Security Hub CSPM での管理者アカウントとメンバーアカウントの管理 - AWS Security Hub
を使用したアカウントの管理 AWS Organizations招待によるアカウントの手動での管理

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Security Hub CSPM での管理者アカウントとメンバーアカウントの管理

AWS 環境に複数のアカウントがある場合は、 AWS Security Hub Cloud Security Posture Management (CSPM) を使用するアカウントをメンバーアカウントとして扱い、単一の管理者アカウントに関連付けることができます。管理者は全体的なセキュリティ状況を監視し、メンバーアカウントに対して許可されたアクションを実行できます。管理者は、推定使用コストのモニタリングやアカウントクォータの評価など、さまざまなアカウント管理および管理タスクも大規模に実行できます。

メンバーアカウントを管理者に関連付けるには、Security Hub CSPM を と統合 AWS Organizations するか、Security Hub CSPM でメンバーシップの招待を手動で送受信します。

を使用したアカウントの管理 AWS Organizations

AWS Organizations は、 AWS 管理者が複数の を統合して管理できるようにするグローバルアカウント管理サービスです AWS アカウント。予算、セキュリティ、コンプライアンスのニーズをサポートするように設計されたアカウント管理および一括請求 (コンソリデーティッドビリング) 機能が備わっています。追加料金なしで提供され、 AWS Security Hub Cloud Security Posture Management (CSPM) AWS のサービス、Amazon Macie、Amazon GuardDuty などの複数の と統合されます。詳細については、「AWS Organizations ユーザーガイド」を参照してください。

Security Hub CSPM と を統合すると AWS Organizations、Organizations 管理アカウントは Security Hub CSPM 委任管理者を指定します。Security Hub CSPM は、指定された の委任管理者アカウントで自動的に有効 AWS リージョン になります。

委任管理者を指定したら、中央設定で Security Hub CSPM でアカウントを管理することをお勧めします。これは、Security Hub CSPM をカスタマイズし、組織に適切なセキュリティカバレッジを確保する最も効率的な方法です。

中央設定を使用すると、委任管理者はRegion-by-Region設定するのではなく、複数の組織アカウントとリージョンにわたって Security Hub CSPM をカスタマイズできます。組織全体の設定ポリシーを作成することも、アカウントや OU ごとに異なる設定ポリシーを作成することもできます。ポリシーは、関連するアカウントで Security Hub CSPM を有効にするか無効にするか、およびどのセキュリティ標準とコントロールを有効にするかを指定します。

委任された管理者は、アカウントを一元管理型またはセルフマネージド型として指定できます。一元管理型アカウントは、委任された管理者のみが設定できます。セルフマネージド型アカウントは、独自の設定を指定できます。

中央設定にオプトインしない場合、委任管理者はローカル設定と呼ばれる Security Hub CSPM を設定する機能が制限されます。ローカル設定では、委任管理者は、現在のリージョンの新しい組織アカウントで Security Hub CSPM とデフォルトのセキュリティ標準を自動的に有効にできます。ただし、既存のアカウントではこれらの設定を使用しないため、アカウントを組織に追加した後に設定のずれが生じる可能性があります。

これらの新しいアカウント設定に加え、ローカル設定もアカウントおよびリージョンに固有です。各組織アカウントは、各リージョンで Security Hub CSPM サービス、標準、コントロールを個別に設定する必要があります。また、ローカル設定では設定ポリシーの使用もサポートされていません。

招待によるアカウントの手動での管理

スタンドアロンアカウントを持っている場合、または Organizations と統合していない場合は、Security Hub CSPM で招待してメンバーアカウントを手動で管理する必要があります。スタンドアロンアカウントは Organizations と統合できないため、手動で管理する必要があります。今後アカウントを追加する場合は、 と統合 AWS Organizations し、中央設定を使用することをお勧めします。

手動アカウント管理を使用する場合は、アカウントを Security Hub CSPM 管理者に指定します。管理者アカウントは、メンバーアカウントのデータを表示したり、メンバーアカウントの検出結果に基づいて特定のアクションを実行したりできます。Security Hub CSPM 管理者は、他のアカウントをメンバーアカウントに招待し、メンバー候補アカウントが招待を受け入れると、管理者とメンバーの関係が確立されます。

手動によるアカウント管理では、設定ポリシーの使用がサポートされていません。設定ポリシーがないと、管理者は異なるアカウントの変数設定を設定して Security Hub CSPM を一元的にカスタマイズすることはできません。代わりに、各組織アカウントは、各リージョンで個別に Security Hub CSPM を有効にして設定する必要があります。これにより、Security Hub CSPM を使用するすべてのアカウントとリージョンで適切なセキュリティカバレッジを確保することが困難になり、時間がかかります。また、メンバーアカウントが管理者の入力なしに独自の設定を指定できるため、設定のずれが生じる可能性もあります。

招待によってアカウントを管理する方法については、「Security Hub CSPM での招待によるアカウントの管理」を参照してください。