アカウントアクションが Security Hub CSPM データに及ぼす影響 - AWSSecurity Hub
Security Hub CSPM を無効にする管理者アカウントからメンバーアカウントとの関連付けを解除するメンバーアカウントが組織から削除されているアカウントの停止アカウントの閉鎖

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

アカウントアクションが Security Hub CSPM データに及ぼす影響

これらのアカウントアクションは、AWS Security Hub CSPM データに次の影響を与えます。

Security Hub CSPM を無効にする

中央設定を使用する場合、委任管理者 (DA) は、特定のアカウントや組織単位 (OU) で AWS Security Hub CSPM を無効にする Security Hub CSPM 設定ポリシーを作成できます。この場合、指定したアカウントとホームリージョンおよびリンクされたリージョンの OU では Security Hub CSPM が無効になります。中央設定を使用しない場合、Security Hub CSPM を有効にした各アカウントとリージョンで、Security Hub CSPM を個別に無効にする必要があります。また、DA アカウントで Security Hub CSPM が無効になっている場合は、中央設定を使用できません。

Security Hub CSPM が管理者アカウントで無効になっている場合、管理者アカウントで新しい検出結果は生成および更新されません。既存のアーカイブされた検出結果は生成後 30 日後に削除されます。既存のアーカイブされた検出結果は生成後 90 日後に削除されます。

他の AWS のサービスとの統合が削除されます。

有効になっているセキュリティ標準およびコントロールは無効になります。

カスタムアクション、インサイト、サードパーティー製品のサブスクリプションを含む、その他の Security Hub CSPM データと設定は 90 日間保持されます。

管理者アカウントからメンバーアカウントとの関連付けを解除する

メンバーアカウントが管理者アカウントとの関連付けを解除されると、管理者アカウントはそのメンバーアカウントの結果を表示するための許可を失います。ただし、Security Hub CSPM は両方のアカウントで引き続き有効になっています。

中央設定を使用する場合、DA は DA アカウントとの関連付けが解除されたメンバーアカウントに Security Hub CSPM を設定できません。

管理者アカウントに対して定義されたカスタム設定または統合は、過去のメンバーアカウントからの結果には適用されません。例えば、アカウントの関連付けが解除された後に、管理者アカウントのカスタムアクションを、Amazon EventBridge ルールのイベントパターンとして使用することが可能です。ただし、このカスタムアクションをメンバーアカウントで使用することはできません。

Security Hub CSPM 管理者アカウントの [アカウント] リストでは、削除されたアカウントのステータスが [関連付けを解除済み] になります。

メンバーアカウントが組織から削除されている

メンバーアカウントが組織から削除されると、Security Hub CSPM 管理者アカウントはそのメンバーアカウントの検出結果を表示するための許可を失います。ただし、Security Hub CSPM では、両方のアカウントが削除前と同じ設定で引き続き有効になっています。

中央設定を使用する場合、委任管理者が所属する組織からメンバーアカウントが削除された後は、そのメンバーアカウントに Security Hub CSPM を設定することはできません。ただし、手動で変更しない限り、アカウントは削除前の設定を保持します。

Security Hub CSPM 管理者アカウントの [アカウント] リストでは、削除されたアカウントのステータスが [削除済み] になります。

アカウントの停止

AWS アカウント が停止されると、そのアカウントは Security Hub CSPM で検出結果を表示するための許可を失います。そのアカウントに対する検出結果は生成および更新されません。停止されたアカウントの管理者アカウントは、アカウントの既存の検出結果を表示できます。

組織アカウントの場合、メンバーアカウントのステータスが [Account Suspended] (アカウントの停止) に変更されることもあります。これは、管理者アカウントがアカウントを有効にしようとしたときにアカウントが停止されている場合に発生します。[Account Suspended] (アカウントの停止)になっている場合、管理者アカウントは、そのアカウントの結果を表示することはできません。それ以外の場合、停止ステータスによってメンバーアカウントのステータスに影響が生じることはありません。

中央設定を使用する場合、委任された管理者が設定ポリシーを一時停止中のアカウントに関連付けようとしても、ポリシーの関連付けは失敗します。

90 日後、アカウントは削除または再アクティブ化されます。アカウントが再アクティブ化されると、その Security Hub CSPM 許可が復元されます。メンバーアカウントのステータスが [Account Suspended] (アカウントの停止) の場合、管理者アカウントでそのアカウントを手動で有効にする必要があります。

アカウントの閉鎖

AWS アカウント が閉鎖されている場合、Security Hub CSPM は次のように対応します。

アカウントが Security Hub CSPM 管理者アカウントの場合、アカウントは管理者アカウントとして削除され、すべてのメンバーアカウントもすべて削除されます。アカウントがメンバーアカウントの場合、Security Hub CSPM 管理者アカウントとの関連付けが解除され、メンバーから削除されます。

Security Hub CSPM は、アーカイブされた既存の検出結果を 30 日間アカウントに保持します。コントロールの検出結果の場合、30 日の計算は検出結果の UpdatedAt フィールドの値に基づきます。他のタイプの検出結果の場合、計算は、検出結果の UpdatedAt フィールドまたは ProcessedAt フィールドのいずれかの、最新の日付の値に基づきます。この 30 日が経過すると、Security Hub CSPM では、そのアカウントの検出結果が完全に削除されます。

Security Hub CSPM は、既存のアクティブな検出結果を 90 日間アカウントに保持します。コントロールの検出結果の場合、90 日の計算は検出結果の UpdatedAt フィールドの値に基づきます。他のタイプの検出結果の場合、計算は、検出結果の UpdatedAt フィールドまたは ProcessedAt フィールドのいずれかの、最新の日付の値に基づきます。この 90 日が経過すると、Security Hub CSPM では、そのアカウントの検出結果が完全に削除されます。

既存の検出結果を長期間保持するには、検出結果を S3 バケットにエクスポートできます。これを行うには、Amazon EventBridge ルールでカスタムアクションを使用します。詳細については、「EventBridge を使用した自動応答と修復」を参照してください。

重要

AWS GovCloud (US) Regions のユーザーの場合、ポリシーデータおよびその他のアカウントリソースをバックアップし、削除してから、アカウントを閉鎖します。アカウントを閉鎖すると、リソースとデータにアクセスできなくなります。

詳細については、「AWS アカウント管理 リファレンスガイド」の「AWS アカウント の閉鎖」を参照してください。