Security Hub CSPM で中央設定を有効にする - AWS Security Hub
中央設定の前提条件中央設定を有効にする手順

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Security Hub CSPM で中央設定を有効にする

委任 AWS Security Hub CSPM 管理者アカウントは、中央設定を使用して、複数のアカウントと組織単位 (OUs) の Security Hub CSPM、標準、コントロールを設定できます AWS リージョン。

中央設定の利点とその仕組みについては、「Security Hub CSPM の中央設定について」を参照してください。

このセクションでは、中央設定の前提条件と使用開始方法について説明します。

中央設定の前提条件

中央設定の使用を開始する前に、Security Hub CSPM を と統合 AWS Organizations し、ホームリージョンを指定する必要があります。Security Hub CSPM コンソールを使用する場合、これらの前提条件は中央設定のオプトインワークフローに含まれています。

Organizations との統合

中央設定を使用するには、Security Hub CSPM と Organizations を統合する必要があります。

これらのサービスを統合するには、まず Organizations で組織を作成します。Organizations 管理アカウントから、Security Hub CSPM 委任管理者アカウントを指定します。手順については、「Security Hub CSPM と の統合 AWS Organizations」を参照してください。

必ず、目的のホームリージョンで委任管理者を指定してください。中央設定の使用を開始すると、すべてのリンクされたリージョンにも同じ委任管理者が自動的に設定されます。Organizations 管理アカウントは、委任管理者アカウントとして設定することはできません。

重要

中央設定を使用する場合、Security Hub CSPM コンソールまたは Security Hub CSPM APIs を使用して、委任管理者アカウントを変更または削除することはできません。Organizations 管理アカウントが AWS Organizations APIs を使用して Security Hub CSPM 委任管理者を変更または削除する場合、Security Hub CSPM は自動的に中央設定を停止します。設定ポリシーの関連付けも解除され、削除されます。メンバーアカウントには、委任管理者が変更または削除される前の設定が保持されます。

ホームリージョンの指定

中央設定を使用するにはホームリージョンを指定する必要があります。ホームリージョンは、委任管理者が組織を設定するリージョンです。

注記

ホームリージョンは、 AWS をオプトインリージョンとして指定したリージョンにすることはできません。オプトインリージョンは、デフォルトでは無効となっています。オプトインリージョンのリストについては、「AWS アカウント管理リファレンスガイド」の「Considerations before enabling and disabling Regions」を参照してください。

必要に応じて、ホームリージョンから設定可能なリンクされたリージョンを 1 つ以上指定できます。

委任管理者は、ホームリージョンからのみ設定ポリシーを作成および管理できます。設定ポリシーは、ホームリージョンとリンクされたすべてのリージョンで有効になります。これらのリージョンのサブセットにのみ適用され、他のリージョンには適用されない設定ポリシーは作成できません。ただし、グローバルリソースが関与するコントロールは例外です。中央設定を使用する場合、Security Hub CSPM は、ホームリージョンを除くすべてのリージョンでグローバルリソースを含むコントロールを自動的に無効にします。詳細については、「グローバルリソースを使用するコントロール」を参照してください。

ホームリージョンは、リンクされたリージョンから検出結果、インサイト、その他のデータを受信する Security Hub CSPM 集約リージョンでもあります。

クロスリージョン集約の集約リージョンを既に設定している場合、それが中央設定のデフォルトのホームリージョンになります。現在の検出結果アグリゲータを削除し、目的のホームリージョンに新しいアグリゲータを作成することで、中央設定の使用を開始する前にホームリージョンを変更できます。検出結果アグリゲータは、ホームリージョンとリンクされたリージョンを指定する Security Hub CSPM リソースです。

ホームリージョンを指定する場合は、集約リージョンを設定する手順を参照してください。ホームリージョンを既に指定している場合は、GetFindingAggregator API を呼び出して、現在どのリージョンがリンクされているかなどの詳細を確認できます。

中央設定を有効にする手順

ご希望の方法を選択し、手順に従って組織の中央設定を有効化します。

Security Hub CSPM console
中央設定を有効化するには (コンソール)

  1. https://console.aws.amazon.com/securityhub/ で AWS Security Hub CSPM コンソールを開きます。

  2. ナビゲーションペインで、[設定][設定] の順に選択します。次に、[中央設定を開始] を選択します。

    Security Hub CSPM にオンボーディングする場合は、「Security Hub CSPM に移動」を選択します。

  3. [委任された管理者を指定] ページで、委任管理者アカウントを選択するか、アカウント ID を入力します。該当する場合は、他の AWS セキュリティおよびコンプライアンスサービスに設定したのと同じ委任管理者を選択することをお勧めします。[委任された管理者を設定] を選択します。

  4. [組織を一元化] ページの [リージョン] セクションで、ホームリージョンを選択します。続行するには、ホームリージョンにサインインする必要があります。クロスリージョン集約の集約リージョンを既に設定している場合、そのリージョンがホームリージョンとして表示されます。ホームリージョンを変更するには、[リージョンの設定を編集] を選択します。これにより、ご希望のホームリージョンを選択して、このワークフローに戻ることができます。

  5. ホームリージョンにリンクするリージョンを少なくとも 1 つ選択してください。必要に応じて、将来サポートされるリージョンをホームリージョンに自動的にリンクするかどうかを選択します。ここで選択したリージョンは、委任管理者がホームリージョンから設定できます。設定ポリシーは、ホームリージョンとすべてのリンクされたリージョンで有効になります。

  6. [確認して続行] を選択します。

  7. 中央設定を使用できるようになりました。続けてコンソールのプロンプトに従い、最初の設定ポリシーを作成します。設定ポリシーを作成する準備がまだ整っていない場合は、[まだ設定する準備ができていません] を選択します。ポリシーは、後でナビゲーションペインで [設定][設定] の順に選択して作成できます。設定ポリシーの作成手順については、「設定ポリシーの作成と関連付け」を参照してください。

Security Hub CSPM API
中央設定を有効化するには (API)

  1. 委任管理者アカウントの認証情報を使用して、ホームリージョンから UpdateOrganizationConfiguration API を呼び出します。

  2. AutoEnable フィールドは false に設定されます。

  3. OrganizationConfiguration オブジェクト内の ConfigurationType フィールドを CENTRAL に設定します。このアクションには以下の影響があります。

    • すべてのリンクされたリージョンで、呼び出し元のアカウントを Security Hub CSPM 委任管理者として指定します。

    • すべてのリンクされたリージョンの委任管理者アカウントで Security Hub CSPM を有効にします。

    • 呼び出し元のアカウントを、Security Hub CSPM を使用し、組織に属する新規および既存のアカウントの Security Hub CSPM 委任管理者として指定します。これはホームリージョンとすべてのリンクされたリージョンで発生します。呼び出し元アカウントは、Security Hub CSPM が有効になっている設定ポリシーに関連付けられている場合にのみ、新しい組織アカウントの委任管理者として設定されます。呼び出し元アカウントは、Security Hub CSPM が既に有効になっている場合にのみ、既存の組織アカウントの委任管理者として設定されます。

    • すべてのリンクされたリージョンで AutoEnablefalse に設定し、ホームリージョンとすべてのリンクされたリージョンで AutoEnableStandardsNONE に設定します。これらのパラメータは、中央設定を使用する場合、ホームリージョンとリンクされたリージョンには関係ありませんが、設定ポリシーを使用して、組織アカウントで Security Hub CSPM とデフォルトのセキュリティ標準を自動的に有効にできます。

  4. 中央設定を使用できるようになりました。委任管理者は、組織内で Security Hub CSPM を設定する設定ポリシーを作成できます。設定ポリシーの作成手順については、「設定ポリシーの作成と関連付け」を参照してください。

API リクエストの例:

{
    "AutoEnable": false,
    "OrganizationConfiguration": {
        "ConfigurationType": "CENTRAL"
    }
}
AWS CLI
中央設定を有効化するには (AWS CLI)

  1. 委任管理者アカウントの認証情報を使用して、ホームリージョンから update-organization-configuration コマンドを実行します。

  2. no-auto-enable パラメータを指定します。

  3. organization-configuration オブジェクト内の ConfigurationType フィールドを CENTRAL に設定します。このアクションには以下の影響があります。

    • すべてのリンクされたリージョンで、呼び出し元のアカウントを Security Hub CSPM 委任管理者として指定します。

    • すべてのリンクされたリージョンの委任管理者アカウントで Security Hub CSPM を有効にします。

    • 呼び出し元のアカウントを、Security Hub CSPM を使用し、組織に属する新規および既存のアカウントの Security Hub CSPM 委任管理者として指定します。これはホームリージョンとすべてのリンクされたリージョンで発生します。呼び出しアカウントは、新しい組織アカウントが Security Hub が有効になっている設定ポリシーに関連付けられている場合にのみ、その委任管理者として設定されます。呼び出し元アカウントは、Security Hub CSPM が既に有効になっている場合にのみ、既存の組織アカウントの委任管理者として設定されます。

    • すべてのリンクされたリージョンで自動有効化オプションを no-auto-enable に設定し、ホームリージョンとすべてのリンクされたリージョンで auto-enable-standardsNONE に設定します。これらのパラメータは、中央設定を使用する場合、ホームリージョンとリンクされたリージョンには関係ありませんが、設定ポリシーを使用して、組織アカウントで Security Hub CSPM とデフォルトのセキュリティ標準を自動的に有効にできます。

  4. 中央設定を使用できるようになりました。委任管理者は、組織内で Security Hub CSPM を設定する設定ポリシーを作成できます。設定ポリシーの作成手順については、「設定ポリシーの作成と関連付け」を参照してください。

コマンドの例:

aws securityhub --region us-east-1 update-organization-configuration \
--no-auto-enable \
--organization-configuration '{"ConfigurationType": "CENTRAL"}'