Security Hub CSPM での招待によるアカウントの管理

Security Hub CSPM を AWS Organizations と統合するか、またはメンバーシップの招待を手動で送信して承諾することで、複数の AWS Security Hub CSPM アカウントを一元的に管理できます。スタンドアロンアカウントをお持ちの場合、または AWS Organizations と統合していない場合は、手動プロセスを使用する必要があります。手動によるアカウント管理では、Security Hub CSPM 管理者がアカウントをメンバーに招待します。管理者とメンバーの関係は、候補となるメンバーが招待を承諾したときに確立されます。Security Hub CSPM の管理者アカウントは、最大 1,000 件の招待ベースのメンバーアカウントに対応する Security Hub CSPM を管理できます。

手動による招待プロセスで招待したアカウントについては、検出結果やその他のデータのクロスリージョン集約を使用できます。ただし、クロスリージョン集約が機能するには、管理者は集約リージョンとすべてのリンクされたリージョンからメンバーアカウントを招待する必要があります。さらに、管理者にメンバーアカウントの検出結果を表示できるようにするには、メンバーアカウントで集約リージョンとすべてのリンクされたリージョンで Security Hub CSPM が有効になっている必要があります。

手動で招待されたメンバーアカウントでは、設定ポリシーはサポートされていません。代わりに、手動による招待プロセスを使用する場合は、Security Hub CSPM の設定をメンバーアカウントおよび AWS リージョン ごとに個別に設定する必要があります。

また、自分の組織に属していないアカウントについては、手動による招待ベースのプロセスを使用する必要があります。たとえば、組織にテストアカウントを含めない場合もあります。あるいは、複数の組織のアカウントを 1 つの Security Hub CSPM 管理者アカウントに統合することもあります。Security Hub CSPM 管理者アカウントは、他の組織に属するアカウントに招待を送信する必要があります。

Security Hub CSPM コンソールの [設定] ページでは、招待によって追加されたアカウントが [招待アカウント] タブに表示されます。中央設定 を使用しており、組織外のアカウントも招待している場合は、このタブで招待ベースのアカウントの検出結果を確認できます。ただし、Security Hub CSPM 管理者は、設定ポリシーを使用して複数のリージョンに招待ベースのアカウントを設定することはできません。

このセクションのトピックでは、招待を使用してメンバーアカウントを管理する方法について説明します。