS  のセキュリティのベストプラクティスは最小特権の原則に従っており、この設定は推奨されていません。

委任 GuardDuty 管理者アカウントを変更しても、メンバーアカウントの GuardDuty は無効になりません。

委任 GuardDuty 管理者アカウントを削除すると、GuardDuty はこの委任 GuardDuty 管理者アカウントに関連付けられているすべてのメンバーアカウントを削除します。GuardDuty は、これらすべてのメンバーアカウントのために引き続き有効になっています。

このページの内容

プライバシーサイト規約Cookie の設定
© 2025, Amazon Web Services, Inc. or its affiliates.All rights reserved.