GuardDutyの信頼されたアクセスを有効にした組織のメンバーアカウントで できること/できないこと

GuardDutyの信頼されたアクセスを有効にした組織のメンバーアカウントで できること/できないこと

#AWS
#AWS Organizations
#Amazon GuardDuty
和田響

和田響

facebook logohatena logotwitter logo
Clock Icon2025.01.16

はじめに

こんにちは、和田です。

今回はGuardDutyの信頼されたアクセスを有効にした組織で、メンバーアカウントが「できること/できないこと」についてまとめてみます。

信頼されたアクセスとは

Organizations環境内で「信頼されたアクセス」の設定を行うことで、互換性のあるAWSサービスと統合することができます。

それを行うことで、管理アカウントからOrganizations組織内のすべてのアカウントに対して、統合したAWSサービスの利用や設定が一括で行えます。
スクリーンショット 2025-01-07 17.57.56.png

名前からは機能の詳細がイメージしにくいですが、 Organizations内で特定のAWSサービスの利用や設定が一括で行える機能 と捉えるとよいでしょう。

GuardDutyの信頼されたアクセス

GuadDutyの信頼されたアクセスを有効にすると、組織に存在するアカウントのGuardDutyに対して以下の設定ができます。

  • GuardDuty の自動有効化
    • すべてのアカウントについて有効にする
    • 新しいアカウントについて有効化
    • 自動有効化しない
  • 保護プラン
    • S3 Protection
      • すべてのアカウントについて有効にする
      • 新しいアカウントについて有効化
      • 自動有効化しない
    • EKS Audit ログのモニタリング
      • すべてのアカウントについて有効にする
      • 新しいアカウントについて有効化
      • 自動有効化しない
    • ランタイムモニタリング
      • すべてのアカウントについて有効にする
      • 新しいアカウントについて有効化
      • 自動有効化しない
    • EC2の Malware Protection
      • すべてのアカウントについて有効にする
      • 新しいアカウントについて有効化
      • 自動有効化しない
    • RDS ログインイベントモニタリング
      • すべてのアカウントについて有効にする
      • 新しいアカウントについて有効化
      • 自動有効化しない
    • Lambda ネットワークアクティビティモニタリング
      • すべてのアカウントについて有効にする
      • 新しいアカウントについて有効化
      • 自動有効化しない

GuardDutyおよびGuardDutyの各種保護プランに対して「すべてのアカウントについて有効にする」「新しいアカウントについて有効化」「自動有効化しない」の設定が可能です。

先に結論

先に結論を述べると以下の通りです。
「まあ、そうだろうな」というシンプルな仕様でした。

  • 管理アカウント側でGuardDutyの自動有効化設定をしている場合
    • メンバーアカウントでGuardDutyの無効化はできない
    • メンバーアカウントで各種保護プランの設定変更はできない
  • 管理アカウント側でGuardDutyの自動有効化設定をしていない場合
    • メンバーアカウントでGuardDutyの有効化/無効化ができる
    • メンバーアカウントで各種保護プランの設定変更ができる

この後は、長々と検証の様子を記載しているので結論だけを知りたかった方は、ここでブラウザバックすることを推奨します。

検証してみる

自動有効化しないの場合

まずは管理アカウントより、GuardDutyおよび全てのGuardDutyの各種保護プランに対して「自動有効化しない」の設定にしてみます。
スクリーンショット 2025-01-16 19.34.33.png

続いて、メンバーアカウントにログインし「GuardDuty」のコンソールを開いてみます。
自動有効化設定をしていないので、まだGuardDutyが有効になっていません。
スクリーンショット 2025-01-16 19.38.01.png

「今すぐ始める」をクリックしてGuardDutyを有効にしてみます。
スクリーンショット 2025-01-16 19.38.52.png
スクリーンショット 2025-01-16 19.40.39.png

特に問題なく、有効化できました。
スクリーンショット 2025-01-16 19.42.56.png

続いてGuardDutyの「S3 Protection」の設定を変更してみます。
GuardDuty有効化の際に「S3 Protection」の有効になっていますので、これを「無効」にしてみます。
スクリーンショット 2025-01-16 19.43.30.png

特に問題なく「無効」にできました。
(他の機能についても問題なく「無効」にすることができました。)
スクリーンショット 2025-01-16 19.45.25.png

続いてGuardDuty自体を「無効」にしてみます。
スクリーンショット 2025-01-16 19.47.28.png

こちらも問題なく実行できました。
スクリーンショット 2025-01-16 19.48.05.png

この結果から、管理アカウントからGuardDutyおよび各種保護プランに「自動有効化しない」と選択されている場合、自由に有効化/無効化できる ことがわかりました。

自動有効化する場合

まずは管理アカウントより設定を行います。
GuardDutyおよびS3 Protectionは「すべてのアカウントについて有効にする」を設定し、それ以外は「自動有効化しない」を設定します。
スクリーンショット 2025-01-16 19.52.25.png

続いて、メンバーアカウントにログインし「GuardDuty」のコンソールを開いてみます。
設定通り、GuardDuty自体は有効になっていました。
スクリーンショット 2025-01-16 19.56.46.png

続いて、「すべてのアカウントについて有効にする」を設定した「S3 Protection」を開いてみます。
そもそも開けないようですね!つまり設定変更もできなそうです。
スクリーンショット 2025-01-16 20.06.55.png

このことから、管理アカウントからGuardDuty自体に「すべてのアカウントについて有効にする」と設定した時、「すべてのアカウントについて有効にする」と設定した各種保護プランはメンバーアカウントからは無効化できない ことがわかりました。

まあ、そうなるだろうなという感想です。

続いて、「自動有効化しない」に設定した「Lambda 保護」を開いてみます。
こちらも設定変更できなそうです。
スクリーンショット 2025-01-16 20.12.37

このことから、管理アカウントからGuardDuty自体が「すべてのアカウントについて有効にする」と設定した時、「自動有効化しない」とした各種保護プランはメンバーアカウントからは有効化できない ことがわかりました。

これは意外な仕様ですね!

GuardDuty自体ももちろん無効化できませんでした。
スクリーンショット 2025-01-16 20.15.16.png

このことから、管理アカウントからGuardDuty自体が「すべてのアカウントについて有効にする」と設定した時、メンバーアカウントからGuardDuty自体を無効化できない ことがわかりました。

現状を整理するとこんな感じです。
Untitled - 2025-01-16T204831.668.png

(おまけ)

ここまでくると、GuardDuty自体が「自動有効化しない」と設定し、各種保護プランに「すべてのアカウントについて有効にする」のパターンを検証したくなりますね。
やってみます!
スクリーンショット 2025-01-16 20.52.44.png

メンバーアカウントにログインし「GuardDuty」のコンソールを開いてみます。

GuardDuty自体は有効になっていなそうです。
スクリーンショット 2025-01-16 20.55.36.png

「今すぐ始める」から有効にしていきます。
スクリーンショット 2025-01-16 20.56.14.png

無事に有効化できました。
スクリーンショット 2025-01-16 21.03.01.png

「すべてのアカウントについて有効にする」にした「S3 Protection」を開いてみます。
有効になっていますね。
スクリーンショット 2025-01-16 21.03.53.png

無効にできるか試してみます。
スクリーンショット 2025-01-16 21.04.30.png

無効にできました!
スクリーンショット 2025-01-16 21.05.03.png

GuardDuty自体も無効にできるか試します。
スクリーンショット 2025-01-16 21.05.50.png

無効にできました!
スクリーンショット 2025-01-16 21.06.53.png

つまり 管理アカウントからGuardDuty自体に「自動有効化しない」と選択されている場合、各種保護プランの設定に関わらず自由に有効化/無効化できる ことがわかりました。
情報をまとめるとこんな感じでしょうか。
Untitled - 2025-01-16T211002.643.png

結論、管理アカウントからGuardDuty自体に「自動有効化しない」と選択されている場合、メンバーアカウントで自由に設定変更できる管理アカウントからGuardDuty自体に「すべてのアカウントについて有効にする」と選択されている場合、メンバーアカウントで一切の設定変更ができない と結論づけられます。

管理アカウントからの設定に委ねられるため、フロー図は最終的にこんな感じにまとまりました。
Untitled(1) (14).png

まとめ

今回はGuardDutyの信頼されたアクセスを有効にした組織で、メンバーアカウントが「できること/できないこと」についてまとめてみます。

随分と脱線しましたが、本題に戻りたいと思います。

GuardDutyの信頼されたアクセスを有効にした組織において、

  • 管理アカウント側でGuardDutyの自動有効化設定をしている場合
    • メンバーアカウントでGuardDutyの無効化はできない
    • メンバーアカウントで各種保護プランの設定変更はできない
  • 管理アカウント側でGuardDutyの自動有効化設定をしていない場合
    • メンバーアカウントでGuardDutyの有効化/無効化ができる
    • メンバーアカウントで各種保護プランの設定変更ができる

となります。

一番大事なのは 管理アカウント側でGuardDutyの自動有効化設定をしている場合に、メンバーアカウントで自由に設定の変更ができない という部分だと思います。

厳格な組織の統制が可能になる良い仕様だと思います。

最後に

今回はGuardDutyの信頼されたアクセスを有効にした組織で、メンバーアカウントが「できること/できないこと」についてまとめてみました。

最後までお付き合いいただきありがとうございました。

Share this article

facebook logohatena logotwitter logo

関連記事

許可されたプレフィックスについて LT してみた #cm_sapporo_study

許可されたプレフィックスについて LT してみた #cm_sapporo_study

User avatar
たかくに
2025.01.16
Control Towerのリージョン拒否コントロール(Region deny control)を設定してみる

Control Towerのリージョン拒否コントロール(Region deny control)を設定してみる

User avatar
和田響
2025.01.16
ALB+Cognito環境でバックエンドに渡されるx-amzn-oidc-dataを検証する

ALB+Cognito環境でバックエンドに渡されるx-amzn-oidc-dataを検証する

User avatar
miyan
2025.01.16
[アップデート] Amazon Aurora PostgreSQL 16.6 がリリースされたので、Babelfish 4.4 のアップデート内容を確認してみた

[アップデート] Amazon Aurora PostgreSQL 16.6 がリリースされたので、Babelfish 4.4 のアップデート内容を確認してみた

User avatar
いわさ
2025.01.16
Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.