設定ポリシーの作成と関連付け - AWSSecurity Hub

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

設定ポリシーの作成と関連付け

AWS Security Hub CSPM の委任管理者アカウントは、特定のアカウントや組織単位 (OU) でSecurity Hub CSPM、スタンダード、およびコントロールがどのように設定されるかを指定する設定ポリシーを作成することができます。設定ポリシーは、委任管理者が少なくとも 1 つのアカウントまたは組織単位 (OU)、またはルートに関連付けた後にのみ有効になります。委任管理者は、アカウント、OU、またはルートにセルフマネージド型の設定を関連付けることもできます。

初めて設定ポリシーを作成する場合は、最初に「Security Hub CSPM の設定ポリシーの仕組み」を確認することをお勧めします。

お好みのアクセス方法を選択し、手順に従って設定ポリシーまたはセルフマネージド設定を作成し、関連付けます。Security Hub CSPMコンソールを使用する場合、設定を複数のアカウントまたは OU に同時に関連付けることができます。Security Hub CSPM API または AWS CLI を使用する場合、設定ポリシーを関連付けることができるのはリクエストごとに 1 つのアカウントまたは OU のみです。

注記

中央設定を使用する場合、Security Hub CSPM は、ホームリージョンを除くすべてのリージョンでグローバルリソースが含まれるコントロールを自動的に無効にします。設定ポリシーを通じて有効を選択したその他のコントロールは、利用可能なすべてのリージョンで有効になります。これらのコントロールの検出結果を 1 つのリージョンのみに限定するには、AWS Config レコーダーの設定を更新し、ホームリージョンを除くすべてのリージョンでグローバルリソースの記録をオフにします。

グローバルリソースを含む有効なコントロールがホームリージョンでサポートされていない場合、Security Hub CSPM は、コントロールがサポートされているリンクされた 1 つのリージョンでコントロールを有効にしようとします。中央設定により、ホームリージョンまたはリンクされたリージョンのいずれかで利用できないコントロールがカバーされなくなります。

グローバルリソースを含むコントロールのリストについては、「グローバルリソースを使用するコントロール」を参照してください。

Security Hub CSPM console
設定ポリシーを作成して関連付けるには

  1. AWS Security Hub CSPM コンソール (https://console.aws.amazon.com/securityhub/) を開きます。

    ホームリージョンの委任された Security Hub CSPM 管理者アカウントの認証情報を使用してサインインします。

  2. ナビゲーションペインで、[設定] および [ポリシー] タブを選択します。次に、[ポリシーの作成] を選択します。

  3. 設定ポリシーを初めて作成する場合は、[組織を設定] ページの [設定タイプ] に 3 つのオプションが表示されます。既に 1 つ以上の設定ポリシーを作成している場合は、[カスタムポリシー] オプションのみが表示されます。

    • 推奨されるポリシーを使用するには、[組織全体で AWS 推奨の Security Hub CSPM 設定を使用する] を選択します。推奨されるポリシーでは、すべての組織アカウントの Security Hub CSPM、AWS の基本的なセキュリティのベストプラクティス (FSBP) 標準、すべての新規および既存の FSBP コントロールが有効になっています。コントロールはデフォルトのパラメータ値を使用します。

    • 設定ポリシーを後で作成するには、[まだ設定する準備ができていません] を選択します。

    • [カスタムポリシー] を選択して、カスタム設定ポリシーを作成します。Security Hub CSPM を有効にするか無効にするか、どの標準を有効にするか、それらの標準でどのコントロールを有効にするかを指定します。オプションで、カスタムパラメータをサポートする 1 つ以上の有効になっているコントロールにカスタムパラメータ値を指定します。

  4. [アカウント] セクションで、設定ポリシーを適用するターゲットアカウント、OU、またはルートを選択します。

    • 設定ポリシーをルートに適用する場合は、[すべてのアカウント] を選択します。これには、別のポリシーが適用されていない、または継承されていない組織内のすべてのアカウントと OU が含まれます。

    • 設定ポリシーを特定のアカウントまたは OU に適用する場合は、[特定のアカウント] を選択します。アカウント ID を入力するか、組織構造からアカウントと OU を選択します。ポリシーは、作成時に最大 15 個のターゲット (アカウント、OU、またはルート) に適用できます。さらに多く指定するには、作成後にポリシーを編集し、他のターゲットに適用します。

    • [委任された管理者のみ] を選択すると、現在の委任管理者アカウントに設定ポリシーが適用されます。

  5. [次へ] を選択します。

  6. [確認と適用] ページで、設定ポリシーの詳細を確認します。次に、[ポリシーを作成して適用] を選択します。ホームリージョンとリンクされたリージョンでは、このアクションは、この設定ポリシーに関連付けられているアカウントの既存の設定よりも優先されます。アカウントは、アプリケーションを通じて設定ポリシーに関連付けることも、親ノードから継承して設定ポリシーに関連付けることもできます。適用されたターゲットの子アカウントと OU は、特に除外されたり、セルフマネージド型であったり、別の設定ポリシーを使用したりしない限り、この設定ポリシーを自動的に継承します。

Security Hub CSPM API
設定ポリシーを作成して関連付けるには

  1. ホームリージョンの Security Hub CSPM 委任管理者アカウントから CreateConfigurationPolicy API を呼び出します。

  2. Name には、設定ポリシーの一意の名前を入力します。オプションで、Description に設定ポリシーの説明を入力します。

  3. ServiceEnabled フィールドで、Security Hub CSPM をこの設定ポリシーで有効にするか無効にするかを指定します。

  4. EnabledStandardIdentifiers フィールドで、この設定ポリシーで有効にする Security Hub CSPM 標準を指定します。

  5. SecurityControlsConfiguration オブジェクトで、この設定ポリシーで有効または無効にするコントロールを指定します。EnabledSecurityControlIdentifiers を選択すると、指定したコントロールが有効になります。有効になっている標準に含まれるその他のコントロール (新しくリリースされたコントロールを含む) は無効になります。DisabledSecurityControlIdentifiers を選択すると、指定したコントロールが無効になります。有効になっている標準に含まれるその他のコントロール (新しくリリースされたコントロールを含む) が有効になります。

  6. オプションで、SecurityControlCustomParameters フィールドに、パラメータをカスタマイズする有効なコントロールを指定します。ValueType フィールドに CUSTOM を指定し、Value フィールドにカスタムパラメータ値を指定します。値のデータ型が正しく、Security Hub CSPM で指定された有効な範囲内である必要があります。カスタムパラメータ値をサポートするコントロールのみ選択します。詳細については、「Security Hub CSPM のコントロールパラメータについて」を参照してください。

  7. 設定ポリシーをアカウントまたは OU に適用するには、ホームリージョン内の Security Hub CSPM 委任管理者アカウントから StartConfigurationPolicyAssociation API を呼び出します。

  8. ConfigurationPolicyIdentifier フィールドに、ポリシーの Amazon リソースネーム (ARN) または 一意識別子 (UUID) を入力します。ARN と UUID は CreateConfigurationPolicy API によって返されます。セルフマネージド設定の場合、 ConfigurationPolicyIdentifier フィールドは SELF_MANAGED_SECURITY_HUB に等しくなります。

  9. Target フィールドには、この設定ポリシーを適用する OU、アカウント、またはルート ID を指定します。各 API リクエストに指定できるターゲットは 1 つのみです。選択したターゲットの子アカウントと OU は、セルフマネージド型であるか、別の設定ポリシーを使用している場合を除き、自動的にこの設定ポリシーを継承します。

設定ポリシーを作成する API リクエストの例:

{
    "Name": "SampleConfigurationPolicy",
    "Description": "Configuration policy for production accounts",
    "ConfigurationPolicy": {
        "SecurityHub": {
             "ServiceEnabled": true,
             "EnabledStandardIdentifiers": [
                    "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0",
                    "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"
                ],
            "SecurityControlsConfiguration": {
                "DisabledSecurityControlIdentifiers": [
                    "CloudTrail.2"
                ],
                "SecurityControlCustomParameters": [
                    {
                        "SecurityControlId": "ACM.1",
                        "Parameters": {
                            "daysToExpiration": {
                                "ValueType": "CUSTOM",
                                "Value": {
                                    "Integer": 15
                                }
                            }
                        }
                    }
                ]
            }
        }
    }
}

設定ポリシーを関連付ける API リクエストの例:

{
    "ConfigurationPolicyIdentifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "Target": {"OrganizationalUnitId": "ou-examplerootid111-exampleouid111"}
}
AWS CLI
設定ポリシーを作成して関連付けるには

  1. ホームリージョンの Security Hub CSPM 委任管理者アカウントで、create-configuration-policy コマンドを実行します。

  2. name には、設定ポリシーの一意の名前を入力します。オプションで、description に設定ポリシーの説明を入力します。

  3. ServiceEnabled フィールドで、Security Hub CSPM をこの設定ポリシーで有効にするか無効にするかを指定します。

  4. EnabledStandardIdentifiers フィールドで、この設定ポリシーで有効にする Security Hub CSPM 標準を指定します。

  5. SecurityControlsConfiguration フィールドで、この設定ポリシーで有効または無効にするコントロールを指定します。EnabledSecurityControlIdentifiers を選択すると、指定したコントロールが有効になります。有効になっている標準に含まれるその他のコントロール (新しくリリースされたコントロールを含む) は無効になります。DisabledSecurityControlIdentifiers を選択すると、指定したコントロールが無効になります。有効になっている標準に適用されるその他のコントロール (新しくリリースされたコントロールを含む) が有効になります。

  6. オプションで、SecurityControlCustomParameters フィールドに、パラメータをカスタマイズする有効なコントロールを指定します。ValueType フィールドに CUSTOM を指定し、Value フィールドにカスタムパラメータ値を指定します。値のデータ型が正しく、Security Hub CSPM で指定された有効な範囲内である必要があります。カスタムパラメータ値をサポートするコントロールのみ選択します。詳細については、「Security Hub CSPM のコントロールパラメータについて」を参照してください。

  7. 設定ポリシーをアカウントまたは OU に適用するには、ホームリージョンの Security Hub CSPM 委任管理者アカウントで start-configuration-policy-association コマンドを実行します。

  8. configuration-policy-identifier フィールドに、設定ポリシーの Amazon リソースネーム (ARN) または ID を入力します。この ARN と ID は、create-configuration-policy コマンドによって返されます。

  9. target フィールドには、この設定ポリシーを適用する OU、アカウント、またはルート ID を指定します。コマンドを実行するたびに指定できるターゲットは 1 つのみです。選択したターゲットの子は、セルフマネージド型であるか、別の設定ポリシーを使用している場合を除き、この設定ポリシーを自動的に継承します。

設定ポリシーを作成するコマンドの例:

aws securityhub --region us-east-1 create-configuration-policy \
--name "SampleConfigurationPolicy" \
--description "Configuration policy for production accounts" \
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}}]}}}'

設定ポリシーを関連付けるコマンドの例:

aws securityhub --region us-east-1 start-configuration-policy-association \
--configuration-policy-identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--target '{"OrganizationalUnitId": "ou-examplerootid111-exampleouid111"}'

StartConfigurationPolicyAssociation API は、AssociationStatus というフィールドを返します。このフィールドは、ポリシーの関連付けが保留中か、成功または失敗の状態かを示します。ステータスが PENDING から SUCCESS または FAILURE に変わるまで、最大 24 時間かかることがあります。関連付けのステータスの詳細については、「設定ポリシーの関連付けステータスの確認」を参照してください。