View a markdown version of this page

Detective 管理者の指定 - Amazon Detective

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Detective 管理者の指定

組織管理アカウントは、Detective コンソールを使用して、Detective 管理者アカウントを指定することができます。

Detective 管理者アカウントを管理するために Detective を有効にする必要はありません。Detective 管理者アカウントは、[Detective を有効にする] ページで管理できます。

Enable Detective page (Console)

Detective の有効化ページから Detective 管理者を指定するには、次の手順に従います。

  1. https://console.aws.amazon.com/detective/ で Amazon Detective コンソールを開きます。

  2. [開始する] を選択します。

  3. [管理者アカウントに必要なアクセス許可] パネルで、選択したアカウントに必要なアクセス許可を付与します。これにより、そのアカウントは Detective 管理者になり、Detective のすべてのアクションにフルアクセスできます。管理者として操作を行うには、AmazonDetectiveFullAccess ポリシーをプリンシパルにアタッチすることを推奨します。

  4. [IAM からポリシーをアタッチする] を選択すると、推奨するポリシーが IAM コンソールに直接表示されます。

  5. IAM コンソールにアクセス許可があるかどうかに応じて、次の手順を実行します。

    • IAM コンソールで操作するアクセス許可がある場合は、Detective に使用するプリンシパルに推奨ポリシーをアタッチします。

    • IAM コンソールを操作するアクセス許可がない場合は、ポリシーの Amazon リソースネーム (ARN) をコピーして IAM 管理者に提供してください。これにより、IAM 管理者がお客様に代わってポリシーをアタッチできます。

  6. [Detective 管理者] で Detective 管理者アカウントを選択します。

    選択できるオプションは、Organizations での Detective の委任された管理者アカウントを持っているかどうかによって異なります。

    • Organizations での Detective の委任された管理者アカウントを持っていない場合は、アカウントのアカウント識別子を入力して Detective 管理者アカウントとして指定します。

      手動の招待プロセスによる管理者アカウントと動作グラフが残っている可能性もあります。その場合は、そのアカウントを Detective 管理者アカウントとして指定することをお勧めします。

      Organizations for Amazon GuardDuty AWS Security Hub CSPM、または Amazon Macie に委任管理者アカウントがある場合、Detective はそれらのアカウントの 1 つを選択するように求めます。また、これらとは別のアカウントを入力することもできます。

    • Organizations での委任された管理者アカウントを持っている場合は、そのアカウントか、自分のアカウントのいずれかを選択するように求められます。この委任された管理者アカウントをすべてのリージョンで選択することが推奨されます。

  7. [委任] を選択します。

Detective を有効にしている場合、または既存の動作グラフのメンバーアカウントである場合は、[全般] ページで Detective 管理者アカウントを指定できます。

General page (Console)

全般ページから Detective 管理者を指定するには、次の手順に従います。

  1. https://console.aws.amazon.com/detective/ で Amazon Detective コンソールを開きます。

  2. Detective のナビゲーションペインで、[設定][全般] を選択します。

  3. [マネージドポリシー] パネルでは、Detective がサポートするすべてのマネージドポリシーの詳細を確認できます。Detective でユーザーに実行させたいアクションに応じて、必要なアクセス許可をアカウントに付与できます。管理者として操作を行うには、AmazonDetectiveFullAccess ポリシーをプリンシパルにアタッチすることを推奨します。

  4. IAM コンソールにアクセス許可があるかどうかに応じて、次の手順を実行します。

    • IAM コンソールで操作するアクセス許可がある場合は、Detective に使用するプリンシパルに推奨ポリシーをアタッチします。

    • IAM コンソールを操作するアクセス許可がない場合は、ポリシーの Amazon リソースネーム (ARN) をコピーして IAM 管理者に提供してください。これにより、IAM 管理者がお客様に代わってポリシーをアタッチできます。

    選択できるオプションは、Organizations での Detective の委任された管理者アカウントを持っているかどうかによって異なります。

    • Organizations での Detective の委任された管理者アカウントを持っていない場合は、アカウントのアカウント識別子を入力して Detective 管理者アカウントとして指定します。

      手動の招待プロセスによる管理者アカウントと動作グラフが残っている可能性もあります。その場合は、そのアカウントを Detective 管理者アカウントとして指定することをお勧めします。

      Organizations for Amazon GuardDuty AWS Security Hub CSPM、または Amazon Macie に委任管理者アカウントがある場合、Detective はそれらのアカウントの 1 つを選択するように求めます。また、これらとは別のアカウントを入力することもできます。

    • Organizations での委任された管理者アカウントを持っている場合は、そのアカウントか、自分のアカウントのいずれかを選択するように求められます。この委任された管理者アカウントをすべてのリージョンで選択することが推奨されます。

  5. [委任] を選択します。

Detective API, AWS CLI

Detective 管理者アカウントを指定するには、API コールまたは AWS Command Line Interfaceを使用します。組織管理アカウントの認証情報を使用する必要があります。

組織での Detective の委任された管理者アカウントを既に持っている場合は、そのアカウントまたは自分のアカウントのどちらかを選択する必要があります。委任された管理者アカウントを選択することをお勧めします。

Detective 管理者アカウントを指定するには (Detective API、 AWS CLI)

  • Detective API: EnableOrganizationAdminAccount オペレーションを使用します。Detective 管理者アカウントの AWS アカウント識別子を指定する必要があります。アカウント識別子を取得するには、ListOrganizationAdminAccounts オペレーションを使用します。

  • AWS CLI: コマンドラインで enable-organization-admin-account コマンドを実行します。

    aws detective enable-organization-admin-account --account-id <admin account ID>

    aws detective enable-organization-admin-account --account-id 777788889999