AWS 組織内のメンバーアカウントの設定の管理 - AWS Security Hub
Security Hub 設定カタログポリシーのタイプで設定を有効にするデプロイのタイプで設定を有効にする設定ポリシーの編集設定ポリシーの削除

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS 組織内のメンバーアカウントの設定の管理

AWS 組織の委任管理者は、メンバーアカウントとリージョン全体でセキュリティ機能を設定できます。使用可能な設定には、ポリシーデプロイの 2 種類があります。ポリシーは、 AWS Security Hub と Amazon Inspector のアカウントとリージョンの AWS Organizations ポリシーを生成します。デプロイは、Amazon GuardDuty と AWS Security Hub CSPM の選択したアカウントとリージョンでセキュリティ機能を有効にする 1 回限りのアクションです。ポリシーとは異なり、デプロイを表示または編集することはできません。デプロイは新しく有効化されたアカウントには適用されません。別の方法として、新しいメンバーアカウントの自動有効化機能は、Amazon GuardDuty と AWS Security Hub CSPM で使用できます。

Security Hub 設定カタログ

Security Hub の設定カタログには、 が提供するセキュリティ機能用に AWS Organization アカウントを設定するのに役立つ複数のオプションが用意されています。

Security Hub 設定カタログで使用できるオプションを次に示します。

Security Hub (必須および追加機能)

これは、Security Hub にデプロイするための推奨設定です。

タイプ: ポリシーとデプロイ

説明: この設定は、Security Hub の基本的なセキュリティ管理、体制管理、脅威分析、脆弱性管理機能を強化します。必要に応じて、追加の機能を有効にします。

GuardDuty からの脅威分析

タイプ: Deployment

説明: 選択した Amazon GuardDuty 機能を有効にして、 AWS 環境内の AWS データソースとログを継続的にモニタリング、分析、処理します。

AWS Security Hub CSPM からの姿勢管理)

タイプ: Deployment

説明: この設定は、 AWS アカウントとリソースがセキュリティのベストプラクティスから逸脱した場合を検出する Security Hub CSPM の標準とコントロールを有効にします。

Amazon Inspector からの脆弱性管理

タイプ: ポリシー

説明: この設定は、ワークロード、インスタンス、コンテナイメージなどを自動的に検出し、脆弱性やネットワークへの露出がないかスキャンする、選択した Amazon Inspector 機能を有効にします。

ポリシーのタイプで設定を有効にする

次の手順では、 AWS Organization アカウントのポリシータイプを使用して設定を作成する方法について説明します。設定ポリシーを作成するには、 AWS 組織の管理アカウントで委任管理者ポリシーを作成する必要があります。Security Hub での委任管理者ポリシーの作成については、「Creating the delegated administrator policy in Security Hub」を参照してください。

メンバーアカウントを有効または無効にするポリシーを作成するには

  1. 委任管理者認証情報を使用して AWS アカウントを使用してサインインします。https://console.aws.amazon.com/securityhub/v2/home で Security Hub コンソールを開きます。

  2. ナビゲーションペインから、管理を選択し、設定を選択します。

  3. 設定カタログから、ポリシーまたはポリシーとデプロイのタイプを持つ項目を選択します。Security Hub を完全に設定するには、Security Hub (必須および追加機能) を選択することをお勧めします。

  4. 詳細セクションの「Security Hub の設定」ページで、ポリシーの名前と説明を入力します。

  5. 「セキュリティ機能」セクションで、次のいずれかを実行します。

    1. (オプション 1) すべての機能を有効にするを選択します。これにより、Security Hub の必須機能、脅威分析、その他の機能がすべてオンになります。

    2. (オプション 2) カスタマイズ機能を選択します。有効にする脅威分析と追加機能を選択します。Security Hub の必須プラン機能の一部である機能の選択を解除することはできません。

  6. アカウント選択セクションで、次のいずれかのオプションを選択します。設定をすべての組織単位とアカウントに適用する場合は、すべての組織単位とアカウントを選択します。特定の組織単位とアカウントに設定を適用する場合は、特定の組織単位とアカウントを選択します。このオプションを選択した場合、検索バーまたは組織構造ツリーを使用して、ポリシーを適用する組織単位とアカウントを指定してください。組織単位またはアカウントに設定を適用しない場合は、組織単位またはアカウントなしを選択します。

  7. 「リージョン」セクションで、「すべてのリージョンを有効にする」、「すべてのリージョンを無効にする」、または「リージョンを指定する」を選択します。[すべてのリージョンを有効にする] を選択した場合、新しいリージョンを自動的に有効にするかどうかを選択できます。[すべてのリージョンを無効にする] を選択した場合、新しいリージョンを自動的に無効にするかどうかを選択できます。[リージョンを指定する] を選択した場合、有効または無効にするリージョンを選択する必要があります。

  8. (オプション) 詳細設定については、 のガイダンスを参照してください AWS Organizations。

  9. (オプション) リソースタグの場合は、設定を簡単に識別できるように、キーと値のペアとしてタグを追加します。

  10. [次へ] を選択します。

  11. 変更内容を確認し、[適用] を選択します。ターゲットアカウントは、ポリシーに基づいて設定されます。ポリシーの設定ステータスは、ポリシーページの上部に表示されます。各機能は、設定されている場合、またはデプロイに障害が発生した場合、 のステータスを提供します。障害が発生した場合は、障害メッセージのリンクをクリックし、詳細を確認します。有効なポリシーをアカウントレベルで表示するには、[設定] ページの[組織] タブでアカウントを選択します。

デプロイのタイプで設定を有効にする

次の手順では、 AWS Organization アカウントのデプロイタイプを使用して設定を作成する方法について説明します。

メンバーアカウントを有効または無効にするデプロイを作成するには

  1. 委任管理者認証情報を使用して AWS アカウントを使用してサインインします。https://console.aws.amazon.com/securityhub/v2/home で Security Hub コンソールを開きます。

  2. ナビゲーションペインから、管理を選択し、設定を選択します。

  3. 設定カタログからデプロイのタイプを持つ項目を選択します。Security Hub を完全に設定するには、Security Hub (必須および追加機能) を選択することをお勧めします。

  4. セキュリティ機能セクションで、オンにするセキュリティ機能を選択します。

  5. アカウント選択セクションで、次のいずれかのオプションを選択します。設定をすべての組織単位とアカウントに適用する場合は、すべての組織単位とアカウントを選択します。特定の組織単位とアカウントに設定を適用する場合は、特定の組織単位とアカウントを選択します。このオプションを選択した場合、検索バーまたは組織構造ツリーを使用して、ポリシーを適用する組織単位とアカウントを指定してください。組織単位またはアカウントに設定を適用しない場合は、組織単位またはアカウントなしを選択します。

  6. 「リージョン」セクションで、「すべてのリージョンを有効にする」、「すべてのリージョンを無効にする」、または「リージョンを指定する」を選択します。[すべてのリージョンを有効にする] を選択した場合、新しいリージョンを自動的に有効にするかどうかを選択できます。[すべてのリージョンを無効にする] を選択した場合、新しいリージョンを自動的に無効にするかどうかを選択できます。[リージョンを指定する] を選択した場合、有効または無効にするリージョンを選択する必要があります。

  7. [設定] を選択します。

設定ポリシーの編集

ポリシーのタイプを持つ設定に関連付けられた機能、リージョン、アカウントを編集できます。

以下に、Security Hub で設定ポリシーを編集する方法について説明します。

設定ポリシーを編集するには

  1. 委任管理者認証情報を使用して AWS アカウントを使用してサインインします。https://console.aws.amazon.com/securityhub/v2/home で Security Hub コンソールを開きます。

  2. ナビゲーションペインから、管理を選択し、設定を選択します。

  3. 設定済みポリシータブで、編集するポリシーのラジオボタンを選択します。編集を選択します。

  4. アカウント選択セクションで変更を行うには、次のいずれかのオプションを選択します。すべての組織単位とアカウントに設定を適用する場合は、すべての組織単位とアカウントを選択します。特定の組織単位とアカウントに設定を適用する場合は、特定の組織単位とアカウントを選択します。このオプションを選択した場合、検索バーまたは組織構造ツリーを使用して、ポリシーを適用する組織単位とアカウントを指定してください。組織単位またはアカウントに設定を適用しない場合は、組織単位またはアカウントなしを選択します。

  5. 「リージョン」セクションを変更するには、「すべてのリージョンを有効にする」、「すべてのリージョンを無効にする」、または「リージョンを指定する」を選択します。[すべてのリージョンを有効にする] を選択した場合、新しいリージョンを自動的に有効にするかどうかを選択できます。[すべてのリージョンを無効にする] を選択した場合、新しいリージョンを自動的に無効にするかどうかを選択できます。[リージョンを指定する] を選択した場合、有効または無効にするリージョンを選択する必要があります。

  6. [次へ] を選択します。

  7. 変更内容を確認し、[Update] (更新) を選択します。ターゲットアカウントは、ポリシーに基づいて設定されます。

設定ポリシーの削除

ポリシーのタイプがある設定を削除できます。ポリシーを削除すると、アタッチされたすべてのアカウントと組織単位がポリシーから削除されます。

以下に、Security Hub で設定ポリシーを削除する方法について説明します。

設定ポリシーを削除するには

  1. 委任管理者認証情報を使用して AWS アカウントを使用してサインインします。https://console.aws.amazon.com/securityhub/v2/home で Security Hub コンソールを開きます。

  2. ナビゲーションペインから、管理を選択し、設定を選択します。

  3. 設定済みポリシータブで、編集するポリシーのラジオボタンを選択します。[削除] ボタンを選択します。

  4. 確認ボックスに「削除」と入力します。削除を選択します。