翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# を使用した GuardDuty アカウントの管理 AWS Organizations
<a name="guardduty_organizations"></a>

 AWS 組織では、管理アカウントは、この組織内の任意のアカウントを委任 GuardDuty 管理者アカウントとして指定できます。この管理者アカウントでは、GuardDuty は現在の でのみ自動的に有効になります AWS リージョン。デフォルトでは、管理者アカウントは、そのリージョン内の組織のすべてのメンバーアカウントに対して GuardDuty を有効化および管理できます。管理者アカウントは、この AWS 組織を表示してメンバーを追加できます。

以下のセクションでは、委任 GuardDuty 管理者アカウントとして実行できるさまざまなタスクについて説明します。

**Topics**
+ [で GuardDuty を使用する際の考慮事項と推奨事項 AWS Organizations](#delegated_admin_important)
+ [委任 GuardDuty 管理者アカウントの指定に必要な許可](organizations_permissions.md)
+ [委任 GuardDuty 管理者アカウントの指定](delegated-admin-designate.md)
+ [組織の自動有効化の詳細設定の指定](set-guardduty-auto-enable-preferences.md)
+ [組織へのメンバーの追加](add-member-accounts-guardduty-organization.md)
+ [(オプション) 既存のメンバーアカウントの保護プランの有効化](guardduty_quick_protection_plan_config.md)
+ [GuardDuty 内でのメンバーアカウントの継続的管理](maintaining-guardduty-organization-delegated-admin.md)
+ [メンバーアカウントの GuardDuty の停止](suspending-guardduty-member-account-from-admin.md)
+ [管理者アカウントからのメンバーアカウントの関連付け解除 (削除)](disassociate-remove-member-account-from-admin.md)
+ [GuardDuty 組織からのメンバーアカウントの削除](delete-member-accounts-guardduty-organization.md)
+ [委任 GuardDuty 管理者アカウントの変更](change-guardduty-delegated-admin.md)

## で GuardDuty を使用する際の考慮事項と推奨事項 AWS Organizations
<a name="delegated_admin_important"></a>

以下の考慮事項と推奨事項は、委任 GuardDuty 管理者アカウントが GuardDuty でどのように機能するかを理解するのに役立ちます。

**委任 GuardDuty 管理者アカウントは、最大 50,000 のメンバーを管理することができます。**  
委任 GuardDuty 管理者アカウント 1 つあたりのメンバーアカウント数は 50,000 件までとされています。これには、 を通じて追加されたメンバーアカウント AWS Organizations 、または GuardDuty 管理者アカウントの組織への招待を受け入れたメンバーアカウントが含まれます。ただし、 AWS 組織内に 50,000 を超えるアカウントが存在する可能性があります。  
メンバーアカウントの上限である 50,000 を超えると、CloudWatch から通知が送信され Health Dashboard、指定された委任 GuardDuty 管理者アカウントに E メールが送信されます。

**委任 GuardDuty 管理者アカウントはリージョン別です。**  
GuardDuty とは異なり AWS Organizations、GuardDuty はリージョン別サービスです。 GuardDuty 委任 GuardDuty 管理者アカウントとそのメンバーアカウントは、GuardDuty が有効になっている各希望するリージョン AWS Organizations で、 を介して追加する必要があります。組織の管理アカウントが米国東部 (バージニア北部) のみで委任 GuardDuty 管理者アカウントを指定している場合、委任 GuardDuty 管理者アカウントは、そのリージョンの組織に追加されたメンバーアカウントのみを管理します。GuardDuty が利用可能なリージョンの同等の機能の詳細については、「[リージョンとエンドポイント](guardduty_regions.md)」を参照してください。

**オプトインリージョンの特殊なケース**  
+ 委任 GuardDuty 管理者アカウントがオプトインリージョンをオプトアウトした場合、組織の GuardDuty の自動有効化設定が新しいメンバーアカウントのみ (`NEW`) またはすべてのメンバーアカウント (`ALL`) に設定されている場合でも、現在 GuardDuty が無効になっている組織内のメンバーアカウントの GuardDuty を有効にすることはできません。メンバーアカウントの設定に関する情報を確認するには、[GuardDuty コンソール](https://console.aws.amazon.com/guardduty/)のナビゲーションペインの **[アカウント]** を開くか、[ListMembers](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListMembers.html) API を使用します。
+ GuardDuty の自動有効化設定を `NEW` に設定して使用するときは、次の順序が守られていることを確認してください。

  1. メンバーアカウントがオプトインリージョンにオプトインします。

  1.  AWS Organizationsで組織にメンバーアカウントを追加します。

  これらのステップの順序を変更すると、メンバーアカウントが組織にとって新規ではなくなるため、`NEW` の GuardDuty の自動有効化設定は特定のオプトインリージョンで機能**しません**。GuardDuty では 2 つの代替ソリューションがあります。
  + GuardDuty の自動有効化設定を `ALL` に設定します。これには、新規と既存のメンバーアカウントが含まれます。この場合、これらのステップの順序は関係ありません。
  + メンバーアカウントが既に組織の一部である場合は、GuardDuty コンソールまたは API を使用して、特定のオプトインリージョンでこのアカウントの GuardDuty の設定を個別に管理します。

** AWS 組織がすべての で同じ委任 GuardDuty 管理者アカウントを持つために必要です AWS リージョン。**  
GuardDuty が有効になっているすべての AWS リージョン で 1 つのメンバーアカウントを委任 GuardDuty 管理者アカウントとして指定する必要があります。例えば、{{欧州 (アイルランド)}} でメンバーアカウント {{111122223333}} を指定する場合、{{カナダ (中部)}} で別のメンバーアカウント {{555555555555}} を指定することはできません。他のすべてのリージョンで委任 GuardDuty 管理者アカウントと同じアカウントを使用する必要があります。  
任意の時点で新しい委任 GuardDuty 管理者アカウントを指定できます。既存の委任 GuardDuty 管理者アカウントの削除の詳細については、「[委任 GuardDuty 管理者アカウントの変更](change-guardduty-delegated-admin.md)」を参照してください。

**組織の管理アカウントを委任 GuardDuty 管理者アカウントとして設定することは推奨されません。**  
組織の管理アカウントは、委任 GuardDuty 管理者アカウントになることができます。ただし、 AWS  のセキュリティのベストプラクティスは最小特権の原則に従っており、この設定は推奨されていません。

**委任 GuardDuty 管理者アカウントを変更しても、メンバーアカウントの GuardDuty は無効になりません。**  
委任 GuardDuty 管理者アカウントを削除すると、GuardDuty はこの委任 GuardDuty 管理者アカウントに関連付けられているすべてのメンバーアカウントを削除します。GuardDuty は、これらすべてのメンバーアカウントのために引き続き有効になっています。