すべての標準にわたってコントロールを無効にする - AWS Security Hub
複数のアカウントとリージョンでのクロススタンダード無効化単一のアカウントとリージョンでのクロススタンダード無効化

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

すべての標準にわたってコントロールを無効にする

組織全体の整合性を維持するために、標準全体で AWS Security Hub Cloud Security Posture Management (CSPM) コントロールを無効にすることをお勧めします。特定の標準でのみコントロールを無効にすると、他の標準で有効になっている場合、コントロールの結果が引き続き表示されます。

複数のアカウントとリージョンでのクロススタンダード無効化

複数の AWS アカウント および でセキュリティコントロールを無効にするには AWS リージョン、中央設定を使用する必要があります。

中央設定を使用する場合、委任管理者は、有効な標準全体で指定されたコントロールを無効にする Security Hub CSPM 設定ポリシーを作成できます。そして、設定ポリシーを特定のアカウント、OU、またはルートに関連付けることができます。設定ポリシーは、ホームリージョン (集約リージョンとも呼ばれる) およびリンクされているすべてのリージョンで有効になります。

設定ポリシーではカスタマイズが可能です。たとえば、1 つの OU ですべての AWS CloudTrail コントロールを無効にすることを選択し、別の OU ですべての IAM コントロールを無効にすることを選択できます。詳細度のレベルは、組織のセキュリティカバレッジについて目指す目標によって異なります。標準全体で指定されたコントロールを無効にする設定ポリシーの作成手順については、「設定ポリシーの作成と関連付け」を参照してください。

注記

委任管理者は、サービスマネージドスタンダードを除くすべての標準でコントロールを管理する設定ポリシーを作成できます AWS Control Tower。この標準のコントロールは、 AWS Control Tower サービスで設定する必要があります。

委任管理者ではなく一部のアカウントに独自のコントロールを設定させたい場合は、委任管理者がそれらのアカウントをセルフマネージドとして指定できます。セルフマネージドアカウントは、リージョンごとにコントロールを個別に設定する必要があります。

単一のアカウントとリージョンでのクロススタンダード無効化

中央設定を使用していない場合、またはセルフマネージドアカウントの場合、設定ポリシーを使用して複数のアカウントおよびリージョンでコントロールを一元的に無効にすることはできません。ただし、1 つのアカウントとリージョンでコントロールを無効にすることができます。

Security Hub CSPM console
1 つのアカウントおよびリージョンの標準全体でコントロールを無効にするには

  1. https://console.aws.amazon.com/securityhub/ で AWS Security Hub Cloud Security Posture Management (CSPM) コンソールを開きます。

  2. ナビゲーションペインで [コントロール] を選択します。

  3. コントロールの横にあるオプションを選択します。

  4. コントロールを無効にする を選択します。このオプションは、既に無効になっているコントロールには表示されません。

  5. コントロールを無効にする理由を選択し、[無効化] を選択して確定します。

  6. コントロールを無効にするリージョンごとに、これらの手順を繰り返します。

Security Hub CSPM API
1 つのアカウントおよびリージョンの標準全体でコントロールを無効にするには

  1. ListStandardsControlAssociations API を呼び出します。セキュリティコントロール ID を指定します。

    リクエストの例:

    {
    "SecurityControlId": "IAM.1"
}

  2. BatchUpdateStandardsControlAssociations API を呼び出します。コントロールが有効になっている標準の ARN を指定します。標準 ARN を取得するには、DescribeStandards を実行します。

  3. AssociationStatus パラメータを DISABLED と等しい値に設定します。既に無効化されているコントロールに対してこれらの手順を実行すると、API は HTTP ステータスコード 200 の応答を返します。

    リクエストの例:

    {
    "StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}, {"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}}]
}

  4. コントロールを無効にするリージョンごとに、これらの手順を繰り返します。

AWS CLI
1 つのアカウントおよびリージョンの標準全体でコントロールを無効にするには

  1. list-standards-control-associations コマンドを実行します。セキュリティコントロール ID を指定します。

    aws securityhub  --region us-east-1 list-standards-control-associations --security-control-id CloudTrail.1

  2. batch-update-standards-control-associations コマンドを実行します。コントロールが有効になっている標準の ARN を指定します。標準 ARN を取得するには、describe-standards コマンドを実行します。

  3. AssociationStatus パラメータを DISABLED と等しい値に設定します。既に無効化されているコントロールに対してこれらの手順を実行すると、コマンドは HTTP ステータスコード 200 の応答を返します。

    aws securityhub  --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}, {"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::standards/cis-aws-foundations-benchmark/v/1.4.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}]'

  4. コントロールを無効にするリージョンごとに、これらの手順を繰り返します。