翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Detective での招待されたメンバーアカウントの管理
Detective 管理者アカウントは、動作グラフのメンバーアカウントにアカウントを招待できます。動作グラフには、最大 1,200 個のメンバーアカウントを含めることができます。メンバーアカウントが招待を承諾して有効になると、Amazon Detective は、メンバーアカウントのデータを取り込み、その動作グラフに抽出し始めます。
個々のアカウントを招待するには、招待するメンバーアカウントを手動で指定して、動作グラフにデータを提供できます。メンバーアカウントのリストを追加する場合は、動作グラフに招待するメンバーアカウントのリストを含む .csv ファイルを指定できます。
組織動作グラフ以外の動作グラフの場合、すべてのメンバーアカウントは招待されたアカウントです。Detective 管理者アカウントは、組織アカウントではないアカウントを組織動作グラフに招待することもできます。
動作グラフにデータを提供するようにアカウントを招待するプロセスの概要は次のとおりです。
1. 追加するメンバーアカウントごとに、管理者アカウントは AWS アカウント識別子とルートユーザーの E メールアドレスを提供します。
1. Detective は、メールアドレスがアカウントのルートユーザーのメールアドレスであることを検証します。アカウント情報が有効な場合、Detective はメンバーアカウントに招待を送信します。
Detective はこの検証を実行せず、これらのリージョンのメンバーアカウントに招待メールを送信しません。
+ AWS GovCloud (米国東部) リージョン
+ AWS GovCloud (米国西部) リージョン
他のリージョンでは、Detective API の [CreateMembers](https://docs.aws.amazon.com//detective/latest/APIReference/API_CreateMembers.html) オペレーション`DisableEmailNotification`を使用できます。`DisableEmailNotification` が true に設定されている場合、Detective はメンバーアカウントに招待を送信しません。これは、一元管理されるアカウントにとって便利な設定です。
1. メンバーアカウントは招待を承諾または辞退します。
管理者アカウントが招待メールを送信しない場合でも、メンバーアカウントはなお招待に応答する必要があります。
1. メンバーアカウントが招待を受け入れると、Detective はメンバーアカウントから動作グラフへのデータの取り込みを開始します。
1. メンバーアカウントが有効になるための要件があることが確認されるとすぐに、Detective はメンバーアカウントのステータスを自動的に **[有効]** に変更します。
たとえば、管理者アカウントが他のメンバーアカウントを削除してアカウントのスペースを確保した場合、メンバーアカウントのステータスは **Enabled** に変わります。
複数のアカウントのステータスが **[有効になっていません]** である場合、Detective は招待された順序でアカウントを有効にします。ステータスが **[有効になっていません]** であるアカウントを有効にするかどうかをチェックするプロセスは、1 時間ごとに実行されます。
管理者アカウントは、自動プロセスが実行されるまで待つのではなく、手動でアカウントを有効にすることもできます。例えば、管理者アカウントで、有効にするアカウントを選択できます。メンバーアカウントを有効にする方法については、「」を参照してください[ステータスがが [有効になっていません] であるメンバーアカウントの有効化](graph-admin-unblock-account.md)。
Detective は、2021 年 5 月 12 日から、ステータスが **[有効になっていません]** であるアカウントを自動的に有効にするようになったことに注意してください。それ以前にステータスが **[有効になっていません]** であったアカウントは、自動的に有効になることはありません。管理者アカウントは、手動で有効にする必要があります。
管理者アカウントは、動作グラフから、招待されたメンバーアカウントを削除することもできます。Detective は、メンバーアカウント全体のデータを集約する動作グラフから既存のデータを削除しません。
**Topics**
+ [個々のアカウントを動作グラフに招待する](accounts-invited-members-add-individual.md)
+ [メンバーアカウントのリストを動作グラフに招待する](accounts-invited-members-add-csv.md)
+ [ステータスがが [有効になっていません] であるメンバーアカウントの有効化](graph-admin-unblock-account.md)
+ [動作グラフからのメンバーアカウントの削除](accounts-invited-remove.md)
# 個々のアカウントを動作グラフに招待する
動作グラフへのデータ提供を求めて招待するメンバーアカウントを手動で指定できます。
------
#### [ Console ]
**Detective コンソールを使用して招待するメンバーアカウントを手動で選択するには。**
1. [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/) で Amazon Detective コンソールを開きます。
1. Detective のナビゲーションペインで、[**Account management**] (アカウント管理) を選択します。
1. **[アクション]** を選択します。その後、[**Invite accounts**] (アカウントを招待) を選択します。
1. [**Add accounts**] (アカウントを追加) で、[**Add individual accounts**] (個別のアカウントを追加) を選択します。
1. 招待リストにメンバーアカウントを追加するには、次のステップを実行します。
1. [**Add account**] (アカウントを追加) を選択します。
1. **AWS アカウント ID** には、 AWS アカウント ID を入力します。
1. [**Email address**] (メールアドレス) で、アカウントのルートユーザーのメールアドレスを入力します。
1. リストからアカウントを削除するには、そのアカウントの [**Remove**] (削除) を選択します。
1. [**Personalize invitation email**] (招待メールをパーソナライズ) で、招待メールに含めるカスタマイズされたコンテンツを追加します。
例えば、この領域を使用して、連絡先情報を指定します。または、これを使用して、招待を承諾する前に、必要な IAM ポリシーをユーザーまたはロールにアタッチする必要があることをメンバーアカウントに注意喚起します。
1. [**Member account IAM policy**] (メンバーアカウントの IAM ポリシー) には、メンバーアカウントに必要な IAM ポリシーのテキストが含まれます。招待メールには、このポリシーテキストが含まれます。ポリシーテキストをコピーするには、[**Copy**] (コピー) を選択します。
1. **[招待]** を選択します。
------
#### [ Detective API/AWS CLI ]
Detective API または を使用して AWS Command Line Interface 、メンバーアカウントを招待し、動作グラフにデータを提供できます。リクエストで使用する動作グラフの ARN を取得するには、[https://docs.aws.amazon.com/detective/latest/APIReference/API_ListGraphs.html](https://docs.aws.amazon.com/detective/latest/APIReference/API_ListGraphs.html) オペレーションを使用します。
**メンバーアカウントを動作グラフに招待するには (Detective API、 AWS CLI)**
+ **Detective API**: [https://docs.aws.amazon.com/detective/latest/APIReference/API_CreateMembers.html](https://docs.aws.amazon.com/detective/latest/APIReference/API_CreateMembers.html) オペレーションを使用します。グラフ ARN を入力する必要があります。各アカウントについて、アカウント識別子とルートユーザーのメールアドレスを指定します。
メンバーアカウントに招待メールを送信しないようにするには、`DisableEmailNotification` を true に設定します。デフォルトでは、`DisableEmailNotification` は false です。
招待メールを送信する場合は、オプションで、招待メールに追加するカスタムテキストを入力できます。
+ **AWS CLI:** コマンドラインで、`create-members` コマンドを実行します。
```
aws detective create-members --accounts AccountId=,EmailAddress= --graph-arn --message ""
```
**例**
```
aws detective create-members --accounts AccountId=444455556666,EmailAddress=mmajor@example.com AccountId=123456789012,EmailAddress=jstiles@example.com --graph-arn arn:aws:detective:us-east-1:111122223333:graph:123412341234 --message "This is Paul Santos. I need to add your account to the data we use for security investigation in Amazon Detective. If you have any questions, contact me at psantos@example.com."
```
メンバーアカウントに招待メールを送信しないことを示すには、`--disable-email-notification` を含めます。
```
aws detective create-members --accounts AccountId=,EmailAddress= --graph-arn --disable-email-notification
```
**例**
```
aws detective create-members --accounts AccountId=444455556666,EmailAddress=mmajor@example.com AccountId=123456789012,EmailAddress=jstiles@example.com --graph-arn arn:aws:detective:us-east-1:111122223333:graph:123412341234 --disable-email-notification
```
------
# メンバーアカウントのリストを動作グラフに招待する
Detective コンソールから、動作グラフに招待するメンバーアカウントのリストを含む `.csv` ファイルを提供できます。
ファイルの最初の行はヘッダー行です。その後、各アカウントは個別の行にリストされます。各メンバーアカウントエントリには、 AWS アカウント ID とアカウントのルートユーザーの E メールアドレスが含まれます。
例:
```
Account ID,Email address
111122223333,srodriguez@example.com
444455556666,rroe@example.com
```
Detective がファイルを処理する際に、アカウントのステータスが [**Verification failed**] (検証に失敗しました) でない限り、すでに招待されているアカウントは無視されます。このステータスは、アカウント用に提供されたメールアドレスがアカウントのルートユーザーのメールアドレスと一致しなかったことを示唆するものです。その場合、Detective は元の招待を削除し、メールアドレスの検証と招待の送信を再試行します。
このオプションは、アカウントのリストを作成するために使用できるテンプレートも提供します。
**.csv リストからメンバーアカウントを招待するには (コンソール)**
1. [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/) で Amazon Detective コンソールを開きます。
1. Detective のナビゲーションペインで、[**Account management**] (アカウント管理) を選択します。
1. **[アクション]** を選択します。その後、[**Invite accounts**] (アカウントを招待) を選択します。
1. [**Add accounts**] (アカウントを追加) で、[**Add from .csv**] (.csv から追加) を選択します。
1. 作業するテンプレートファイルをダウンロードするには、[**Download .csv template**] (.csv テンプレートをダウンロード) を選択します。
1. アカウントのリストを含むファイルを選択するには、[**Choose .csv file**] (.csv ファイルを選択) を選択します。
1. [**Review member accounts**] (メンバーアカウントを確認) で、Detective がファイルで見つけたメンバーアカウントのリストを検証します。
1. [**Personalize invitation email**] (招待メールをパーソナライズ) で、招待メールに含めるカスタマイズされたコンテンツを追加します。
例えば、連絡先情報を提供したり、メンバーアカウントに必要な IAM ポリシーについて注意喚起したりできます。
1. [**Member account IAM policy**] (メンバーアカウントの IAM ポリシー) には、メンバーアカウントに必要な IAM ポリシーのテキストが含まれます。招待メールには、このポリシーテキストが含まれます。ポリシーテキストをコピーするには、[**Copy**] (コピー) を選択します。
1. **[招待]** を選択します。
## リージョン間でのメンバーアカウントのリストの追加
Detective は、GitHub でオープンソースの Python スクリプトを提供しており、以下を実行できます。
+ 指定リストの複数のリージョンにおける管理者アカウントの動作グラフに、メンバーアカウントの指定リストを追加します。
+ あるリージョンで管理者アカウントが動作グラフを有していない場合、スクリプトは Detective を有効にし、そのリージョンに動作グラフを作成します。
+ メンバーアカウントに招待メールを送信します。
+ メンバーアカウントになるための招待を自動的に承諾します。
GitHub スクリプトの設定方法と使用方法については、[Detective Python スクリプトを使用してアカウントを管理する](detective-github-scripts.md) を参照してください。
# ステータスがが [有効になっていません] であるメンバーアカウントの有効化
メンバーアカウントが招待を受け入れると、Amazon Detective はメンバーアカウントの数を確認します。動作グラフのメンバーアカウントの最大数は 1,200 個です。動作グラフに既に 1,200 個のメンバーアカウントが含まれている場合、新しいアカウントを有効にすることはできません。Detective がメンバーアカウントを有効にできない場合は、メンバーアカウントのステータスを **[有効になっていません]** に設定します。
ステータスが **[有効になっていません]** であるメンバーアカウントは、動作グラフにデータを提供しません。
動作グラフがアカウントに対応できるため、Detective はアカウントを自動的に有効にします。
ステータスが **[有効になっていません]** であるメンバーアカウントを手動で有効にすることを試みることもできます。例えば、既存のメンバーアカウントを削除して、データ量を減らすことができます。自動プロセスでアカウントが有効になるのを待つ代わりに、ステータスが **[有効になっていません]** であるメンバーアカウントを有効にすることを試みることができます。
------
#### [ Console ]
メンバーアカウントリストには、ステータスが [**有効になっていません]** である、選択したメンバーアカウントを有効にするオプションが含まれています。
**ステータスが [有効になっていません] であるメンバーアカウントを有効化するには**
1. [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/) で Amazon Detective コンソールを開きます。
1. Detective のナビゲーションペインで、[**Account management**] (アカウント管理) を選択します。
1. [**My member accounts**] (自分のメンバーアカウント) で、有効にする各メンバーアカウントのチェックボックスをオンにします。
ステータスが **[有効になっていません]** であるメンバーアカウントのみを有効にできます。
1. [**Enable accounts**] (アカウントを有効化) を選択します。
Detective は、メンバーアカウントを有効にできるかどうかを判断します。メンバーアカウントを有効にできる場合は、ステータスが **[有効]** に変わります。
------
#### [ Detective API/CLI ]
API コールまたは を使用して AWS Command Line Interface 、**有効になっていない**単一のメンバーアカウントを有効にできます。リクエストで使用する動作グラフの ARN を取得するには、[https://docs.aws.amazon.com/detective/latest/APIReference/API_ListGraphs.html](https://docs.aws.amazon.com/detective/latest/APIReference/API_ListGraphs.html) オペレーションを使用します。
**ステータスが [有効になっていません] であるメンバーアカウントを有効化するには**
+ **Detective API:** [https://docs.aws.amazon.com/detective/latest/APIReference/API_StartMonitoringMember.html](https://docs.aws.amazon.com/detective/latest/APIReference/API_StartMonitoringMember.html) API 動作を使用します。動作グラフ ARN を指定する必要があります。メンバーアカウントを識別するには、 AWS アカウント識別子を使用します。
+ **AWS CLI:** [https://docs.aws.amazon.com/cli/latest/reference/detective/start-monitoring-member.html](https://docs.aws.amazon.com/cli/latest/reference/detective/start-monitoring-member.html) コマンドを実行します。
```
start-monitoring-member --graph-arn --account-id
```
例えば、次のようになります。
```
start-monitoring-member --graph-arn arn:aws:detective:us-east-1:111122223333:graph:123412341234 --account-id 444455556666
```
------
# 動作グラフからのメンバーアカウントの削除
管理者アカウントは、招待されたメンバーアカウントを動作グラフからいつでも削除できます。
Detective は、 AWS GovCloud (米国東部) および AWS GovCloud (米国西部) リージョンを除き AWS、 で終了したメンバーアカウントを自動的に削除します。
動作グラフから招待されたメンバーアカウントが削除されると、次のようになります。
+ メンバーアカウントが [**My member accounts**] (自分のメンバーアカウント) から削除されます。
+ Amazon Detective は、削除されたアカウントからのデータの取り込みを停止します。
Detective は、メンバーアカウント全体のデータを集約する動作グラフから既存のデータを削除しません。
------
#### [ Console ]
を使用して AWS マネジメントコンソール 、招待されたメンバーアカウントを動作グラフから削除できます。
**メンバーアカウントを削除するには (コンソール)**
1. [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/) で Amazon Detective コンソールを開きます。
1. Detective のナビゲーションペインで、[**Account management**] (アカウント管理) を選択します。
1. アカウントリストで、削除するメンバーアカウントのチェックボックスをオンにします。
リストから自分のアカウントを削除することはできません。
1. **[アクション]** を選択します。次に、**[アカウントを無効化]** を選択します。
------
#### [ Detective API/CLI ]
Detective API または を使用して AWS Command Line Interface 、招待されたメンバーアカウントを動作グラフから削除できます。リクエストで使用する動作グラフの ARN を取得するには、[https://docs.aws.amazon.com/detective/latest/APIReference/API_ListGraphs.html](https://docs.aws.amazon.com/detective/latest/APIReference/API_ListGraphs.html) オペレーションを使用します。
**招待されたメンバーアカウントを動作グラフから削除するには (Detective API、 AWS CLI)**
+ **Detective API**: [https://docs.aws.amazon.com/detective/latest/APIReference/API_DeleteMembers.html](https://docs.aws.amazon.com/detective/latest/APIReference/API_DeleteMembers.html) オペレーションを使用します。グラフ ARN と削除するメンバーアカウントのアカウント識別子のリストを指定します。
+ **AWS CLI:** コマンドラインで、[https://docs.aws.amazon.com/cli/latest/reference/detective/delete-members.html](https://docs.aws.amazon.com/cli/latest/reference/detective/delete-members.html) コマンドを実行します。
```
aws detective delete-members --account-ids --graph-arn
```
例:
```
aws detective delete-members --account-ids 444455556666 123456789012 --graph-arn arn:aws:detective:us-east-1:111122223333:graph:123412341234
```
------
#### [ Python script ]
Detective は GitHub でオープンソースのスクリプトを提供しています。このスクリプトを使用して、指定されたリージョンのリスト全体で、管理者アカウントの動作グラフから、指定されたメンバーアカウントのリストを削除できます。
GitHub スクリプトの設定方法と使用方法については、[Detective Python スクリプトを使用してアカウントを管理する](detective-github-scripts.md) を参照してください。
------