翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# 設定ポリシーの作成と関連付け
<a name="create-associate-policy"></a>

委任 AWS Security Hub CSPM 管理者アカウントは、指定されたアカウントと組織単位 (OUs) で Security Hub CSPM、標準、コントロールを設定する方法を指定する設定ポリシーを作成できます。設定ポリシーは、委任管理者が少なくとも 1 つのアカウントまたは組織単位 (OU)、またはルートに関連付けた後にのみ有効になります。委任管理者は、アカウント、OU、またはルートにセルフマネージド型の設定を関連付けることもできます。

初めて設定ポリシーを作成する場合は、最初に「[Security Hub CSPM の設定ポリシーの仕組み](configuration-policies-overview.md)」を確認することをお勧めします。

お好みのアクセス方法を選択し、手順に従って設定ポリシーまたはセルフマネージド設定を作成し、関連付けます。Security Hub CSPMコンソールを使用する場合、設定を複数のアカウントまたは OU に同時に関連付けることができます。Security Hub CSPM API または を使用する場合 AWS CLI、各リクエストで設定を関連付けることができるアカウントまたは OU は 1 つだけです。

**注記**  
中央設定を使用する場合、Security Hub CSPM は、ホームリージョンを除くすべてのリージョンでグローバルリソースが含まれるコントロールを自動的に無効にします。設定ポリシーを通じて有効を選択したその他のコントロールは、利用可能なすべてのリージョンで有効になります。これらのコントロールの検出結果を 1 つのリージョンのみに制限するには、 AWS Config レコーダー設定を更新し、ホームリージョンを除くすべてのリージョンでグローバルリソース記録をオフにします。  
グローバルリソースを含む有効なコントロールがホームリージョンでサポートされていない場合、Security Hub CSPM は、コントロールがサポートされているリンクされた 1 つのリージョンでコントロールを有効にしようとします。中央設定により、ホームリージョンまたはリンクされたリージョンのいずれかで利用できないコントロールがカバーされなくなります。  
グローバルリソースを含むコントロールのリストについては、「[グローバルリソースを使用するコントロール](controls-to-disable.md#controls-to-disable-global-resources)」を参照してください。

------
#### [ Security Hub CSPM console ]

**設定ポリシーを作成して関連付けるには**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。

   ホームリージョンの委任された Security Hub CSPM 管理者アカウントの認証情報を使用してサインインします。

1. ナビゲーションペインで、**[設定]** および **[ポリシー]** タブを選択します。次に、**[ポリシーの作成]** を選択します。

1. 設定ポリシーを初めて作成する場合は、**[組織を設定]** ページの **[設定タイプ]** に 3 つのオプションが表示されます。既に 1 つ以上の設定ポリシーを作成している場合は、**[カスタムポリシー]** オプションのみが表示されます。
   + ** AWS 推奨ポリシーを使用するには、組織全体で推奨される Security Hub CSPM 設定**を使用するを選択します。推奨ポリシーは、すべての組織アカウントで Security Hub CSPM を有効にし、 AWS Foundational Security Best Practices (FSBP) 標準を有効にし、すべての新規および既存の FSBP コントロールを有効にします。コントロールはデフォルトのパラメータ値を使用します。
   + 設定ポリシーを後で作成するには、**[まだ設定する準備ができていません]** を選択します。
   + **[カスタムポリシー]** を選択して、カスタム設定ポリシーを作成します。Security Hub CSPM を有効にするか無効にするか、どの標準を有効にするか、それらの標準でどのコントロールを有効にするかを指定します。オプションで、カスタムパラメータをサポートする 1 つ以上の有効になっているコントロールに[カスタムパラメータ値](custom-control-parameters.md)を指定します。

1. **[アカウント]** セクションで、設定ポリシーを適用するターゲットアカウント、OU、またはルートを選択します。
   + 設定ポリシーをルートに適用する場合は、**[すべてのアカウント]** を選択します。これには、別のポリシーが適用されていない、または継承されていない組織内のすべてのアカウントと OU が含まれます。
   + 設定ポリシーを特定のアカウントまたは OU に適用する場合は、**[特定のアカウント]** を選択します。アカウント ID を入力するか、組織構造からアカウントと OU を選択します。ポリシーは、作成時に最大 15 個のターゲット (アカウント、OU、またはルート) に適用できます。さらに多く指定するには、作成後にポリシーを編集し、他のターゲットに適用します。
   + **[委任された管理者のみ]** を選択すると、現在の委任管理者アカウントに設定ポリシーが適用されます。

1. [**次へ**] を選択します。

1. **[確認と適用]** ページで、設定ポリシーの詳細を確認します。次に、**[ポリシーを作成して適用]** を選択します。ホームリージョンとリンクされたリージョンでは、このアクションは、この設定ポリシーに関連付けられているアカウントの既存の設定よりも優先されます。アカウントは、アプリケーションを通じて設定ポリシーに関連付けることも、親ノードから継承して設定ポリシーに関連付けることもできます。適用されたターゲットの子アカウントと OU は、特に除外されたり、セルフマネージド型であったり、別の設定ポリシーを使用したりしない限り、この設定ポリシーを自動的に継承します。

------
#### [ Security Hub CSPM API ]

**設定ポリシーを作成して関連付けるには**

1. ホームリージョンの Security Hub CSPM 委任管理者アカウントから [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateConfigurationPolicy.html) API を呼び出します。

1. `Name` には、設定ポリシーの一意の名前を入力します。オプションで、`Description` に設定ポリシーの説明を入力します。

1. `ServiceEnabled` フィールドで、Security Hub CSPM をこの設定ポリシーで有効にするか無効にするかを指定します。

1. `EnabledStandardIdentifiers` フィールドで、この設定ポリシーで有効にする Security Hub CSPM 標準を指定します。

1. `SecurityControlsConfiguration` オブジェクトで、この設定ポリシーで有効または無効にするコントロールを指定します。`EnabledSecurityControlIdentifiers` を選択すると、指定したコントロールが有効になります。有効になっている標準に含まれるその他のコントロール (新しくリリースされたコントロールを含む) は無効になります。`DisabledSecurityControlIdentifiers` を選択すると、指定したコントロールが無効になります。有効になっている標準に含まれるその他のコントロール (新しくリリースされたコントロールを含む) が有効になります。

1. オプションで、`SecurityControlCustomParameters` フィールドに、パラメータをカスタマイズする有効なコントロールを指定します。`ValueType` フィールドに `CUSTOM` を指定し、`Value` フィールドにカスタムパラメータ値を指定します。値のデータ型が正しく、Security Hub CSPM で指定された有効な範囲内である必要があります。カスタムパラメータ値をサポートするコントロールのみ選択します。詳細については、「[Security Hub CSPM のコントロールパラメータについて](custom-control-parameters.md)」を参照してください。

1. 設定ポリシーをアカウントまたは OU に適用するには、ホームリージョン内の Security Hub CSPM 委任管理者アカウントから [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html) API を呼び出します。

1. `ConfigurationPolicyIdentifier` フィールドに、ポリシーの Amazon リソースネーム (ARN) または 一意識別子 (UUID) を入力します。ARN と UUID は `CreateConfigurationPolicy` API によって返されます。セルフマネージド設定の場合、 `ConfigurationPolicyIdentifier` フィールドは `SELF_MANAGED_SECURITY_HUB` に等しくなります。

1. `Target` フィールドには、この設定ポリシーを適用する OU、アカウント、またはルート ID を指定します。各 API リクエストに指定できるターゲットは 1 つのみです。選択したターゲットの子アカウントと OU は、セルフマネージド型であるか、別の設定ポリシーを使用している場合を除き、自動的にこの設定ポリシーを継承します。

**設定ポリシーを作成する API リクエストの例:**

```
{
    "Name": "SampleConfigurationPolicy",
    "Description": "Configuration policy for production accounts",
    "ConfigurationPolicy": {
        "SecurityHub": {
             "ServiceEnabled": true,
             "EnabledStandardIdentifiers": [
                    "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0",
                    "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"
                ],
            "SecurityControlsConfiguration": {
                "DisabledSecurityControlIdentifiers": [
                    "CloudTrail.2"
                ],
                "SecurityControlCustomParameters": [
                    {
                        "SecurityControlId": "ACM.1",
                        "Parameters": {
                            "daysToExpiration": {
                                "ValueType": "CUSTOM",
                                "Value": {
                                    "Integer": 15
                                }
                            }
                        }
                    }
                ]
            }
        }
    }
}
```

**設定ポリシーを関連付ける API リクエストの例:**

```
{
    "ConfigurationPolicyIdentifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "Target": {"OrganizationalUnitId": "ou-examplerootid111-exampleouid111"}
}
```

------
#### [ AWS CLI ]

**設定ポリシーを作成して関連付けるには**

1. ホームリージョンの Security Hub CSPM 委任管理者アカウントで、[https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-configuration-policy.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-configuration-policy.html) コマンドを実行します。

1. `name` には、設定ポリシーの一意の名前を入力します。オプションで、`description` に設定ポリシーの説明を入力します。

1. `ServiceEnabled` フィールドで、Security Hub CSPM をこの設定ポリシーで有効にするか無効にするかを指定します。

1. `EnabledStandardIdentifiers` フィールドで、この設定ポリシーで有効にする Security Hub CSPM 標準を指定します。

1. `SecurityControlsConfiguration` フィールドで、この設定ポリシーで有効または無効にするコントロールを指定します。`EnabledSecurityControlIdentifiers` を選択すると、指定したコントロールが有効になります。有効になっている標準に含まれるその他のコントロール (新しくリリースされたコントロールを含む) は無効になります。`DisabledSecurityControlIdentifiers` を選択すると、指定したコントロールが無効になります。有効になっている標準に適用されるその他のコントロール (新しくリリースされたコントロールを含む) が有効になります。

1. オプションで、`SecurityControlCustomParameters` フィールドに、パラメータをカスタマイズする有効なコントロールを指定します。`ValueType` フィールドに `CUSTOM` を指定し、`Value` フィールドにカスタムパラメータ値を指定します。値のデータ型が正しく、Security Hub CSPM で指定された有効な範囲内である必要があります。カスタムパラメータ値をサポートするコントロールのみ選択します。詳細については、「[Security Hub CSPM のコントロールパラメータについて](custom-control-parameters.md)」を参照してください。

1. 設定ポリシーをアカウントまたは OU に適用するには、ホームリージョンの Security Hub CSPM 委任管理者アカウントで [https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html) コマンドを実行します。

1. `configuration-policy-identifier` フィールドに、設定ポリシーの Amazon リソースネーム (ARN) または ID を入力します。この ARN と ID は、`create-configuration-policy` コマンドによって返されます。

1. `target` フィールドには、この設定ポリシーを適用する OU、アカウント、またはルート ID を指定します。コマンドを実行するたびに指定できるターゲットは 1 つのみです。選択したターゲットの子は、セルフマネージド型であるか、別の設定ポリシーを使用している場合を除き、この設定ポリシーを自動的に継承します。

**設定ポリシーを作成するコマンドの例:**

```
aws securityhub --region us-east-1 create-configuration-policy \
--name "SampleConfigurationPolicy" \
--description "Configuration policy for production accounts" \
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}}]}}}'
```

**設定ポリシーを関連付けるコマンドの例:**

```
aws securityhub --region us-east-1 start-configuration-policy-association \
--configuration-policy-identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--target '{"OrganizationalUnitId": "ou-examplerootid111-exampleouid111"}'
```

------

`StartConfigurationPolicyAssociation` API は、`AssociationStatus` というフィールドを返します。このフィールドは、ポリシーの関連付けが保留中か、成功または失敗の状態かを示します。ステータスが `PENDING` から `SUCCESS` または `FAILURE` に変わるまで、最大 24 時間かかることがあります。関連付けのステータスの詳細については、「[設定ポリシーの関連付けステータスの確認](view-policy.md#configuration-association-status)」を参照してください。