GuardDutyマスターアカウント管理下のメンバーアカウントで個別に設定できることとできないこと

はじめに

こんにちは。大阪オフィスの林です。

GuardDutyのマスターアカウントで管理されているメンバーアカウントのGuardDutyにおいて、GuardDutyのマスターアカウント管理となる設定と管理下アカウント個別に管理できる設定を確認する機会があったのでまとめておきたいと思います。タイトルは「できることとできないこと」という順で書いていますが「できないこと」から先に解説していきたいと思います。

GuardDutyのマスターアカウント管理下のメンバーアカウント個別で設定できないこと

リスト管理

リストの管理では「信頼されている IP リスト」「脅威リスト」を設定できるのですが、GuardDutyのマスターアカウント管理下になった後、下図のように全体的にグレーアウトになり、管理下のアカウント個別で設定が出来なくなります。なお、既存でアカウント個別に設定されていた設定は削除され、GuardDutyのマスターアカウントで設定されていればその設定が管理下のアカウントに継承される動きとなります。

S3保護

GuardDutyのマスターアカウント管理下となる前はアカウント個別でS3保護の設定が出来るのですが、GuardDutyのマスターアカウント管理下になった後、管理下のアカウント個別で設定が出来なくなります。設定はGuardDutyのマスターアカウントで行うこととなります。

管理対象アカウントの追加

GuardDutyのマスターアカウント管理下になった後、管理下のアカウント個別でアカウントを追加するオペレーションが出来なくなります。

GuardDutyの「停止」と「無効化」

GuardDutyのマスターアカウント管理下になった後、管理下のアカウント個別でGuardDutyの「停止」「無効化」が出来なくなります。

ざっと上述したあたりの設定がGuardDutyのマスターアカウント管理下のアカウント個別で設定が出来なくなります。

GuardDutyのマスターアカウント管理下のアカウント個別で設定できること

次に、できることを見ていきましょう。

結果のエクスポート

結果の更新頻度やS3へのエクスポートはGuardDutyのマスターアカウント管理下になった後でも管理下のアカウント個別で設定が出来ます。

結果サンプルの生成

通知の挙動やテストをするときに使用する結果のサンプル生成もGuardDutyのマスターアカウント管理下になった後でも管理下のアカウント個別でオペレーション出来ます。ただし、GuardDutyのマスターアカウント管理下のアカウントでサンプルの生成をすると、GuardDutyのマスターアカウントにも結果が収集されますのでその点はご注意ください。

通知周りの挙動

一般的にGuardDutyの通知はEventBridgeと連携するケースが多いと思います。GuardDutyのマスターアカウント管理下となる前にEventBridgeと連携し通知の設定を行っている場合、GuardDutyのマスターアカウント管理下になった後でもアカウント個別で設定している通知は引き続き行われます。GuardDutyのマスターアカウントにも結果が集約されるので、GuardDutyのマスターアカウントで設定している通知と重複した通知にならないような整理（もしくは重複した通知となることを把握しておくこと）もあわせて確認しておきましょう。

まとめ

AWS Organizationsで管理されているアカウントのGuardDutyにおいて、GuardDutyのマスターアカウント管理となる設定と管理下アカウント個別に管理できる設定を確認する機会があったので調べてみました。参考になれば幸いです。

以上、大阪オフィスの林がお送りしました！