この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
困っていた内容
Security Hub にて、メンバーアカウント追加のため、追加するユーザーのメールアドレスとアカウントIDを入力し、別アカウントへの招待を行ったところ、
正常に招待が完了いたしました。
しかしながら、後々間違ったメールアドレスで招待していたことに気が付きました。
メールアドレスとアカウントID でメンバーアカウントを追加する GuardDuty では Security Hub と同様に、
アカウント ID とメールアドレスの組み合わせが間違っていると招待に失敗する認識ですが、
Security Hub の場合、間違ったメールアドレスでも正常に招待が完了してしまう理由はなぜでしょうか。
具体的な理由
Security Hub でメンバーアカウントを追加する際に入力するメールアドレスは、
セキュリティ担当者に連絡が取れるメールアドレスであれば、どのようなものでも指定することが可能です。
また、現時点においては、メールアドレスの登録にあたって、アカウント ID とメールアドレスの組み合わせが有効であるかの検証などは行われておりません。
メンバーアカウントの追加と招待 - AWS Security Hub
各アカウントについて、アカウント ID と E メールアドレスを指定する必要があります。
Eメールアドレスは、アカウントのセキュリティ上の問題について問い合わせるEメールアドレスである必要があります。アカウントの確認には使用されません。
一方、GuardDuty については、
メンバーアカウントを追加する際、指定されたアカウント ID とメールアドレスの組み合わせが有効であるかどうかを検証しています。
そのため、入力したアカウント ID とメールアドレスの組み合わせが間違っている場合、アカウントステータスが「検証に失敗しました」となり、メンバーアカウントを招待することができません。
招待によるGuardDutyアカウントの管理 - Amazon GuardDuty
重要
このステップで指定する E メールアドレスは、AWSGuardDuty メンバーアカウントとして追加するアカウント。
上記理由により、Security Hub の場合は、間違ったメールアドレスでも招待が完了してしまいますので、メンバーアカウント追加の際はご注意ください。
2
