設定ポリシーの作成と関連付け - AWS Security Hub

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

設定ポリシーの作成と関連付け

委任された AWS Security Hub 管理者アカウントは、Security Hub、標準、コントロールを指定されたアカウントと組織単位 () で設定する方法を指定する設定ポリシーを作成できますOUs。設定ポリシーは、委任された管理者が少なくとも 1 つのアカウントまたは組織単位 (OUs)、またはルートに関連付けた後にのみ有効になります。委任された管理者は、セルフマネージド設定をアカウント、、OUsまたはルートに関連付けることもできます。

初めて設定ポリシーを作成する場合は、最初に「Security Hub での設定ポリシーの仕組み」を確認することをお勧めします。

任意のアクセス方法を選択し、手順に従って設定ポリシーまたはセルフマネージド設定を作成して関連付けます。Security Hub コンソールを使用する場合、設定を複数のアカウントまたはOUs同時に関連付けることができます。Security Hub APIまたは を使用する場合 AWS CLI、各リクエストで設定を関連付けることができるアカウントまたは OU は 1 つだけです。

注記

中央設定を使用する場合、Security Hub はホームリージョンを除くすべてのリージョンのグローバルリソースを含むコントロールを自動的に無効にします。設定ポリシーが利用可能なすべてのリージョンで有効になっているが、有効にするその他のコントロール。これらのコントロールの検出結果を 1 つのリージョンのみに制限するには、 AWS Config レコーダー設定を更新し、ホームリージョンを除くすべてのリージョンでグローバルリソース記録をオフにできます。中央設定を使用する場合、ホームリージョンまたはリンクされたリージョンで利用できないコントロールのカバレッジがありません。グローバルリソースを含むコントロールのリストについては、「」を参照してくださいグローバルリソースを使用するコントロール

Security Hub console
設定ポリシーを作成して関連付けるには

  1. で AWS Security Hub コンソールを開きますhttps://console.aws.amazon.com/securityhub/

    ホームリージョンの委任 Security Hub 管理者アカウントの認証情報を使用してサインインします。

  2. ナビゲーションペインで、[設定] および [ポリシー] タブを選択します。次に、[ポリシーの作成] を選択します。

  3. 設定ポリシーを初めて作成する場合は、[組織を設定] ページの [設定タイプ] に 3 つのオプションが表示されます。既に 1 つ以上の設定ポリシーを作成している場合は、[カスタムポリシー] オプションのみが表示されます。

    • 「組織全体で AWS 推奨される Security Hub 設定を使用して、推奨されるポリシーを使用する」を選択します。推奨ポリシーは、すべての組織アカウントで Security Hub を有効にし、 AWS 基礎セキュリティのベストプラクティス (FSBP) 標準を有効にし、すべての新規および既存のFSBPコントロールを有効にします。コントロールはデフォルトのパラメータ値を使用します。

    • 設定ポリシーを後で作成するには、[まだ設定する準備ができていません] を選択します。

    • [カスタムポリシー] を選択して、カスタム設定ポリシーを作成します。Security Hub を有効にするか無効にするか、どの標準を有効にするか、それらの標準でどのコントロールを有効にするかを指定します。オプションで、カスタムパラメータをサポートする 1 つ以上の有効になっているコントロールにカスタムパラメータ値を指定します。

  4. Accounts セクションで、設定ポリシーを適用するターゲットアカウント、OUs、またはルートを選択します。

    • 設定ポリシーをルートに適用する場合は、[すべてのアカウント] を選択します。これには、別のポリシーが適用されていない、または継承されていない組織OUs内のすべてのアカウントと が含まれます。

    • 特定のアカウントまたは に設定ポリシーを適用する場合は、特定のアカウントを選択しますOUs。アカウント を入力するかIDs、組織構造OUsからアカウント と を選択します。ポリシーは、作成時に最大 15 個のターゲット (アカウント、OUs、ルート) に適用できます。より大きな数を指定するには、作成後にポリシーを編集し、追加のターゲットに適用します。

    • [委任された管理者のみ] を選択すると、現在の委任管理者アカウントに設定ポリシーが適用されます。

  5. [Next (次へ)] を選択します。

  6. [確認と適用] ページで、設定ポリシーの詳細を確認します。次に、[ポリシーを作成して適用] を選択します。ホームリージョンとリンクされたリージョンでは、このアクションは、この設定ポリシーに関連付けられているアカウントの既存の設定よりも優先されます。アカウントは、アプリケーションを通じて設定ポリシーに関連付けることも、親ノードから継承して設定ポリシーに関連付けることもできます。適用されたターゲットOUsの子アカウントと は、特に除外、自己管理、または別の設定ポリシーを使用しない限り、この設定ポリシーを自動的に継承します。

Security Hub API
設定ポリシーを作成して関連付けるには

  1. を呼び出す CreateConfigurationPolicy API ホームリージョンの Security Hub 委任管理者アカウントから。

  2. Name には、設定ポリシーの一意の名前を入力します。オプションで、Description に設定ポリシーの説明を入力します。

  3. ServiceEnabled フィールドで、Security Hub をこの設定ポリシーで有効にするか無効にするかを指定します。

  4. EnabledStandardIdentifiers フィールドで、この設定ポリシーで有効にする Security Hub 標準を指定します。

  5. SecurityControlsConfiguration オブジェクトで、この設定ポリシーで有効または無効にするコントロールを指定します。EnabledSecurityControlIdentifiers を選択すると、指定したコントロールが有効になります。有効になっている標準に含まれるその他のコントロール (新しくリリースされたコントロールを含む) は無効になります。DisabledSecurityControlIdentifiers を選択すると、指定したコントロールが無効になります。有効になっている標準に含まれるその他のコントロール (新しくリリースされたコントロールを含む) が有効になります。

  6. オプションで、SecurityControlCustomParameters フィールドに、パラメータをカスタマイズする有効なコントロールを指定します。ValueType フィールドに CUSTOM を指定し、Value フィールドにカスタムパラメータ値を指定します。値のデータ型が正しく、Security Hub で指定された有効な範囲内である必要があります。カスタムパラメータ値をサポートするコントロールのみ選択します。詳細については、「Security Hub のコントロールパラメータについて」を参照してください。

  7. 設定ポリシーをアカウントまたは に適用するにはOUs、 を呼び出します。 StartConfigurationPolicyAssociation API ホームリージョンの Security Hub 委任管理者アカウントから。

  8. ConfigurationPolicyIdentifier フィールドに、ポリシーの Amazon リソースネーム (ARN) またはユニバーサルに一意の識別子 (UUID) を指定します。ARN と UUIDは CreateConfigurationPolicy によって返されますAPI。セルフマネージド設定の場合、 ConfigurationPolicyIdentifierフィールドは に等しくなりますSELF_MANAGED_SECURITY_HUB

  9. Target フィールドには、この設定ポリシーを適用する OU、アカウント、またはルート ID を指定します。各APIリクエストで指定できるターゲットは 1 つだけです。選択したターゲットOUsの子アカウントと子アカウントは、セルフマネージド型であるか、別の設定ポリシーを使用している場合を除き、この設定ポリシーを自動的に継承します。

設定ポリシーを作成するAPIリクエストの例:

{
    "Name": "SampleConfigurationPolicy",
    "Description": "Configuration policy for production accounts",
    "ConfigurationPolicy": {
        "SecurityHub": {
             "ServiceEnabled": true,
             "EnabledStandardIdentifiers": [
                    "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0",
                    "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"
                ],
            "SecurityControlsConfiguration": {
                "DisabledSecurityControlIdentifiers": [
                    "CloudTrail.2"
                ],
                "SecurityControlCustomParameters": [
                    {
                        "SecurityControlId": "ACM.1",
                        "Parameters": {
                            "daysToExpiration": {
                                "ValueType": "CUSTOM",
                                "Value": {
                                    "Integer": 15
                                }
                            }
                        }
                    }
                ]
            }
        }
    }
}

設定ポリシーを関連付けるAPIリクエストの例:

{
    "ConfigurationPolicyIdentifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "Target": {"OrganizationalUnitId": "ou-examplerootid111-exampleouid111"}
}
AWS CLI
設定ポリシーを作成して関連付けるには

  1. を実行create-configuration-policy ホームリージョンの Security Hub 委任管理者アカウントからの コマンド。

  2. name には、設定ポリシーの一意の名前を入力します。オプションで、description に設定ポリシーの説明を入力します。

  3. ServiceEnabled フィールドで、Security Hub をこの設定ポリシーで有効にするか無効にするかを指定します。

  4. EnabledStandardIdentifiers フィールドで、この設定ポリシーで有効にする Security Hub 標準を指定します。

  5. SecurityControlsConfiguration フィールドで、この設定ポリシーで有効または無効にするコントロールを指定します。EnabledSecurityControlIdentifiers を選択すると、指定したコントロールが有効になります。有効になっている標準に含まれるその他のコントロール (新しくリリースされたコントロールを含む) は無効になります。DisabledSecurityControlIdentifiers を選択すると、指定したコントロールが無効になります。有効になっている標準に適用されるその他のコントロール (新しくリリースされたコントロールを含む) が有効になります。

  6. オプションで、SecurityControlCustomParameters フィールドに、パラメータをカスタマイズする有効なコントロールを指定します。ValueType フィールドに CUSTOM を指定し、Value フィールドにカスタムパラメータ値を指定します。値のデータ型が正しく、Security Hub で指定された有効な範囲内である必要があります。カスタムパラメータ値をサポートするコントロールのみ選択します。詳細については、「Security Hub のコントロールパラメータについて」を参照してください。

  7. 設定ポリシーをアカウントまたは に適用するにはOUs、 を実行します。 start-configuration-policy-association ホームリージョンの Security Hub 委任管理者アカウントからの コマンド。

  8. configuration-policy-identifier フィールドに、設定ポリシーの Amazon リソースネーム (ARN) または ID を指定します。この ARNと ID は create-configuration-policy コマンドによって返されます。

  9. target フィールドには、この設定ポリシーを適用する OU、アカウント、またはルート ID を指定します。コマンドを実行するたびに指定できるターゲットは 1 つのみです。選択したターゲットの子は、セルフマネージド型であるか、別の設定ポリシーを使用している場合を除き、この設定ポリシーを自動的に継承します。

設定ポリシーを作成するコマンドの例:

aws securityhub --region us-east-1 create-configuration-policy \
--name "SampleConfigurationPolicy" \
--description "Configuration policy for production accounts" \
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}}]}}}'

設定ポリシーを関連付けるコマンドの例:

aws securityhub --region us-east-1 start-configuration-policy-association \
--configuration-policy-identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--target '{"OrganizationalUnitId": "ou-examplerootid111-exampleouid111"}'

は、 というフィールドStartConfigurationPolicyAssociationAPIを返しますAssociationStatus。このフィールドは、ポリシーの関連付けが保留中か、成功または失敗の状態かを示します。ステータスが PENDING から SUCCESS または FAILURE に変わるまで、最大 24 時間かかることがあります。関連付けのステータスの詳細については、「設定ポリシーの関連付けステータスの確認」を参照してください。