Security Hub CSPM の中央設定を無効化する - AWSSecurity Hub

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Security Hub CSPM の中央設定を無効化する

AWS Security Hub CSPM で中央設定を無効にすると、委任管理者は複数の AWS アカウント、組織単位 (OU)、および AWS リージョン にわたる Security Hub CSPM、セキュリティ基準、およびのセキュリティコントロールを設定できなくなります。代わりに、各リージョンでその設定のほとんどをアカウントごとに設定する必要があります。

重要

中央設定を無効化する前に、まずアカウントと OU を現在の設定から切り離す必要があります (それが設定ポリシーか、セルフマネージド型動作であるかは関係ありません)。

中央設定の使用を無効化する前に、既存の設定ポリシーも削除する必要があります。

中央設定を無効化すると、次の変更が行われます。

  • 委任管理者は、組織の設定ポリシーを作成できなくなります。

  • 設定ポリシーが適用または継承されたアカウントは、現在の設定を保持しますが、セルフマネージド型になります。

  • 組織はローカル設定に切り替わります。ローカル設定では、Security Hub CSPM 設定の大部分を組織アカウントとリージョンごとに個別に設定する必要があります。委任管理者は、Security Hub CSPM、デフォルトのセキュリティ基準、および新しい組織アカウントのデフォルト標準に含まれるすべてのコントロールを自動的に有効にすることを選択できます。デフォルトの標準は、AWS Foundational Security Best Practices (FSBP) と Center for Internet Security (CIS) AWS Foundations Benchmark v1.2.0 です。これらの設定は現在のリージョンでのみ有効で、新しい組織アカウントにのみ影響します。委任管理者は、どの標準がデフォルトになるかを変更できません。ローカル設定では、設定ポリシーの使用や OU レベルでの設定はサポートされていません。

中央設定の使用を停止しても、委任管理者アカウントの ID は変わりません。ホームリージョンとリンクされたリージョンも変更されません (ホームリージョンは集約リージョンと呼ばれることになり、検出結果の集約に使用できます)。

お好みの方法を選択し、手順に従って中央設定の使用を停止し、ローカル設定に切り替えます。

Security Hub CSPM console
中央設定を無効化するには (コンソール)

  1. AWS Security Hub CSPM コンソール (https://console.aws.amazon.com/securityhub/) を開きます。

    ホームリージョンの委任された Security Hub CSPM 管理者アカウントの認証情報を使用してサインインします。

  2. ナビゲーションペインで、[設定][設定] の順に選択します。

  3. [概要] セクションで [編集] を選択します。

  4. [組織設定を編集] ボックスで、[ローカル設定] を選択します。まだ行っていない場合は、中央設定を停止する前に、現在の設定ポリシーの関連付けを解除して削除するよう求められます。セルフマネージド型として指定されているアカウントまたは OU は、セルフマネージド型設定との関連付けを解除する必要があります。これをコンソールで行うには、各セルフマネージド型アカウントまたは OU の管理タイプ[一元管理][自分の組織から継承] に変更します。

  5. 必要に応じて、新しい組織アカウントのローカル設定のデフォルト設定を選択します。

  6. [確認] を選択します。

Security Hub CSPM API
中央設定 (API) を無効にするには

  1. UpdateOrganizationConfiguration API を呼び出します。

  2. OrganizationConfiguration オブジェクト内の ConfigurationType フィールドを LOCAL に設定します。既存の設定ポリシーまたはポリシーの関連付けがある場合、API はエラーを返します。設定ポリシーの関連付けを解除するには、StartConfigurationPolicyDisassociation API を呼び出します。設定ポリシーを削除するには、DeleteConfigurationPolicy API を呼び出します。

  3. 新しい組織アカウントで Security Hub CSPM を自動的に有効にする場合は、AutoEnable フィールドを true に設定します。デフォルトでは、このフィールドの値は false で、Security Hub CSPM は新しい組織アカウントで自動的には有効になりません。必要に応じて、新しい組織アカウントでデフォルトのセキュリティ基準を自動的に有効にする場合は、AutoEnableStandards フィールドを DEFAULT に設定します。これは、デフォルト値です。新しい組織アカウントでデフォルトのセキュリティ基準を自動的に有効化しない場合は、AutoEnableStandards フィールドを NONE に設定します。

API リクエストの例:

{
    "AutoEnable": true, 
    "OrganizationConfiguration": {
        "ConfigurationType" : "LOCAL"
    }
}
AWS CLI
中央設定を無効にするには (AWS CLI)

  1. update-organization-configuration コマンドを実行します。

  2. organization-configuration オブジェクト内の ConfigurationType フィールドを LOCAL に設定します。既存の設定ポリシーまたはポリシーの関連付けがある場合、このコマンドはエラーを返します。設定ポリシーの関連付けを解除するには、start-configuration-policy-disassociation コマンドを実行します。設定ポリシーを削除するには、delete-configuration-policy コマンドを実行します。

  3. 新しい組織アカウントで Security Hub CSPM を自動的に有効にする場合は、auto-enable パラメータを使用します。デフォルトでは、このパラメータの値は no-auto-enable で、Security Hub CSPM は新しい組織アカウントで自動的には有効になりません。必要に応じて、新しい組織アカウントでデフォルトのセキュリティ基準を自動的に有効にする場合は、auto-enable-standards フィールドを DEFAULT に設定します。これは、デフォルト値です。新しい組織アカウントでデフォルトのセキュリティ基準を自動的に有効化しない場合は、auto-enable-standards フィールドを NONE に設定します。

aws securityhub --region us-east-1 update-organization-configuration \
--auto-enable \
--organization-configuration '{"ConfigurationType": "LOCAL"}'