OrganizationsでのGuardDutyを管理する方法のメモ。
GuardDutyとは
GuardDutyは以下をソースとして脅威を検出してくれるサービス。
自分でこれらのログの保管をセットアップする必要はない。
設定はリージョン毎に有効にする必要がある。
方針
今回はAWS Landing Zoneのような、以下のようなアカウント構成を想定する。
マスターアカウント 共通サービスアカウント 監査アカウント ログアカウント リソースアカウント
監査アカウントをGuardDuty管理者アカウントにする。
セットアップ
Organizationsを使っている場合は簡単にマルチアカウント構成が設定できる。
GuradDuty管理者アカウントの設定
組織のマスターアカウントでGuradDuty管理者アカウントを指定する。この設定項目が表示されるのは組織のマスターアカウントのみ。
この手順を全てのリージョンで実施することが推奨となっている。今回はバージニア北部についてだけ同じ操作を実施する。
メンバーアカウントの追加
GuradDuty管理者に指定したアカウントでログインする。
自動有効化を設定する。この設定は今後組織に追加されたアカウントに対する設定。
まだメンバーになっていないアカウントにチェックを入れて「アクション」から「メンバーの追加」を実行する。
みんなメンバーになった。
バージニア北部についても同様の操作を実施する。