マルチアカウント環境で S3 Protection を有効にする - Amazon GuardDuty

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

マルチアカウント環境で S3 Protection を有効にする

マルチアカウント環境では、委任された GuardDuty 管理者アカウントのみが、 AWS 組織内のメンバーアカウントの S3 Protection を設定 (有効または無効に) するオプションがあります。 GuardDuty メンバーアカウントは、アカウントからこの設定を変更することはできません。委任 GuardDuty 管理者アカウントは、 を使用してメンバーアカウントを管理します AWS Organizations。委任された GuardDuty 管理者アカウントは、すべてのアカウントで S3 Protection を自動的に有効にするか、新しいアカウントのみで有効にするか、組織内のアカウントなしでするかを選択できます。詳細については、「 AWS Organizationsを使用したアカウントの管理」を参照してください。

任意のアクセス方法を選択して、委任された GuardDuty 管理者アカウントの S3 Protection を有効にします。

Console

  1. で GuardDuty コンソールを開きますhttps://console.aws.amazon.com/guardduty/

    必ず管理アカウントの認証情報を使用してください。

  2. ナビゲーションペインで、[S3 Protection] を選択します。

  3. [S3 Protection] ページで、[編集] を選択します。

  4. 次のいずれかを行います。

    [すべてのアカウントについて有効にする] の使用

    • [すべてのアカウントについて有効にする] を選択します。これにより、 AWS 組織に参加する新しい GuardDuty アカウントを含め、組織内のすべてのアクティブなアカウントに対して保護プランが有効になります。

    • [Save] を選択します。

    [アカウントを手動で設定] の使用

    • 委任 GuardDuty 管理者アカウントに対してのみ保護プランを有効にするには、アカウントを手動で設定 を選択します。

    • 委任された GuardDuty 管理者アカウント (このアカウント) セクションで有効化を選択します。

    • [Save] を選択します。

API/CLI

を実行するupdateDetector 現在のリージョンの委任 GuardDuty 管理者アカウントのディテクター ID を使用して、 features オブジェクトを name としてS3_DATA_EVENTS、および statusとして渡しますENABLED

または、 を使用して S3 Protection を設定することもできます AWS Command Line Interface。次のコマンドを実行し、必ず を置き換えます。12abc34d567e8fa901bc2d34e56789f0 現在のリージョンの委任 GuardDuty 管理者アカウントのディテクター ID を使用します。

アカウントと現在のリージョンdetectorIdの を検索するには、https://console.aws.amazon.com/guardduty/コンソールの設定ページを参照するか、 ListDetectors API.

aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name": "S3_DATA_EVENTS", "Status": "ENABLED"}]'

任意のアクセス方法を選択して、委任された GuardDuty 管理者アカウントの S3 Protection を有効にします。

Console

  1. で GuardDuty コンソールを開きますhttps://console.aws.amazon.com/guardduty/

    管理者アカウントを使用してサインインします。

  2. 次のいずれかを行います。

    [S3 Protection] ページの使用

    1. ナビゲーションペインで、[S3 Protection] を選択します。

    2. [すべてのアカウントについて有効にする] を選択します。このアクションにより、組織内の既存のアカウントと新しいアカウントの両方について S3 Protection が自動的に有効になります。

    3. [Save] を選択します。

      注記

      メンバーアカウントの設定を更新するには、最大 24 時間かかる場合があります。

    [アカウント] ページの使用

    1. ナビゲーションペインで、[Accounts] (アカウント) を選択します。

    2. [アカウント] ページで、[招待によるアカウントの追加] の前に [自動有効化] の詳細設定を選択します。

    3. [自動有効化の詳細設定を管理] ウィンドウで、[S3 Protection] の下の [すべてのアカウントについて有効にする] を選択します。

    4. [Save] を選択します。

    [すべてのアカウントについて有効にする] オプションを使用できない場合は、「メンバーアカウントで S3 Protection を選択的に有効にする」を参照してください。

API/CLI

  • メンバーアカウントの S3 Protection を選択的に有効にするには、 updateMemberDetectors API 独自の を使用した オペレーション detector ID.

  • 次の例では、単一のメンバーアカウントで S3 Protection を有効にする方法を示しています。必ず を置き換えてください 12abc34d567e8fa901bc2d34e56789f0 detector-id 委任された GuardDuty 管理者アカウントの と 111122223333.

    アカウントと現在のリージョンdetectorIdの を検索するには、https://console.aws.amazon.com/guardduty/コンソールの設定ページを参照するか、 ListDetectors API.

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"name": "S3_DATA_EVENTS", "status": "ENABLED"}]'
    注記

    スペースでIDs区切られたアカウントのリストを渡すこともできます。

  • コードが正常に実行されると、UnprocessedAccounts の空のリストが返されます。アカウントのディテクター設定を変更する際に問題が発生した場合は、そのアカウント ID と問題の概要が表示されます。

任意のアクセス方法を選択して、組織内のすべての既存のアクティブなメンバーアカウントのために S3 Protection を有効にします。

Console

  1. にサインイン AWS Management Console し、 で GuardDuty コンソールを開きますhttps://console.aws.amazon.com/guardduty/

    委任された GuardDuty 管理者アカウントの認証情報を使用してサインインします。

  2. ナビゲーションペインで、[S3 Protection] を選択します。

  3. [S3 Protection] ページでは、設定の現在のステータスを表示できます。[アクティブなメンバーアカウント] セクションで、[アクション] を選択します。

  4. [アクション] ドロップダウンメニューから、[すべての既存のアクティブなメンバーアカウントについて有効にする] を選択します。

  5. [確認] を選択します。

API/CLI

  • メンバーアカウントの S3 Protection を選択的に有効にするには、 updateMemberDetectors API 独自の を使用した オペレーション detector ID.

  • 次の例では、単一のメンバーアカウントで S3 Protection を有効にする方法を示しています。必ず を置き換えてください 12abc34d567e8fa901bc2d34e56789f0 detector-id 委任された GuardDuty 管理者アカウントの と 111122223333.

    アカウントと現在のリージョンdetectorIdの を検索するには、https://console.aws.amazon.com/guardduty/コンソールの設定ページを参照するか、 ListDetectors API.

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"name": "S3_DATA_EVENTS", "status": "ENABLED"}]'
    注記

    スペースでIDs区切られたアカウントのリストを渡すこともできます。

  • コードが正常に実行されると、UnprocessedAccounts の空のリストが返されます。アカウントのディテクター設定を変更する際に問題が発生した場合は、そのアカウント ID と問題の概要が表示されます。

任意のアクセス方法を選択して、組織に参加する新しいアカウントのために S3 Protection を有効にします。

Console

委任された GuardDuty 管理者アカウントは、S3 Protection ページまたは Accounts ページを使用して、 コンソールを通じて組織内の新しいメンバーアカウントに対して を有効にできます。

新しいメンバーアカウントの S3 Protection を自動で有効にするには

  1. で GuardDuty コンソールを開きますhttps://console.aws.amazon.com/guardduty/

    委任された GuardDuty 管理者アカウントの認証情報を使用してください。

  2. 次のいずれかを行います。

    • [S3 Protection] ページの使用:

      1. ナビゲーションペインで、[S3 Protection] を選択します。

      2. [S3 Protection] ページで、[編集] を選択します。

      3. [アカウントを手動で設定] を選択します。

      4. [新しいメンバーアカウントについて自動的に有効にする] を選択します。このステップにより、新しいアカウントが組織に参加するたびに、そのアカウントのために S3 Protection が自動的に有効になります。組織委任 GuardDuty 管理者アカウントのみがこの設定を変更できます。

      5. [Save] を選択します。

    • [Accounts] (アカウント) ページを使用する場合:

      1. ナビゲーションペインで、[Accounts] (アカウント) を選択します。

      2. [アカウント] ページで、[自動有効化] 設定を選択します。

      3. [自動有効化の詳細設定を管理] ウィンドウで、[S3 Protection] の下の [新しいアカウントについて有効にする] を選択します。

      4. [Save] を選択します。

API/CLI

  • メンバーアカウントの S3 Protection を選択的に有効にするには、 UpdateOrganizationConfiguration API 独自の を使用した オペレーション detector ID.

  • 次の例では、単一のメンバーアカウントで S3 Protection を有効にする方法を示しています。組織に参加する新しいアカウント (NEW) もしくはすべてのアカウント (ALL) のために、そのリージョンで保護プランを自動的に有効または無効にするか、または組織内のどのアカウントのためにも自動的に有効または無効にしない (NONE) 詳細設定を行います。詳細については、autoEnableOrganization「 メンバー」を参照してください。必要に応じて、NEW を ALL または NONE に置き換える必要がある場合があります。

    アカウントと現在のリージョンdetectorIdの を検索するには、https://console.aws.amazon.com/guardduty/コンソールの設定ページを参照するか、 ListDetectors API.

    aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --auto-enable --features '[{"Name": "S3_DATA_EVENTS", "autoEnable": "NEW"}]'

  • コードが正常に実行されると、UnprocessedAccounts の空のリストが返されます。アカウントのディテクター設定を変更する際に問題が発生した場合は、そのアカウント ID と問題の概要が表示されます。

メンバーアカウントの S3 Protection を選択的に有効にするには、任意のアクセス方法を選択します。

Console

  1. で GuardDuty コンソールを開きますhttps://console.aws.amazon.com/guardduty/

    委任された GuardDuty 管理者アカウントの認証情報を使用してください。

  2. ナビゲーションペインで、[Accounts] (アカウント) を選択します。

    [アカウント] ページで、[S3 Protection] 列でメンバーアカウントのステータスを確認します。

  3. S3 Protection を選択的に有効にするには

    S3 Protection を有効にするアカウントを選択します。一度に複数のアカウントを選択できます。[保護プランの編集] ドロップダウンメニューで、[S3Pro] を選択し、適切なオプションを選択します。

API/CLI

メンバーアカウントの S3 Protection を選択的に有効にするには、 を実行します。 updateMemberDetectors API 独自のディテクター ID を使用した オペレーション。次の例では、単一のメンバーアカウントで S3 Protection を有効にする方法を示しています。無効にするには、truefalse に置き換えます。

アカウントと現在のリージョンdetectorIdの を検索するには、https://console.aws.amazon.com/guardduty/コンソールの設定ページを参照するか、 ListDetectors API.

 aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 123456789012 --features '[{"Name" : "S3_DATA_EVENTS", "Status" : "ENABLED"}]'
注記

スペースでIDs区切られたアカウントのリストを渡すこともできます。

コードが正常に実行されると、UnprocessedAccounts の空のリストが返されます。アカウントのディテクター設定を変更する際に問題が発生した場合は、そのアカウント ID と問題の概要が表示されます。

注記

スクリプトを使用して新しいアカウントをオンボードし、新しいアカウントで S3 Protection を無効にする場合は、 createDetector API このトピックで説明されているように、 オプションdataSourcesオブジェクトで オペレーションを実行します。