招待によるアカウントの追加 - Amazon GuardDuty

招待によるアカウントの追加

GuardDuty が既に有効になっている管理者アカウントでは、メンバーを追加して GuardDuty の使用を開始できます。メンバーを追加したら、GuardDuty に参加するようにメンバーを招待することができ、メンバーは招待に応答することを選択できます。

注記

GuardDuty では、GuardDuty の招待の代わりに AWS Organizations を使用してメンバーアカウントを管理することをお勧めします。詳細については、「 を使用した アカウントの管理AWS Organizations」を参照してください。

任意のアクセス方法を選択して、GuardDuty メンバーアカウントを GuardDuty 管理者アカウントとして追加します。

Console
ステップ 1 - アカウントを追加する

  1. https://console.aws.amazon.com/guardduty/ で GuardDuty コンソールを開きます。

  2. ナビゲーションペインで、[Accounts] (アカウント) を選択します。

  3. 上部のペインで [招待によってアカウントを追加] を選択します。

  4. [メンバーアカウントの追加] ページで、[アカウントの入力] の下で AWS アカウント ID と追加するアカウントに関連付けられている E メールアドレスを入力します。

  5. アカウントの詳細を追加する別の行を 1 つずつ追加するには、[別のアカウントを追加] を選択します。[アカウントの詳細を含む.csvファイルをアップロード] を選択して、アカウントを一括で追加することもできます。

    重要

    次の例に示すように、.csv ファイルの 1 行目にヘッダー (Account ID,Email) を含める必要があります。後続の各行には、単一の有効な AWS アカウント ID とそれに関連付けられた E メールアドレスを含める必要があります。行の形式は、AWS アカウント ID が 1 つだけ含まれていて、関連付けられた E メールアドレスがカンマで区切られている場合に有効です。

    Account ID,Email
                                555555555555,user@example.com

  6. すべてのアカウントの詳細を追加したら、[次へ] を選択します。新しく追加したアカウントは、[アカウント] テーブルに表示されます。これらのアカウントのステータス[招待未送信] になります。追加したアカウントに招待状を送信する方法については、「Step 2 - Invite an account」を参照してください。

ステップ 2: アカウントを招待する

  1. https://console.aws.amazon.com/guardduty/ で GuardDuty コンソールを開きます。

  2. ナビゲーションペインで、[Accounts] (アカウント) を選択します。

  3. Amazon GuardDuty に招待する 1 つまたは複数のアカウントを選択します。

  4. [アクション] ドロップダウンメニューから [招待] を選択します。

  5. [GuardDuty への招待] ダイアログ ボックスで、招待メッセージ (オプション) を入力します。

    招待されたアカウントが E メールにアクセスできない場合は、[招待先の AWS アカウントのルートユーザーにも E メール通知を送信し、招待先の AWS Health Dashboard にアラートを生成] をクリックします。

  6. [Send invitation] (招待の送信) を選択します。招待先が指定の E メールアドレスにアクセスできる場合は、https://console.aws.amazon.com/guardduty/ で GuardDuty コンソールを開いて招待を確認できます。

  7. 招待先が招待を承諾すると、[ステータス] 列の値が [招待済み] に変わります。招待を承諾する方法の詳細については、「Step 3 - Accept an invitation」を参照してください。

ステップ 3 - 招待を受け入れる

  1. https://console.aws.amazon.com/guardduty/ で GuardDuty コンソールを開きます。

    重要

    メンバーシップ招待を表示または承諾するには、GuardDuty を有効にする必要があります。

  2. 以下の手順は、GuardDuty をまだ有効にしていない場合にのみ行ってください。それ以外の場合は、この手順をスキップして次のステップに進んでください。

    まだ GuardDuty を有効にしていない場合は、Amazon GuardDuty ページの [今すぐ始める] を選択します。

    [GuardDuty にようこそ] ページで、[GuardDuty を有効にする] を選択します。

  3. アカウントで GuardDuty を有効にしたら、以下の手順でメンバーシップへの招待を承諾します。

    1. ナビゲーションペインで [設定] を選択します。

    2. [アカウント] を選択します。

    3. [アカウント] で、招待元のアカウント所有者を確認してください。[承諾] を選択してメンバーシップへの招待を承諾します。

  4. 招待を承諾すると、アカウントが GuardDuty のメンバーアカウントになります。招待を送信した所有者のアカウントが GuardDuty 管理者アカウントになります。招待が承諾されたことが管理者アカウントで認識されます。GuardDuty アカウントの [アカウント] テーブルが更新されます。メンバーアカウント ID に対応する [ステータス] 列の値が [有効] に変わります。管理者アカウントの所有者は、ユーザーのアカウントに代わって GuardDuty と保護プランの設定を表示および管理できるようになりました。管理者アカウントは、メンバーアカウントに対して生成された GuardDuty の検出結果を表示および管理することもできるようになりました。

API/CLI

GuardDuty 管理者アカウントを指定し、API オペレーションを通じて招待によって GuardDuty メンバーアカウントを作成または追加できます。GuardDuty の管理者アカウントとメンバーアカウントを指定するために、次の GuardDuty API オペレーションを実行します。

GuardDuty 管理者アカウントとして指定する AWS アカウント の認証情報を使用して、次の手順を実行します。

メンバーアカウントの作成または追加

  1. AWS GuardDuty が有効になっているアカウントの認証情報を使用して、CreateMembers API オペレーションを実行します。これは、GuardDuty 管理者アカウントにするアカウントです。

    現在の AWS アカウントのディテクター ID と、GuardDuty メンバーにしたいアカウントの ID および E メールアドレスを指定する必要があります。この API オペレーションを使用して 1 名以上のメンバーを作成できます。

    また、AWS Command Line Tools を使用して、次の CLI コマンドを実行することで、管理者アカウントを指定することができます。自身の有効なディテクター ID、アカウント ID、E メールを使用してください。

    アカウントと現在のリージョンの detectorId を検索するには、https://console.aws.amazon.com/guardduty/ コンソールの [設定] ページを参照するか、ListDetectors API を実行します。

    aws guardduty create-members --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-details AccountId=111122223333,Email=guardduty-member@organization.com

  2. GuardDuty が有効になっている AWS アカウントの認証情報を使用して InviteMembers を実行します。これは、GuardDuty 管理者アカウントにするアカウントです。

    現在の AWS アカウントのディテクター ID と、GuardDuty のメンバーにするアカウントのアカウント ID を指定する必要があります。この API オペレーションにより 1 名以上のメンバーを招待できます。

    注記

    message リクエストパラメータを使用してオプションの招待メッセージを指定することもできます。

    AWS Command Line Interface を使用して、次のコマンドを実行することで、メンバーアカウントを指定することもできます。招待するアカウントには、自身の有効なディテクター ID と有効なアカウント ID を使用してください。

    アカウントと現在のリージョンの detectorId を検索するには、https://console.aws.amazon.com/guardduty/ コンソールの [設定] ページを参照するか、ListDetectors API を実行します。

    aws guardduty invite-members --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333
招待の受け入れ

GuardDuty メンバーアカウントとして指定する各 AWS アカウントの認証情報を使用して次の手順を実行します。

  1. GuardDuty メンバーアカウントとして招待され、招待を受け入れたい各 AWS アカウントに対して CreateDetector API オペレーションを実行します。

    GuardDuty サービスを使用してディテクターリソースを有効にするかどうかを指定する必要があります。GuardDuty が動作するためには、ディテクターを作成して有効にする必要があります。招待を承諾する前に、まず GuardDuty を有効にする必要があります。

    また、AWS Command Line Tools を使用して、次の CLI コマンドを実行しても可能です。

    aws guardduty create-detector --enable

  2. メンバーへの招待の承諾を求める AWS アカウントごとに、そのアカウントの認証情報を使用して AcceptAdministratorInvitation API オペレーションを実行します。

    メンバーアカウントの場合はこの AWS アカウントのディテクター ID、招待を送った管理者アカウントの場合はアカウント ID、招待を承諾する場合は招待状 ID を指定する必要があります。管理者アカウントのアカウント ID は、招待メールで見つかります。または、API の ListInvitations オペレーションを使用して検索することもできます。

    AWS Command Line Tools を使用して、次の CLI コマンドを実行することで、招待を承諾することもできます。ディテクター ID、管理者アカウント ID、招待状 ID は必ず有効なものを使用してください。

    アカウントと現在のリージョンの detectorId を検索するには、https://console.aws.amazon.com/guardduty/ コンソールの [設定] ページを参照するか、ListDetectors API を実行します。

    aws guardduty accept-invitation --detector-id 12abc34d567e8fa901bc2d34e56789f0 --administrator-id 444455556666 --invitation-id 84b097800250d17d1872b34c4daadcf5