翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Security Hub CSPM と の統合 AWS Organizations
AWS Security Hub Cloud Security Posture Management (CSPM) と を統合するには AWS Organizations、Organizations で組織を作成し、組織管理アカウントを使用して委任 Security Hub CSPM 管理者アカウントを指定します。これにより、Security Hub CSPM が Organizations の信頼されたサービスとして有効になります。また、委任管理者アカウントの現在の AWS リージョン で Security Hub CSPM を有効にし、委任管理者はメンバーアカウントの Security Hub CSPM を有効にし、メンバーアカウントのデータを表示し、メンバーアカウントで許可されているその他のアクションを実行できます。
中央設定を使用する場合、委任管理者は、Security Hub CSPM サービス、標準、コントロールを組織アカウントで設定する方法を指定する Security Hub CSPM 設定ポリシーを作成することもできます。
組織の作成
組織は、単一のユニットとして管理 AWS アカウント できるように を統合するために作成するエンティティです。
組織を作成するには、 AWS Organizations コンソールを使用するか、 AWS CLI または SDK APIs のいずれかのコマンドを使用します。詳細の手順については、「AWS Organizations ユーザーガイド」の「組織の作成」を参照してください。
を使用して AWS Organizations 、組織内のすべてのアカウントを一元的に表示および管理できます。組織には、1 つの管理アカウントと、ゼロ以上のメンバーアカウントを含みます。アカウントを階層ツリーのような構造に編成し、ルートを最上部に置いて組織単位 (OU) をその下にネストすることができます。各アカウントは、ルートの下に直接置くか、階層内の OU のいずれかに配置できます。OU は特定のアカウントのコンテナです。例えば、財務運用に関連するアカウントをすべて含めた財務 OU を作成できます。
委任 Security Hub CSPM 管理者の選択に関する推奨事項
手動の招待プロセスから管理者アカウントがあり、アカウント管理に移行する場合は AWS Organizations、そのアカウントを委任 Security Hub CSPM 管理者として指定することをお勧めします。
Security Hub CSPM APIs とコンソールでは、組織管理アカウントを委任 Security Hub CSPM 管理者にすることができますが、2 つの異なるアカウントを選択することをお勧めします。これは、請求を管理するために組織管理アカウントにアクセスできるユーザーは、セキュリティ管理のために Security Hub CSPM にアクセスする必要があるユーザーとは異なる可能性が高いためです。
複数のリージョンで、同一の委任管理者を使用することが推奨されます。中央設定にオプトインすると、Security Hub CSPM はホームリージョンとリンクされたリージョンで同じ委任管理者を自動的に指定します。
委任管理者を設定するために必要なアクセス許可の検証
委任 Security Hub CSPM 管理者アカウントを指定して削除するには、組織管理アカウントに Security Hub CSPM の EnableOrganizationAdminAccountおよび DisableOrganizationAdminAccountアクションに対するアクセス許可が必要です。Organizations の管理アカウントには、Organizations の管理権限も必要です。
必要なアクセス許可をすべて付与するには、次の Security Hub CSPM 管理ポリシーを組織管理アカウントの IAM プリンシパルにアタッチします。
委任管理者を指定する
委任 Security Hub CSPM 管理者アカウントを指定するには、Security Hub CSPM コンソール、Security Hub CSPM API、または を使用できます AWS CLI。Security Hub CSPM は、委任された管理者を現在の AWS リージョン のみに設定し、他のリージョンでアクションを繰り返す必要があります。中央設定の使用を開始すると、Security Hub CSPM はホームリージョンとリンクされたリージョンに同じ委任管理者を自動的に設定します。
組織管理アカウントは、委任 Security Hub CSPM 管理者アカウントを指定するために Security Hub CSPM を有効にする必要はありません。
組織管理アカウントは、委任 Security Hub CSPM 管理者アカウントではないことをお勧めします。ただし、Security Hub CSPM 委任管理者として組織管理アカウントを選択した場合、管理アカウントで Security Hub CSPM が有効になっている必要があります。管理アカウントで Security Hub CSPM が有効になっていない場合は、Security Hub CSPM を手動で有効にする必要があります。Security Hub CSPM を組織管理アカウントで自動的に有効にすることはできません。
次のいずれかの方法を使用して、委任 Security Hub CSPM 管理者を指定する必要があります。Organizations APIs で委任 Security Hub CSPM 管理者を指定しても、Security Hub CSPM には反映されません。
任意の方法を選択し、手順に従って委任 Security Hub CSPM 管理者アカウントを指定します。
