GuardDutyのマスターアカウントからS3保護の自動有効化を設定する

はじめに

こんにちは。大阪オフィスの林です。

GuardDutyのS3保護は、S3への不審なアクティビティをGuardDutyが検出できる機能なのですが、マルチアカウントを管理するGuardDutyのマスターアカウントではS3保護の自動有効化はデフォルトで有効になっていません。ということで、マルチアカウントを管理する時はGuardDutyのマスターアカウントからS3保護の自動有効化も設定しておきましょう！なお、マルチアカウントでのGuardDuty設定有効化についてはこちらのエントリを参照頂ければと思います。

また、S3保護の概要はこちらのエントリを参照頂ければと思います。

やってみた

下記はGuardDutyのマスターアカウントから管理対象のアカウントを確認した画面です。デフォルトでは「S3の自動有効化はオフ」になっています。（執筆時点では翻訳がアレですが、S3保護の自動有効化のオン/オフ設定を行う場所です）管理対象のアカウントでは「S3保護」が無効であることが分かります。

「S3の自動有効化はオフ」をクリックすると設定変更画面が表示されるので有効にし「設定を更新」を選択します。下記設定画面の "新しいメンバーアカウントに対して" というところが少し注意で、既にGuardDutyのメンバーアカウントになっているアカウントに対してはS3保護が自動で有効化になりません。

GuardDutyおよびS3の自動有効化がオンの状態でしばらく待ってみますが、上記の説明通り既存のメンバーアカウントに対しては自動でS3保護は有効になりません。

試しに新しいメンバーアカウントを追加してみると、新しいメンバーアカウントがGuardDutyマスターアカウントの管理下に追加されたタイミングでS3保護も有効になったことが分かります。

それでは既存のメンバーアカウントに対してS3保護の有効化を行っていきます。効率的な方法としては、メンバーアカウントを確認する画面で、S3保護の有効/無効でフィルタリングを行うことができるので「S3保護が無効なメンバーアカウント」でフィルタリングします。

そのあと、メンバーアカウントを全選択して「アクション」から「S3保護を有効化」を選択することで既存のメンバーアカウントに対してもS3保護を有効化することができます。

まとめ

マルチアカウントのGuardDuty環境下で『あっ！S3保護有効化にしていない！』という方は、今からでも遅くないのでS3保護の有効化も設定しておきましょう！

以上、大阪オフィスの林がお送りしました！