Security Hub 設定ポリシーの作成と関連付け - AWS Security Hub

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Security Hub 設定ポリシーの作成と関連付け

委任された管理者アカウントは、 AWS Security Hub 設定ポリシーを作成し、組織アカウント、組織単位 (OUs)、またはルートに関連付けることができます。セルフマネージド設定をアカウント、OUs、またはルートに関連付けることもできます。

初めて設定ポリシーを作成する場合は、最初に「Security Hub 設定ポリシーの仕組み」を確認することをお勧めします。

任意のアクセス方法を選択し、手順に従って設定ポリシーまたはセルフマネージド設定を作成して関連付けます。Security Hub コンソールを使用する場合、設定を複数のアカウントまたは OUs に同時に関連付けることができます。Security Hub API または を使用する場合 AWS CLI、各リクエストで設定を関連付けることができるアカウントまたは OU は 1 つだけです。

注記

中央設定を使用する場合、Security Hub は、ホームリージョンを除くすべてのリージョンでグローバルリソースを含むコントロールを自動的に無効にします。設定ポリシーを使用して有効にするその他のコントロールは、使用可能なすべてのリージョンで有効になります。これらのコントロールの結果を 1 つのリージョンのみに制限するには、 AWS Config レコーダー設定を更新し、ホームリージョンを除くすべてのリージョンでグローバルリソース記録をオフにします。中央設定を使用する場合、ホームリージョンおよびリンクされたリージョンで利用できないコントロールのカバレッジがありません。グローバルリソースに関連するコントロールのリストについては、「」を参照してくださいグローバルリソースを処理するコントロール

Security Hub console
設定ポリシーを作成して関連付けるには

  1. https://console.aws.amazon.com/securityhub/ で AWS Security Hub コンソールを開きます。

    ホームリージョンの Security Hub 委任管理者アカウントの認証情報を使用してサインインします。

  2. ナビゲーションペインで、[設定] および [ポリシー] タブを選択します。次に、[ポリシーの作成] を選択します。

  3. 設定ポリシーを初めて作成する場合は、[組織を設定] ページの [設定タイプ] に 3 つのオプションが表示されます。既に 1 つ以上の設定ポリシーを作成している場合は、[カスタムポリシー] オプションのみが表示されます。

    • 推奨ポリシーを使用するには、組織全体で AWS 推奨される Security Hub 設定を使用するを選択します。推奨ポリシーは、すべての組織アカウントで Security Hub を有効にし、 AWS Foundational Security Best Practices (FSBP) 標準を有効にし、すべての新規および既存の FSBP コントロールを有効にします。コントロールはデフォルトのパラメータ値を使用します。

    • 設定ポリシーを後で作成するには、[まだ設定する準備ができていません] を選択します。

    • [カスタムポリシー] を選択して、カスタム設定ポリシーを作成します。Security Hub を有効にするか無効にするか、どの標準を有効にするか、それらの標準でどのコントロールを有効にするかを指定します。オプションで、カスタムパラメータをサポートする 1 つ以上の有効になっているコントロールにカスタムパラメータ値を指定します。

  4. [アカウント] セクションで、設定ポリシーを適用するターゲットアカウント、OU、またはルートを選択します。

    • 設定ポリシーをルートに適用する場合は、[すべてのアカウント] を選択します。これには、別のポリシーが適用されていない、または継承されていない組織内のすべてのアカウントと OU が含まれます。

    • 設定ポリシーを特定のアカウントまたは OU に適用する場合は、[特定のアカウント] を選択します。アカウント ID を入力するか、組織構造からアカウントと OU を選択します。ポリシーは、作成時に最大 15 個のターゲット (アカウント、OUsに適用できます。より大きな数値を指定するには、作成後にポリシーを編集し、追加のターゲットに適用します。

    • [委任された管理者のみ] を選択すると、現在の委任管理者アカウントに設定ポリシーが適用されます。

  5. [次へ] をクリックします。

  6. [確認と適用] ページで、設定ポリシーの詳細を確認します。次に、[ポリシーを作成して適用] を選択します。ホームリージョンとリンクされたリージョンでは、このアクションは、この設定ポリシーに関連付けられているアカウントの既存の設定よりも優先されます。アカウントは、アプリケーションを通じて設定ポリシーに関連付けることも、親ノードから継承して設定ポリシーに関連付けることもできます。適用されたターゲットの子アカウントと OU は、特に除外されたり、セルフマネージド型であったり、別の設定ポリシーを使用したりしない限り、この設定ポリシーを自動的に継承します。

Security Hub API
設定ポリシーを作成して関連付けるには

  1. ホームリージョンの Security Hub 委任管理者アカウントから CreateConfigurationPolicy API を呼び出します。

  2. Name には、設定ポリシーの一意の名前を入力します。オプションで、Description に設定ポリシーの説明を入力します。

  3. ServiceEnabled フィールドで、Security Hub をこの設定ポリシーで有効にするか無効にするかを指定します。

  4. EnabledStandardIdentifiers フィールドで、この設定ポリシーで有効にする Security Hub 標準を指定します。

  5. SecurityControlsConfiguration オブジェクトで、この設定ポリシーで有効または無効にするコントロールを指定します。EnabledSecurityControlIdentifiers を選択すると、指定したコントロールが有効になります。有効になっている標準に含まれるその他のコントロール (新しくリリースされたコントロールを含む) は無効になります。DisabledSecurityControlIdentifiers を選択すると、指定したコントロールが無効になります。有効になっている標準に含まれるその他のコントロール (新しくリリースされたコントロールを含む) が有効になります。

  6. オプションで、SecurityControlCustomParameters フィールドに、パラメータをカスタマイズする有効なコントロールを指定します。ValueType フィールドに CUSTOM を指定し、Value フィールドにカスタムパラメータ値を指定します。値のデータ型が正しく、Security Hub で指定された有効な範囲内である必要があります。カスタムパラメータ値をサポートするコントロールのみ選択します。詳細については、「カスタムコントロールパラメータ」を参照してください。

  7. 設定ポリシーをアカウントまたは OU に適用するには、ホームリージョン内の Security Hub 委任管理者アカウントから StartConfigurationPolicyAssociation API を呼び出します。

  8. ConfigurationPolicyIdentifier フィールドには、ポリシーの Amazon リソースネーム (ARN) またはユニバーサル一意識別子 (UUID) を指定します。ARN と UUID は CreateConfigurationPolicy API によって返されます。セルフマネージド設定の場合、 ConfigurationPolicyIdentifierフィールドは と等しくなりますSELF_MANAGED_SECURITY_HUB

  9. Target フィールドには、この設定ポリシーを適用する OU、アカウント、またはルート ID を指定します。各 API リクエストに指定できるターゲットは 1 つのみです。選択したターゲットの子アカウントと OU は、セルフマネージド型であるか、別の設定ポリシーを使用している場合を除き、自動的にこの設定ポリシーを継承します。

設定ポリシーを作成する API リクエストの例:

{
    "Name": "SampleConfigurationPolicy",
    "Description": "Configuration policy for production accounts",
    "ConfigurationPolicy": {
        "SecurityHub": {
             "ServiceEnabled": true,
             "EnabledStandardIdentifiers": [
                    "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0",
                    "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"
                ],
            "SecurityControlsConfiguration": {
                "DisabledSecurityControlIdentifiers": [
                    "CloudTrail.2"
                ],
                "SecurityControlCustomParameters": [
                    {
                        "SecurityControlId": "ACM.1",
                        "Parameters": {
                            "daysToExpiration": {
                                "ValueType": "CUSTOM",
                                "Value": {
                                    "Integer": 15
                                }
                            }
                        }
                    }
                ]
            }
        }
    }
}

設定ポリシーを関連付ける API リクエストの例:

{
    "ConfigurationPolicyIdentifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "Target": {"OrganizationalUnitId": "ou-examplerootid111-exampleouid111"}
}
AWS CLI
設定ポリシーを作成して関連付けるには

  1. ホームリージョンの Security Hub 委任管理者アカウントで、create-configuration-policy コマンドを実行します。

  2. name には、設定ポリシーの一意の名前を入力します。オプションで、description に設定ポリシーの説明を入力します。

  3. ServiceEnabled フィールドで、Security Hub をこの設定ポリシーで有効にするか無効にするかを指定します。

  4. EnabledStandardIdentifiers フィールドで、この設定ポリシーで有効にする Security Hub 標準を指定します。

  5. SecurityControlsConfiguration フィールドで、この設定ポリシーで有効または無効にするコントロールを指定します。EnabledSecurityControlIdentifiers を選択すると、指定したコントロールが有効になります。有効になっている標準に含まれるその他のコントロール (新しくリリースされたコントロールを含む) は無効になります。DisabledSecurityControlIdentifiers を選択すると、指定したコントロールが無効になります。有効になっている標準に適用されるその他のコントロール (新しくリリースされたコントロールを含む) が有効になります。

  6. オプションで、SecurityControlCustomParameters フィールドに、パラメータをカスタマイズする有効なコントロールを指定します。ValueType フィールドに CUSTOM を指定し、Value フィールドにカスタムパラメータ値を指定します。値のデータ型が正しく、Security Hub で指定された有効な範囲内である必要があります。カスタムパラメータ値をサポートするコントロールのみ選択します。詳細については、「カスタムコントロールパラメータ」を参照してください。

  7. 設定ポリシーをアカウントまたは OU に適用するには、ホームリージョンの Security Hub 委任管理者アカウントで start-configuration-policy-association コマンドを実行します。

  8. configuration-policy-identifier フィールドに、設定ポリシーの Amazon リソースネーム (ARN) または ID を入力します。この ARN と ID は、create-configuration-policy コマンドによって返されます。

  9. target フィールドには、この設定ポリシーを適用する OU、アカウント、またはルート ID を指定します。コマンドを実行するたびに指定できるターゲットは 1 つのみです。選択したターゲットの子は、セルフマネージド型であるか、別の設定ポリシーを使用している場合を除き、この設定ポリシーを自動的に継承します。

設定ポリシーを作成するコマンドの例:

aws securityhub --region us-east-1 create-configuration-policy \
--name "SampleConfigurationPolicy" \
--description "Configuration policy for production accounts" \
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}}]}}}'

設定ポリシーを関連付けるコマンドの例:

aws securityhub --region us-east-1 start-configuration-policy-association \
--configuration-policy-identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--target '{"OrganizationalUnitId": "ou-examplerootid111-exampleouid111"}'

StartConfigurationPolicyAssociation API は、AssociationStatus というフィールドを返します。このフィールドは、ポリシーの関連付けが保留中か、成功または失敗の状態かを示します。ステータスが PENDING から SUCCESS または FAILURE に変わるまで、最大 24 時間かかることがあります。関連付けのステータスの詳細については、「設定の関連付けステータス」を参照してください。