翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# を使用した GuardDuty アカウントの管理 AWS Organizations
<a name="guardduty_organizations"></a>

 AWS 組織では、管理アカウントは、この組織内の任意のアカウントを委任 GuardDuty 管理者アカウントとして指定できます。この管理者アカウントでは、GuardDuty は現在の でのみ自動的に有効になります AWS リージョン。デフォルトでは、管理者アカウントは、そのリージョン内の組織のすべてのメンバーアカウントに対して GuardDuty を有効化および管理できます。管理者アカウントは、この AWS 組織を表示してメンバーを追加できます。

以下のセクションでは、委任 GuardDuty 管理者アカウントとして実行できるさまざまなタスクについて説明します。

**Topics**
+ [で GuardDuty を使用する際の考慮事項と推奨事項 AWS Organizations](#delegated_admin_important)
+ [委任 GuardDuty 管理者アカウントの指定に必要な許可](organizations_permissions.md)
+ [委任 GuardDuty 管理者アカウントの指定](delegated-admin-designate.md)
+ [組織の自動有効化の詳細設定の指定](set-guardduty-auto-enable-preferences.md)
+ [組織へのメンバーの追加](add-member-accounts-guardduty-organization.md)
+ [(オプション) 既存のメンバーアカウントの保護プランの有効化](guardduty_quick_protection_plan_config.md)
+ [GuardDuty 内でのメンバーアカウントの継続的管理](maintaining-guardduty-organization-delegated-admin.md)
+ [メンバーアカウントの GuardDuty の停止](suspending-guardduty-member-account-from-admin.md)
+ [管理者アカウントからのメンバーアカウントの関連付け解除 (削除)](disassociate-remove-member-account-from-admin.md)
+ [GuardDuty 組織からのメンバーアカウントの削除](delete-member-accounts-guardduty-organization.md)
+ [委任 GuardDuty 管理者アカウントの変更](change-guardduty-delegated-admin.md)

## で GuardDuty を使用する際の考慮事項と推奨事項 AWS Organizations
<a name="delegated_admin_important"></a>

以下の考慮事項と推奨事項は、委任 GuardDuty 管理者アカウントが GuardDuty でどのように機能するかを理解するのに役立ちます。

**委任 GuardDuty 管理者アカウントは、最大 50,000 のメンバーを管理することができます。**  
委任 GuardDuty 管理者アカウント 1 つあたりのメンバーアカウント数は 50,000 件までとされています。これには、 を通じて追加されたメンバーアカウント AWS Organizations 、または GuardDuty 管理者アカウントの組織への招待を受け入れたメンバーアカウントが含まれます。ただし、 AWS 組織内に 50,000 を超えるアカウントが存在する可能性があります。  
メンバーアカウントの上限である 50,000 を超えると、CloudWatch から通知が送信され Health Dashboard、指定された委任 GuardDuty 管理者アカウントに E メールが送信されます。

**委任 GuardDuty 管理者アカウントはリージョン別です。**  
GuardDuty とは異なり AWS Organizations、GuardDuty はリージョン別サービスです。 GuardDuty 委任 GuardDuty 管理者アカウントとそのメンバーアカウントは、GuardDuty が有効になっている各希望するリージョン AWS Organizations で、 を介して追加する必要があります。組織の管理アカウントが米国東部 (バージニア北部) のみで委任 GuardDuty 管理者アカウントを指定している場合、委任 GuardDuty 管理者アカウントは、そのリージョンの組織に追加されたメンバーアカウントのみを管理します。GuardDuty が利用可能なリージョンの同等の機能の詳細については、「[リージョンとエンドポイント](guardduty_regions.md)」を参照してください。

**オプトインリージョンの特殊なケース**  
+ 委任 GuardDuty 管理者アカウントがオプトインリージョンをオプトアウトした場合、組織の GuardDuty の自動有効化設定が新しいメンバーアカウントのみ (`NEW`) またはすべてのメンバーアカウント (`ALL`) に設定されている場合でも、現在 GuardDuty が無効になっている組織内のメンバーアカウントの GuardDuty を有効にすることはできません。メンバーアカウントの設定に関する情報を確認するには、[GuardDuty コンソール](https://console.aws.amazon.com/guardduty/)のナビゲーションペインの **[アカウント]** を開くか、[ListMembers](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListMembers.html) API を使用します。
+ GuardDuty の自動有効化設定を `NEW` に設定して使用するときは、次の順序が守られていることを確認してください。

  1. メンバーアカウントがオプトインリージョンにオプトインします。

  1.  AWS Organizationsで組織にメンバーアカウントを追加します。

  これらのステップの順序を変更すると、メンバーアカウントが組織にとって新規ではなくなるため、`NEW` の GuardDuty の自動有効化設定は特定のオプトインリージョンで機能**しません**。GuardDuty では 2 つの代替ソリューションがあります。
  + GuardDuty の自動有効化設定を `ALL` に設定します。これには、新規と既存のメンバーアカウントが含まれます。この場合、これらのステップの順序は関係ありません。
  + メンバーアカウントが既に組織の一部である場合は、GuardDuty コンソールまたは API を使用して、特定のオプトインリージョンでこのアカウントの GuardDuty の設定を個別に管理します。

** AWS 組織がすべての で同じ委任 GuardDuty 管理者アカウントを持つために必要です AWS リージョン。**  
GuardDuty が有効になっているすべての AWS リージョン で 1 つのメンバーアカウントを委任 GuardDuty 管理者アカウントとして指定する必要があります。例えば、*欧州 (アイルランド)* でメンバーアカウント *111122223333* を指定する場合、*カナダ (中部)* で別のメンバーアカウント *555555555555* を指定することはできません。他のすべてのリージョンで委任 GuardDuty 管理者アカウントと同じアカウントを使用する必要があります。  
任意の時点で新しい委任 GuardDuty 管理者アカウントを指定できます。既存の委任 GuardDuty 管理者アカウントの削除の詳細については、「[委任 GuardDuty 管理者アカウントの変更](change-guardduty-delegated-admin.md)」を参照してください。

**組織の管理アカウントを委任 GuardDuty 管理者アカウントとして設定することは推奨されません。**  
組織の管理アカウントは、委任 GuardDuty 管理者アカウントになることができます。ただし、 AWS  のセキュリティのベストプラクティスは最小特権の原則に従っており、この設定は推奨されていません。

**委任 GuardDuty 管理者アカウントを変更しても、メンバーアカウントの GuardDuty は無効になりません。**  
委任 GuardDuty 管理者アカウントを削除すると、GuardDuty はこの委任 GuardDuty 管理者アカウントに関連付けられているすべてのメンバーアカウントを削除します。GuardDuty は、これらすべてのメンバーアカウントのために引き続き有効になっています。

# 委任 GuardDuty 管理者アカウントの指定に必要な許可
<a name="organizations_permissions"></a>

で Amazon GuardDuty の使用を開始するには AWS Organizations、組織の AWS Organizations 管理アカウントが アカウントを委任 GuardDuty 管理者アカウントとして指定します。これにより、GuardDuty を信頼されたサービスとして有効にします AWS Organizations。また、委任 GuardDuty 管理者アカウントの GuardDuty が有効になり、委任管理者アカウントが現在のリージョンの組織内の他のアカウントの GuardDuty を有効化および管理できるようになります。これらのアクセス許可の付与方法については、[「 AWS Organizations を他の AWS サービスで使用する](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html)」を参照してください。

 AWS Organizations 管理アカウントとして、組織の委任 GuardDuty 管理者アカウントを指定する前に、次の GuardDuty アクションを実行できることを確認します: `guardduty:EnableOrganizationAdminAccount`。このアクションにより、GuardDuty を使用して組織の委任 GuardDuty 管理者アカウントを指定できます。また、組織に関する情報を取得するのに役立つ AWS Organizations アクションを実行できることを確認する必要があります。

これらのアクセス許可を付与するには、アカウントの AWS Identity and Access Management (IAM) ポリシーに次のステートメントを含めます。

```
{
    "Sid": "PermissionsForGuardDutyAdmin",
    "Effect": "Allow",
    "Action": [
        "guardduty:EnableOrganizationAdminAccount",
        "organizations:EnableAWSServiceAccess",
        "organizations:RegisterDelegatedAdministrator",
        "organizations:ListDelegatedAdministrators",
        "organizations:ListAWSServiceAccessForOrganization",
        "organizations:DescribeOrganizationalUnit",
        "organizations:DescribeAccount",
        "organizations:DescribeOrganization",
        "organizations:ListAccounts"
    ],
    "Resource": "*"
}
```

 AWS Organizations 管理アカウントを委任 GuardDuty 管理者アカウントとして指定する場合、アカウントには IAM アクション も必要です`CreateServiceLinkedRole`。このアクションにより、管理アカウントの GuardDuty を初期化できます。ただし、許可の追加に進む前に、「[で GuardDuty を使用する際の考慮事項と推奨事項 AWS Organizations](guardduty_organizations.md#delegated_admin_important)」を確認してください。

管理アカウントを委任 GuardDuty 管理者アカウントとして指定し続けるには、IAM ポリシーに次のステートメントを追加し、*111122223333* を組織の管理アカウントの AWS アカウント ID に置き換えます。

```
{
	"Sid": "PermissionsToEnableGuardDuty"
	"Effect": "Allow",
	"Action": [
		"iam:CreateServiceLinkedRole"
	],
	"Resource": "arn:aws:iam::111122223333:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty",
	"Condition": {
		"StringLike": {
			"iam:AWSServiceName": "guardduty.amazonaws.com"
		}
	}
}
```

# 委任 GuardDuty 管理者アカウントの指定
<a name="delegated-admin-designate"></a>

このセクションでは、GuardDuty 組織の委任管理者を指定する手順について説明します。

 AWS 組織の管理アカウントとして、委任 GuardDuty 管理者アカウントの運用方法[考慮事項とレコメンデーション](guardduty_organizations.md#delegated_admin_important)に関する を必ずお読みください。続行する前に、[委任 GuardDuty 管理者アカウントの指定に必要な許可](organizations_permissions.md)があることを確認してください。

任意のアクセス方法を選択して、組織の委任 GuardDuty 管理者アカウントを指定します。管理アカウントのみがこの手順を実行できます。

------
#### [ Console ]

1. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) で GuardDuty コンソールを開きます。

   サインインするには、 AWS Organizations 組織の管理アカウントの認証情報を使用します。

1. ページの右上隅にある AWS リージョン セレクターを使用して、組織の委任 GuardDuty 管理者アカウントを指定するリージョンを選択します。

1. GuardDuty が現在のリージョンで管理アカウントに対して有効化されているかどうかに応じて、次のいずれかを実行します。
   + GuardDuty が有効になっていない場合は、**[Amazon GuardDuty - すべての機能]** を選択し、**[今すぐ始める]** を選択します。このアクションにより、**[GuardDuty にようこそ]** ページに移動します。
   + GuardDuty が有効化されている場合は、ナビゲーションペインの **[設定]** を選択します。

1. **委任管理者**に、組織の委任 GuardDuty 管理者アカウントとして指定するアカウントの 12 桁の AWS アカウント ID を入力します。

   新しく指定された委任 GuardDuty 管理者アカウントで GuardDuty を必ず有効にしてください。有効にしないと、アクションを実行できなくなります。

1. **[委任]** を選択します。

1. (推奨) 上記のステップを繰り返して、GuardDuty が有効になってい AWS リージョン る各 で委任 GuardDuty 管理者アカウントを指定します。

------
#### [ API/CLI ]

1. 組織の管理アカウントの AWS アカウント の認証情報[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_EnableOrganizationAdminAccount.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_EnableOrganizationAdminAccount.html)を使用して を実行します。
   + または、 AWS Command Line Interface を使用してこれを行うことができます。次の AWS CLI コマンドは、現在のリージョンの委任 GuardDuty 管理者アカウントのみを指定します。次の AWS CLI コマンドを実行し、*111111111111* を委任 GuardDuty 管理者アカウントとして指定するアカウントの AWS アカウント ID に置き換えます。

     ```
     aws guardduty enable-organization-admin-account --admin-account-id 111111111111
     ```

     他のリージョンの委任 GuardDuty 管理者アカウントを指定するには、 AWS CLI コマンドでリージョンを指定します。次の例では、米国西部 (オレゴン) で委任 GuardDuty 管理者アカウントを有効にする方法を示します。*us-west-2* を、委任 GuardDuty 管理者アカウントを割り当てるリージョンに置き換えてください。

     ```
     aws guardduty enable-organization-admin-account --admin-account-id 111111111111 --region us-west-2
     ```

     GuardDuty AWS リージョン が利用可能な の詳細については、「」を参照してください[リージョンとエンドポイント](guardduty_regions.md)。

   委任 GuardDuty 管理者アカウントに対して GuardDuty が無効になっている場合、いかなるアクションも実行できません。まだ有効にしていない場合は、新しく指定された委任 GuardDuty 管理者アカウントのために GuardDuty を必ず有効にしてください。

1. (推奨) 上記のステップを繰り返して、GuardDuty が有効になってい AWS リージョン る各 で委任 GuardDuty 管理者アカウントを指定します。

------

# 組織の自動有効化の詳細設定の指定
<a name="set-guardduty-auto-enable-preferences"></a>

GuardDuty の組織の自動有効化機能では、組織内の `ALL` の既存または `NEW` のメンバーアカウントに対して同じ GuardDuty および保護プランのステータスを 1 つのステップで設定できます。同様に、`NONE` を選択して、メンバーアカウントに対してアクションを実行したくない場合を指定することもできます。次のステップでは、これらの設定について説明し、特定の設定を使用する状況も示します。

**注記**  
[S3 向けのマルウェア防御](gdu-malware-protection-s3.md) を除くすべての保護プランに対して自動有効化の設定を行うことができます。

任意のアクセス方法を選択して、組織の自動有効化の詳細設定を更新します。

------
#### [ Console ]

1. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) で GuardDuty コンソールを開きます。

   サインインするには、GuardDuty 管理者アカウントの認証情報を使用します。

1. ナビゲーションペインで、**[Accounts]** (アカウント) を選択します。

   **[アカウント]** ページでは、GuardDuty 管理者アカウントは、組織に属するメンバーアカウントのために GuardDuty とオプションの保護プランを **[自動有効化]** するための設定オプションを使用できます。

1. 既存の自動有効化設定を更新するには、**[編集]** を選択します。  
![\[[編集] を選択して、組織内のメンバーアカウントに代わって自動有効化設定を更新します。\]](http://docs.aws.amazon.com/ja_jp/guardduty/latest/ug/images/accounts-auto-enable-1-console.png)

   このサポートは、GuardDuty と でサポートされているすべてのオプション保護プランを設定するために利用できます AWS リージョン。メンバーアカウントのために、GuardDuty の次の設定オプションのいずれかを選択できます。
   + **[すべてのアカウントについて有効にする] (`ALL`)** – 組織内のすべてのアカウントのために、対応するオプションを有効にする場合に選択します。これには、組織に参加した新しいアカウントと、組織から一時停止または削除された可能性のあるアカウントが含まれます。これには、委任 GuardDuty 管理者アカウントも含まれます。
**注記**  
すべてのメンバーアカウントの設定を更新するには、最大 24 時間かかる場合があります。
   + **[新しいアカウントの自動有効化] (`NEW`)** – 新しいメンバーアカウントが組織に参加したときに、それらのアカウントのために GuardDuty またはオプションの保護プランを自動的に有効にする場合に選択します。
   + **[有効にしない] (`NONE`)** – 組織内の新しいアカウントのために、対応するオプションを有効にしない場合に選択します。この場合、GuardDuty 管理者アカウントは各アカウントを個別に管理します。

     自動有効化設定を `ALL` または `NEW` から `NONE` に更新しても、このアクションは既存のアカウントの対応するオプションを無効にしません。この設定は、組織に参加する新しいアカウントに適用されます。自動有効化設定を更新すると、対応するオプションが有効になっている新しいアカウントはなくなります。
**注記**  
委任 GuardDuty 管理者アカウントがオプトインリージョンをオプトアウトした場合、組織の GuardDuty の自動有効化設定が新しいメンバーアカウントのみ (`NEW`) またはすべてのメンバーアカウント (`ALL`) に設定されている場合でも、現在 GuardDuty が無効になっている組織内のメンバーアカウントの GuardDuty を有効にすることはできません。メンバーアカウントの設定に関する情報を確認するには、[GuardDuty コンソール](https://console.aws.amazon.com/guardduty/)のナビゲーションペインの **[アカウント]** を開くか、[ListMembers](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListMembers.html) API を使用します。

1. **[Save changes]** (変更の保存) をクリックします。

1. (オプション) 各リージョンで同じ詳細設定を使用する場合は、サポートされている各リージョンで個別に詳細設定を更新します。

   一部のオプションの保護プランは、GuardDuty AWS リージョン が利用可能なすべての で利用できない場合があります。詳細については、「[リージョンとエンドポイント](guardduty_regions.md)」を参照してください。

------
#### [ API/CLI ]

1. 委任 GuardDuty 管理者アカウントの認証情報を使用して [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateOrganizationConfiguration.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateOrganizationConfiguration.html) を実行し、組織のそのリージョンの GuardDuty とオプションの保護プランを自動的に設定します。さまざまな自動有効化の設定については、「[autoEnableOrganizationMembers](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateOrganizationConfiguration.html#guardduty-UpdateOrganizationConfiguration-request-autoEnableOrganizationMembers)」を参照してください。

   アカウントと現在のリージョンの `detectorId` を検索するには、[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) コンソールの **[設定]** ページを参照するか、[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API を実行します。

   リージョンでサポートされているオプションの保護プランの自動有効化の設定を行うには、各保護プランの対応するドキュメントセクションに記載されているステップに従ってください。

1. 現在のリージョンで組織の詳細設定を検証できます。[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DescribeOrganizationConfiguration.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DescribeOrganizationConfiguration.html) を実行します。委任 GuardDuty 管理者アカウントのディテクター ID を必ず指定してください。
**注記**  
すべてのメンバーアカウントの設定を更新するには、最大 24 時間かかる場合があります。

1. または、次の AWS CLI コマンドを実行して、組織に参加する新しいアカウント (`NEW`)、すべてのアカウント ()、`ALL`または組織内のすべてのアカウント (`NONE`) に対して、そのリージョンで GuardDuty を自動的に有効または無効にする設定を行います。詳細については、「[autoEnableOrganizationMembers](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateOrganizationConfiguration.html#guardduty-UpdateOrganizationConfiguration-request-autoEnableOrganizationMembers)」を参照してください。必要に応じて、`NEW` を `ALL` または `NONE` に置き換える必要がある場合があります。`ALL` で保護プランを設定すると、委任 GuardDuty 管理者アカウントの保護プランも有効になります。組織の設定を管理する委任 GuardDuty 管理者アカウントのディテクター ID を必ず指定してください。

   アカウントと現在のリージョンの `detectorId` を検索するには、[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) コンソールの **[設定]** ページを参照するか、[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API を実行します。

   ```
   aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --auto-enable-organization-members=NEW
   ```

1. 現在のリージョンで組織の詳細設定を検証できます。委任 GuardDuty 管理者アカウントのディテクター ID を使用して、次の AWS CLI コマンドを実行します。

   ```
   aws guardduty describe-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0
   ```

(推奨) 委任 GuardDuty 管理者アカウントのディテクター ID を使用して、各リージョンで前のステップを繰り返します。

**注記**  
委任 GuardDuty 管理者アカウントがオプトインリージョンをオプトアウトした場合、組織の GuardDuty の自動有効化設定が新しいメンバーアカウントのみ (`NEW`) またはすべてのメンバーアカウント (`ALL`) に設定されている場合でも、現在 GuardDuty が無効になっている組織内のメンバーアカウントの GuardDuty を有効にすることはできません。メンバーアカウントの設定に関する情報を確認するには、[GuardDuty コンソール](https://console.aws.amazon.com/guardduty/)のナビゲーションペインの **[アカウント]** を開くか、[ListMembers](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListMembers.html) API を使用します。

------

# 組織へのメンバーの追加
<a name="add-member-accounts-guardduty-organization"></a>

委任 GuardDuty 管理者アカウントとして、GuardDuty 組織に 1 AWS アカウント つ以上の を追加できます。GuardDuty メンバーとしてアカウントを追加すると、そのリージョンで GuardDuty が自動的に有効になります。組織管理アカウントには例外があります。管理アカウントアカウントを GuardDuty メンバーとして追加する前に、GuardDuty を有効にする必要があります。

任意の方法を選択して、GuardDuty 組織にメンバーアカウントを追加します。

------
#### [ Console ]

1. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) で GuardDuty コンソールを開きます。

   サインインするには、委任 GuardDuty 管理者アカウントの認証情報を使用します。

1. ナビゲーションペインで、**[Accounts]** (アカウント) を選択します。

   アカウントテーブルには、アクティブ (停止されていない AWS アカウント) で、委任 GuardDuty 管理者アカウントに関連付けられている可能性のあるすべてのメンバーアカウントが表示されます。メンバーアカウントが組織の管理者アカウントに関連付けられている場合、**[タイプ]** は **[Organizations 経由]** または **[招待による]** のいずれかになります。メンバーアカウントが組織の GuardDuty 管理者アカウントに関連付けられていない場合、このメンバーアカウントの **[タイプ]** は **[メンバーではありません]** になります。

1. メンバーとして追加する 1 つまたは複数のアカウント ID を選択します。これらのアカウント ID の **[タイプ]** は **[Organizations 経由]** である必要があります。

   招待を通じて追加されたアカウントは、組織の一部ではありません。このようなアカウントは個別に管理できます。詳細については、「[招待によるアカウントの管理](guardduty_invitations.md)」を参照してください。

1. **[アクション]** ドロップダウンを選択し、**[メンバーを追加]** を選択します。このアカウントをメンバーとして追加すると、GuardDuty の自動有効化の設定が適用されます。[組織の自動有効化の詳細設定の指定](set-guardduty-auto-enable-preferences.md) の設定に基づいて、これらのアカウントの GuardDuty 設定が変更される場合があります。

1. **[ステータス]** 列の下矢印を選択して **[メンバーではありません]** のステータスでアカウントをソートし、現在のリージョンで GuardDuty が有効になっていない各アカウントを選択できます。

   アカウントテーブルにリストされているいずれのアカウントも、まだメンバーとして追加されていない場合は、現在のリージョンですべての組織アカウントのために GuardDuty を有効にすることができます。ページ上部のバナーで **[有効にする]** を選択します。このアクションにより、GuardDuty の **[自動有効化]** の設定が自動的にオンになり、組織に参加する新しいアカウントのために GuardDuty が有効になります。

1. アカウントをメンバーとして追加するには、**[確認]** を選択します。また、このアクションにより、選択したすべてのアカウントのために GuardDuty が有効になります。アカウントの **[ステータス]** が **[有効]** に変わります。

1. (推奨) 各ステップでこれらのステップを繰り返します AWS リージョン。これにより、委任 GuardDuty 管理者アカウントは、GuardDuty が有効になっているすべてのリージョンのメンバーアカウントの検出結果や他の設定を管理できるようになります。

   自動有効化機能は、組織の将来のメンバー全員に対して GuardDuty を有効にします。これにより、委任 GuardDuty 管理者アカウントは、組織内で作成された、または組織に追加された新しいメンバーを管理できます。メンバーアカウント数が 50,000 の上限に達すると、自動有効化機能は自動的にオフになります。メンバーアカウントを削除し、メンバーの総数が 50,000 未満になると、自動有効化機能が再度オンになります。

------
#### [ API/CLI ]
+ 委任 GuardDuty 管理者アカウントの認証情報を使用して [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateMembers.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateMembers.html) を実行します。

  委任 GuardDuty 管理者アカウントのリージョンディテクター ID と、GuardDuty メンバーとして追加するアカウントのアカウント詳細 (AWS アカウント IDs と対応する E メールアドレス) を指定する必要があります。この API オペレーションを使用して 1 名以上のメンバーを作成できます。

  組織で CreateMembers を実行する場合、新しいメンバーアカウントが組織に参加すると、新規メンバー用の自動有効化の詳細設定が適用されます。既存のメンバーアカウントで CreateMembers を実行すると、組織設定は既存のメンバーにも適用されます。これにより、既存のメンバーアカウントの現在の設定が変更される場合があります。

  *AWS Organizations API リファレンス*[https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListAccounts.html](https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListAccounts.html)で を実行して、 AWS 組織内のすべてのアカウントを表示します。
  + または、 を使用することもできます AWS Command Line Interface。次の  AWS CLI  コマンドを実行し、必ず自分の有効なディテクター ID、 AWS アカウント  ID、およびアカウント ID に関連付けられたメールアドレスを使用してください。

    アカウントと現在のリージョンの `detectorId` を検索するには、[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) コンソールの **[設定]** ページを参照するか、[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API を実行します。

    ```
    aws guardduty create-members --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-details AccountId=111122223333,Email=guardduty-member-name@amazon.com         
    ```

    次の AWS CLI コマンドを実行して、すべての組織メンバーのリストを表示できます。

    ```
    aws organizations list-accounts
    ```

  このアカウントをメンバーとして追加すると、GuardDuty の自動有効化の設定が適用されます。

------

# (オプション) 既存のメンバーアカウントの保護プランの有効化
<a name="guardduty_quick_protection_plan_config"></a>

次の手順には、**[アカウント]** ページを使用して、既存のメンバーアカウントの保護プランを有効にする手順が含まれています。API または を使用してこれを行う手順については AWS CLI、特定の保護プランに関連するドキュメントを参照してください。

**[アカウント]** ページを通じて個々のアカウントのために保護プランを有効化できます。

1. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) で GuardDuty コンソールを開きます。

   委任 GuardDuty 管理者アカウントの認証情報を使用します。

1. ナビゲーションペインで、**[Accounts]** (アカウント) を選択します。

1. 保護プランを設定するアカウントを 1 つ以上選択します。設定する保護プランごとに次のステップを繰り返します。

   1. **[保護プランを編集]** を選択します。

   1. 保護プランのリストから、設定する保護プランを 1 つ選択します。

   1. この保護プランについて実行するいずれかのアクションを選択し、**[確認]** を選択します。

   1. 選択したアカウントについて、設定された保護プランに対応する列で、更新された設定が **[有効]** または **[無効]** として表示されます。

# GuardDuty 内でのメンバーアカウントの継続的管理
<a name="maintaining-guardduty-organization-delegated-admin"></a>

委任 GuardDuty 管理者アカウントには、サポートされている各 AWS リージョンの組織内のすべてのアカウントについて、GuardDuty とオプションの保護プランの設定を維持する責任があります。以下のセクションでは、GuardDuty またはオプションの保護プランの設定ステータスを維持するオプションについて説明します。

**各リージョンで組織全体の設定ステータスを維持するには**
+ **GuardDuty コンソールを使用して組織全体の自動有効化の詳細設定を指定する** – 組織内のすべて (`ALL`) のメンバーまたは組織に参加する新しい (`NEW`) メンバーに対して GuardDuty を自動的に有効化するか、組織内のいずれのメンバーでも自動有効化しない (`NONE`) ことを選択できます。

  また、GuardDuty 内の任意の保護プランに対して同じ設定または異なる設定を指定することもできます。

  組織内のすべてのメンバーアカウントの設定を更新するには、最大 24 時間かかる場合があります。
+ **API を使用して自動有効化の詳細設定を更新する** – [UpdateOrganizationConfiguration](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateOrganizationConfiguration.html) を実行して、組織の GuardDuty とそのオプションの保護プランを自動的に設定します。[CreateMembers](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateMembers.html) を実行して組織内に新しいメンバーアカウントを追加すると、構成された設定が自動的に適用されます。既存のメンバーアカウントで CreateMembers を実行すると、組織設定は既存のメンバーにも適用されます。これにより、既存のメンバーアカウントの現在の設定が変更される場合があります。

  組織内のすべてのアカウントを表示するには、「*AWS Organizations API Reference*」の [ListAccounts](https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListAccounts.html) を実行します。

**各リージョンで個別にメンバーアカウントの設定ステータスを維持するには**
+ 組織内のすべてのアカウントを表示するには、「*AWS Organizations API Reference*」の [ListAccounts](https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListAccounts.html) を実行します。
+ 選択したメンバーアカウントで異なる設定ステータスにしたい場合は、メンバーアカウントごとに [UpdateMemberDetectors](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMemberDetectors.html) を個別に実行します。

  GuardDuty コンソールを使用して **[アカウント]** ページに移動することにより、同じタスクを実行できます。

  コンソールまたは API を使用して個々のアカウントの保護プランを有効にする方法の詳細については、対応する保護プランの設定ページを参照してください。

# メンバーアカウントの GuardDuty の停止
<a name="suspending-guardduty-member-account-from-admin"></a>

委任 GuardDuty 管理者アカウントは、組織内のメンバーアカウントの GuardDuty サービスを停止できます。これを行った場合でも、メンバーアカウントは引き続き GuardDuty 組織に残ります。これらのメンバーアカウントの GuardDuty を後で再度有効にすることもできます。ただし、最終的にこのメンバーアカウントの関連付けを解除 (削除) する場合は、このセクションの手順に従った**後**に、「[管理者アカウントからのメンバーアカウントの関連付け解除 (削除)](disassociate-remove-member-account-from-admin.md)」の手順に従う必要があります。

メンバーアカウントで GuardDuty を停止すると、以下の変更が予想されます。
+ GuardDuty は AWS 環境のセキュリティをモニタリングしたり、新しい検出結果を生成したりしなくなりました。
+ メンバーアカウントの既存の検出結果はそのまま残ります。
+ GuardDuty が停止したメンバーアカウントでは、GuardDuty の料金は発生しません。

  メンバーアカウントがアカウントの 1 つ以上のバケットに対して Malware Protection for S3 を有効にしている場合、GuardDuty を停止しても、Malware Protection for S3 の設定には影響しません。メンバーアカウントでは、Malware Protection for S3 の使用コストが引き続き発生します。メンバーアカウントが Malware Protection for S3 の使用を停止するには、保護されたバケットのこの機能を無効にする必要があります。詳細については、「[保護されたバケットの Malware Protection for S3 の無効化](disable-malware-s3-protected-bucket.md)」を参照してください。

任意の方法を選択して、組織内のメンバーアカウントの GuardDuty を停止します。

------
#### [ Console ]

1. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) で GuardDuty コンソールを開きます。

   サインインするには、委任 GuardDuty 管理者アカウントの認証情報を使用します。

1. ナビゲーションペインで、**[Accounts]** (アカウント) を選択します。

1. アカウントページで、GuardDuty を停止するアカウントを 1 つ以上選択します。

1. **[アクション]** ドロップダウンメニューを選択し、**[GuardDuty の停止]** を選択します。

1. **[GuardDuty の停止]** を選択して、選択を確定します。

   これにより、メンバーアカウントの **[ステータス]** が **[無効 (停止)]** に変更されます。

   メンバーアカウントを関連付け解除または削除する追加のリージョンごとに、前述のステップを繰り返します。

------
#### [ API ]

1. GuardDuty を停止するメンバーアカウントのアカウント ID を取得するには、[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListMembers.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListMembers.html) API を使用します。リクエストには `OnlyAssociated` パラメータを含めます。このパラメータの値を `true` に設定した場合、GuardDuty は現在 GuardDuty メンバーであるアカウントのみの詳細を提供する `members` 配列を返します。

   または、 AWS Command Line Interface (AWS CLI) を使用して次のコマンドを実行できます。

   ```
   aws guardduty list-members --only-associated true --region us-east-1
   ```

   *us-east-1* は、このアカウントの GuardDuty を停止するリージョンに置き換えます。

1. 1 つ以上の GuardDuty メンバーアカウントを停止するには、[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_StopMonitoringMembers.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_StopMonitoringMembers.html) を実行してメンバーアカウントの GuardDuty を停止します。

   または、 AWS CLI を使用して次のコマンドを実行できます。

   ```
   aws guardduty stop-monitoring-members --detector-id 12abc34d567e8fa901bc2d34EXAMPLE --account-ids 111122223333 --region us-east-1
   ```

   *us-east-1* は、このアカウントを停止するリージョンに置き換えます。削除するアカウント ID のリストを使用する場合は、スペース文字で区切ります。

------

さらにこのメンバーアカウントの関連付けを解除 (削除) する場合は、「[管理者アカウントからのメンバーアカウントの関連付け解除 (削除)](disassociate-remove-member-account-from-admin.md)」の手順に従います。

# 管理者アカウントからのメンバーアカウントの関連付け解除 (削除)
<a name="disassociate-remove-member-account-from-admin"></a>

メンバーアカウントからの GuardDuty 設定の構成とデータへのアクセスを停止する場合は、そのアカウントを GuardDuty メンバーアカウントから削除します。これを行うには、GuardDuty 管理者アカウントからそのアカウントの関連付けを解除 (削除) します。

GuardDuty メンバーアカウントを解除すると、以下の処理が行われます。
+ GuardDuty は現在のアカウントで有効のままですが AWS リージョン、アカウントは委任 GuardDuty 管理者アカウントから関連付けが解除されます。
+ 関連付けが解除されたアカウントは、アカウントインベントリに引き続き表示されます。
+ GuardDuty 管理者アカウントは、このスタンドアロンアカウントの検出結果にアクセスできなくなりました。
+ アカウント所有者には、関連付けの解除について通知されません。

関連付けが解除されたアカウントは、後で組織に追加できます。

任意の方法を選択して、組織からメンバーアカウントを関連付け解除 (削除) します。

------
#### [ Console ]

1. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) で GuardDuty コンソールを開きます。

   サインインするには、委任 GuardDuty 管理者アカウントの認証情報を使用します。

1. ナビゲーションペインで、**[Accounts]** (アカウント) を選択します。

1. **[アカウント]** テーブルで、**[タイプ]** が **[Organizations 経由]**、**[ステータス]** が **[有効]** のアカウントを削除できます。

   同じ **[タイプ]** と **[ステータス]** のアカウントを 1 つ以上選択します。

1. **[アクション]** ドロップダウンメニューから、**[アカウントの関連付けを解除する]** を選択します。

1. **[アカウントの関連付けを解除する]** を選択して、選択を確定します。

1. 選択したアカウントの **[ステータス]** 値が **[メンバーではありません]** に変更されます。[アカウント] ページの右上隅にある **[Organizations 経由 (アクティブ / すべて)]** の数は、更新を反映して変更されます。

   メンバーアカウントの関連付けを解除する追加のリージョンごとに、前述のステップを繰り返します。

------
#### [ API ]

1. 削除するメンバーアカウントのアカウント ID を取得するには、[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListMembers.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListMembers.html) API を使用します。リクエストには `OnlyAssociated` パラメータを含めます。このパラメータの値を `true` に設定した場合、GuardDuty は現在 GuardDuty メンバーであるアカウントのみの詳細を提供する `members` 配列を返します。

   または、 AWS Command Line Interface (AWS CLI) を使用して次のコマンドを実行できます。

   ```
   aws guardduty list-members --only-associated true --region us-east-1
   ```

   *us-east-1* は、このアカウントを削除するリージョンに置き換えます。

1. 1 つ以上の GuardDuty メンバーアカウントを削除するには、[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DisassociateMembers.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DisassociateMembers.html) を実行して、管理者アカウントに関連付けられているメンバーアカウントを削除します。

   または、 AWS CLI を使用して次のコマンドを実行できます。

   ```
   aws guardduty disassociate-members --detector-id 12abc34d567e8fa901bc2d34EXAMPLE --account-ids 111122223333 --region us-east-1
   ```

   *us-east-1* は、このアカウントを削除するリージョンに置き換えます。削除するアカウント ID のリストを使用する場合は、スペース文字で区切ります。

------

# GuardDuty 組織からのメンバーアカウントの削除
<a name="delete-member-accounts-guardduty-organization"></a>

委任 GuardDuty 管理者アカウントとして、メンバーアカウントの関連付けを解除し、そのメンバーアカウントを GuardDuty 組織に保持する必要がなくなったら、そのメンバーアカウントを GuardDuty 組織から削除できます。このメンバーアカウントは、アカウントインベントリに表示されなくなります。ただし、このメンバーアカウントで GuardDuty が停止されていない場合は、GuardDuty と専用保護プランの設定は同じままです。このアカウントはスタンドアロンアカウントになり、[GuardDuty を無効にする](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_suspend-disable.html)ことができます。

このステップでは、 AWS 組織からメンバーアカウントは削除されません。

任意の方法を選択して、GuardDuty 組織からメンバーアカウントを削除します。

------
#### [ Console ]

1. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) で GuardDuty コンソールを開きます。

   サインインするには、委任 GuardDuty 管理者アカウントの認証情報を使用します。

1. ナビゲーションペインで、**[Accounts]** (アカウント) を選択します。

1. **[アカウント]** テーブルで、**[タイプ]** が **[Organizations 経由]**、**[ステータス]** が **[削除済み (関連付け解除)]** のアカウントを削除できます。

   同じ **[タイプ]** と **[ステータス]** のアカウントを 1 つ以上選択します。

1. **[アクション]** ドロップダウンメニューから **[アカウントの削除]** を選択します。

1. **[アカウントの削除]** を選択して、選択を確定します。選択したアカウントメンバーは、[アカウント] テーブルに表示されなくなります。

   このメンバーアカウントを削除する追加のリージョンごとに、前述のステップを繰り返します。

------
#### [ API/CLI ]

1. 削除するメンバーアカウントのアカウント ID を取得するには、[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListMembers.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListMembers.html) API を使用します。リクエストには `OnlyAssociated` パラメータを含めます。このパラメータの値を `false` に設定した場合、GuardDuty は現在関連付けが解除された GuardDuty メンバーであるアカウントのみの詳細を提供する `members` 配列を返します。

   または、 AWS Command Line Interface (AWS CLI) を使用して次のコマンドを実行できます。

   ```
   aws guardduty list-members --detector-id 12abc34d567e8fa901bc2d34EXAMPLE --only-associated="false" --region us-east-1
   ```

   *12abc34d567e8fa901bc2d34EXAMPLE* を委任 GuardDuty 管理者アカウントディテクター ID に置き換え、*us-east-1* をこのアカウントを削除するリージョンに置き換えます。

1. 1 つ以上の GuardDuty メンバーアカウントを削除するには、[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteMembers.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteMembers.html) を実行して、GuardDuty 組織からメンバーアカウントを削除します。

   または、 AWS CLI を使用して次のコマンドを実行できます。

   ```
   aws guardduty delete-members --detector-id 12abc34d567e8fa901bc2d34EXAMPLE --account-ids 111122223333 --region us-east-1
   ```

   *12abc34d567e8fa901bc2d34EXAMPLE* を委任 GuardDuty 管理者アカウントディテクター ID に置き換え、*us-east-1* をこのアカウントを削除するリージョンに置き換えます。削除するアカウント ID のリストを使用する場合は、スペース文字で区切ります。

------

# 委任 GuardDuty 管理者アカウントの変更
<a name="change-guardduty-delegated-admin"></a>

各リージョンで組織の委任 GuardDuty 管理者アカウントを削除し、各リージョンで新しい管理者を委任できます。リージョン内の組織のメンバーアカウントのセキュリティ体制を維持するには、そのリージョンに委任 GuardDuty 管理者アカウントが必要です。

**メモ**  
委任 GuardDuty 管理者アカウントを削除する前に、委任 GuardDuty 管理者アカウントに関連付けられているすべてのメンバーアカウントの関連付けを解除し、GuardDuty 組織から削除する必要があります。これらの手順の詳細については、次のドキュメントを参照してください。  
[管理者アカウントからのメンバーアカウントの関連付け解除 (削除)](disassociate-remove-member-account-from-admin.md)
[GuardDuty 組織からのメンバーアカウントの削除](delete-member-accounts-guardduty-organization.md)

## 既存の委任 GuardDuty 管理者アカウントの削除
<a name="remove-existing-guardduty-delegated-admin"></a>

**ステップ 1 - 各リージョンの既存の委任 GuardDuty 管理者アカウントを削除するには**

1. 既存の委任 GuardDuty 管理者アカウントとして、管理者アカウントに関連付けられているすべてのメンバーアカウントを一覧表示します。`OnlyAssociated=false` を使用して [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListMembers.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListMembers.html) を実行します。

1. GuardDuty またはオプションの保護プランの自動有効化の詳細設定が `ALL` に設定されている場合は、[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateOrganizationConfiguration.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateOrganizationConfiguration.html) を実行して組織設定を `NEW` または `NONE` に更新します。このアクションにより、次のステップですべてのメンバーアカウントの関連付けを解除するときのエラーを防止します。

1. [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DisassociateMembers.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DisassociateMembers.html) を実行して、管理者アカウントに関連付けられているすべてのメンバーアカウントの関連付けを解除します。

1. [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteMembers.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteMembers.html) を実行して、管理者アカウントとメンバーアカウント間の関連付けを削除します。

1. 組織管理アカウントとして、[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DisableOrganizationAdminAccount.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DisableOrganizationAdminAccount.html) を実行して既存の委任 GuardDuty 管理者アカウントを削除します。

1. この委任 GuardDuty 管理者アカウントがある各 AWS リージョン で、これらのステップを繰り返します。

**ステップ 2 - で既存の委任 GuardDuty 管理者アカウントの登録を解除するには AWS Organizations (1 回限りのグローバルアクション)**
+ 「*AWS Organizations API Reference*」の [DeregisterDelegatedAdministrator](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DeregisterDelegatedAdministrator.html) を実行して、 AWS Organizationsで既存の委任 GuardDuty 管理者アカウントを登録解除します。

  または、次の AWS CLI コマンドを実行できます。

  ```
  aws organizations deregister-delegated-administrator --account-id 111122223333 --service-principal guardduty.amazonaws.com
  ```

  *111122223333* は既存の委任 GuardDuty 管理者アカウントに必ず置き換えてください。

  古い委任 GuardDuty 管理者アカウントを登録解除したら、新しい委任 GuardDuty 管理者アカウントにメンバーアカウントとして追加できます。

## 各リージョンでの新しい委任 GuardDuty 管理者アカウントの指定
<a name="designate-new-guardduty-delegated-admin"></a>

1. GuardDuty コンソール、API、または AWS CLIから任意のアクセス方法を使用して、各リージョンの新しい委任 GuardDuty 管理者アカウントを指定します。詳細については、「[委任 GuardDuty 管理者アカウントの指定](delegated-admin-designate.md)」を参照してください。

1. [DescribeOrganizationConfiguration](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DescribeOrganizationConfiguration.html) を実行して、組織の現在の自動有効化設定を表示します。
**重要**  
新しい委任 GuardDuty 管理者アカウントにメンバーを追加する前に、組織の自動有効化設定を確認する必要があります。この設定は、新しい委任 GuardDuty 管理者アカウントおよび選択したリージョンに固有であり、 AWS Organizationsには関連しません。新しい委任 GuardDuty 管理者アカウントの下に (新規または既存の) 組織メンバーアカウントを追加すると、GuardDuty またはオプションの保護プランが有効になるときに、新しい委任 GuardDuty 管理者アカウントの自動有効化設定が適用されます。

   GuardDuty コンソール、API、または AWS CLIから任意のアクセス方法を使用して、新しい委任 GuardDuty 管理者アカウントの組織設定を変更します。詳細については、「[組織の自動有効化の詳細設定の指定](set-guardduty-auto-enable-preferences.md)」を参照してください。