Security Hub CSPM と AWS Organizations の統合 - AWSSecurity Hub
組織の作成Security Hub CSPM の委任管理者を選ぶ際の推奨事項委任管理者を設定するために必要なアクセス許可の検証委任管理者を指定する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Security Hub CSPM と AWS Organizations の統合

AWS Security Hub CSPM と AWS Organizations を統合するには、Organizations で組織を作成し、組織の管理アカウントを使用して委任 Security Hub CSPM 管理者アカウントを指定します。これにより、Security Hub CSPM は Organizations の信頼されたサービスとして有効になります。また、委任管理者アカウントの現在の AWS リージョン に対して Security Hub CSPM が有効になり、委任管理者がメンバーアカウントの Security Hub CSPM を有効にしたり、メンバーアカウントのデータを表示したり、メンバーアカウントで許可されているその他のアクションを実行したりできるようになります。

中央設定を使用する場合、委任管理者は組織のアカウントで Security Hub CSPM サービス、標準、およびコントロールを設定する方法を指定する Security Hub CSPM 設定ポリシーを作成することもできます。

組織の作成

組織は、AWS アカウントを統合して 1 つの単位として管理できるように作成するエンティティです。

AWS Organizations コンソール、AWS CLI のコマンド、SDK API のコマンドのいずれかを使用して組織を作成できます。詳細の手順については、「AWS Organizations ユーザーガイド」の「組織の作成」を参照してください。

AWS Organizations を使用して、組織内のすべてのアカウントを一元的に表示および管理できます。組織には、1 つの管理アカウントと、ゼロ以上のメンバーアカウントを含みます。アカウントを階層ツリーのような構造に編成し、ルートを最上部に置いて組織単位 (OU) をその下にネストすることができます。各アカウントは、ルートの下に直接置くか、階層内の OU のいずれかに配置できます。OU は特定のアカウントのコンテナです。例えば、財務運用に関連するアカウントをすべて含めた財務 OU を作成できます。

Security Hub CSPM の委任管理者を選ぶ際の推奨事項

手動で招待プロセスで管理者アカウントを設定し、アカウント管理を AWS Organizations に移行している場合は、そのアカウントを Security Hub CSPM の委任管理者として指定することをお勧めします。

Security Hub CSPM API とコンソールでは、組織管理アカウントを Security Hub CSPM の委任管理者にすることができますが、2 つの異なるアカウントを選択することをお勧めします。これは、請求管理のために組織の管理アカウントにアクセスできるユーザーと、セキュリティ管理のために Security Hub CSPM にアクセスする必要があるユーザーが異なる可能性があるためです。

複数のリージョンで、同一の委任管理者を使用することが推奨されます。中央設定にオプトインすると、Security Hub CSPM によってホームリージョンとリンクされたリージョンで同一の委任管理者が自動的に指定されます。

委任管理者を設定するために必要なアクセス許可の検証

Security Hub CSPM の委任管理者アカウントの指定と削除を実行するには、Security Hub CSPM で EnableOrganizationAdminAccount および DisableOrganizationAdminAccount アクションのアクセス許可が組織の管理アカウントに付与されている必要があります。Organizations の管理アカウントには、Organizations の管理権限も必要です。

必要な許可をすべて付与するには、組織の管理アカウントの IAM プリンシパルに次の Security Hub CSPM マネージドポリシーをアタッチします。

委任管理者を指定する

Security Hub CSPM の委任管理者アカウントの指定は、Security Hub コンソール、Security Hub API、または AWS CLI を使用して実行できます。Security Hub CSPM では委任管理者が現在の AWS リージョンのみに設定されるため、他のリージョンについても同じ操作を繰り返す必要があります。中央設定の使用を開始すると、Security Hub CSPM によってホームリージョンとリンクされたリージョンで同一の委任管理者が自動的に設定されます。

組織の管理アカウントは、Security Hub CSPM の委任管理者アカウントを指定するために Security Hub CSPM を有効にする必要はありません。

組織の管理アカウントを Security Hub CSPM の委任管理者アカウントとして指定しないことをお勧めします。ただし、Security Hub CSPM の委任管理者アカウントとして組織の管理アカウントを選択する場合は、管理アカウントの Security Hub CSPM を有効にする必要があります。管理アカウントの Security Hub CSPM が有効になっていない場合は、Security Hub CSPM を手動で有効にする必要があります。組織の管理アカウントの Security Hub CSPM を自動的に有効にすることはできません。

次のいずれかの方法で Security Hub CSPM の委任管理者を指定する必要があります。Organizations API で Security Hub CSPM の委任管理者を指定しても、Security Hub CSPM には反映されません。

お好みの方法を選択し、手順に従って Security Hub CSPM の委任管理者アカウントを指定します。

Security Hub CSPM console
委任 Security Hub 管理者をオンボーディング中に削除するには

  1. AWS Security Hub CSPM コンソール (https://console.aws.amazon.com/securityhub/) を開きます。

  2. [Security Hub CSPM に移動] を選択します。組織の管理アカウントにサインインするよう求めるメッセージが表示されます。

  3. [委任された管理者アカウント] セクションの [委任された管理者を指定] ページで、委任された管理者アカウントを指定します。委任された管理者には、他の AWS セキュリティおよびコンプライアンスサービスと同一の設定を選択することをお勧めします。

  4. [委任された管理者を設定] を選択します。中央設定でオンボーディングを続行するには、委任された管理者アカウントにサインインするよう求められます (まだサインインしていない場合)。中央設定を開始しない場合は、[キャンセル] を選択します。委任された管理者は設定されますが、中央設定はまだ使用しません。

[設定] ページから 委任管理者の委任を解除するには

  1. AWS Security Hub CSPM コンソール (https://console.aws.amazon.com/securityhub/) を開きます。

  2. Security Hub CSPM ナビゲーションペインで、[Settings] (設定) を選択します。次に [Generate] (生成) を選択します。

  3. Security Hub CSPM 管理者アカウントが現在割り当てられている場合は、新しいアカウントを指定する前に、現在のアカウントを削除する必要があります。

    現在のアカウントを削除するには、[Delegated Administrator] (代理管理者) で、[Remove] (削除) を選択します。

  4. Security Hub CSPM 管理者アカウントとして指定するアカウントのアカウント ID を入力します。

    すべてのリージョンで同じ Security Hub CSPM 管理者アカウントを指定する必要があります。他のリージョンで指定したアカウントとは異なるアカウントを指定すると、コンソールはエラーを返します。

  5. [委任] を選択します。

Security Hub CSPM API, AWS CLI

組織管理アカウントから、Security Hub CSPM API の EnableOrganizationAdminAccount オペレーションを使用します。AWS CLI を使用している場合は、enable-organization-admin-account コマンドを実行します。Security Hub CSPM の委任管理者アカウントの AWS アカウント ID を指定します。

次の例では、Security Hub CSPM の委任管理者を指定します。この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\) の行継続文字を使用しています。

$ aws securityhub enable-organization-admin-account --admin-account-id 123456789012