翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Amazon Detective と AWS Organizations
<a name="services-that-can-integrate-detective"></a>

Amazon Detective がログデータを使用して可視化を生成することにより、セキュリティに関する検出結果や疑わしいアクティビティの根本原因を分析、調査、および特定できるようになります。

 AWS Organizations を使用すると、Detective 動作グラフがすべての組織アカウントのアクティビティを可視化できます。

Detective への信頼されたアクセスを許可すると、組織のメンバーシップに変更があった場合、Detective サービスが自動的に対応します。委任管理者が、任意の組織アカウントを動作グラフのメンバーアカウントとして有効にできます。Detective では、新しい組織アカウントをメンバーアカウントとして自動的に有効化することもできます。組織アカウントの動作グラフとの関連付けを解除することはできません。



詳細については、「*Amazon Detective 管理ガイド*」の「[Using Amazon Detective in your organization](https://docs.aws.amazon.com//detective/latest/adminguide/accounts-orgs-transition.html)」(組織内で Amazon Detective を使用する) を参照してください。

次の情報は、Amazon Detective を と統合するのに役立ちます AWS Organizations。

## 統合を有効にする際に作成されるサービスにリンクされたロール
<a name="integrate-enable-slr-detective"></a>

信頼されたアクセスを有効にすると、以下の[サービスにリンクされたロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)が組織の管理アカウントに自動的に作成されます。このロールにより、Detective はサポートされているオペレーションを組織内のアカウントで実行できます。

このロールを削除または変更できるのは、Detective と Organizations 間の信頼されたアクセスを無効にした場合か、組織から当該のメンバーアカウントを削除した場合だけです。
+ `AWSServiceRoleForDetective`

## サービスにリンクされたロールで使用されるサービスプリンシパル
<a name="integrate-enable-svcprin-detective"></a>

前のセクションで説明したサービスにリンクされたロールを引き受けることができるのは、ロールに定義された信頼関係によって承認されたサービスプリンシパルだけです。Detective によって使用されるサービスにリンクされたロールには、次のサービスプリンシパルへのアクセス許可が付与されます。
+ `detective.amazonaws.com`

## Detective との信頼されたアクセスを有効にするには
<a name="integrate-enable-ta-detective"></a>

信頼されたアクセスの有効化に必要な権限に関しては、[信頼されたアクセスを有効にするために必要なアクセス許可](orgs_integrate_services.md#orgs_trusted_access_perms) を参照してください。

**注記**  
Amazon Detective の委任管理者を指定すると、組織の Detective に対する信頼されたアクセスが自動的に有効になります。  
Detective では、組織のこのサービスの委任管理者としてメンバーアカウントを指定する AWS Organizations 前に、 への信頼されたアクセスが必要です。

Organizations ツールを使用してのみ、信頼されたアクセスのみを有効にできます。

 AWS Organizations コンソールを使用して、信頼されたアクセスを有効にできます。

------
#### [ AWS マネジメントコンソール ]

**Organizations コンソールを使用して信頼されたアクセスを有効にするには**

1. [AWS Organizations コンソール](https://console.aws.amazon.com/organizations/v2)にサイン・インします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、あるいはルートユーザーとしてサインイン ([推奨されません](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) する必要があります。

1. ナビゲーションペインで [**Services (サービス)**] を選択します。

1. サービスのリストで **[Amazon Detective]** を選択します。

1. [**Enable trusted access (信頼されたアクセスを有効にする)**] を選択します。

1. **[Amazon Detective の信頼されたアクセスを有効にする]** ダイアログボックスで、**[有効にする]** と入力して確定し、**[信頼されたアクセスを有効にする]** を選択します。

1. の管理者のみの場合は AWS Organizations、Amazon Detective の管理者に、サービスコンソール AWS Organizations からそのサービスが と連携できるようになったことを知らせます。

------

## Detective との信頼されたアクセスを無効にするには
<a name="integrate-disable-ta-detective"></a>

信頼されたアクセスの無効化に必要なアクセス権限に関しては、[信頼されたアクセスを無効にするために必要なアクセス許可](orgs_integrate_services.md#orgs_trusted_access_disable_perms) を参照してください。

Amazon Detective で信頼されたアクセスを無効にすることができるのは、 AWS Organizations 管理アカウントの管理者のみです。

信頼されたアクセスは、Organizations ツールを使用してのみ無効にできます。

信頼されたアクセスを無効にするには、 AWS Organizations コンソールを使用します。

------
#### [ AWS マネジメントコンソール ]

**Organizations コンソールを使用して信頼されたアクセスを無効にするには**

1. [AWS Organizations コンソール](https://console.aws.amazon.com/organizations/v2)にサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、あるいはルートユーザーとしてサインイン ([推奨されません](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) する必要があります。

1. ナビゲーションペインで [**Services (サービス)**] を選択します。

1. サービスのリストで **[Amazon Detective]** を選択します。

1. **Disable trusted access** (信頼されたアクセスを無効にする) を選択します。

1. **[Amazon Detective の信頼されたアクセスを無効にする]**ダイアログボックスで、**[無効にする]** と入力して確定し、**[信頼されたアクセスを無効にする]** を選択します。

1. の管理者のみの場合は AWS Organizations、Amazon Detective の管理者に、サービスコンソールまたはツールを使用してそのサービスが で AWS Organizations 動作することを無効にできることを伝えます。

------

## Detective 用の委任管理者アカウントの有効化
<a name="integrate-enable-da-detective"></a>

Detective 用の委任管理者アカウントは、Detective 動作グラフの管理者アカウントになります。委任管理者は、その動作グラフのメンバーアカウントとして有効または無効にする組織アカウントを決定します。委任管理者は、新しい組織アカウントが組織に追加されたときに、メンバーアカウントとして自動的に有効にするように Detective を設定できます。委任管理者が組織アカウントを管理する方法については、「*Amazon Detective 管理ガイド*」の「[組織アカウントをメンバーアカウントとして管理する](https://docs.aws.amazon.com//detective/latest/adminguide/accounts-orgs-members.html)」を参照してください。

Detective 用の委任管理者を設定できるのは、組織管理アカウントの管理者だけです。

委任管理者アカウントを指定する場合は、Detective コンソールまたは API を介して、あるいは Organizations CLI または SDK オペレーションを使用して行います。

**最小アクセス許可**  
Organizations 管理アカウントのユーザーまたはロールのみが、組織内で Detective の委任管理者としてメンバーアカウントを設定できます

Detective コンソールまたは API を使用して委任管理者を設定するには、「*Amazon Detective 管理ガイド*」の「[組織の Detective 管理者アカウントの指定](https://docs.aws.amazon.com//detective/latest/adminguide/accounts-designate-admin.html)」を参照してください。

------
#### [ AWS CLI, AWS API ]

CLI またはいずれかの AWS SDKs を使用して AWS 委任管理者アカウントを設定する場合は、次のコマンドを使用できます。
+ AWS CLI: 

  ```
  $ aws organizations register-delegated-administrator \
      --account-id 123456789012 \
      --service-principal detective.amazonaws.com
  ```
+ AWS SDK: Organizations `RegisterDelegatedAdministrator`オペレーションとメンバーアカウントの ID 番号を呼び出し、アカウントサービスプリンシパルをパラメータ`account.amazonaws.com`として識別します。

------

## Detective 用の委任管理者の無効化
<a name="integrate-disable-da-detective"></a>

委任管理者アカウントを削除する場合は、Detective コンソールまたは API を使用して、あるいは Organizations `DeregisterDelegatedAdministrator` CLI または SDK オペレーションを使用して行います。Detective コンソールまたは API、あるいは Organizations API を使用して委任管理者を削除する方法については、「*Amazon Detective 管理ガイド*」の「[組織の Detective 管理者アカウントの指定](https://docs.aws.amazon.com//detective/latest/adminguide/accounts-designate-admin.html)」を参照してください。