翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Detective のセキュリティのベストプラクティス
<a name="security-best-practices"></a>

Detective には、独自のセキュリティポリシーを開発および実装する際に考慮する必要のあるいくつかのセキュリティ機能が用意されています。以下のベストプラクティスは一般的なガイドラインであり、完全なセキュリティソリューションを説明するものではありません。これらのベストプラクティスはお客様の環境に適切ではないか、十分ではない場合があるため、これらは指示ではなく、有用な考慮事項と見なしてください。

Detective については、セキュリティのベストプラクティスは、動作グラフにおけるアカウントの管理に関連しています。

## Detective 管理者アカウントのベストプラクティス
<a name="security-best-practices-admin-accounts"></a>

Detective 動作グラフにメンバーアカウントを招待する場合は、自分が監督するアカウントのみを招待します。

動作グラフへのアクセスを制限します。[AmazonDetectiveFullAccess](https://docs.aws.amazon.com//detective/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-amazondetectivefullaccess) ポリシーを持つユーザーは、すべての Detective アクションへのアクセスを許可できます。これらの許可が付与されているプリンシパルは、メンバーアカウントを管理し、動作グラフにタグを追加し、調査に Detective を使用できます。ユーザーが動作グラフにアクセスできる場合、これらのユーザーはメンバーアカウントのすべての検出結果を表示できます。このような検出結果には、機密性の高いセキュリティ情報が含まれている場合があります。

## メンバーアカウントのベストプラクティス
<a name="security-best-practices-member-accounts"></a>

動作グラフへの招待を受け取ったら、招待元を検証してください。

招待を送信した管理者 AWS アカウントのアカウント識別子を確認します。アカウントの所属先が判明していること、および招待元のアカウントがセキュリティデータをモニタリングする正当な理由を有していることを検証します。