翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# マルチアカウント環境での Lambda Protection の有効化
<a name="configure-lambda-protection-multi-acc-env"></a>

マルチアカウント環境で組織内のメンバーアカウントの Lambda Protection を有効または無効にできるのは、委任 GuardDuty 管理者アカウントのみです。GuardDuty メンバーアカウントからは、この設定を変更できません。委任 GuardDuty 管理者アカウントは、 を使用してメンバーアカウントを管理します AWS Organizations。委任 GuardDuty 管理者アカウントでは、組織に加わるすべての新規アカウントに対して、Lambda Network Activity Monitoring の自動有効化を選択できます。マルチアカウント環境の詳細については、「[Amazon GuardDuty での複数のアカウントの管理](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_accounts.html)」を参照してください。

## 委任 GuardDuty 管理者アカウントでの Lambda Protection の有効化
<a name="configure-lambda-pro-delegatedadmin"></a>

任意のアクセス方法を選択して、委任 GuardDuty 管理者アカウントに対して Lambda Network Activity Monitoring を有効または無効にします。

------
#### [ Console ]

1. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) で GuardDuty コンソールを開きます。

1. ナビゲーションペインの **[設定]** で、**[Lambda Protection]** を選択します。

1. **[Lambda Protection]** ページで、**[編集]** を選択します。

1. 次のいずれかを行います。

****[すべてのアカウントについて有効にする]** の使用**
   + **[すべてのアカウントについて有効にする]** を選択します。これにより、 AWS 組織に参加する新しいアカウントを含め、組織内のすべてのアクティブな GuardDuty アカウントの保護プランが有効になります。
   + **[保存]** を選択します。

****[アカウントを手動で設定]** の使用**
   + 委任 GuardDuty 管理者アカウントでのみ保護プランを有効にするには、**[アカウントを手動で設定]** を選択します。
   + **[委任 GuardDuty 管理者 (このアカウント)]** セクションで **[有効にする]** を選択します。
   + **[保存]** を選択します。

------
#### [ API/CLI ]

ユーザー独自のリージョンレベルのディテクター ID を使用し、`features` オブジェクト `name` を `LAMBDA_NETWORK_LOGS` として、`status` を `ENABLED` として渡して、[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateDetector.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateDetector.html) API オペレーションを実行します。

または、 AWS CLI を使用して Lambda Protection を有効にすることもできます。次のコマンドを実行し、{{12abc34d567e8fa901bc2d34e56789f0}} をアカウントのディテクター ID に、{{us-east-1}} を Lambda Protection を有効にするリージョンにそれぞれ置き換えます。

アカウントと現在のリージョンの `detectorId` を検索するには、[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) コンソールの **[設定]** ページを参照するか、[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API を実行します。

```
aws guardduty update-detector --detector-id {{12abc34d567e8fa901bc2d34e56789f0}} --region {{us-east-1}} --features '[{"Name": "LAMBDA_NETWORK_LOGS", "Status": "ENABLED"}]'
```

------

## Lambda Network Activity Monitoring をすべてのメンバーアカウントで Lambda Network Activity Monitoring を自動で有効にする
<a name="auto-enable-lambda-pro-existing-memberaccounts"></a>

任意のアクセス方法を選択して、すべてのメンバーアカウントのために Lambda ネットワークアクティビティモニタリング機能を有効にします。これには、既存のメンバーアカウントと、組織に参加する新しいアカウントが含まれます。

------
#### [ Console ]

1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) で GuardDuty コンソールを開きます。

   必ず委任 GuardDuty 管理者アカウントの認証情報を使用してください。

1. 次のいずれかを行います。

****Protection Plans** ページの使用**

   1. ナビゲーションペインで、**保護プラン**を選択します。

   1. **すべての有効化の設定** を選択します。

   1. **Lambda Protection** で、**すべてのアカウントの有効化**を選択します。このアクションにより、組織内の既存のアカウントと新しいアカウントの両方について Lambda ネットワークアクティビティモニタリングが自動的に有効になります。

   1. **すべて保存**を選択し、**確認して保存**を選択します。
**注記**  
メンバーアカウントの設定を更新するには、最大 24 時間かかる場合があります。

****[アカウント]** ページの使用**

   1. ナビゲーションペインで、**[Accounts]** (アカウント) を選択します。

   1. **[アカウント]** ページで、**[招待によるアカウントの追加]** の前に **[自動有効化]** の詳細設定を選択します。

   1. **[自動有効化の詳細設定を管理]** ウィンドウで、**[Lambda ネットワークアクティビティモニタリング]** の下の **[すべてのアカウントについて有効にする]** を選択します。
**注記**  
デフォルトでは、この操作により **[新規メンバーアカウントの GuardDuty を自動有効化]** オプションが自動的に有効になります。

   1. **[保存]** を選択します。

   **[すべてのアカウントについて有効にする]** オプションを使用できない場合は、「[メンバーアカウントで Lambda Network Activity Monitoring を選択的に有効または無効にする](#enable-disable-lambda-pro-selectively)」を参照してください。

------
#### [ API/CLI ]

メンバーアカウントの Lambda Network Activity Monitoring を選択的に有効または無効にするには、独自の{{ディテクター ID}} を使用して [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMemberDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMemberDetectors.html) API オペレーションを呼び出します。

または、 AWS CLI を使用して Lambda Protection を有効にすることもできます。次のコマンドを実行し、{{12abc34d567e8fa901bc2d34e56789f0}} をアカウントのディテクター ID に、{{us-east-1}} を Lambda Protection を有効にするリージョンにそれぞれ置き換えます。

アカウントと現在のリージョンの `detectorId` を検索するには、[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) コンソールの **[設定]** ページを参照するか、[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API を実行します。

```
aws guardduty update-member-detectors --detector-id {{12abc34d567e8fa901bc2d34e56789f0}} --account-ids {{111122223333}} --region {{us-east-1}}--features '[{"Name": "LAMBDA_NETWORK_LOGS", "Status": "{{ENABLED}}"}]'
```

スペースで区切られたアカウント ID のリストを渡すこともできます。

コードが正常に実行されると、`UnprocessedAccounts` の空のリストが返されます。アカウントのディテクター設定を変更する際に問題が発生した場合は、そのアカウント ID と問題の概要が表示されます。

------

## すべての既存のアクティブなメンバーアカウントのために Lambda ネットワークアクティビティモニタリングを有効にする
<a name="enable-for-all-existing-members-lam-pro"></a>

任意のアクセス方法を選択して、組織内のすべての既存のアクティブなメンバーアカウントの Lambda Network Activity Monitoring を有効にします。

------
#### [ Console ]

**すべての既存のアクティブなメンバーアカウントのために Lambda ネットワークアクティビティモニタリングを設定するには**

1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) で GuardDuty コンソールを開きます。

   委任 GuardDuty 管理者アカウントの認証情報を使用してサインインします。

1. ナビゲーションペインで、**保護プラン**を選択します。

1. **すべての有効化の設定** を選択します。**Lambda Protection** では、設定の現在のステータスを表示できます。**[アクティブなメンバーアカウント]** セクションで、**[アクション]** を選択します。

1. **[アクション]** ドロップダウンメニューから、**[すべての既存のアクティブなメンバーアカウントについて有効にする]** を選択します。

1. **[確認]** を選択します。

------
#### [ API/CLI ]

メンバーアカウントの Lambda Network Activity Monitoring を選択的に有効または無効にするには、独自の{{ディテクター ID}} を使用して [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMemberDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMemberDetectors.html) API オペレーションを呼び出します。

または、 AWS CLI を使用して Lambda Protection を有効にすることもできます。次のコマンドを実行し、{{12abc34d567e8fa901bc2d34e56789f0}} をアカウントのディテクター ID に、{{us-east-1}} を Lambda Protection を有効にするリージョンにそれぞれ置き換えます。

```
aws guardduty update-member-detectors --detector-id {{12abc34d567e8fa901bc2d34e56789f0}} --region {{us-east-1}} --account-ids {{111122223333}} --features '[{"Name": "LAMBDA_NETWORK_LOGS", "Status": "{{ENABLED}}"}]'
```

スペースで区切られたアカウント ID のリストを渡すこともできます。

コードが正常に実行されると、`UnprocessedAccounts` の空のリストが返されます。アカウントのディテクター設定を変更する際に問題が発生した場合は、そのアカウント ID と問題の概要が表示されます。

------

## Lambda Network Activity Monitoring を新しいメンバーアカウントで Lambda Network Activity Monitoring を自動で有効にする
<a name="auto-enable-lambda-pro-new-members"></a>

任意のアクセス方法を選択して、組織に参加する新しいアカウントの Lambda Network Activity Monitoring を有効にします。

------
#### [ Console ]

委任 GuardDuty 管理者アカウントは、**[Lambda Protection]** または **[アカウント]** ページのいずれかを使用して、組織内の新しいメンバーアカウントに対して Lambda Network Activity Monitoring を有効にすることができます。

**Lambda Network Activity Monitoring を新しいメンバーアカウントで Lambda Network Activity Monitoring を自動で有効にするには**

1. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) で GuardDuty コンソールを開きます。

   必ず委任 GuardDuty 管理者アカウントの認証情報を使用してください。

1. 次のいずれかを行います。
   + **Protection Plans** ページの使用:

     1. ナビゲーションペインで、**保護プラン**を選択します。

     1. **すべての有効化の設定** を選択します。

     1. **[アカウントを手動で設定]** を選択します。

     1. **[新しいメンバーアカウントについて自動的に有効にする]** を選択します。このステップにより、新しいアカウントが組織に参加するたびに、そのアカウントのために Lambda Protection が自動的に有効になります。この設定を変更できるのは、組織の委任 GuardDuty 管理者アカウントだけです。

     1. **[保存]** を選択します。
   + **[Accounts]** (アカウント) ページを使用する場合:

     1. ナビゲーションペインで、**[Accounts]** (アカウント) を選択します。

     1. **[アカウント]** ページで、**[自動有効化]** 設定を選択します。

     1. **[自動有効化の詳細設定を管理]** ウィンドウで、**[Lambda ネットワークアクティビティモニタリング]** の下の **[新しいアカウントについて有効にする]** を選択します。

     1. **[保存]** を選択します。

------
#### [ API/CLI ]

新しいメンバーアカウントの Lambda Network Activity Monitoring を有効にするには、独自の{{ディテクター ID}} を使用して [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateOrganizationConfiguration.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateOrganizationConfiguration.html) API オペレーションを呼び出します。

または、 AWS CLI を使用して Lambda Protection を有効にすることもできます。次の例では、単一のメンバーアカウントで Lambda Network Activity Monitoring を有効にする方法を示します。{{12abc34d567e8fa901bc2d34e56789f0}} をアカウントのディテクター ID に、{{us-east-1}} を Lambda Protection を有効にするリージョンにそれぞれ置き換えます。組織に参加する新規アカウントすべてに対して有効にしたくない場合は、`AutoEnable` を `NONE` に設定します。

アカウントと現在のリージョンの `detectorId` を検索するには、[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) コンソールの **[設定]** ページを参照するか、[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API を実行します。

```
aws guardduty update-organization-configuration --detector-id {{12abc34d567e8fa901bc2d34e56789f0}} --region {{us-east-1}} --auto-enable --features '[{"Name": "LAMBDA_NETWORK_LOGS", "AutoEnable": "{{NEW}}"}]'
```

コードが正常に実行されると、`UnprocessedAccounts` の空のリストが返されます。アカウントのディテクター設定を変更する際に問題が発生した場合は、そのアカウント ID と問題の概要が表示されます。

------

## メンバーアカウントで Lambda Network Activity Monitoring を選択的に有効または無効にする
<a name="enable-disable-lambda-pro-selectively"></a>

任意のアクセス方法を選択して、メンバーアカウントの Lambda Network Activity Monitoring を選択的に有効または無効にします。

------
#### [ Console ]

1. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) で GuardDuty コンソールを開きます。

   必ず委任 GuardDuty 管理者アカウントの認証情報を使用してください。

1. ナビゲーションペインで **設定**の **アカウント**を選択します。

   **[アカウント]** ページで、**[Lambda Network Activity Monitoring]** 列を確認します。Lambda Network Activity Monitoring が有効になっているかどうかを示します。

1. Lambda Protection を設定するアカウントを選択します。一度に複数のアカウントを選択できます。

1.  **[保護プランの編集]** ドロップダウンメニューから **[Lambda Network Activity Monitoring]** を選択し、適切なアクションを選択します。

------
#### [ API/CLI ]

独自の{{ディテクター ID}} を使用して [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMemberDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMemberDetectors.html) API を呼び出します。

または、 AWS CLI を使用して Lambda Protection を有効にすることもできます。{{12abc34d567e8fa901bc2d34e56789f0}} をアカウントのディテクター ID に、{{us-east-1}} を Lambda Protection を有効にするリージョンにそれぞれ置き換えます。

アカウントと現在のリージョンの `detectorId` を検索するには、[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) コンソールの **[設定]** ページを参照するか、[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API を実行します。

```
aws guardduty update-member-detectors --detector-id {{12abc34d567e8fa901bc2d34e56789f0}} --region {{us-east-1}} --account-ids {{111122223333}} --features '[{"Name": "LAMBDA_NETWORK_LOGS", "Status": "{{ENABLED}}"}]'
```

スペースで区切られたアカウント ID のリストを渡すこともできます。

コードが正常に実行されると、`UnprocessedAccounts` の空のリストが返されます。アカウントのディテクター設定を変更する際に問題が発生した場合は、そのアカウント ID と問題の概要が表示されます。

------