AWS Security Hub CSPMおよび AWS Organizations - AWS Organizations
サービスリンクロールサービスプリンシパル信頼されたアクセスを有効にする信頼されたアクセスを無効にするSecurity Hub CSPM の委任管理者の有効化Security Hub CSPM の委任管理者を無効にする

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Security Hub CSPMおよび AWS Organizations

AWS Security Hub CSPMは、 のセキュリティ状態を包括的に把握AWSし、セキュリティ業界標準とベストプラクティスに照らして環境をチェックするのに役立ちます。

Security Hub CSPM は、 全体AWS アカウント、AWS のサービス使用する 、およびサポートされているサードパーティーパートナー製品からセキュリティデータを収集します。セキュリティの傾向を分析し、特に優先度の高いセキュリティ問題を特定するのに役立ちます。

Security Hub CSPM AWS Organizationsと の両方を併用すると、追加された新しいアカウントを含め、すべてのアカウントで Security Hub CSPM を自動的に有効にできます。これにより、Security Hub CSPM のチェックと検出のカバレッジが向上し、全体的なセキュリティ体制をより包括的かつ正確に把握できます。

Security Hub CSPM の詳細については、AWS Security Hub「 ユーザーガイド」を参照してください。

次の情報は、 AWS Security Hub CSPMとの統合に役立ちますAWS Organizations。

統合を有効にする際に作成されるサービスにリンクされたロール

信頼されたアクセスを有効にすると、以下のサービスにリンクされたロールが組織の管理アカウントに自動的に作成されます。このロールにより、Security Hub CSPM は組織内のアカウント内でサポートされているオペレーションを実行できます。

このロールを削除または変更できるのは、Security Hub CSPM と Organizations 間の信頼されたアクセスを無効にした場合、または組織からメンバーアカウントを削除した場合のみです。

  • AWSServiceRoleForSecurityHub

サービスにリンクされたロールで使用されるサービスプリンシパル

前のセクションで説明したサービスにリンクされたロールを引き受けることができるのは、ロールに定義された信頼関係によって承認されたサービスプリンシパルだけです。Security Hub CSPM で使用されるサービスにリンクされたロールは、次のサービスプリンシパルへのアクセスを許可します。

  • securityhub.amazonaws.com

Security Hub CSPM による信頼されたアクセスの有効化

信頼されたアクセスの有効化に必要な権限に関しては、信頼されたアクセスを有効にするために必要なアクセス許可 を参照してください。

Security Hub CSPM の委任管理者を指定すると、Security Hub CSPM は組織内の Security Hub の信頼されたアクセスを自動的に有効にします。

Security Hub CSPM による信頼されたアクセスの無効化

信頼されたアクセスを無効にするために必要なアクセス許可については、「AWS Organizations ユーザーガイド」の「Permissions required to disable trusted access」を参照してください。

信頼されたアクセスを無効にする前に、必要に応じて組織の委任管理者に連絡して、メンバーアカウントの Security Hub CSPM を無効にし、それらのアカウントの Security Hub CSPM リソースをクリーンアップしてください。

信頼されたアクセスを無効にするには、 AWS Organizationsコンソール、Organizations API、または を使用しますAWS CLI。Security Hub CSPM で信頼されたアクセスを無効にすることができるのは、Organizations 管理アカウントの管理者のみです。

Security Hub CSPM で信頼されたアクセスを無効にする手順については、「Security Hub CSPM との統合を無効にするAWS Organizations」を参照してください。

Security Hub CSPM の委任管理者の有効化

メンバーアカウントを組織の委任管理者として指定すると、そのアカウントのユーザーとロールは Security Hub CSPM の管理アクションを実行できます。それ以外の場合は、組織の管理アカウントのユーザーまたはロールのみが実行できます。これにより、組織の管理と Security Hub CSPM の管理を分離できます。

詳細については、「 AWS Security Hubユーザーガイド」の「Security Hub CSPM 管理者アカウントの指定」を参照してください。

Security Hub CSPM の委任管理者としてメンバーアカウントを指定するには

  1. Organizations の管理アカウントでサインインします。

  2. 次のいずれかを実行します。

    • 管理アカウントで Security Hub CSPM が有効になっていない場合は、Security Hub CSPM コンソールで、Security Hub CSPM に移動を選択します。

    • 管理アカウントで Security Hub CSPM が有効になっている場合は、Security Hub CSPM コンソールの「全般」で設定を選択します。

  3. [Delegated Administrator] (委任管理者) に、アカウント ID を入力します。

Security Hub CSPM の委任管理者を無効にする

Security Hub CSPM の委任管理者アカウントは、組織の管理アカウントでのみ削除することができます。

Security Hub CSPM の委任管理者アカウントを変更するには、まず現在の委任管理者アカウントを削除してから、新しいアカウントを指定する必要があります。

Security Hub CSPM コンソールを使用して、あるリージョンの委任管理者を削除すると、その管理者はすべてのリージョンから自動的に削除されます。

Security Hub CSPM API は、API コールまたはコマンドが発行されたリージョンでのみ Security Hub CSPM の委任管理者アカウントを削除します。他のリージョンでもこの操作を繰り返す必要があります。

Organizations API を使用して Security Hub CSPM の委任管理者アカウントを削除すると、すべてのリージョンで自動的に削除されます。

委任 Security Hub CSPM 管理者を無効にする手順については、「委任管理者の削除または変更」を参照してください。