[アップデート] Amazon GuardDuty で Organizations の複数アカウントを管理する際に使える保護プランごとの自動有効化オプションが拡張されました

いわさです。

今朝、GuardDuty のアップデートを紹介する次のアナウンスがありました。

Organizations を利用している環境下では GuardDuty のアカウント管理機能を使うことで、組織の複数アカウントへ一括での GuardDuty 有効化を行うことが出来ます。
そのあたりのマルチアカウント管理機能が改善されたようです。なお、この内容は新機能として GuardDuty のコンソール上でも通知されています。

新機能: Amazon GuardDuty announces a new capability to help customers streamline and simplify how they set up and administer protection plan coverage across all member accounts in an organization
Delegated administrators can now enable one or more GuardDuty features for all existing and newly-added members within the same region.

実はこれに似た内容で半年前にもアップデートがありました。

それまでは組織の全アカウントに対して一括で有効化するかどうかが可能だったのですが、上記アップデートによって全アカウントかあるいは新規で組織に追加されたアカウントのみかなど、もう少し細かい設定が出来るようになっていました。

今回のアップデートは上記と何が違うのでしょうか。前回の情報や新旧ドキュメントと比較しながら差分を確認してみましたので紹介したいと思います。

「GuardDuty の自動有効化とソース設定の設定」画面が刷新された

GuardDuty のマルチアカウント設定機能では次のコントロールから、自動有効化の細かい設定を行うことが出来ます。

その際に「GuardDuty の自動有効化とソース設定の設定」画面が表示されるのですが、こちらが刷新されています。
2023 年 3 月時点のものと、今のものを次のように比較してみました。

GuardDuty には保護プランと呼ばれる追加のオプションがあり、上記画面では保護プランごとに有効化するかどうかを指定出来ます。
今回のアップデートでは保護プランに「Enable for all accounts」が追加されています。
組織ポリシーで GuardDuty 自体は全アカウント一括で有効化したけど、保護プランについては委任管理者がコンソールから無効化した場合など組織が期待する設定とギャップが生じる可能性が有り得ましたが、コントロール出来るようになりました。
これによって例えば次のように GuardDuty を既存を含めた全アカウントで有効化しつつ、S3 保護は新しいアカウントのみ、EKS 監査ログモニタリングは全アカウントを対象にするなどより細かいカスタマイズが出来るそうです。

あと、全プランに対して一括で有効化出来るボタンが設置されていましたね。

※刷新されたと記載しましたが、刷新自体はもっと前からされていた可能性があります。ただ、上記で説明している保護プランごとの ALL Accounts の設定はおそらく今回追加されたものでしょう。

保護プランに個別設定した時の挙動を確認してみた

保護プランを個別に設定した時の挙動をいくつか確認してみました。
次のように新しいアカウントの GuardDuty を有効化し、保護プランは S3 保護が ALL、RDS 保護が NEW で設定しています。

まず、保護プランが ALL になっている場合は保護プラン編集メニューから無効化を行うことができなくなりました。
次のようにエラーが発生しますね。

保護プランが NEW のものに関しては変更が出来ました。

また、アカウント関連付けを行ったときの挙動については NEW でも ALL でも次のように有効化されました。
よって保護プランごとの個別設定については無効化を出来なくするものと考えて良いのではないかなと思います。

API 上の変更点

2 週間ほど前に GuardDuty の API ドキュメントや AWS CLI が更新されていましたよね。
今回のアップデートのものです。

API は以下です。

AWS CLI は以下の v1.29.23 です。更新日付は 2023 年 8 月 10 日ですね。

より差分を知りたい場合は AWS SDK のコミット履歴なども確認します。
AWS SDK for .NET の上記アップデート内容は次のコミットです。

以上から今回の API のアップデート内容は、UpdateOrganizationConfigurationアクションのAdditionalConfigurationオプションで、保護プランごとに設定出来る値が従来は NEW と NONE のみだったのですが新たに ALL が追加されています。

さいごに

本日は Amazon GuardDuty で Organizations の複数アカウントを管理する際に、保護プランごとの自動有効化オプションが拡張されたので確認してみました。

アップデートアナウンスから、最初は具体的な変更点が何なのかわからなかったのですが、API の更新履歴などから具体的な差分を確認することが出来ました。
アカウント追加時の挙動が期待したものなのか少しだけ私の中で疑問が残ってますが、保護プランの無効化を行った際に変更出来なくなるなどの挙動は中々良いですね。従来はアカウントが関連付けされた後にこれが出来ていたのか。