View a markdown version of this page

マルチアカウント環境での Lambda Protection の有効化 - Amazon GuardDuty

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

マルチアカウント環境での Lambda Protection の有効化

マルチアカウント環境で組織内のメンバーアカウントの Lambda Protection を有効または無効にできるのは、委任 GuardDuty 管理者アカウントのみです。GuardDuty メンバーアカウントからは、この設定を変更できません。委任 GuardDuty 管理者アカウントは、 を使用してメンバーアカウントを管理します AWS Organizations。委任 GuardDuty 管理者アカウントでは、組織に加わるすべての新規アカウントに対して、Lambda Network Activity Monitoring の自動有効化を選択できます。マルチアカウント環境の詳細については、「Amazon GuardDuty での複数のアカウントの管理」を参照してください。

任意のアクセス方法を選択して、委任 GuardDuty 管理者アカウントに対して Lambda Network Activity Monitoring を有効または無効にします。

Console

  1. https://console.aws.amazon.com/guardduty/ で GuardDuty コンソールを開きます。

  2. ナビゲーションペインの [設定] で、[Lambda Protection] を選択します。

  3. [Lambda Protection] ページで、[編集] を選択します。

  4. 次のいずれかを行います。

    [すべてのアカウントについて有効にする] の使用

    • [すべてのアカウントについて有効にする] を選択します。これにより、 AWS 組織に参加する新しいアカウントを含め、組織内のすべてのアクティブな GuardDuty アカウントの保護プランが有効になります。

    • [保存] を選択します。

    [アカウントを手動で設定] の使用

    • 委任 GuardDuty 管理者アカウントでのみ保護プランを有効にするには、[アカウントを手動で設定] を選択します。

    • [委任 GuardDuty 管理者 (このアカウント)] セクションで [有効にする] を選択します。

    • [保存] を選択します。

API/CLI

ユーザー独自のリージョンレベルのディテクター ID を使用し、features オブジェクト nameLAMBDA_NETWORK_LOGS として、statusENABLED として渡して、updateDetector API オペレーションを実行します。

または、 AWS CLI を使用して Lambda Protection を有効にすることもできます。次のコマンドを実行し、12abc34d567e8fa901bc2d34e56789f0 をアカウントのディテクター ID に、us-east-1 を Lambda Protection を有効にするリージョンにそれぞれ置き換えます。

アカウントと現在のリージョンの detectorId を検索するには、https://console.aws.amazon.com/guardduty/ コンソールの [設定] ページを参照するか、ListDetectors API を実行します。

aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --region us-east-1 --features '[{"Name": "LAMBDA_NETWORK_LOGS", "Status": "ENABLED"}]'

任意のアクセス方法を選択して、すべてのメンバーアカウントのために Lambda ネットワークアクティビティモニタリング機能を有効にします。これには、既存のメンバーアカウントと、組織に参加する新しいアカウントが含まれます。

Console

  1. にサインイン AWS マネジメントコンソール し、https://console.aws.amazon.com/guardduty/ で GuardDuty コンソールを開きます。

    必ず委任 GuardDuty 管理者アカウントの認証情報を使用してください。

  2. 次のいずれかを行います。

    Protection Plans ページの使用

    1. ナビゲーションペインで、保護プランを選択します。

    2. すべての有効化の設定 を選択します。

    3. Lambda Protection で、すべてのアカウントの有効化を選択します。このアクションにより、組織内の既存のアカウントと新しいアカウントの両方について Lambda ネットワークアクティビティモニタリングが自動的に有効になります。

    4. すべて保存を選択し、確認して保存を選択します。

      注記

      メンバーアカウントの設定を更新するには、最大 24 時間かかる場合があります。

    [アカウント] ページの使用

    1. ナビゲーションペインで、[Accounts] (アカウント) を選択します。

    2. [アカウント] ページで、[招待によるアカウントの追加] の前に [自動有効化] の詳細設定を選択します。

    3. [自動有効化の詳細設定を管理] ウィンドウで、[Lambda ネットワークアクティビティモニタリング] の下の [すべてのアカウントについて有効にする] を選択します。

      注記

      デフォルトでは、この操作により [新規メンバーアカウントの GuardDuty を自動有効化] オプションが自動的に有効になります。

    4. [保存] を選択します。

    [すべてのアカウントについて有効にする] オプションを使用できない場合は、「メンバーアカウントで Lambda Network Activity Monitoring を選択的に有効または無効にする」を参照してください。

API/CLI

メンバーアカウントの Lambda Network Activity Monitoring を選択的に有効または無効にするには、独自のディテクター ID を使用して updateMemberDetectors API オペレーションを呼び出します。

または、 AWS CLI を使用して Lambda Protection を有効にすることもできます。次のコマンドを実行し、12abc34d567e8fa901bc2d34e56789f0 をアカウントのディテクター ID に、us-east-1 を Lambda Protection を有効にするリージョンにそれぞれ置き換えます。

アカウントと現在のリージョンの detectorId を検索するには、https://console.aws.amazon.com/guardduty/ コンソールの [設定] ページを参照するか、ListDetectors API を実行します。

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --region us-east-1--features '[{"Name": "LAMBDA_NETWORK_LOGS", "Status": "ENABLED"}]'

スペースで区切られたアカウント ID のリストを渡すこともできます。

コードが正常に実行されると、UnprocessedAccounts の空のリストが返されます。アカウントのディテクター設定を変更する際に問題が発生した場合は、そのアカウント ID と問題の概要が表示されます。

任意のアクセス方法を選択して、組織内のすべての既存のアクティブなメンバーアカウントの Lambda Network Activity Monitoring を有効にします。

Console
すべての既存のアクティブなメンバーアカウントのために Lambda ネットワークアクティビティモニタリングを設定するには

  1. にサインイン AWS マネジメントコンソール し、https://console.aws.amazon.com/guardduty/ で GuardDuty コンソールを開きます。

    委任 GuardDuty 管理者アカウントの認証情報を使用してサインインします。

  2. ナビゲーションペインで、保護プランを選択します。

  3. すべての有効化の設定 を選択します。Lambda Protection では、設定の現在のステータスを表示できます。[アクティブなメンバーアカウント] セクションで、[アクション] を選択します。

  4. [アクション] ドロップダウンメニューから、[すべての既存のアクティブなメンバーアカウントについて有効にする] を選択します。

  5. [確認] を選択します。

API/CLI

メンバーアカウントの Lambda Network Activity Monitoring を選択的に有効または無効にするには、独自のディテクター ID を使用して updateMemberDetectors API オペレーションを呼び出します。

または、 AWS CLI を使用して Lambda Protection を有効にすることもできます。次のコマンドを実行し、12abc34d567e8fa901bc2d34e56789f0 をアカウントのディテクター ID に、us-east-1 を Lambda Protection を有効にするリージョンにそれぞれ置き換えます。

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --region us-east-1 --account-ids 111122223333 --features '[{"Name": "LAMBDA_NETWORK_LOGS", "Status": "ENABLED"}]'

スペースで区切られたアカウント ID のリストを渡すこともできます。

コードが正常に実行されると、UnprocessedAccounts の空のリストが返されます。アカウントのディテクター設定を変更する際に問題が発生した場合は、そのアカウント ID と問題の概要が表示されます。

任意のアクセス方法を選択して、組織に参加する新しいアカウントの Lambda Network Activity Monitoring を有効にします。

Console

委任 GuardDuty 管理者アカウントは、[Lambda Protection] または [アカウント] ページのいずれかを使用して、組織内の新しいメンバーアカウントに対して Lambda Network Activity Monitoring を有効にすることができます。

Lambda Network Activity Monitoring を新しいメンバーアカウントで Lambda Network Activity Monitoring を自動で有効にするには

  1. https://console.aws.amazon.com/guardduty/ で GuardDuty コンソールを開きます。

    必ず委任 GuardDuty 管理者アカウントの認証情報を使用してください。

  2. 次のいずれかを行います。

    • Protection Plans ページの使用:

      1. ナビゲーションペインで、保護プランを選択します。

      2. すべての有効化の設定 を選択します。

      3. [アカウントを手動で設定] を選択します。

      4. [新しいメンバーアカウントについて自動的に有効にする] を選択します。このステップにより、新しいアカウントが組織に参加するたびに、そのアカウントのために Lambda Protection が自動的に有効になります。この設定を変更できるのは、組織の委任 GuardDuty 管理者アカウントだけです。

      5. [保存] を選択します。

    • [Accounts] (アカウント) ページを使用する場合:

      1. ナビゲーションペインで、[Accounts] (アカウント) を選択します。

      2. [アカウント] ページで、[自動有効化] 設定を選択します。

      3. [自動有効化の詳細設定を管理] ウィンドウで、[Lambda ネットワークアクティビティモニタリング] の下の [新しいアカウントについて有効にする] を選択します。

      4. [保存] を選択します。

API/CLI

新しいメンバーアカウントの Lambda Network Activity Monitoring を有効にするには、独自のディテクター ID を使用して UpdateOrganizationConfiguration API オペレーションを呼び出します。

または、 AWS CLI を使用して Lambda Protection を有効にすることもできます。次の例では、単一のメンバーアカウントで Lambda Network Activity Monitoring を有効にする方法を示します。12abc34d567e8fa901bc2d34e56789f0 をアカウントのディテクター ID に、us-east-1 を Lambda Protection を有効にするリージョンにそれぞれ置き換えます。組織に参加する新規アカウントすべてに対して有効にしたくない場合は、AutoEnableNONE に設定します。

アカウントと現在のリージョンの detectorId を検索するには、https://console.aws.amazon.com/guardduty/ コンソールの [設定] ページを参照するか、ListDetectors API を実行します。

aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --region us-east-1 --auto-enable --features '[{"Name": "LAMBDA_NETWORK_LOGS", "AutoEnable": "NEW"}]'

コードが正常に実行されると、UnprocessedAccounts の空のリストが返されます。アカウントのディテクター設定を変更する際に問題が発生した場合は、そのアカウント ID と問題の概要が表示されます。

任意のアクセス方法を選択して、メンバーアカウントの Lambda Network Activity Monitoring を選択的に有効または無効にします。

Console

  1. https://console.aws.amazon.com/guardduty/ で GuardDuty コンソールを開きます。

    必ず委任 GuardDuty 管理者アカウントの認証情報を使用してください。

  2. ナビゲーションペインで 設定アカウントを選択します。

    [アカウント] ページで、[Lambda Network Activity Monitoring] 列を確認します。Lambda Network Activity Monitoring が有効になっているかどうかを示します。

  3. Lambda Protection を設定するアカウントを選択します。一度に複数のアカウントを選択できます。

  4. [保護プランの編集] ドロップダウンメニューから [Lambda Network Activity Monitoring] を選択し、適切なアクションを選択します。

API/CLI

独自のディテクター ID を使用して updateMemberDetectors API を呼び出します。

または、 AWS CLI を使用して Lambda Protection を有効にすることもできます。12abc34d567e8fa901bc2d34e56789f0 をアカウントのディテクター ID に、us-east-1 を Lambda Protection を有効にするリージョンにそれぞれ置き換えます。

アカウントと現在のリージョンの detectorId を検索するには、https://console.aws.amazon.com/guardduty/ コンソールの [設定] ページを参照するか、ListDetectors API を実行します。

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --region us-east-1 --account-ids 111122223333 --features '[{"Name": "LAMBDA_NETWORK_LOGS", "Status": "ENABLED"}]'

スペースで区切られたアカウント ID のリストを渡すこともできます。

コードが正常に実行されると、UnprocessedAccounts の空のリストが返されます。アカウントのディテクター設定を変更する際に問題が発生した場合は、そのアカウント ID と問題の概要が表示されます。