を使用した複数のアカウントの Security Hub CSPM の管理 AWS Organizations - AWS Security Hub

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

を使用した複数のアカウントの Security Hub CSPM の管理 AWS Organizations

AWS Security Hub Cloud Security Posture Management (CSPM) を と統合し AWS Organizations、組織内のアカウントの Security Hub CSPM を管理できます。

Security Hub CSPM を と統合するには AWS Organizations、 で組織を作成します AWS Organizations。Organizations 管理アカウントは、1 つのアカウントを組織の Security Hub CSPM 委任管理者として指定します。その後、委任管理者は、組織内の他のアカウントに対して Security Hub CSPM を有効にし、それらのアカウントを Security Hub CSPM メンバーアカウントとして追加して、メンバーアカウントに対して許可されたアクションを実行できます。Security Hub CSPM 委任管理者は、最大 10,000 のメンバーアカウントに対して Security Hub CSPM を有効におよび管理できます。

委任された管理者が設定できる範囲は、中央設定を使用するかどうかによって異なります。中央設定を有効にすると、各メンバーアカウントと で Security Hub CSPM を個別に設定する必要はありません AWS リージョン。委任管理者は、リージョン間で指定されたメンバーアカウントと組織単位 (OUs) に特定の Security Hub CSPM 設定を適用できます。

Security Hub CSPM 委任管理者アカウントは、メンバーアカウントに対して次のアクションを実行できます。

  • 中央設定を使用する場合は、Security Hub CSPM 設定ポリシーを作成して、メンバーアカウントと OUs の Security Hub CSPM を一元的に設定します。設定ポリシーを使用して、Security Hub CSPM の有効化と無効化、標準の有効化と無効化、コントロールの有効化と無効化を行うことができます。

  • 新しいアカウントが組織に加わると、Security Hub CSPM メンバーアカウントとして自動的に扱われます。中央設定を使用する場合、OU に関連付けられた設定ポリシーには、その OU に含まれる既存のアカウントと新しいアカウントが含まれます。

  • 既存の組織アカウントを Security Hub CSPM メンバーアカウントとして扱います。中央設定を使用すると、この処理は自動的に行われます。

  • 組織に属するメンバーアカウントの関連付けを解除します。中央設定を使用している場合は、メンバーアカウントをセルフマネージド型として指定してからでないと、そのアカウントの関連付けを解除できません。または、Security Hub CSPM を無効にする設定ポリシーを、特定の一元管理されたメンバーアカウントに関連付けることもできます。

中央設定にオプトインしない場合、組織はローカル設定と呼ばれるデフォルトの設定タイプを使用します。ローカル設定では、委任管理者は、メンバーアカウントで設定を強制する機能が制限されます。詳細については、「Security Hub CSPM のローカル設定について」を参照してください。

委任された管理者がメンバーアカウントに対して実行できるアクションの完全なリストについては、「Security Hub CSPM で管理者アカウントとメンバーアカウントによって許可されるアクション」を参照してください。

このセクションのトピックでは、Security Hub CSPM を と統合する方法 AWS Organizations と、組織内のアカウントの Security Hub CSPM を管理する方法について説明します。該当する場合は、各セクションで、中央設定を使用するユーザーにとっての管理上の利点と相違点について説明します。