翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# AWS Security Hub CSPM および AWS Organizations
AWS Security Hub CSPM は、 のセキュリティ状態を包括的に把握 AWS し、セキュリティ業界標準とベストプラクティスに照らして環境をチェックするのに役立ちます。
Security Hub CSPM は、 全体 AWS アカウント、 AWS のサービス 使用する 、およびサポートされているサードパーティーパートナー製品からセキュリティデータを収集します。セキュリティの傾向を分析し、特に優先度の高いセキュリティ問題を特定するのに役立ちます。
Security Hub CSPM AWS Organizations と の両方を併用すると、追加された新しいアカウントを含め、すべてのアカウントで Security Hub CSPM を自動的に有効にできます。これにより、Security Hub CSPM のチェックと検出のカバレッジが向上し、全体的なセキュリティ体制をより包括的かつ正確に把握できます。
Security Hub CSPM の詳細については、*[AWS Security Hub 「 ユーザーガイド](https://docs.aws.amazon.com/securityhub/latest/userguide/)*」を参照してください。
次の情報は、 AWS Security Hub CSPM との統合に役立ちます AWS Organizations。
## 統合を有効にする際に作成されるサービスにリンクされたロール
信頼されたアクセスを有効にすると、以下の[サービスにリンクされたロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)が組織の管理アカウントに自動的に作成されます。このロールにより、Security Hub CSPM は、組織内の組織のアカウント内でサポートされているオペレーションを実行できます。
このロールを削除または変更できるのは、Security Hub CSPM と Organizations 間の信頼されたアクセスを無効にした場合、または組織からメンバーアカウントを削除した場合のみです。
+ `AWSServiceRoleForSecurityHub`
## サービスにリンクされたロールで使用されるサービスプリンシパル
前のセクションで説明したサービスにリンクされたロールを引き受けることができるのは、ロールに定義された信頼関係によって承認されたサービスプリンシパルだけです。Security Hub CSPM で使用されるサービスにリンクされたロールは、次のサービスプリンシパルへのアクセスを許可します。
+ `securityhub.amazonaws.com`
## Security Hub CSPM による信頼されたアクセスの有効化
信頼されたアクセスの有効化に必要な権限に関しては、[信頼されたアクセスを有効にするために必要なアクセス許可](orgs_integrate_services.md#orgs_trusted_access_perms) を参照してください。
Security Hub CSPM の委任管理者を指定すると、Security Hub CSPM は組織内の Security Hub の信頼されたアクセスを自動的に有効にします。
## Security Hub CSPM による信頼されたアクセスの無効化
信頼されたアクセスを無効にするために必要なアクセス許可については、「*AWS Organizations ユーザーガイド*」の「[Permissions required to disable trusted access](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html#orgs_trusted_access_disable_perms)」を参照してください。
信頼されたアクセスを無効にする前に、必要に応じて組織の委任管理者に連絡して、メンバーアカウントの Security Hub CSPM を無効にし、それらのアカウントの Security Hub CSPM リソースをクリーンアップしてください。
信頼されたアクセスを無効にするには、 AWS Organizations コンソール、Organizations API、または を使用します AWS CLI。Security Hub CSPM で信頼されたアクセスを無効にすることができるのは、Organizations 管理アカウントの管理者のみです。
Security Hub CSPM で信頼されたアクセスを無効にする手順については、[「Security Hub CSPM との統合を無効にする AWS Organizations](https://docs.aws.amazon.com/securityhub/latest/userguide/designate-orgs-admin-account.html#disable-orgs-integration)」を参照してください。
## Security Hub CSPM の委任管理者の有効化
メンバーアカウントを組織の委任管理者として指定すると、そのアカウントのユーザーとロールは Security Hub CSPM の管理アクションを実行できます。それ以外の場合は、組織の管理アカウントのユーザーまたはロールのみが実行できます。これにより、組織の管理と Security Hub CSPM の管理を分離できます。
詳細については、「 *AWS Security Hub ユーザーガイド*[」の「Security Hub CSPM 管理者アカウントの指定](https://docs.aws.amazon.com/securityhub/latest/userguide/designate-orgs-admin-account.html)」を参照してください。
**Security Hub CSPM の委任管理者としてメンバーアカウントを指定するには**
1. Organizations の管理アカウントでサインインします。
1. 次のいずれかを実行します。
+ 管理アカウントで Security Hub CSPM が有効になっていない場合は、Security Hub CSPM コンソールで、**Security Hub CSPM に移動**を選択します。
+ 管理アカウントで Security Hub CSPM が有効になっている場合は、Security Hub CSPM コンソールの**「全般**」で**設定**を選択します。
1. [**Delegated Administrator**] (委任管理者) に、アカウント ID を入力します。
## Security Hub CSPM の委任管理者を無効にする
Security Hub CSPM の委任管理者アカウントは、組織の管理アカウントでのみ削除することができます。
Security Hub CSPM の委任管理者アカウントを変更するには、まず現在の委任管理者アカウントを削除してから、新しいアカウントを指定する必要があります。
Security Hub CSPM コンソールを使用して、あるリージョンの委任管理者を削除すると、その管理者はすべてのリージョンから自動的に削除されます。
Security Hub CSPM API は、API コールまたはコマンドが発行されたリージョンでのみ Security Hub CSPM の委任管理者アカウントを削除します。他のリージョンでもこの操作を繰り返す必要があります。
Organizations API を使用して Security Hub CSPM の委任管理者アカウントを削除すると、すべてのリージョンで自動的に削除されます。
委任 Security Hub CSPM 管理者を無効にする手順については、[「委任管理者の削除または変更](https://docs.aws.amazon.com/securityhub/latest/userguide/designate-orgs-admin-account.html#remove-admin-overview)」を参照してください。