翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# マルチアカウント環境での EKS Protection の有効化
<a name="eks-protection-enable-multiple-accounts"></a>

マルチアカウント環境で組織内のメンバーアカウントの EKS Protection 機能を有効または無効にできるのは、委任 GuardDuty 管理者アカウントのみです。GuardDuty メンバーアカウントからは、この設定を変更できません。委任 GuardDuty 管理者アカウントでは、 AWS Organizationsを使用してメンバーアカウントを管理します。この委任 GuardDuty 管理者アカウントは、組織に加わるすべての新規アカウントに対して、EKS Protection の自動有効化を選択できます。マルチアカウント環境の詳細については、「[Amazon GuardDuty での複数のアカウントの管理](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_accounts.html)」を参照してください。

## 委任 GuardDuty 管理者アカウントでの EKS 監査ログのモニタリングの設定
<a name="configure-eks-audit-log-monitoring-delegatedadmin"></a>

任意のアクセス方法を選択して、委任 GuardDuty 管理者アカウントのために EKS 監査ログのモニタリングを設定します。

------
#### [ Console ]

1. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) で GuardDuty コンソールを開きます。

1. ナビゲーションペインで、[EKS Protection] を選択します。

1. **[設定]** タブでは、各セクションにおける EKS 監査ログのモニタリングの現在の設定ステータスを確認できます。委任 GuardDuty 管理者アカウントの設定を更新するには、**[EKS 監査ログのモニタリング]** ペインで **[編集]** を選択します。

1. 次のいずれかを行います。

****[すべてのアカウントについて有効にする]** の使用**
   + **[すべてのアカウントについて有効にする]** を選択します。これにより、 AWS 組織に参加する新しいアカウントを含め、組織内のすべてのアクティブな GuardDuty アカウントの保護プランが有効になります。
   + **[保存]** を選択します。

****[アカウントを手動で設定]** の使用**
   + 委任 GuardDuty 管理者アカウントでのみ保護プランを有効にするには、**[アカウントを手動で設定]** を選択します。
   + **[委任 GuardDuty 管理者 (このアカウント)]** セクションで **[有効にする]** を選択します。
   + **[保存]** を選択します。

------
#### [ API/CLI ]

ユーザー独自のリージョンレベルのディテクター ID を使用し、`features` オブジェクト `name` を `EKS_AUDIT_LOGS` として、`status` を `ENABLED` または `DISABLED` として渡して、[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateDetector.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateDetector.html) API オペレーションを実行します。

アカウントと現在のリージョンの `detectorId` を検索するには、[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) コンソールの **[設定]** ページを参照するか、[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API を実行します。

次の AWS CLI コマンドを実行して、EKS 監査ログのモニタリングを有効または無効にできます。必ず委任 GuardDuty 管理者アカウントの有効な*ディテクター ID* を使用してください。

**注記**  
次のサンプルコードは EKS 監査ログのモニタリングを有効にします。*12abc34d567e8fa901bc2d34e56789f0* を`detector-id`委任 GuardDuty 管理者アカウントの に、*555555555555* AWS アカウント を委任 GuardDuty 管理者アカウントの に置き換えてください。

アカウントと現在のリージョンの `detectorId` を検索するには、[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) コンソールの **[設定]** ページを参照するか、[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API を実行します。

```
aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name": "EKS_AUDIT_LOGS", "Status": "ENABLED"}]'
```

EKS 監査ログモニタリングを無効にするには、`ENABLED` を `DISABLED` に置き換えます。

------

## すべてのメンバーアカウントの EKS 監査ログのモニタリングを自動で有効にする
<a name="k8s-autoenable"></a>

任意のアクセス方法を選択して、組織内の既存のメンバーアカウントの EKS 監査ログのモニタリングを有効にします。

------
#### [ Console ]

1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) で GuardDuty コンソールを開きます。

   必ず委任 GuardDuty 管理者アカウントの認証情報を使用してください。

1. 次のいずれかを行います。

****[EKS Protection]** ページの使用**

   1. ナビゲーションペインで、**[EKS Protection]** を選択します。

   1. **[設定]** タブでは、組織内のアクティブなメンバーアカウントの EKS 監査ログのモニタリングの現在のステータスを確認できます。

      EKS 監査ログモニタリング設定を更新するには、**[編集]** を選択します。

   1. **[すべてのアカウントについて有効にする]** を選択します。このアクションにより、組織内の既存のアカウントと新しいアカウントの両方について EKS 監査ログモニタリングが自動的に有効になります。

   1. **[保存]** を選択します。
**注記**  
メンバーアカウントの設定を更新するには、最大 24 時間かかる場合があります。

****[アカウント]** ページの使用**

   1. ナビゲーションペインで、**[Accounts]** (アカウント) を選択します。

   1. **[アカウント]** ページで、**[招待によるアカウントの追加]** の前に **[自動有効化]** の詳細設定を選択します。

   1. **[自動有効化の詳細設定を管理]** ウィンドウで、**[EKS 監査ログモニタリング]** の下の **[すべてのアカウントについて有効にする]** を選択します。

   1. **[保存]** を選択します。

   **[すべてのアカウントについて有効にする]** オプションを使用できず、組織内の特定のアカウントのために EKS 監査ログモニタリング設定をカスタマイズする場合は、「[メンバーアカウントの EKS 監査ログのモニタリングを選択的に有効または無効にする](#k8s-enable-disable-selective-members-org)」を参照してください。

------
#### [ API/CLI ]
+ メンバーアカウントの EKS 監査ログのモニタリングを選択的に有効または無効にするには、自分の*ディテクター ID* を使用し、[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMemberDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMemberDetectors.html) API オペレーションを呼び出します。
+ 次の例では、単一のメンバーアカウントで EKS 監査ログのモニタリングを有効にする方法を示しています。無効にするには、`ENABLED` を `DISABLED` に置き換えます。

  アカウントと現在のリージョンの `detectorId` を検索するには、[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) コンソールの **[設定]** ページを参照するか、[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API を実行します。

  ```
  aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"name": "EKS_AUDIT_LOGS", "status": "ENABLED"}]'
  ```
**注記**  
スペースで区切られたアカウント ID のリストを渡すこともできます。
+ コードが正常に実行されると、`UnprocessedAccounts` の空のリストが返されます。アカウントのディテクター設定を変更する際に問題が発生した場合は、そのアカウント ID と問題の概要が表示されます。

------

## すべての既存のアクティブなメンバーアカウントのために EKS 監査ログモニタリングを有効にする
<a name="enable-for-all-existing-members-eks-audit-log"></a>

任意のアクセス方法を選択して、組織内のすべての既存のアクティブなメンバーアカウントの EKS 監査ログのモニタリングを有効にします。

------
#### [ Console ]

1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) で GuardDuty コンソールを開きます。

   委任 GuardDuty 管理者アカウントの認証情報を使用してサインインします。

1. ナビゲーションペインで、**[EKS Protection]** を選択します。

1. **[EKS Protection]** ページでは、**[GuardDuty が開始するマルウェアスキャン]** 設定の現在のステータスを表示できます。**[アクティブなメンバーアカウント]** セクションで、**[アクション]** を選択します。

1. **[アクション]** ドロップダウンメニューから、**[すべての既存のアクティブなメンバーアカウントについて有効にする]** を選択します。

1. **[保存]** を選択します。

------
#### [ API/CLI ]
+ メンバーアカウントの EKS 監査ログのモニタリングを選択的に有効または無効にするには、自分の*ディテクター ID* を使用し、[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMemberDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMemberDetectors.html) API オペレーションを呼び出します。
+ 次の例では、単一のメンバーアカウントで EKS 監査ログのモニタリングを有効にする方法を示しています。無効にするには、`ENABLED` を `DISABLED` に置き換えます。

  アカウントと現在のリージョンの `detectorId` を検索するには、[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) コンソールの **[設定]** ページを参照するか、[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API を実行します。

  ```
  aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"name": "EKS_AUDIT_LOGS", "status": "ENABLED"}]'
  ```
**注記**  
スペースで区切られたアカウント ID のリストを渡すこともできます。
+ コードが正常に実行されると、`UnprocessedAccounts` の空のリストが返されます。アカウントのディテクター設定を変更する際に問題が発生した場合は、そのアカウント ID と問題の概要が表示されます。

------

## 新しいメンバーアカウントの EKS 監査ログのモニタリングを自動で有効にする
<a name="k8s-auto-enable-new-member-org"></a>

新しく追加されたメンバーアカウントは、GuardDuty が開始するマルウェアスキャンの設定を選択する前に GuardDuty を **[有効にする]** 必要があります。招待によって管理されるメンバーアカウントは、各自でアカウントに GuardDuty 実行型マルウェアスキャンを手動で設定できます。詳細については、「[Step 3 - Accept an invitation](guardduty_become_console.md#guardduty_accept_invite_proc)」を参照してください。

任意のアクセス方法を選択して、組織に参加する新規アカウントの EKS 監査ログのモニタリングを有効にします。

------
#### [ Console ]

委任 GuardDuty 管理者アカウントは、**[EKS 監査ログのモニタリング]** または **[アカウント]** のいずれかのページを使用して、組織内の新しいメンバーアカウントのために EKS 監査ログのモニタリングを有効にすることができます。

**新しいメンバーアカウントの EKS 監査ログのモニタリングを自動で有効にするには**

1. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) で GuardDuty コンソールを開きます。

   必ず委任 GuardDuty 管理者アカウントの認証情報を使用してください。

1. 次のいずれかを行います。
   + **[EKS Protection]** ページを使用する場合:

     1. ナビゲーションペインで、**[EKS Protection]** を選択します。

     1. **[EKS Protection]** ページで、**[EKS 監査ログモニタリング]** の **[編集]** を選択します。

     1. **[アカウントを手動で設定]** を選択します。

     1. **[新しいメンバーアカウントについて自動的に有効にする]** を選択します。このステップにより、新しいアカウントが組織に参加するたびに、そのアカウントのために EKS 監査ログモニタリングが自動的に有効になります。この設定を変更できるのは、組織の委任 GuardDuty 管理者アカウントだけです。

     1. **[保存]** を選択します。
   + **[Accounts]** (アカウント) ページを使用する場合:

     1. ナビゲーションペインで、**[Accounts]** (アカウント) を選択します。

     1. **[アカウント]** ページで、**[自動有効化]** 設定を選択します。

     1. **[自動有効化の詳細設定を管理]** ウィンドウで、**[EKS 監査ログモニタリング]** の下の **[新しいアカウントについて有効にする]** を選択します。

     1. **[保存]** を選択します。

------
#### [ API/CLI ]
+ 新しいアカウントの EKS 監査ログのモニタリングを選択的に有効または無効にするには、自分の*ディテクター ID* を使用し、[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateOrganizationConfiguration.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateOrganizationConfiguration.html) API オペレーションを実行します。
+ 次の例では、組織に参加する新規メンバーの EKS 監査ログのモニタリングを有効にする方法を示しています。スペースで区切られたアカウント ID のリストを渡すこともできます。

  アカウントと現在のリージョンの `detectorId` を検索するには、[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) コンソールの **[設定]** ページを参照するか、[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API を実行します。

  ```
  aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --auto-enable --features '[{"Name": "EKS_AUDIT_LOGS", "AutoEnable": "NEW"}]'
  ```

------

## メンバーアカウントの EKS 監査ログのモニタリングを選択的に有効または無効にする
<a name="k8s-enable-disable-selective-members-org"></a>

任意のアクセス方法を選択して、組織内の選択的メンバーアカウントの EKS 監査ログのモニタリングを有効または無効にします。

------
#### [ Console ]

1. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) で GuardDuty コンソールを開きます。

   必ず委任 GuardDuty 管理者アカウントの認証情報を使用してください。

1. ナビゲーションペインで、**[Accounts]** (アカウント) を選択します。

   **[アカウント]** ページで、**[EKS 監査ログのモニタリング]** 列でメンバーアカウントのステータスを確認します。

1. 

**EKS 監査ログのモニタリングを有効または無効にするには**

   EKS 監査ログのモニタリング用に設定するアカウントを選択します。一度に複数のアカウントを選択できます。**[保護プランの編集]** ドロップダウンで **[EKS 監査ログのモニタリング]** を選択し、適切なオプションを選択します。

------
#### [ API/CLI ]

メンバーアカウントの EKS 監査ログのモニタリングを選択的に有効または無効にするには、自身の*ディテクター ID* を使用し、[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMemberDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMemberDetectors.html) API オペレーションを呼び出します。

次の例では、単一のメンバーアカウントで EKS 監査ログのモニタリングを有効にする方法を示しています。無効にするには、`ENABLED` を `DISABLED` に置き換えます。スペースで区切られたアカウント ID のリストを渡すこともできます。

アカウントと現在のリージョンの `detectorId` を検索するには、[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) コンソールの **[設定]** ページを参照するか、[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API を実行します。

```
aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --accountids 111122223333 --features '[{"Name": "EKS_AUDIT_LOGS", "Status": "ENABLED"}]'
```

------