Detective でのアカウントに関する制約と推奨事項 - Amazon Detective
メンバーアカウントの最大数アカウントとリージョン管理者アカウントと Security Hub CSPM および GuardDuty の連携必要なアクセス許可を管理者アカウントに付与する組織のアップデートを Detective に反映する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Detective でのアカウントに関する制約と推奨事項

Amazon Detective でアカウントを管理する場合、以下の制約と推奨事項に注意してください。

メンバーアカウントの最大数

Detective は、動作グラフごとに最大 1,200 個のメンバーアカウントを受け入れます。

AWS Organizations を使用してアカウントを管理する場合、デフォルトで Detective はアカウント管理ページに最大 5000 個のメンバーアカウントを表示します。すべてのアカウントを表示する場合は、すべてのアカウントのロードを選択します。すべての結果が返されるまでに数分かかる場合があります。

アカウントとリージョン

AWS Organizations を使用してアカウントを管理する場合、組織管理アカウントは組織の Detective 管理者アカウントを指定します。Detective 管理者アカウントは、組織動作グラフの管理者アカウントになります。

Detective 管理者アカウントは、すべてのリージョンで同じになります。組織管理アカウントは、各リージョンの Detective 管理者アカウントを個別に指定することもできます。また、Detective 管理者アカウントは、各リージョンの組織動作グラフとメンバーアカウントを個別に管理できます。

招待によって作成されたメンバーアカウントの場合、管理者とメンバーの関連付けは、招待の送信元の 1 つのリージョンでのみ作成されます。管理者アカウントはリージョンごとに Detective を有効にする必要があり、リージョンごとに個別の動作グラフを持ちます。次に、管理者アカウントは各アカウントを招待し、そのリージョンのメンバーアカウントとして関連付けます。

1 つのアカウントは、同じリージョン内の複数の動作グラフのメンバーアカウントになることができます。1 つのアカウントが管理者アカウントになることができるのは、リージョンごとに 1 つの動作グラフについてのみです。1 つのアカウントは、異なるリージョンの管理者アカウントになることができます。

管理者アカウントと Security Hub CSPM および GuardDuty の連携

AWS Security Hub CSPM および Amazon GuardDuty との統合がスムーズに機能するように、これらのすべてのサービスで同じアカウントが管理者アカウントであることをお勧めします。

GuardDuty および との推奨アライメント AWS Security Hub CSPM」を参照してください。

必要なアクセス許可を管理者アカウントに付与する

動作グラフを管理するために必要なアクセス許可を管理者アカウントに確実に付与するには、IAM プリンシパルに AmazonDetectiveFullAccess マネージドポリシーをアタッチします。

組織のアップデートを Detective に反映する

組織に変更を加えても、Detective にはすぐには反映されません。

組織アカウントの新規作成や削除など、変更のほとんどは、Detective に通知されるまでに最大 1 時間かかることがあります。

Organizations 内の指定の Detective 管理者アカウントへの変更は、反映されるまでの時間が短くなります。