GuardDuty 管理者アカウントとメンバーアカウントの関係について理解する
複数アカウント環境で GuardDuty を使用すると、管理者アカウントはメンバーアカウントに代わって GuardDuty の特定の側面を管理できます。管理者アカウントは次の主な機能を実行できます。
-
関連付けられたメンバーアカウントを追加および削除する – 管理者アカウントがこれを行うプロセスは、アカウントの管理方法 (AWS Organizations を介する方法または GuardDuty の招待の方法) によって異なります。
GuardDuty は、AWS Organizations を介してメンバーアカウントを管理することをお勧めします。
-
管理アカウントで GuardDuty を有効にする委任 GuardDuty 管理者アカウント – AWS Organizations 管理アカウントが GuardDuty を無効にした場合、委任 GuardDuty 管理者アカウントが管理アカウントで GuardDuty を有効にすることができます。ただし、管理アカウントが GuardDuty のためのサービスにリンクされたロールの許可を明示的に削除していない必要があります。
-
メンバーアカウントのステータスを設定する – 管理者アカウントは、GuardDuty 保護プランのステータスを有効または無効にでき、関連付けられたメンバーアカウントに代わって GuardDuty のステータスを有効、停止、または無効にできます。
AWS Organizations で管理される委任 GuardDuty 管理者アカウントは、AWS アカウントがメンバーとして追加されたときに、GuardDuty を自動的に有効にすることができます。
-
検出結果を生成するタイミングをカスタマイズする – 管理者アカウントは、抑制ルール、信頼されている IP リスト、脅威リストを作成および管理することで、GuardDuty ネットワーク内の検出結果をカスタマイズできます。マルチアカウント環境では、これらの機能の設定がサポートされるのは、委任 GuardDuty 管理者アカウントのみです。メンバーアカウントはこの設定を更新できません。
次の表では、GuardDuty の管理者アカウントとメンバーアカウントの関係を示しています。
表の説明
-
自分 - アカウントは、自分のアカウントに対してのみ、リストされたアクションを実行できます。
-
任意 – アカウントは、関連付けられた任意のアカウントに対して、リストされたアクションを実行できます。
-
すべて – アカウントは、リストされたアクションを実行でき、そのアクションは関連付けられたすべてのアカウントに適用されます。通常、このアクションを実行するアカウントは、指定 GuardDuty 管理者アカウントです。
-
ダッシュ (–) のセル – ダッシュ (-) の付いた表のセルは、アカウントがリストされたアクションを実行できないことを示します。
| アクション | を通じてAWS Organizations | 招待により | ||
|---|---|---|---|---|
| 委任 GuardDuty 管理者アカウント | 関連付けられたメンバーアカウント | GuardDuty 管理者アカウント | 関連付けられたメンバーアカウント | |
| Enable GuardDuty | Any | – | Self | Self |
Enable GuardDuty automatically for the entire organization
(すべて, 新規, なし) |
All | – | – | – |
| View all Organizations member accounts regardless of GuardDuty status | Any | – | – | – |
| Generate sample findings | Self | Self | Self | Self |
| View all GuardDuty findings | Any | Self | Any | Self |
| Archive GuardDuty findings | Any | – | Any | – |
| Apply suppression rules | All | – | All | – |
| Create trusted IP list or threat lists | All | – | All | – |
| Update trusted IP list or threat lists | All | – | All | – |
| Delete trusted IP list or threat lists | All | – | All | – |
| Set EventBridge notification frequency | All | – | All | – |
| Set Amazon S3 location for exporting findings | All | Self | Self | Self |
|
組織全体でオプションの 1 つ以上の保護プランを有効にする ( これには Malware Protection for S3 は含まれません。 |
All | – | – | – |
個々のアカウントの任意の GuardDuty 保護プランを有効にする これには、Malware Protection for EC2 と Malware Protection for S3 は含まれません。 |
Any | – | Any | – |
|
Malware Protection for EC2 |
Any | – | Self | – |
|
Malware Protection for EC2 – オンデマンドマルウェアスキャン |
Any | Self | Self | Self |
|
S3 向けのマルウェア防御 |
– | Self | – | Self |
| Disassociate a member account | Any+ | – | Any | – |
| Disassociate from an administrator account | – | – | – | Self |
| Delete a disassociated member account | Any | – | Any | – |
| Suspend GuardDuty | Any* | – | Any* | – |
| Disable GuardDuty | Any* | – | Any* | Self |
+ 委任 GuardDuty 管理者アカウントが、ALL 組織メンバーに対して自動有効化の詳細設定を設定していない場合にのみ、このアクションを実行できることを示します。
*委任 GuardDuty 管理者アカウントがメンバーアカウントで GuardDuty を直接無効にできないことを示します。委任 GuardDuty 管理者アカウントは、まずメンバーアカウントの関連付けを解除してから、削除する必要があります。この後、各メンバーアカウントは、自分のアカウントで GuardDuty を無効にすることができます。組織でこれらのタスクを実行する方法の詳細については、「GuardDuty 内でのメンバーアカウントの継続的管理」を参照してください。
