Security Hub CSPM で複数のアカウントを管理する際の推奨事項 - AWS Security Hub
メンバーアカウントの最大数管理者とメンバーの関係の作成サービス間の管理者アカウントの調整

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Security Hub CSPM で複数のアカウントを管理する際の推奨事項

次のセクションでは、 AWS Security Hub CSPM でメンバーアカウントを管理する際に注意すべき制限と推奨事項をまとめています。

メンバーアカウントの最大数

との統合を使用する場合 AWS Organizations、Security Hub CSPM は、各 の委任管理者アカウントあたり最大 10,000 のメンバーアカウントをサポートします AWS リージョン。Security Hub CSPM を手動で有効にして管理する場合、Security Hub CSPM では各リージョンの管理者アカウントにつき、最大 1,000 のメンバーアカウント招待をサポートします。

管理者とメンバーの関係の作成

注記

Security Hub CSPM との統合を使用していて AWS Organizations、メンバーアカウントを手動で招待していない場合、このセクションは適用されません。

アカウントを、管理者アカウントとメンバーアカウントの両方のアカウントとして同時に設定することはできません。

メンバーアカウントは、一度に 1 つの管理者アカウントのみと関連付けることができます。Security Hub CSPM 管理者アカウントによって組織アカウントが有効になっている場合、そのアカウントは別のアカウントからの招待を承諾することができません。アカウントが既に招待を承諾している場合、組織の Security Hub CSPM 管理者アカウントでそのアカウントを有効にすることはできません。また、他のアカウントからの招待を受信することはできません。

手動の招待プロセスでは、メンバーシップの招待の承諾はオプションです。

によるメンバーシップ AWS Organizations

Security Hub CSPM を と統合する場合 AWS Organizations、Organizations 管理アカウントは Security Hub CSPM の委任管理者 (DA) アカウントを指定できます。Organizations 管理アカウントを組織の DA として設定することはできません。これは Security Hub CSPM では許可されていますが、Organizations 管理アカウントを DA にしないことをお勧めします。

すべてのリージョンで、同一の DA を選択することが推奨されます。中央設定を使用する場合、Security Hub CSPM は組織の Security Hub CSPM を設定したすべてのリージョンに同じ DA アカウントを設定します。

また、 AWS セキュリティ関連の問題を 1 つの画面で管理できるように、セキュリティおよびコンプライアンスサービス全体で同じ DA アカウントを選択することをお勧めします。

招待によるメンバーシップ

招待によって作成されたメンバーアカウントの場合、管理者アカウントとメンバーのアカウントの関連付けは、招待の送信元の 1 つのリージョンでのみ作成されます。管理者アカウントでは、使用する各リージョンの Security Hub CSPM を有効にする必要があります。次に、管理者アカウントは各アカウントをそのリージョンのメンバーアカウントに招待します。

注記

メンバーアカウントを管理するには、Security Hub CSPM の招待 AWS Organizations の代わりに を使用することをお勧めします。

サービス間の管理者アカウントの調整

Security Hub CSPM は、Amazon GuardDuty、Amazon Inspector、Amazon Macie などのさまざまな AWS サービスの結果を集計します。Security Hub CSPM では、ユーザーは GuardDuty の検出結果からピボットして Amazon Detective で調査を開始することもできます。

ただし、これらの他のサービスで設定した管理者とメンバーの関係が、Security Hub CSPM に自動的に適用されることはありません。Security Hub CSPM ではこれらすべてのサービスで、管理者アカウントと同じアカウントを使用することを推奨しています。この管理者アカウントは、セキュリティツールを担当するアカウントである必要があります。また、 AWS Configの集約アカウントもこのアカウントが担う必要があります。

例えば、GuardDuty 管理アカウント A のユーザーは、GuardDuty コンソールで GuardDuty メンバーアカウント B と C の結果を表示できます。アカウント A が Security Hub CSPM を有効にした場合、アカウント A のユーザーは Security Hub CSPM でアカウント B と C の GuardDuty の検出結果を自動的には確認できません。これらのアカウントには、Security Hub CSPM 管理者とメンバーの関係も必要になります。

これを行うには、アカウント A をSecurity Hub CSPM 管理者アカウントにし、アカウント B と C がSecurity Hub CSPM のメンバーアカウントになるようにします。