新しい組織アカウントで Security Hub を自動的に有効にする - AWS Security Hub
新しい組織アカウントを自動的に有効にする (中央設定)新しい組織アカウントを自動的に有効にする (ローカル設定)

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

新しい組織アカウントで Security Hub を自動的に有効にする

新しいアカウントが組織に参加すると、 のアカウントページのリストに追加されます。 AWS Security Hub console。組織アカウントの場合、[Type] (タイプ) は [By organization] (組織別) になります。デフォルトでは、組織を追加しても新しいアカウントが Security Hub メンバーになることはありません。ステータスは、[Not a member] (メンバーではない) です。委任管理者アカウントは、新しいアカウントをメンバーとして自動的に追加し、組織に参加するときにこれらのアカウントで Security Hub を有効にできます。

注記

ただし、多くの AWS リージョン は、 のデフォルトでアクティブになっています。 AWS アカウントでは、特定のリージョンを手動でアクティブ化する必要があります。これらのリージョンは、このドキュメントではオプトインリージョンと呼ばれます。オプトインリージョンの新しいアカウントで Security Hub を自動的に有効にするには、アカウントでそのリージョンを最初にアクティブ化する必要があります。アカウント所有者のみがオプトインリージョンをアクティブ化できます。オプトインリージョンの詳細については、「どのリージョンを指定する」を参照してください。 AWS リージョン アカウントは を使用できます

このプロセスは、中央設定 (推奨) を使用するかローカル設定を使用するかによって異なります。

新しい組織アカウントを自動的に有効にする (中央設定)

中央設定 を使用する場合、Security Hub が有効になっている設定ポリシーを作成することで、新規および既存の組織アカウントで Security Hub を自動的に有効にできます。その後、ポリシーを組織のルートまたは特定の組織単位 () に関連付けることができますOUs。

Security Hub が有効になっている設定ポリシーを特定の OU に関連付けると、その OU に属するすべてのアカウント (既存および新規) で Security Hub が自動的に有効になります。OU に属さない新しいアカウントはセルフマネージド型で、Security Hub が自動的に有効になることはありません。Security Hub が有効になっている設定ポリシーをルートに関連付けると、組織に追加するすべてのアカウント (既存および新規) で Security Hub が自動的に有効になります。例外は、アカウントがアプリケーションまたは継承によって異なるポリシーを使用している場合や、セルフマネージド型である場合です。

設定ポリシーでは、OU で有効にするセキュリティ標準とコントロールを定義することもできます。有効な標準に関するコントロール結果を生成するには、OU のアカウントが を持っている必要があります。 AWS Config 有効になっており、必要なリソースを記録するように設定されています。の詳細については、「」を参照してください。 AWS Config 録音、「有効化と設定」を参照してください。 AWS Config.

設定ポリシーの作成手順については、「設定ポリシーの作成と関連付け」を参照してください。

新しい組織アカウントを自動的に有効にする (ローカル設定)

ローカル設定を使用してデフォルトの標準の自動有効化を有効にすると、Security Hub は新しい組織アカウントをメンバーとして追加し、現在のリージョンでそれらのアカウントで Security Hub を有効にします。他のリージョンは影響を受けません。また、自動有効化をオンにしても、既にメンバーアカウントとして追加されていない限り、既存の組織アカウントで Security Hub が有効になることはありません。

自動有効化を有効にすると、現在のリージョンの新規メンバーアカウントが組織に参加するときに、デフォルトのセキュリティ標準が有効になります。デフォルトの標準は次のとおりです。 AWS Foundational Security Best Practices (FSBP) と Center for Internet Security (CIS) AWS Foundations Benchmark v1.2.0。デフォルトの標準を変更することはできません。組織全体で他の標準を有効にする場合、または一部のアカウントと の標準を有効にする場合はOUs、中央設定を使用することをお勧めします。

デフォルトの標準 (およびその他の有効な標準) のコントロール結果を生成するには、組織内のアカウントが を持っている必要があります。 AWS Config 有効になっており、必要なリソースを記録するように設定されています。の詳細については、「」を参照してください。 AWS Config 録音、「有効化と設定」を参照してください。 AWS Config.

お好みの方法を選択し、手順に従って、新しい組織アカウントの Security Hub を自動的に有効にします。これらの手順は、ローカル設定を使用する場合にのみ適用されます。

Security Hub console
新しい組織アカウントを Security Hub メンバーとして自動的に有効にするには

  1. を開く AWS Security Hub の コンソールhttps://console.aws.amazon.com/securityhub/

    委任された管理者アカウントの認証情報を使用してサインインします。

  2. Security Hub のナビゲーションペインの [設定] で、[設定] を選択します。

  3. [アカウント] セクションで、[アカウントの自動有効化] をオンにします。

Security Hub API

新しい組織アカウントを Security Hub メンバーとして自動的に有効にするには

委任管理者アカウントUpdateOrganizationConfigurationAPIから を呼び出します。AutoEnable フィールドを true に設定すると、新しい組織アカウントで Security Hub が自動的に有効になります。

AWS CLI

新しい組織アカウントを Security Hub メンバーとして自動的に有効にするには

委任された管理者アカウントで、update-organization-configuration コマンドを実行します。新しい組織アカウントで Security Hub を自動的に有効にするには、auto-enable パラメータを追加します。

aws securityhub update-organization-configuration --auto-enable