新しい組織アカウントで Security Hub CSPM を手動で有効にする - AWS Security Hub

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

新しい組織アカウントで Security Hub CSPM を手動で有効にする

新しい組織アカウントが組織に加わるときに Security Hub CSPM を自動的に有効にしない場合、それらのアカウントをメンバーとして追加し、組織に加わった後に手動で Security Hub CSPM を有効にできます。また、以前に組織との関連付けを解除 AWS アカウント した で Security Hub CSPM を手動で有効にする必要があります。

注記

中央設定を使用している場合、このセクションの内容は適用されません。中央設定を使用する場合は、指定されたメンバーアカウントと組織単位 (OUs) で Security Hub CSPM を有効にする設定ポリシーを作成できます。また、それらのアカウントや OU で特定の標準やコントロールを有効にすることもできます。

別の組織内のメンバーアカウントがすでにある場合、アカウントで Security Hub CSPM を有効にすることはできません。

また、現在停止されているアカウントで Security Hub CSPM を有効にすることはできません。一時停止中のアカウントでサービスを有効にしようとすると、アカウントのステータスが [アカウント停止] に変更されます。

  • アカウントで Security Hub CSPM が有効になっていない場合、Security Hub CSPM はそのアカウントで有効になります。 AWS Foundational Security Best Practices (FSBP) 標準と CIS AWS Foundations Benchmark v1.2.0 も、デフォルトのセキュリティ標準をオフにしない限り、アカウントで有効になります。

    Organizations 管理アカウントは例外です。Security Hub CSPM を Organizations 管理アカウントで自動的に有効にすることはできません。メンバーアカウントとして追加する前に、Organizations 管理アカウントで Security Hub CSPM を手動で有効にする必要があります。

  • アカウントで Security Hub CSPM が既に有効になっている場合、Security Hub CSPM はアカウントに対して他の変更を行いません。メンバーシップのみが有効になります。

Security Hub CSPM がコントロールの検出結果を生成するには、メンバーアカウントが、必要なリソースを記録するように AWS Config 有効化および設定されている必要があります。詳細については、「 AWS Configの有効化と設定」を参照してください。

任意の方法を選択し、手順に従って Security Hub CSPM メンバーアカウントとして組織アカウントを有効にします。

Security Hub CSPM console
Security Hub CSPM メンバーとして組織アカウントを手動で有効にするには
  1. https://console.aws.amazon.com/securityhub/ で AWS Security Hub Cloud Security Posture Management (CSPM) コンソールを開きます。

    委任された管理者アカウントの認証情報を使用してサインインします。

  2. Security Hub の CSPM ナビゲーションペインの「設定」で、「設定」を選択します。

  3. [アカウント] リストで、有効にする各組織アカウントを選択します。

  4. [アクション][メンバーを追加] の順に選択します。

Security Hub CSPM API

Security Hub CSPM メンバーとして組織アカウントを手動で有効にするには

委任された管理者のアカウントで、CreateMembers API を呼び出します。有効にするアカウントごとに、アカウント ID を指定します。

手動による招待プロセスとは異なり、CreateMembers を呼び出して組織アカウントを有効にする場合、招待を送信する必要はありません。

AWS CLI

Security Hub CSPM メンバーとして組織アカウントを手動で有効にするには

委任された管理者アカウントで、create-members コマンドを実行します。有効にするアカウントごとに、アカウント ID を指定します。

手動による招待プロセスとは異なり、create-members を実行して組織アカウントを有効にする場合、招待を送信する必要はありません。

aws securityhub create-members --account-details '[{"AccountId": "<accountId>"}]'

aws securityhub create-members --account-details '[{"AccountId": "123456789111"}, {"AccountId": "123456789222"}]'