Security Hub を有効にする - AWS Security Hub
組織の Security Hub を有効にする委任管理者の Security Hub を有効にするスタンドアロンアカウントの Security Hub を有効にする

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Security Hub を有効にする

注記

Security Hub はプレビューリリースであり、変更される可能性があります。

任意の に対して Security Hub を有効にできます AWS アカウント。このトピックの手順では、 AWS 組織管理アカウント、委任管理者アカウント、スタンドアロンアカウントから Security Hub を有効にする方法について説明します。

注記

Security Hub を有効にすると、環境内の露出がすぐに分析されます。ただし、リソースの公開結果を受信するまで最大 6 時間待つことができます。

組織の Security Hub を有効にする

このセクションの手順では、 AWS 組織管理アカウントの Security Hub を有効にする方法について説明します。この手順では、Security Hub CSPM の委任管理者を設定し、Security Hub で組織の委任管理者を設定できるステップが含まれていることを前提としています。Security Hub での委任管理者の設定の詳細については、「Security Hub での委任管理者アカウントの設定」を参照してください。

有効化中に Security Hub の委任管理者を設定する場合は、AWS Organizations コンソールでリソースポリシーを作成し、委任管理者が組織に代わってアクションを実行できるようにする必要があります。委任管理者アカウントには、次のサンプルリソースポリシーを使用できます。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Statement",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::delegated-administrator-account-id:root"
      },
      "Action": [
        "organizations:AttachPolicy",
        "organizations:CreatePolicy",
        "organizations:DetachPolicy",
        "organizations:DeletePolicy",
        "organizations:UpdatePolicy",
        "organizations:ListPolicies",
        "organizations:ListPoliciesForTarget",
        "organizations:ListTargetsForPolicy",
        "organizations:DescribePolicy",
        "organizations:DescribeEffectivePolicy",
        "organizations:DisablePolicyType",
        "organizations:EnablePolicyType"
      ],
      "Resource": "*"
    }
  ]
}

委任管理者を設定しない場合は、後で委任管理者を設定できます。詳細については、「Security Hub での委任管理者アカウントの設定」を参照してください。トピックには、Security Hub コンソールの全般ページから組織の委任管理者を設定する方法を説明する手順が含まれています。

次の手順では、Security Hub で組織の委任管理者アカウントを設定する方法について説明します。

AWS 組織管理アカウントの Security Hub を有効にするには

  1. AWS 組織管理 AWS アカウントの認証情報を使用してアカウントにサインインします。https://console.aws.amazon.com/securityhub/v2/home で Security Hub コンソールを開きます。

  2. Security Hub ホームページから、Security Hub を選択します。[開始する] を選択します。

  3. (オプション) 委任管理者アカウントの場合、提供されたオプションに基づいて委任管理者を設定します。ベストプラクティスとして、一貫したガバナンスのために、セキュリティサービス全体で同じ委任管理者を使用することをお勧めします。委任管理者アカウントの設定の詳細については、「Security Hub での委任管理者アカウントの設定」を参照してください。

  4. (オプション) アカウントを有効にするには、チェックボックスをオンにして AWS アカウントの Security Hub を有効にします。

  5. コピーしてアタッチを選択して組織設定を開きます。Organizations コンソールで、委任された管理者の下にある委任を選択し AWS Organizations、リソースポリシーを貼り付けます。ポリシーの作成を選択します

  6. Security Hub コンソールに移動します。[設定] を選択します。

Security Hub を有効にすると、AWSServiceRoleForSecurityHubV2 というサービスにリンクされたロールがアカウントに作成され、サービスにリンクされたレコーダーがアカウントに追加されます。サービスにリンクされたレコーダーは、 AWS サービス固有のリソースの設定データを記録できる サービスによって管理される AWS Config レコーダーの一種です。サービスにリンクされたレコーダーを使用すると、Security Hub は、露出分析カバレッジに必要なリソース設定項目を取得するためのイベント駆動型のアプローチを可能にします。サービスにリンクされたレコーダーは、 AWS アカウント および ごとに設定されます AWS リージョン。

注記

委任管理者を設定すると、委任管理者は Security Hub のメンバーアカウントを有効または無効にするポリシーを作成して適用できます。詳細については、「メンバーアカウントを管理する委任管理者としてのポリシーの作成」を参照してください。

委任管理者の Security Hub を有効にする

AWS 組織管理アカウントが組織の委任管理者を設定する場合、委任管理者はアカウントの Security Hub を有効にする必要があります。以下の手順は、委任管理者がアカウントの Security Hub を有効にしていない場合にのみ、委任管理者が完了する必要があります。委任管理者の設定については、Security Hub の「委任管理者アカウントの設定」を参照してください。

委任管理者アカウントの Security Hub を有効にするには

  1. 委任管理者認証情報を使用して AWS アカウントにサインインし、https://console.aws.amazon.com/securityhub/v2/home で Security Hub コンソールを開きます。

  2. Security Hub ホームページから Security Hub を選択し、開始方法を選択します。

  3. [有効化] を選択します。

  4. (オプション) タグでは、キーと値のペアをアカウント設定に追加するかどうかを決定します。

  5. [Go to Security Hub] (Security Hub に移動) を選択します。

Security Hub を有効にすると、AWSServiceRoleForSecurityHubV2 というサービスにリンクされたロールがアカウントに作成され、サービスにリンクされたレコーダーがアカウントに追加されます。サービスにリンクされたレコーダーは、 AWS サービス固有のリソースの設定データを記録できる サービスによって管理される AWS Config レコーダーの一種です。サービスにリンクされたレコーダーを使用すると、Security Hub は、露出分析カバレッジに必要なリソース設定項目を取得するためのイベント駆動型のアプローチを可能にします。サービスにリンクされたレコーダーは、 AWS アカウント および ごとに設定されます AWS リージョン。

注記

組織の委任管理者は、Security Hub のメンバーアカウントを有効または無効にするポリシーを作成して適用できます。詳細については、「メンバーアカウントを管理するための委任管理者としてのポリシーの作成」を参照してください。

スタンドアロンアカウントの Security Hub を有効にする

次の手順では、スタンドアロンアカウントで Security Hub を有効にする方法について説明します。Security Hub を有効にできるスタンドアロンアカウントには、組織内に AWS アカウント ない と組織 AWS アカウント 内の の 2 種類があります。 AWS 組織 AWS アカウント 内の は、委任管理者が に AWS Organizations ポリシー AWS アカウント をアタッチする にすることができます AWS アカウント。詳細については、「 AWS Organizations ユーザーガイド」の「Security Hub ポリシー」を参照してください。

スタンドアロンアカウントの Security Hub を有効にするには

  1. 認証情報を使用して AWS アカウントにサインインし、https://console.aws.amazon.com/securityhub/v2/home で Security Hub コンソールを開きます。

  2. Security Hub ホームページから Security Hub を選択し、開始方法を選択します。

  3. [有効化] を選択します。

Security Hub を有効にすると、AWSServiceRoleForSecurityHubV2 というサービスにリンクされたロールがアカウントに作成され、サービスにリンクされたレコーダーがアカウントに追加されます。サービスにリンクされたレコーダーは、 AWS サービス固有のリソースの設定データを記録できる サービスによって管理される AWS Config レコーダーの一種です。サービスにリンクされたレコーダーを使用すると、Security Hub は、露出分析カバレッジに必要なリソース設定項目を取得するためのイベント駆動型のアプローチを可能にします。サービスにリンクされたレコーダーは、 AWS アカウント および ごとに設定されます AWS リージョン。