Amazon Detectiveの信頼されたアクセスを有効化してみる

Amazon Detectiveの信頼されたアクセスを有効化してみる

#AWS
#Amazon Detective
#AWS Organizations
和田響

和田響

facebook logohatena logotwitter logo
Clock Icon2025.01.14

はじめに

こんにちは、和田です。

今回はOrganizations環境でAmazon Detectiveの信頼されたアクセスを有効化する手順をまとめます。

登場する用語を簡単に解説

本題に入る前に今回の記事で登場するサービスや機能について簡単に紹介します。

Amazon Detective

Amazon DetectiveはAWS環境における不審なアクティビティを検知した後の分析や調査をより迅速にかつ効率的にするための新サービスです。
AWS CloudTrail ログ、Amazon VPC フローログ、Amazon GuardDutyの検出などをもとに、調査が可能です。

インシデントの調査の際のログ分析は、Amazon Athenaでクエリを行うか、3rdパーティツールに頼る必要がありましたが、Amazon Detectiveの登場により簡単にかつ迅速に分析・調査が可能になりました。

詳細は以下のブログを参照ください。
https://dev.classmethod.jp/articles/amazon-detective/
https://dev.classmethod.jp/articles/how-to-detective/

信頼されたアクセス

Organizations環境内で「信頼されたアクセス」の設定を行うことで、互換性のあるAWSサービスと統合することができます。

それを行うことで、管理アカウントからOrganizations組織内のすべてのアカウントに対して、統合したAWSサービスの利用や設定が一括で行えます。
スクリーンショット 2025-01-07 17.57.56.png

名前からは機能の詳細がイメージしにくいですが、 Organizations内で特定のAWSサービスの利用や設定が一括で行える機能 と捉えるとよいでしょう。

委任管理者アカウント

前述の信頼されたアクセスでは、"管理アカウントから"AWSサービスの一括管理が可能でした。

実は、信頼されたアクセス設定によって管理アカウントに付与された権限を委任メンバーアカウントに委任することが可能です。

図のように、管理アカウントに付与された権限を委任されたメンバーアカウントのことを、委任管理者アカウントと呼びます。
スクリーンショット 2025-01-07 18.02.08.png

https://dev.classmethod.jp/articles/multi-account-tips-delegated-administrator/

何が嬉しいか?

Amazon Detectiveの信頼されたアクセスを有効にすると具体的に、以下のようなメリットがあります。

  • 組織内でAmazon Detectiveが有効になっている(なっていない)アカウントを一覧で確認できる
  • 新しく組織に加わるアカウントに対して自動でAmazon Detectiveを有効にできる
  • コンソールから一括でAmazon Detectiveの有効化/無効化作業ができる

このようなコンソールで一括管理ができます。
スクリーンショット 2025-01-14 22.01.44.png

やってみる

まずはOrganizationsの管理アカウントにログインします。
「AWS Organizations」のコンソールを開き、サイドタブから「サービス」を開き、「Amazon Detective」をクリックします。

「信頼されたアクセスを有効にする」をクリックし
スクリーンショット 2025-01-07 14.30.31.png
チェックボックスにチェックを入れ、「有効化」と入力し、「信頼されたアクセスを有効にする」をクリックします。
スクリーンショット 2025-01-07 14.30.44.png

続いて管理アカウントでAmazon Detectiveのコンソールを開きます。
私の環境ではAmazon Detectiveが有効になっていないので、有効化作業を行います。
「開始方法」をクリックします。
スクリーンショット 2025-01-07 14.31.47.png

この段階で委任管理アカウントを設定できるようなので設定していきます。
※Security HubやGuardDutyの委任管理アカウントがあればそのアカウントが「推奨」と表示されるようですね。
今回は素直に推奨されているアカウントを選択し、「委任」をクリックします。
スクリーンショット 2025-01-07 14.32.43 2.png

ここまでで「信頼されたアクセス設定」と「委任管理アカウントの設定」が完了しています。

続いて委任管理アカウントにログインし、操作感を確認していきます。
委任管理アカウントで「Amazon Detective」のコンソールを開き、サイドタブから「アカウント管理」をクリックします。

「すべてのメンバーアカウント」から組織内のアカウントとAmazon Detectiveの状況が一覧で確認できます。
「すべてのアカウントを有効化」をクリックしてます。
スクリーンショット 2025-01-07 14.34.50.png

少しすると先ほどまで有効になっていなかった2つのアカウントのステータスが「有効」になりました。
スクリーンショット 2025-01-14 22.26.34.png

最後に新規のアカウントへの自動有効化設定を有効にします。
「新しい組織アカウントをメンバーアカウントとして有効化」をクリックし有効にします。
スクリーンショット 2025-01-14 22.29.16.png

「自動有効化が正常にオンになりました。新しく追加される組織アカウントはメンバーアカウントとして自動的に有効化されます。」の表示通り、以降新しくOrganizationsに加わったAWSアカウントでは自動的にAmazon Detectiveが有効になるように設定できました。
スクリーンショット 2025-01-14 22.32.10.png

最後に

今回はOrganizations環境でAmazon Detectiveの信頼されたアクセスについてまとめてみました。

どなたかのお役に立てれば幸いです。

Share this article

facebook logohatena logotwitter logo

関連記事

AWS Control TowerのメンバーアカウントをTerraformで作成する [Not AFT]

AWS Control TowerのメンバーアカウントをTerraformで作成する [Not AFT]

User avatar
ちゃだいん
2025.01.15
CodeBuild のエラー「toomanyrequests: You have reached your pull rate limit.」を回避するには

CodeBuild のエラー「toomanyrequests: You have reached your pull rate limit.」を回避するには

User avatar
hato
2025.01.15
AWS Step Functionsで変数とJSONataを活用し、Passステートで組み込み関数を使用したりChoiceで分岐させてみた

AWS Step Functionsで変数とJSONataを活用し、Passステートで組み込み関数を使用したりChoiceで分岐させてみた

User avatar
平井裕二
2025.01.15
セキュリティグループに関するよくある質問をまとめてみました

セキュリティグループに関するよくある質問をまとめてみました

User avatar
Nakamura Makoto
2025.01.15
Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.