EventBridge ルールでマルチアカウントの GuardDuty の検出結果の通知を特定のアカウントのみに除外する方法
困っていた内容
EventBridge ルールでマルチアカウントの GuardDuty の検出結果の通知を設定しております。 複数あるアカウントの内、特定のアカウントのみ除外にしたいのですが、可能でしょうか。
どう対応すればいいの?
EventBridge ルールのイベントパターンにて、anything-but を利用して、除外したいアカウントを記載することで、特定のアカウントのみ除外することが可能となります。
例として、下記のように設定することができます。
{
"source": ["aws.guardduty"],
"detail-type": ["GuardDuty Finding"],
"detail": {
"severity": [{
"numeric": [">=", 7]
}],
"accountId": [{
"anything-but": ["<AWSアカウントA>", "<AWSアカウントB>", "<AWSアカウントC>",]
}]
}
}
上記の例では、重要度「高」の検出結果をAWSアカウントA、B、C 以外の AWSアカウントに通知する設定となります。
補足
多数のアカウントを管理しており、その内の少ない数のアカウントに対して、除外したい場合は、anything-but を活用することができます。
なお、アカウントを2〜3つ管理している状態で、その内の特定のアカウントのみに通知したい場合は、下記の方法で実現することも可能です。
{
"source": ["aws.guardduty"],
"detail-type": ["GuardDuty Finding"],
"detail": {
"severity": [{
"numeric": [">=", 7]
}],
"accountId": [
"<AWSアカウントA>"
]
}
}
![[アップデート] AWS Step Functions で変数が使えるようになりました](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-5f8ac6d1392d52f09eefb00a5ad1b303/fceee02f9b8607d60014a828933bc45b/aws-step-functions)
![[アップデート] CloudFrontディストリビューションのIPアドレスを固定化できるようになりました](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-f66629e23bafcf47fa6477fd0349a4f7/3e371b05917375d87daf613d54a600d8/amazon-cloudfront)
![[アップデート] Amazon Redshift Query Editor V2、結果セットと出力サイズの上限を100MBに拡大したので検証しました](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-63f1274931b942e9a92e601c1127ad73/cfe87ec6d62fa2fc3c474ed4cb2f6c2e/amazon-redshift)
