翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# 組織管理アカウント
| |
| --- |
| [簡単な調査](https://amazonmr.au1.qualtrics.com/jfe/form/SV_e3XI1t37KMHU2ua)を行い、 AWS セキュリティリファレンスアーキテクチャ (AWS SRA) の未来に影響を与えます。 |
次の図は、組織管理アカウントで設定されている AWS セキュリティサービスを示しています。
このガイドの前半の[「セキュリティ AWS Organizations のための の使用](organizations-security.md)」セクションと[「管理アカウント」、「信頼されたアクセス」、および「委任された管理者](management-account.md)」セクションでは、組織管理アカウントの目的とセキュリティ目標を詳しく説明しました。組織管理アカウントの[セキュリティのベストプラクティス](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_best-practices_mgmt-acct.html)に従います。これには、ビジネスによって管理される E メールアドレスの使用、正しい管理およびセキュリティ連絡先情報の維持 (アカウントの所有者に連絡する必要がある場合に AWS アカウントに電話番号をアタッチするなど)、すべてのユーザーの多要素認証 (MFA) の有効化、組織管理アカウントにアクセスできるユーザーを定期的に確認することが含まれます。組織管理アカウントにデプロイされたサービスは、適切なロール、信頼ポリシー、およびその他のアクセス許可で構成して、それらのサービスの管理者 (組織管理アカウントでサービスにアクセスする必要があるユーザー) が他のサービスにも不適切にアクセスできないようにします。
## サービスコントロールポリシー
を使用すると [AWS Organizations](https://aws.amazon.com/organizations/)、複数のポリシーを一元管理できます AWS アカウント。たとえば、組織のメンバー AWS アカウント である複数の に [サービスコントロールポリシー](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scp.html) (SCPs) を適用できます。SCPsを使用すると、組織のメンバーの [IAM](https://aws.amazon.com/iam/) プリンシパル (IAM ユーザーやロールなど) が実行できる API と実行できない AWS のサービス APIs を定義できます AWS アカウント。SCPsは、組織の作成時に AWS アカウント 使用した である組織管理アカウントから作成および適用されます。SCPs「[Using AWS Organizations for security](organizations-security.md)」セクションを参照してください。
AWS Control Tower を使用して AWS 組織を管理する場合、[一連の SCPs を予防ガードレールとして](https://docs.aws.amazon.com/controltower/latest/userguide/guardrails-reference.html)デプロイします (必須、強く推奨、または選択的に分類)。これらのガードレールは、組織全体のセキュリティコントロールを適用することで、リソースを管理するのに役立ちます。これらの SCPs、 の値が Managed-by-control-tower である aws-control-tower タグを自動的に使用します。 managed-by-control-tower
**設計上の考慮事項**
SCPs、組織内の*メンバー*アカウントのみに影響します AWS 。これらは組織管理アカウントから適用されますが、そのアカウントのユーザーまたはロールには影響しません。SCP 評価ロジックの仕組みと推奨される構造の例については、 AWS ブログ記事[「サービスコントロールポリシーの使用方法 AWS Organizations](https://aws.amazon.com/blogs/security/how-to-use-service-control-policies-in-aws-organizations/)」を参照してください。
## リソースコントロールポリシー
[リソースコントロールポリシー](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) (RCPsは、組織内のリソースに対して使用可能なアクセス許可の最大数を一元的に制御します。RCP は、アクセス許可ガードレールを定義するか、アイデンティティが組織内のリソースに対して実行できるアクションに制限を設定します。RCPs を使用して、リソースにアクセスできるユーザーを制限し、組織のメンバー でリソースにアクセスする方法に関する要件を適用できます AWS アカウント。RCP は個々のアカウント、OU、または組織のルートに直接アタッチできます。RCPs [「RCP 評価](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps_evaluation.html)」を参照してください。 AWS Organizations RCPs[「Using AWS Organizations for security](organizations-security.md)」セクションを参照してください。
AWS Control Tower を使用して AWS 組織を管理する場合、一連の RCPs を予防ガードレールとしてデプロイします (必須、強く推奨、または選択的に分類)。これらのガードレールは、組織全体のセキュリティコントロールを適用することで、リソースを管理するのに役立ちます。これらの SCPs、 の値を持つ`aws-control-tower`タグを自動的に使用します`managed-by-control-tower`。
**設計上の考慮事項**
RCP は、組織内の***メンバー***アカウントのリソースのみに影響します。管理アカウントのリソースには影響しません。これは、RCP が委任管理者として指定されたメンバーアカウントに適用されることも意味します。
RCPs、 のサブセットのリソースに適用されます AWS のサービス。詳細については、 ドキュメント [の「RCP AWS のサービス をサポートする のリスト RCPs](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html#rcp-supported-services)」を参照してください。 AWS Organizations および [AWS Lambda 関数](https://aws.amazon.com/pm/lambda/) を使用して [AWS Config ルール](https://aws.amazon.com/config/) 、RCPs で現在サポートされていないリソースに対するセキュリティコントロールの適用をモニタリングおよび自動化できます。
## 宣言ポリシー
宣言ポリシーは、組織全体 AWS のサービス の大規模な特定の に必要な設定を一元的に宣言して適用するのに役立つ AWS Organizations 管理ポリシーの一種です。宣言ポリシーは現在、 [Amazon EC2](https://aws.amazon.com/ec2/)、 [Amazon VPC](https://aws.amazon.com/vpc/)、 [Amazon EBS](https://aws.amazon.com/ebs/) サービスをサポートしています。使用可能なサービス属性には、インスタンスメタデータサービスバージョン 2 (IMDSv2) の強制、EC2 シリアルコンソールを使用したトラブルシューティング、 [Amazon マシンイメージ (AMI)](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AMIs.html) 設定の許可、Amazon EBS スナップショット、Amazon EC2 AMIs、Amazon VPC リソースへのパブリックアクセスのブロックなどがあります。サポートされている最新のサービスと属性については、 AWS Organizations ドキュメントの[「宣言ポリシー](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_declarative.html#orgs_manage_policies_declarative-supported-controls)」を参照してください。
のベースライン設定を適用するには、 コンソール AWS Organizations と AWS Control Tower コンソールでいくつかの選択 AWS のサービス を行うか、 few AWS Command Line Interface (AWS CLI) コマンドと AWS SDK コマンドを使用します。宣言型ポリシーは、サービスのコントロールプレーンで適用されます。つまり、サービスが新機能や APIs を導入した場合、新しいアカウントが組織に追加された場合、または新しいプリンシパルやリソースが作成された場合でも、 のベースライン設定 AWS のサービス が常に維持されます。宣言ポリシーは、組織全体、または特定の OUs またはアカウントに適用できます。 *有効なポリシー* は、組織ルートと OUs から継承される一連のルールと、アカウントに直接アタッチされるポリシーです。 宣言ポリシーが [デタッチされると](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_policies_detach.html)、属性の状態は宣言ポリシーがアタッチされる前にその状態に戻ります。
宣言ポリシーを使用して、カスタムエラーメッセージを作成できます。たとえば、宣言ポリシーが原因で API オペレーションが失敗した場合、エラーメッセージを設定したり、内部 Wiki へのリンクや失敗を説明するメッセージへのリンクなどのカスタム URL を提供したりできます。これにより、ユーザーは問題を自分でトラブルシューティングできるように、より多くの情報を得ることができます。を使用して、宣言ポリシーの作成、宣言ポリシーの更新、宣言ポリシーの削除のプロセスを監査することもできます AWS CloudTrail。
宣言ポリシーは*アカウントステータスレポートを提供します。これにより、* 対象範囲内のアカウントの宣言ポリシーでサポートされているすべての属性の現在のステータスを確認できます。レポートスコープに含めるアカウントと OUs を選択するか、ルートを選択して組織全体を選択できます。このレポートは、属性の現在の状態が *アカウント間で統一* されている ( 値を使用 `numberOfMatchedAccounts`) か、*アカウント間で* *一貫性がない* ( 値を使用 `numberOfUnmatchedAccounts`) か AWS リージョン を指定して内訳を提供することで、準備状況を評価するのに役立ちます。
**設計上の考慮事項**
宣言ポリシーを使用してサービス属性を設定すると、ポリシーが複数の APIs に影響を与える可能性があります。非準拠のアクションはすべて失敗します。アカウント管理者は、個々のアカウントレベルでサービス属性の値を変更することはできません。
## 一元化されたルートアクセス
のすべてのメンバーアカウント AWS Organizations には独自のルートユーザーがあります。これは、そのメンバーアカウントのすべての AWS のサービス およびリソースへの完全なアクセス権を持つ ID です。IAM は、すべてのメンバーアカウントのルートアクセスを管理するための一元化されたルートアクセス管理を提供します。これにより、メンバールートユーザーの使用が防止され、大規模な復旧が可能になります。一元化されたルートアクセス機能には、ルート認証情報管理 と ルートセッションの 2 つの重要な機能があります。
+ ルート認証情報管理機能は、一元管理を可能にし、すべての管理アカウントでルートユーザーを保護するのに役立ちます。この機能には、長期的なルート認証情報の削除、メンバーアカウントによるルート認証情報の復旧の防止、デフォルトでルート認証情報を使用しない新しいメンバーアカウントのプロビジョニングが含まれます。また、コンプライアンスを示す簡単な方法も提供します。ルートユーザー管理が一元化されると、ルートユーザーのパスワード、アクセスキー、署名証明書を削除し、すべてのメンバーアカウントから多要素認証 (MFA) を非アクティブ化できます。
+ ルートセッション機能を使用すると、組織管理アカウントまたは委任管理者アカウントのメンバーアカウントで短期認証情報を使用して、特権ルートユーザーアクションを実行できます。この機能は、最小特権の原則に従って、特定のアクションを対象とする短期ルートアクセスを有効にするのに役立ちます。
一元化されたルート認証情報管理を行うには、組織管理アカウントまたは委任された管理者アカウントから、組織レベルでルート認証情報管理とルートセッション機能を有効にする必要があります。SRA AWS のベストプラクティスに従って、この機能を Security Tooling アカウントに委任します。一元化されたルートユーザーアクセスの設定と使用の詳細については、 AWS セキュリティブログ記事「 [を使用するお客様のルートアクセスを一元管理する AWS Organizations](https://aws.amazon.com/blogs/aws/centrally-managing-root-access-for-customers-using-aws-organizations/)」を参照してください。
## IAM アイデンティティセンター
[AWS IAM アイデンティティセンター](https://aws.amazon.com/iam/identity-center/) は、すべての 、プリンシパル AWS アカウント、クラウドワークロードへの SSO アクセスを一元管理するのに役立つ ID フェデレーションサービスです。IAM Identity Center は、一般的に使用されるサードパーティーの Software as a Service (SaaS) アプリケーションへのアクセスとアクセス許可の管理にも役立ちます。ID プロバイダーは、SAML 2.0 を使用して IAM アイデンティティセンターと統合します。一括プロビジョニングとjust-in-timeプロビジョニングは、クロスドメイン ID 管理システム (SCIM) を使用して実行できます。IAM Identity Center は、 を使用して、ID プロバイダーとしてオンプレミスまたは AWSマネージド Microsoft Active Directory (AD) ドメインと統合することもできます AWS Directory Service。IAM Identity Center には、エンドユーザーが割り当てられた AWS アカウント IAM Identity Center、ロール、クラウドアプリケーション、カスタムアプリケーションを 1 か所で検索してアクセスできるユーザーポータルが含まれています。
IAM Identity Center は、デフォルトで とネイティブに統合 AWS Organizations され、組織管理アカウントで実行されます。ただし、最小特権を行使し、管理アカウントへのアクセスを厳密に制御するために、IAM Identity Center の管理を特定のメンバーアカウントに委任できます。 AWS SRA では、共有サービスアカウントは IAM Identity Center の委任管理者アカウントです。IAM Identity Center の委任管理を有効にする前に、[以下の考慮事項](https://aws.amazon.com/blogs/security/getting-started-with-aws-sso-delegated-administration/#_Considerations_when_delegating)を確認してください。委任の詳細については、[「共有サービスアカウント](shared-services.md)」セクションを参照してください。委任を有効にした後でも、IAM Identity Center は組織管理アカウントで実行して、組織管理アカウントでプロビジョニングされたアクセス許可セットの管理など、特定の [IAM Identity Center 関連のタスク](https://docs.aws.amazon.com/singlesignon/latest/userguide/delegated-admin.html#delegated-admin-tasks-member-account)を実行する必要があります。
IAM Identity Center コンソール内では、アカウントはカプセル化 OU によって表示されます。これにより、 をすばやく検出し AWS アカウント、一般的なアクセス許可のセットを適用し、一元的な場所からのアクセスを管理できます。
IAM Identity Center には、特定のユーザー情報を保存する必要がある ID ストアが含まれています。ただし、IAM Identity Center がワークフォース情報の信頼できるソースである必要はありません。エンタープライズにすでに信頼できるソースがある場合、IAM Identity Center は次のタイプの ID プロバイダー (IdPsをサポートしています。
+ **IAM Identity Center アイデンティティストア –** 次の 2 つのオプションが利用できない場合は、このオプションを選択します。ユーザーが作成され、グループの割り当てが行われ、アクセス許可が ID ストアに割り当てられます。信頼できるソースが IAM Identity Center の外部にある場合でも、プリンシパル属性のコピーは ID ストアに保存されます。
+ **Microsoft Active Directory (AD) –** のディレクトリ AWS Directory Service for Microsoft Active Directory または Active Directory のセルフマネージドディレクトリのいずれかでユーザーの管理を継続する場合は、このオプションを選択します。
+ **外部 ID プロバイダー –** 外部のサードパーティーの SAML ベースの IdP でユーザーを管理する場合は、このオプションを選択します。
エンタープライズ内で既に導入されている既存の IdP を使用できます。これにより、アクセスの作成、管理、および取り消しを 1 箇所で行うことができるため、複数のアプリケーションおよびサービス間のアクセス管理を簡単に行うことができます。たとえば、誰かがチームを離れた場合、1 つの場所からすべてのアプリケーションとサービス ( を含む AWS アカウント) へのアクセスを取り消すことができます。これにより、複数の認証情報の必要性が軽減され、人事 (HR) プロセスと統合する機会が得られます。
**設計上の考慮事項**
そのオプションがエンタープライズで利用可能な場合は、外部 IdP を使用します。IdP がクロスドメインアイデンティティ管理 (SCIM) のシステムをサポートしている場合は、IAM アイデンティティセンターの SCIM 機能を活用して、ユーザー、グループ、アクセス許可のプロビジョニング (同期) を自動化します。これにより、新規採用者、別のチームに移行する従業員、および退職する従業員の社内ワークフローと連携した AWS アクセスが可能になります。いつでも、1 つのディレクトリまたは 1 つの SAML 2.0 ID プロバイダーのみを IAM アイデンティティセンターに接続できます。ただし、別の ID プロバイダーに切り替えることはできます。
## IAM アクセスアドバイザー
IAM アクセスアドバイザーは、 AWS アカウント および OUs のサービスの最終アクセス時間情報の形式でトレーサビリティデータを提供します。この検出制御を使用して、[最小特権戦略](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege) に貢献します。IAM プリンシパルの場合、許可された情報と許可されたアクション AWS のサービス 情報の 2 種類の最終アクセス情報を表示できます。情報には、試行が行われた日時が含まれます。
組織管理アカウント内の IAM アクセスを使用すると、組織管理アカウント、OU、メンバーアカウント、または AWS IAM ポリシーのサービスの最終アクセス時間データを表示できます。この情報は、管理アカウント内の IAM コンソールで利用でき、 の IAM アクセスアドバイザー APIs AWS CLI またはプログラムクライアントを使用してプログラムで取得することもできます。この情報は、組織またはアカウント内のどのプリンシパルが最後にサービスにアクセスしようとしたかを示しています。最終アクセスの情報は、実際のサービス利用状況を把握できるため ([シナリオ例](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor-example-scenarios.html) を参照)、実際に利用されているサービスのみに IAM アクセス許可を消去することが可能です。
## AWS Systems Manager
高速セットアップと Explorer は、 の機能であり[AWS Systems Manager](https://aws.amazon.com/systems-manager/)、組織管理アカウントからのサポート AWS Organizations と運用の両方を行います。
[クイックセットアップ](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-quick-setup.html) は、Systems Manager の自動化機能です。これにより、組織管理アカウントは、Systems Manager が AWS 組織内のアカウント間でユーザーに代わってやり取りするための設定を簡単に定義できます。 AWS 組織全体でクイックセットアップを有効にするか、特定の OU を選択することができます。高速セットアップでは、 AWS Systems Manager エージェント (SSM エージェント) が EC2 インスタンスで隔週更新を実行するようにスケジュールし、それらのインスタンスの毎日のスキャンを設定して、欠落しているパッチを特定できます。
[Explorer](https://docs.aws.amazon.com/systems-manager/latest/userguide/Explorer.html) は、 AWS リソースに関する情報をレポートするカスタマイズ可能なオペレーションダッシュボードです。Explorer は、 AWS アカウントおよび全体のオペレーションデータの集約ビューを表示します AWS リージョン。これには、EC2 インスタンスに関するデータやパッチコンプライアンスの詳細が含まれます 内で統合セットアップ (Systems Manager OpsCenter も含む) を完了すると AWS Organizations、OU または AWS 組織全体のデータを Explorer に集約できます。Systems Manager は、Explorer に表示する前に、データを AWS 組織管理アカウントに集約します。
このガイドの後半の[「ワークロード OU](application.md)」セクションでは、アプリケーションアカウントの EC2 インスタンスでの SSM エージェントの使用について説明します。
## AWS Control Tower
[AWS Control Tower](https://aws.amazon.com/controltower/) は、ラン*ディングゾーン*と呼ばれる安全なマルチアカウント AWS 環境をセットアップして管理するための簡単な方法を提供します。 は、 を使用してランディングゾーン AWS Control Tower を作成し AWS Organizations、継続的なアカウント管理とガバナンス、実装のベストプラクティスを提供します。 AWS Control Tower を使用して、アカウントが組織ポリシーに準拠していることを確認しながら、いくつかのステップで新しいアカウントをプロビジョニングできます。既存のアカウントを新しい AWS Control Tower 環境に追加することもできます。
AWS Control Tower には、広範で柔軟な一連の機能があります。主な機能は[AWS のサービス](https://docs.aws.amazon.com/controltower/latest/userguide/integrated-services.html)、 や IAM Identity Center など AWS Organizations AWS Service Catalog、他のいくつかの の機能*を調整し*てランディングゾーンを構築する機能です。例えば、 はデフォルトで AWS CloudFormation を使用してベースラインを確立し、 AWS Organizations サービスコントロールポリシー (SCPs) AWS Control Tower を使用して設定変更を防止し、 AWS Config ルール ルールを使用して非準拠を継続的に検出します。 は、マルチアカウント AWS 環境を [AWS Well Architected セキュリティ基盤の設計原則](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/security.html)とすばやく一致させるのに役立つ設計図 AWS Control Tower を採用しています。ガバナンス機能の中で、 AWS Control Tower には、選択したポリシーに準拠しないリソースのデプロイを防ぐガードレールが用意されています。
を使用して SRA AWS ガイダンスの実装を開始できます AWS Control Tower。たとえば、 は推奨されるマルチアカウントアーキテクチャを使用して AWS 組織 AWS Control Tower を確立します。ID 管理の提供、アカウントへのフェデレーティッドアクセスの提供、ログ記録の一元化、クロスアカウントセキュリティ監査の確立、新しいアカウントのプロビジョニングワークフローの定義、ネットワーク設定によるアカウントベースラインの実装を行うための設計図を提供します。
AWS SRA では、 AWS Control Tower は組織管理アカウント内にあります。 はこのアカウント AWS Control Tower を使用して AWS 組織を自動的にセットアップし、そのアカウントを管理アカウントとして指定するためです。このアカウントは、 AWS 組織全体の請求に使用されます。また、アカウントの Account Factory プロビジョニング、OUs の管理、ガードレールの管理にも使用されます。既存の AWS 組織 AWS Control Tower で を起動する場合は、既存の管理アカウントを使用できます。 AWS Control Tower はそのアカウントを指定された管理アカウントとして使用します。
**設計上の考慮事項**
アカウント全体でコントロールと設定の追加のベースラインを作成する場合は、 [AWS Control Tower (CfCT) のカスタマイズ](https://aws.amazon.com/solutions/implementations/customizations-for-aws-control-tower/)を使用できます。CfCT では、 CloudFormation テンプレートと SCPs を使用して AWS Control Tower ランディングゾーンをカスタマイズできます。カスタムテンプレートとポリシーは、組織内の個々のアカウントと OUs にデプロイできます。CfCT は AWS Control Tower ライフサイクルイベントと統合して、リソースデプロイがランディングゾーンと同期していることを確認します。
## AWS Artifact
[AWS Artifact](https://aws.amazon.com/artifact/) は、 AWS セキュリティおよびコンプライアンスレポートへのオンデマンドアクセスと、一部のオンライン契約を提供します。で利用可能なレポート AWS Artifact には、System and Organization Controls (SOC) レポート、Payment Card Industry (PCI) レポート、および AWS セキュリティコントロールの実装と運用の有効性を検証する地域やコンプライアンス分野の認定機関からの証明書が含まれます。 AWS Artifact は、セキュリティコントロール環境への透明性を強化 AWS して のデューデリジェンスを実行するのに役立ちます。また、新しいレポートにすぐにアクセスできる AWS のセキュリティとコンプライアンスを継続的にモニタリングすることもできます。
AWS Artifact 契約を使用すると、個々のアカウントと組織の一部であるアカウントの事業提携契約 (BAA) などの契約のステータス AWS を確認、承諾、追跡できます AWS Organizations。
AWS セキュリティコントロールの証拠として、 AWS 監査アーティファクトを監査人または規制当局に提供できます。また、監査 AWS アーティファクトの一部が提供する責任ガイダンスを使用して、クラウドアーキテクチャを設計することもできます。このガイダンスは、システムの特定のユースケースをサポートするために導入できる追加のセキュリティコントロールを決定するのに役立ちます。
AWS Artifact は組織管理アカウントでホストされ、契約を確認、受諾、管理できる一元的な場所を提供します AWS。これは、管理アカウントで承諾された契約がメンバーアカウントに流れるためです。
**設計上の考慮事項**
組織管理アカウント内のユーザーは、 の契約機能のみを使用するように制限 AWS Artifact する必要があります。職務分離を実装するために、 AWS Artifact は Security Tooling アカウントでもホストされます。このアカウントでは、監査アーティファクトにアクセスするためのアクセス許可をコンプライアンス関係者と外部監査人に委任できます。きめ細かな IAM アクセス許可ポリシーを定義することで、この分離を実装できます。例については、 AWS ドキュメントの[「IAM ポリシーの例](https://docs.aws.amazon.com/artifact/latest/ug/security-iam.html#example-iam-policies)」を参照してください。
## 分散型および一元化されたセキュリティサービスガードレール
AWS SRA では、 AWS Security Hub、 AWS Security Hub CSPM、Amazon GuardDuty、 AWS Config、IAM Access Analyzer、 AWS CloudTrail 組織の証跡、および多くの場合 Amazon Macie は、アカウント間で適切な委任ガードレールのセットでデプロイされ、 AWS 組織全体で一元的なモニタリング、管理、ガバナンスを提供します。このサービスのグループは、SRA AWS で表されるすべてのタイプのアカウントにあります。これらは の一部 AWS のサービス であり、アカウントのオンボーディングおよびベースライン作成プロセスの一環としてプロビジョニングする必要があります。[GitHub コードリポジトリ](https://github.com/aws-samples/aws-security-reference-architecture-examples)は、 AWS 組織管理アカウントを含むアカウント全体のセキュリティに焦点を当てたサービスの実装 AWS 例を提供します。
これらのサービスに加えて、 AWS SRA には Amazon Detective と の 2 つのセキュリティに焦点を当てたサービスが含まれており AWS Audit Manager、 の統合と委任された管理者機能をサポートしています AWS Organizations。ただし、アカウントベースライン作成の推奨サービスには含まれていません。これらのサービスは、以下のシナリオで最適に使用されています。
+ デジタルフォレンジックおよび IT 監査機能を実行する専任のチームまたはリソースグループがある。Detective はセキュリティアナリストチームが最適に活用でき、Audit Manager は内部監査またはコンプライアンスチームに役立ちます。
+ プロジェクトの AWS Security Hub CSPM 開始時に AWS Config、Amazon GuardDuty AWS Security Hubや などのツールのコアセットに重点を置き、追加の機能を提供する サービスを使用してこれらを構築したいと考えています。