一元管理とセルフマネージドターゲット

中央設定を有効にする場合、AWS Security Hub CSPM の委任管理者は各組織アカウント、組織単位 (OU) およびルートを一元管理型またはセルフマネージド型として指定できます。ターゲットの管理タイプによって、Security Hub CSPM の設定を指定する方法が決まります。

中央設定の利点とその仕組みについては、「Security Hub CSPM での中央設定について」を参照してください。

このセクションでは、一元管理型とセルフマネージド型の指定の違いと、アカウント、OU、またはルートの管理タイプを選択する方法について説明します。

委任管理者は、ターゲットのステータスをセルフマネージド型と一元管理型の間で切り替えることができます。デフォルトでは、Security Hub CSPM API を使用して中央設定を開始する場合、すべてのアカウントと OU がセルフマネージド型になります。コンソールでは、管理タイプは最初の設定ポリシーによって異なります。最初のポリシーに関連付けられるアカウントと OU は、一元管理型です。その他のアカウントと OU は、デフォルトではセルフマネージド型になります。

設定ポリシーを以前のセルフマネージドアカウントに関連付けると、ポリシー設定はセルフマネージド指定を上書きします。アカウントは一元管理され、設定ポリシーに反映された設定を採用します。

一元管理型アカウントをセルフマネージド型アカウントに変更した場合、設定ポリシーを通じて以前アカウントに適用された設定は、そのまま残ります。たとえば、一元管理型アカウントが最初に、Security Hub CSPM (有効)、AWS Foundational Security Best Practices (有効)、CloudTrail.1 (無効) となっているポリシーに関連付けられるとします。その後、アカウントをセルフマネージド型に指定してもすべての設定はそのままになります。ただし、その後アカウント所有者はアカウントの設定を個別に変更できます。

子アカウントと OU は、セルフマネージド型の親からセルフマネージド型の動作を継承でき、同様に一元管理型の親から設定ポリシーを継承できます。詳細については、「アプリケーションと継承によるポリシーの関連付け」を参照してください。

セルフマネージドアカウントまたは OU は、親ノードまたはルートから設定ポリシーを継承できません。例えば、組織内のすべてのアカウントと OU がルートから設定ポリシーを継承する場合は、セルフマネージド型ノードの管理タイプを一元管理型に変更する必要があります。

セルフマネージドアカウントで設定を行うオプション

セルフマネージド型アカウントは、リージョンごとに独自の設定を行う必要があります。

セルフマネージド型アカウントの所有者は、各リージョンで Security Hub CSPM API の次のオペレーションを呼び出し、設定できます。

セルフマネージドアカウントは、 *Invitations および *Members オペレーションを使用することもできます。ただし、セルフマネージド型アカウントではこれらのオペレーションを使用しないことをお勧めします。メンバーアカウントに、委任管理者とは異なる組織に属する独自のメンバーがある場合、ポリシーの関連付けが失敗する可能性があります。

Security Hub CSPM API アクションの説明については、「AWS Security Hub CSPM API リファレンス」を参照してください。

また、セルフマネージド型アカウントは、Security Hub CSPM コンソールや AWS CLI を使用して、各リージョンで設定を行うこともできます。

セルフマネージド型アカウントでは、Security Hub CSPM の設定ポリシーおよびポリシーの関連付けに関連する API を呼び出すことはできません。中央設定 API を呼び出し、設定ポリシーを使用して一元管理型アカウントを設定できるのは、委任された管理者のみです。

ターゲットの管理タイプの選択

ご希望の方法を選択し、手順に従って、AWS Security Hub CSPM でアカウントまたは OU を一元管理型またはセルフマネージド型に指定します。

Security Hub CSPM console

アカウントまたは OU の管理タイプを選択するには

1. AWS Security Hub CSPM コンソール (https://console.aws.amazon.com/securityhub/) を開きます。

   ホームリージョンの委任された Security Hub CSPM 管理者アカウントの認証情報を使用してサインインします。

2. [設定] を選択します。

3. [組織] タブで、ターゲットアカウントまたは OU を選択します。[編集] を選択します。

4. 委任された管理者がターゲットアカウントまたは OU の設定を行う場合は、[設定を定義] ページの [管理タイプ] で、[一元管理] を選択します。次に、既存の設定ポリシーをターゲットと関連付ける場合は、[特定のポリシーを適用] を選択します。ターゲットに最も近い親の設定を継承させる場合は、[自分の組織から継承] を選択します。アカウントまたは OU で独自の設定を行う場合は、[セルフマネージド] を選択します。

5. [次へ] を選択します。変更内容を見直して、[保存] を選択します。

Security Hub CSPM API

アカウントまたは OU の管理タイプを選択するには

1. ホームリージョンの Security Hub CSPM 委任管理者アカウントから StartConfigurationPolicyAssociation API を呼び出します。

2. アカウントまたは OU で独自の設定を制御する場合は、ConfigurationPolicyIdentifier フィールドに SELF_MANAGED_SECURITY_HUB と入力します。委任された管理者がアカウントまたは OU の設定を制御する場合は、関連する設定ポリシーの Amazon リソースネーム (ARN) または ID を指定します。

3. Target フィールドには、変更する管理タイプのターゲットの AWS アカウント ID、OU ID、またはルート ID を指定します。これにより、セルフマネージド型の動作または指定した設定ポリシーがターゲットに関連付けられます。ターゲットの子アカウントは、セルフマネージド型の動作または設定ポリシーを継承できます。

セルフマネージド型アカウントを指定する API リクエストの例:

{
    "ConfigurationPolicyIdentifier": "SELF_MANAGED_SECURITY_HUB",
    "Target": {"AccountId": "123456789012"}
}
                

AWS CLI

アカウントまたは OU の管理タイプを選択するには

1. ホームリージョンの Security Hub CSPM 委任管理者アカウントで、start-configuration-policy-association コマンドを実行します。

2. アカウントまたは OU で独自の設定を制御するには、configuration-policy-identifier フィールドに SELF_MANAGED_SECURITY_HUB と指定します。委任された管理者がアカウントまたは OU の設定を制御する場合は、関連する設定ポリシーの Amazon リソースネーム (ARN) または ID を指定します。

3. target フィールドには、変更する管理タイプのターゲットの AWS アカウント ID、OU ID、またはルート ID を指定します。これにより、セルフマネージド型の動作または指定した設定ポリシーがターゲットに関連付けられます。ターゲットの子アカウントは、セルフマネージド型の動作または設定ポリシーを継承できます。

セルフマネージド型アカウントを指定するコマンドの例:

aws securityhub --region us-east-1 start-configuration-policy-association \
--configuration-policy-identifier "SELF_MANAGED_SECURITY_HUB" \
--target '{"AccountId": "123456789012"}'