今日はAmazon GuardDuty設定のファストステップとして、複数のAWSアカウントに対してAmazon GuardDutyを開始させる2つの方法をご紹介したいと思います。
事前に区別しておきたいことは、
- 単一AWSアカウントであれば、こちらのAWSドキュメント通りGuardDutyコンソールを開き開始ボタンを押すことでGuardDutyが開始できます。
- 複数のAWSアカウントに対してGuardDutyを開始させたいってことであれば、こちらのAWSドキュメントの2つの方法を利用し開始することができます。
こちらの投稿は後者のお話なのでご了承ください。
0. 複数のAWSアカウントに対してAmazon GuardDutyを開始させる2つの方法
組織内・外の複数のAWSアカウントに対してAmazon GuardDutyを開始する方法は以下のように2つのやり方があります。
1. AWS Organizations(組織)を利用
2. 招待(Invitation)を送付
Amazon GuardDuty以外にも、AWS Security Hubなどの機能もこのようなやり方で開始することができます。
詳しい内容はこちらのAWSドキュメントをご参考ください。
こちらの記事では、注意すべきこと・知っておくべきことを中心にお話します。
1. AWS Organizations(組織)を利用
- 「AWS Organizations(組織)を利用」のやり方を利用すれば、組織の全てのAWSアカウントに対してGuardDutyを開始できます。OU単位の開始はできないらしいのでご注意ください。
- GuardDutyコンソールの設定画面より「委任された管理者」のAWSアカウントを1つ設定する必要があります。この際、最小特権の原則により組織の管理アカウントを委任された管理者として設定することは推奨されません。 また、一回「委任された管理者」として登録されたAWSアカウントは同じ設定画面でいつでも削除することができます。
- ↑で「委員された管理者」を設定したら、組織の全てのアカウントがGuardDutyの設定画面のアカウントっていうメニューの下に表示されます。しかし、すぐにGuardDutyが開始されることではなく、自動有効化がONになっている場合開始されるのでご注意ください。
上記スクショのご覧の通り、自動有効化がOFFになっている場合、組織の全てのアカウント(34個)がリストに追加されても、すべてがアクティブになってない(手動設定で2つのみアクティブになっている) ことが確認できます。
自動有効化をONにしたい場合は、スクショの右上の有効化ボタンを押すことで設定変更ができますのでご参考ください。
2. 招待(Invitation)を送付
- こちらのやり方は、以下の場合のご利用が適切です。
- 組織内の一部のAWSアカウントにGuardDutyを開始させたい場合(組織を利用する方法はOU単位の設定も不可の為)
- 組織外のAWSアカウントをメンバーとして追加してGuardDutyを開始させたい場合
- 一部のAWSアカウントに対してGuardDuty開始を自動化させたい場合(AWS CloudFormation TemplateによるGuardDuty自動化ドキュメント)
2..招待状はGuardDutyコンソールの設定>アカウント画面より送付できます。
「アカウントの入力」のところに、招待したいAWSアカウントIDとEメールアドレスを入力して「次へ」ボタンを押したら招待状が送付されます。
招待されたアカウントが招待を承諾すると、そのアカウントはGuardDutyのメンバーアカウントになる形になります。
最後に
本日の投稿では、複数のAWSアカウントに対してAmazon GuardDutyを開始させる2つのやり方をご紹介しました。
ちなみに私は AWS CloudFormation TemplateによるGuardDuty開始自動化 がしたくてGuardDutyを調査し始め、関連ドキュメントを色々調べる過程中にGuardDutyの開始方法をより詳しく把握することができました。
現在個人的なTodoで、GuardDutyのInvitation送付・承諾を自動化する方法は無いのか? って課題がありまして現在調査中です。
既にやり方があるか関連ドキュメントがあるかそれともやり方がないのかまだ知りませんが、もしご存知の方いれば是非教えてください!
また、私もこちらの課題解決したらアップデート投稿いたします。
本日も記事をご覧いただきありがとうございます。