設定ポリシーの作成と関連付け - AWS Security Hub

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

設定ポリシーの作成と関連付け

委任 AWS Security Hub Cloud Security Posture Management (CSPM) 管理者アカウントは、指定されたアカウントと組織単位 (OUs) で Security Hub CSPM、標準、コントロールを設定する方法を指定する設定ポリシーを作成できます。設定ポリシーは、委任管理者が少なくとも 1 つのアカウントまたは組織単位 (OU)、またはルートに関連付けた後にのみ有効になります。委任管理者は、アカウント、OU、またはルートにセルフマネージド型の設定を関連付けることもできます。

初めて設定ポリシーを作成する場合は、最初に「Security Hub CSPM の設定ポリシーの仕組み」を確認することをお勧めします。

お好みのアクセス方法を選択し、手順に従って設定ポリシーまたはセルフマネージド設定を作成し、関連付けます。Security Hub CSPM コンソールを使用する場合、設定を複数のアカウントまたは OUs に同時に関連付けることができます。Security Hub CSPM API または を使用する場合 AWS CLI、各リクエストで設定を関連付けることができるアカウントまたは OU は 1 つだけです。

注記

中央設定を使用する場合、Security Hub CSPM は、ホームリージョンを除くすべてのリージョンでグローバルリソースを含むコントロールを自動的に無効にします。設定ポリシーを通じて有効を選択したその他のコントロールは、利用可能なすべてのリージョンで有効になります。これらのコントロールの結果を 1 つのリージョンのみに制限するには、 AWS Config レコーダー設定を更新し、ホームリージョンを除くすべてのリージョンでグローバルリソース記録をオフにします。

グローバルリソースを含む有効なコントロールがホームリージョンでサポートされていない場合、Security Hub CSPM は、コントロールがサポートされているリンクされた 1 つのリージョンでコントロールを有効にしようとします。中央設定では、ホームリージョンまたはリンクされたリージョンで利用できないコントロールのカバレッジがありません。

グローバルリソースを含むコントロールのリストについては、「グローバルリソースを使用するコントロール」を参照してください。

Security Hub CSPM console
設定ポリシーを作成して関連付けるには

  1. https://console.aws.amazon.com/securityhub/ で AWS Security Hub Cloud Security Posture Management (CSPM) コンソールを開きます。

    ホームリージョンの委任 Security Hub CSPM 管理者アカウントの認証情報を使用してサインインします。

  2. ナビゲーションペインで、[設定] および [ポリシー] タブを選択します。次に、[ポリシーの作成] を選択します。

  3. 設定ポリシーを初めて作成する場合は、[組織を設定] ページの [設定タイプ] に 3 つのオプションが表示されます。既に 1 つ以上の設定ポリシーを作成している場合は、[カスタムポリシー] オプションのみが表示されます。

    • AWS 推奨ポリシーを使用するには、組織全体で推奨される Security Hub CSPM 設定を使用するを選択します。推奨ポリシーは、すべての組織アカウントで Security Hub CSPM を有効にし、 AWS Foundational Security Best Practices (FSBP) 標準を有効にし、すべての新規および既存の FSBP コントロールを有効にします。コントロールはデフォルトのパラメータ値を使用します。

    • 設定ポリシーを後で作成するには、[まだ設定する準備ができていません] を選択します。

    • [カスタムポリシー] を選択して、カスタム設定ポリシーを作成します。Security Hub CSPM を有効または無効にするかどうか、有効にする標準、およびそれらの標準全体で有効にするコントロールを指定します。オプションで、カスタムパラメータをサポートする 1 つ以上の有効になっているコントロールにカスタムパラメータ値を指定します。

  4. [アカウント] セクションで、設定ポリシーを適用するターゲットアカウント、OU、またはルートを選択します。

    • 設定ポリシーをルートに適用する場合は、[すべてのアカウント] を選択します。これには、別のポリシーが適用されていない、または継承されていない組織内のすべてのアカウントと OU が含まれます。

    • 設定ポリシーを特定のアカウントまたは OU に適用する場合は、[特定のアカウント] を選択します。アカウント ID を入力するか、組織構造からアカウントと OU を選択します。ポリシーは、作成時に最大 15 個のターゲット (アカウント、OU、またはルート) に適用できます。さらに多く指定するには、作成後にポリシーを編集し、他のターゲットに適用します。

    • [委任された管理者のみ] を選択すると、現在の委任管理者アカウントに設定ポリシーが適用されます。

  5. [次へ] を選択します。

  6. [確認と適用] ページで、設定ポリシーの詳細を確認します。次に、[ポリシーを作成して適用] を選択します。ホームリージョンとリンクされたリージョンでは、このアクションは、この設定ポリシーに関連付けられているアカウントの既存の設定よりも優先されます。アカウントは、アプリケーションを通じて設定ポリシーに関連付けることも、親ノードから継承して設定ポリシーに関連付けることもできます。適用されたターゲットの子アカウントと OU は、特に除外されたり、セルフマネージド型であったり、別の設定ポリシーを使用したりしない限り、この設定ポリシーを自動的に継承します。

Security Hub CSPM API
設定ポリシーを作成して関連付けるには

  1. ホームリージョンの Security Hub CSPM 委任管理者アカウントから CreateConfigurationPolicy API を呼び出します。

  2. Name には、設定ポリシーの一意の名前を入力します。オプションで、Description に設定ポリシーの説明を入力します。

  3. ServiceEnabled フィールドで、この設定ポリシーで Security Hub CSPM を有効または無効にするかどうかを指定します。

  4. EnabledStandardIdentifiers フィールドで、この設定ポリシーで有効にする Security Hub CSPM 標準を指定します。

  5. SecurityControlsConfiguration オブジェクトで、この設定ポリシーで有効または無効にするコントロールを指定します。EnabledSecurityControlIdentifiers を選択すると、指定したコントロールが有効になります。有効になっている標準に含まれるその他のコントロール (新しくリリースされたコントロールを含む) は無効になります。DisabledSecurityControlIdentifiers を選択すると、指定したコントロールが無効になります。有効になっている標準に含まれるその他のコントロール (新しくリリースされたコントロールを含む) が有効になります。

  6. オプションで、SecurityControlCustomParameters フィールドに、パラメータをカスタマイズする有効なコントロールを指定します。ValueType フィールドに CUSTOM を指定し、Value フィールドにカスタムパラメータ値を指定します。値は正しいデータ型で、Security Hub CSPM で指定された有効な範囲内である必要があります。カスタムパラメータ値をサポートするコントロールのみ選択します。詳細については、「Security Hub CSPM のコントロールパラメータについて」を参照してください。

  7. アカウントまたは OUs に設定ポリシーを適用するには、ホームリージョンの Security Hub CSPM 委任管理者アカウントから StartConfigurationPolicyAssociation API を呼び出します。

  8. ConfigurationPolicyIdentifier フィールドに、ポリシーの Amazon リソースネーム (ARN) または 一意識別子 (UUID) を入力します。ARN と UUID は CreateConfigurationPolicy API によって返されます。セルフマネージド設定の場合、 ConfigurationPolicyIdentifier フィールドは SELF_MANAGED_SECURITY_HUB に等しくなります。

  9. Target フィールドには、この設定ポリシーを適用する OU、アカウント、またはルート ID を指定します。各 API リクエストに指定できるターゲットは 1 つのみです。選択したターゲットの子アカウントと OU は、セルフマネージド型であるか、別の設定ポリシーを使用している場合を除き、自動的にこの設定ポリシーを継承します。

設定ポリシーを作成する API リクエストの例:

{
    "Name": "SampleConfigurationPolicy",
    "Description": "Configuration policy for production accounts",
    "ConfigurationPolicy": {
        "SecurityHub": {
             "ServiceEnabled": true,
             "EnabledStandardIdentifiers": [
                    "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0",
                    "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"
                ],
            "SecurityControlsConfiguration": {
                "DisabledSecurityControlIdentifiers": [
                    "CloudTrail.2"
                ],
                "SecurityControlCustomParameters": [
                    {
                        "SecurityControlId": "ACM.1",
                        "Parameters": {
                            "daysToExpiration": {
                                "ValueType": "CUSTOM",
                                "Value": {
                                    "Integer": 15
                                }
                            }
                        }
                    }
                ]
            }
        }
    }
}

設定ポリシーを関連付ける API リクエストの例:

{
    "ConfigurationPolicyIdentifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "Target": {"OrganizationalUnitId": "ou-examplerootid111-exampleouid111"}
}
AWS CLI
設定ポリシーを作成して関連付けるには

  1. ホームリージョンの Security Hub CSPM 委任管理者アカウントから create-configuration-policy コマンドを実行します。

  2. name には、設定ポリシーの一意の名前を入力します。オプションで、description に設定ポリシーの説明を入力します。

  3. ServiceEnabled フィールドで、この設定ポリシーで Security Hub CSPM を有効または無効にするかどうかを指定します。

  4. EnabledStandardIdentifiers フィールドで、この設定ポリシーで有効にする Security Hub CSPM 標準を指定します。

  5. SecurityControlsConfiguration フィールドで、この設定ポリシーで有効または無効にするコントロールを指定します。EnabledSecurityControlIdentifiers を選択すると、指定したコントロールが有効になります。有効になっている標準に含まれるその他のコントロール (新しくリリースされたコントロールを含む) は無効になります。DisabledSecurityControlIdentifiers を選択すると、指定したコントロールが無効になります。有効になっている標準に適用されるその他のコントロール (新しくリリースされたコントロールを含む) が有効になります。

  6. オプションで、SecurityControlCustomParameters フィールドに、パラメータをカスタマイズする有効なコントロールを指定します。ValueType フィールドに CUSTOM を指定し、Value フィールドにカスタムパラメータ値を指定します。値は正しいデータ型で、Security Hub CSPM で指定された有効な範囲内である必要があります。カスタムパラメータ値をサポートするコントロールのみ選択します。詳細については、「Security Hub CSPM のコントロールパラメータについて」を参照してください。

  7. アカウントまたは OUs に設定ポリシーを適用するには、ホームリージョンの Security Hub CSPM 委任管理者アカウントから start-configuration-policy-association コマンドを実行します。

  8. configuration-policy-identifier フィールドに、設定ポリシーの Amazon リソースネーム (ARN) または ID を入力します。この ARN と ID は、create-configuration-policy コマンドによって返されます。

  9. target フィールドには、この設定ポリシーを適用する OU、アカウント、またはルート ID を指定します。コマンドを実行するたびに指定できるターゲットは 1 つのみです。選択したターゲットの子は、セルフマネージド型であるか、別の設定ポリシーを使用している場合を除き、この設定ポリシーを自動的に継承します。

設定ポリシーを作成するコマンドの例:

aws securityhub --region us-east-1 create-configuration-policy \
--name "SampleConfigurationPolicy" \
--description "Configuration policy for production accounts" \
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}}]}}}'

設定ポリシーを関連付けるコマンドの例:

aws securityhub --region us-east-1 start-configuration-policy-association \
--configuration-policy-identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--target '{"OrganizationalUnitId": "ou-examplerootid111-exampleouid111"}'

StartConfigurationPolicyAssociation API は、AssociationStatus というフィールドを返します。このフィールドは、ポリシーの関連付けが保留中か、成功または失敗の状態かを示します。ステータスが PENDING から SUCCESS または FAILURE に変わるまで、最大 24 時間かかることがあります。関連付けのステータスの詳細については、「設定ポリシーの関連付けステータスの確認」を参照してください。