新しい組織アカウントで Security Hub CSPM を自動的に有効にする - AWSSecurity Hub
新しい組織アカウントを自動的に有効にする (中央設定)新しい組織アカウントを自動的に有効にする (ローカル設定)

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

新しい組織アカウントで Security Hub CSPM を自動的に有効にする

新しいアカウントが組織に追加されると、そのアカウントは AWS Security Hub CSPM コンソールの [アカウント] ページのリストに追加されます。組織アカウントの場合、[Type] (タイプ) は [By organization] (組織別) になります。デフォルトでは、組織を追加しても新しいアカウントが Security Hub CSPM メンバーになることはありません。ステータスは、[Not a member] (メンバーではない) です。委任管理者アカウントは、新しいアカウントを自動的にメンバーとして加え、新しいアカウントを組織に追加したときに、これらのアカウントでSecurity Hub CSPM が有効にすることができます。

注記

多くの AWS リージョン はデフォルトで AWS アカウント に対してアクティブになっていますが、特定のリージョンは手動でアクティブ化する必要があります。これらのリージョンは、このドキュメントではオプトインリージョンと呼ばれます。オプトインリージョンの新しいアカウントで Security Hub CSPM を自動的に有効にするには、アカウントでそのリージョンを最初にアクティブ化する必要があります。アカウント所有者のみがオプトインリージョンをアクティブ化できます。オプトインリージョンの詳細については、「アカウントが使用できる AWS リージョン を指定する」を参照してください。

このプロセスは、中央設定 (推奨) を使用するかローカル設定を使用するかによって異なります。

新しい組織アカウントを自動的に有効にする (中央設定)

中央設定を使用する場合、Security Hub CSPM が有効になっている設定ポリシーを作成することで、新規および既存の組織アカウントで Security Hub CSPM を自動的に有効にできます。そして、ポリシーを組織ルートや特定の組織単位 (OU) に関連付けることができます。

Security Hub CSPM が有効になっている設定ポリシーを特定の OU に関連付けると、その OU に属するすべてのアカウント (既存および新規) で Security Hub CSPM が自動的に有効になります。OU に属さない新しいアカウントはセルフマネージド型で、Security Hub CSPM が自動的に有効になることはありません。Security Hub CSPM が有効になっている設定ポリシーをルートに関連付けると、組織に追加するすべてのアカウント (既存および新規) で Security Hub CSPM が自動的に有効になります。例外は、アカウントがアプリケーションまたは継承によって異なるポリシーを使用している場合や、セルフマネージド型である場合です。

設定ポリシーでは、OU で有効にするセキュリティ標準とコントロールを定義することもできます。有効になっている標準に対してコントロールの検出結果を生成するには、OU 内のアカウントの AWS Config を有効にし、必要なリソースを記録するように設定する必要があります。AWS Config の記録に関する詳細については、「AWS Config を有効にして設定する」を参照してください。

設定ポリシーの作成手順については、「設定ポリシーの作成と関連付け」を参照してください。

新しい組織アカウントを自動的に有効にする (ローカル設定)

ローカル設定を使用してデフォルト標準の自動有効化をオンにすると、Security Hub CSPM で新しい組織アカウントがメンバーとして追加され、現在のリージョンでそのアカウントの Security Hub CSPM が有効になります。他のリージョンは影響を受けません。また、自動有効化をオンにしても、既にメンバーアカウントとして追加されていない限り、既存の組織アカウントで Security Hub CSPM が有効になることはありません。

自動有効化をオンにしてから現在のリージョンで新しいメンバーアカウントが組織に追加されると、そのアカウントのデフォルトのセキュリティ標準は有効になります。デフォルトの標準は、AWS Foundational Security Best Practices (FSBP) と Center for Internet Security (CIS) AWS Foundations Benchmark v1.2.0 です。デフォルトの標準を変更することはできません。組織全体で他の標準を有効にする場合や、特定のアカウントや OU の標準を有効にする場合は、中央設定を使用することをお勧めします。

デフォルトの標準 (およびその他の有効な標準) に対してコントロールの検出結果を生成するには、組織内のアカウントで必要なリソースを記録するように AWS Config を有効にして設定する必要があります。AWS Config の記録に関する詳細については、「AWS Config を有効にして設定する」を参照してください。

お好みの方法を選択し、手順に従って、新しい組織アカウントの Security Hub CSPM を自動的に有効にします。これらの手順は、ローカル設定を使用する場合にのみ適用されます。

Security Hub CSPM console
新しい組織アカウントを Security Hub CSPM メンバーとして自動的に有効にするには

  1. AWS Security Hub CSPM コンソール (https://console.aws.amazon.com/securityhub/) を開きます。

    委任された管理者アカウントの認証情報を使用してサインインします。

  2. Security Hub CSPM のナビゲーションペインの [設定] で、[設定] を選択します。

  3. [アカウント] セクションで、[アカウントの自動有効化] をオンにします。

Security Hub CSPM API

新しい組織アカウントを Security Hub CSPM メンバーとして自動的に有効にするには

委任管理者のアカウントで、UpdateOrganizationConfiguration API を呼び出します。AutoEnable フィールドを true に設定すると、新しい組織アカウントで Security Hub CSPM が自動的に有効になります。

AWS CLI

新しい組織アカウントを Security Hub CSPM メンバーとして自動的に有効にするには

委任管理者アカウントで、update-organization-configuration コマンドを実行します。新しい組織アカウントで Security Hub CSPM を自動的に有効にするには、auto-enable パラメータを追加します。

aws securityhub update-organization-configuration --auto-enable