翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Amazon GuardDuty と AWS Organizations
<a name="services-that-can-integrate-guardduty"></a>

Amazon GuardDuty は、さまざまなデータソースを分析および処理する継続的セキュリティモニタリングサービスです。脅威インテリジェンスフィードおよび機械学習を使用して、 AWS 環境内の予期しないアクティビティ、不正の可能性があるアクティビティ、悪意のあるアクティビティを識別します。これには、権限のエスカレーション、公開された認証情報の使用、悪意のある IP アドレス、URL、またはドメインとの通信、Amazon Elastic Compute Cloud インスタンスおよびコンテナ ワークロードでのマルウェアの存在などの問題が含まれる場合があります。

Organizations を使用し、組織のすべてのアカウントを対象に GuardDuty を管理することで、GuardDuty の管理を簡素化できます。

詳細については、*Amazon GuardDuty ユーザーガイド*の [Managing GuardDuty accounts with AWS Organizations](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_organizations.html) を参照してください。

以下の情報は、Amazon GuardDuty との統合に役立ちます AWS Organizations。



## 統合を有効にする際に作成されるサービスにリンクされたロール
<a name="integrate-enable-slr-guardduty"></a>

 信頼されたアクセスを有効にすると、以下のサービスにリンクされたロールが組織の管理アカウントに自動的に作成されます。このロールにより、GuardDuty はサポートされているオペレーションを組織内の組織アカウントで実行できます。このロールを削除できるのは、GuardDuty と Organizations 間の信頼されたアクセスを無効にした場合か、組織から当該のメンバーアカウントを削除した場合だけです。
+ `AWSServiceRoleForAmazonGuardDuty` サービスにリンクされたロールは、GuardDuty をOrganizations と統合したアカウントで自動的に作成されます。詳細については、「*Amazon GuardDuty ユーザーガイド*」の「[Managing GuardDuty accounts with Organizations](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_organizations.html)」を参照してください。
+ `AmazonGuardDutyMalwareProtectionServiceRolePolicy` サービスにリンクされたロールは、GuardDuty Malware Protection が有効になっているアカウントで自動的に作成されます。詳細については、「*Amazon GuardDuty ユーザーガイド*」の「[Service-linked role permissions for GuardDuty Malware Protection](https://docs.aws.amazon.com/guardduty/latest/ug/slr-permissions-malware-protection.html)」を参照してください。

## サービスにリンクされたロールで使用されるサービスプリンシパル
<a name="integrate-enable-svcprin-guardduty"></a>
+ `guardduty.amazonaws.com`、`AWSServiceRoleForAmazonGuardDuty` サービスにリンクされたロールによって使用される。
+ `malware-protection.guardduty.amazonaws.com`、`AmazonGuardDutyMalwareProtectionServiceRolePolicy` サービスにリンクされたロールによって使用される。

## GuardDuty との信頼されたアクセスの有効化
<a name="integrate-enable-ta-guardduty"></a>

信頼されたアクセスの有効化に必要な権限に関しては、[信頼されたアクセスを有効にするために必要なアクセス許可](orgs_integrate_services.md#orgs_trusted_access_perms) を参照してください。

Amazon GuardDuty を使用してのみ、信頼されたアクセスを有効にできます。

Amazon GuardDuty では、組織の GuardDuty 管理者としてメンバーアカウントを指定する AWS Organizations 前に、 への信頼されたアクセスが必要です。GuardDuty コンソールを使用して委任管理者を設定すると、信頼されたアクセスが GuardDuty によって自動的に有効になります。

ただし、 AWS CLI またはいずれかの AWS SDKs を使用して委任管理者アカウントを設定する場合は、[EnableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html) オペレーションを明示的に呼び出し、サービスプリンシパルをパラメータとして指定する必要があります。次に、[EnableOrganizationAdminAccount](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_EnableOrganizationAdminAccount.html) を呼び出し、GuardDuty の管理者アカウントを委任します。

## GuardDuty との信頼されたアクセスの無効化
<a name="integrate-disable-ta-guardduty"></a>

信頼されたアクセスの無効化に必要なアクセス権限に関しては、[信頼されたアクセスを無効にするために必要なアクセス許可](orgs_integrate_services.md#orgs_trusted_access_disable_perms) を参照してください。

信頼されたアクセスは、Organizations ツールを使用してのみ無効にできます。

信頼されたアクセスを無効にするには、Organizations AWS CLI コマンドを実行するか、いずれかの AWS SDKs。

------
#### [ AWS CLI, AWS API ]

**Organizations CLI/SDK を使用して信頼されたアクセスを無効にするには**  
信頼されたサービスアクセスを無効にするには、次の AWS CLI コマンドまたは API オペレーションを使用します。
+ AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)

  次のコマンドを実行し、Organizations で信頼されたサービスとして Amazon GuardDuty を無効にします。

  ```
  $ aws organizations disable-aws-service-access \
      --service-principal guardduty.amazonaws.com
  ```

  このコマンドが成功した場合、出力は生成されません。
+ AWS API: [DisableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html)

------

## GuardDuty 用の委任管理者アカウントの有効化
<a name="integrate-enable-da-guardduty"></a>

メンバーアカウントを組織の委任管理者として指定すると、そのアカウントのユーザーおよびロールは、GuardDuty の管理アクションを実行できるようになります。通常この管理アクションは、組織の管理アカウントのユーザーとロールだけが実行できるものです。この手法は、組織の管理から GuardDuty の管理を分離するのに有効です。

**最小アクセス許可**  
メンバーアカウントを委任管理者として指定するために必要なアクセス許可については、*Amazon GuardDuty ユーザーガイド*の[委任された管理者の指定に必要な権限](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_organizations.html#organizations_permissions)を参照してください。

**GuardDuty の委任管理者としてメンバーアカウントを指定するには**  
[Designate a delegated administrator and add member accounts (console)](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_organizations.html#organization_thru_console)、および [Designate a delegated administrator and add member accounts (API)](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_organizations.html#organization_thru_api) を参照してください。