翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Security Hub と の統合 AWS Organizations

AWS Security Hub と を統合するには AWS Organizations、Organizations で組織を作成し、組織管理アカウントを使用して委任 Security Hub 管理者アカウントを指定します。これにより、Security Hub は Organizations の信頼されたサービスとして有効になります。また、委任管理者アカウントの現在の AWS リージョン に対して Security Hub が有効になり、委任管理者がメンバーアカウントの Security Hub を有効にしたり、メンバーアカウントのデータを表示したり、メンバーアカウントで許可されているその他のアクションを実行したりできるようになります。

中央設定を使用する場合、委任された管理者は組織のアカウントで Security Hub サービス、標準、およびコントロールを設定する方法を指定する Security Hub 設定ポリシーを作成することもできます。

組織の作成

組織は、 を統合するために作成するエンティティであり AWS アカウント 、単一のユニットとして管理できます。

組織を作成するには、 AWS Organizations コンソールを使用するか、 AWS CLI または SDK APIs のいずれかのコマンドを使用します。詳細の手順については、「AWS Organizations ユーザーガイド」の「組織の作成」を参照してください。

を使用して AWS Organizations 、組織内のすべてのアカウントを一元的に表示および管理できます。組織には、1 つの管理アカウントと、ゼロ以上のメンバーアカウントを含みます。アカウントを階層ツリーのような構造に編成し、ルートを最上部に置いて組織単位 (OU) をその下にネストすることができます。各アカウントは、ルートの下に直接置くか、階層内の OU のいずれかに配置できます。OU は特定のアカウントのコンテナです。例えば、財務運用に関連するアカウントをすべて含めた財務 OU を作成できます。

委任 Security Hub 管理者を選ぶ際の推奨事項

手動の招待プロセスから管理者アカウントがあり、アカウント管理に移行する場合は AWS Organizations、そのアカウントを委任 Security Hub 管理者として指定することをお勧めします。

Security Hub API とコンソールでは、組織管理アカウントを委任 Security Hub 管理者にすることができますが、2 つの異なるアカウントを選択することをお勧めします。これは、請求管理のために組織の管理アカウントにアクセスできるユーザーと、セキュリティ管理のために Security Hub にアクセスする必要があるユーザーが異なる可能性があるためです。

複数のリージョンで、同一の委任管理者を使用することが推奨されます。中央設定にオプトインすると、Security Hub によってホームリージョンとリンクされたリージョンで同一の委任管理者が自動的に指定されます。

委任管理者を設定するために必要なアクセス許可の検証

委任 Security Hub 管理者アカウントの指定と削除を実行するには、Security Hub で EnableOrganizationAdminAccount および DisableOrganizationAdminAccount アクションのアクセス許可が組織の管理アカウントに付与されている必要があります。Organizations の管理アカウントには、Organizations の管理権限も必要です。

必要な許可をすべて付与するには、組織の管理アカウントの IAM プリンシパルに次の Security Hub マネージドポリシーをアタッチします。

委任管理者を指定する

委任 Security Hub 管理者アカウントの指定は、Security Hub コンソール、Security Hub API、または AWS CLIを使用して実行できます。Security Hub は委任された管理者を現在の AWS リージョン にのみ設定するため、他のリージョンでも同じアクションを繰り返す必要があります。中央設定の使用を開始すると、Security Hub によってホームリージョンとリンクされたリージョンで同一の委任管理者が自動的に設定されます。

組織の管理アカウントは、委任 Security Hub 管理者アカウントを指定するために Security Hub を有効にする必要はありません。

組織の管理アカウントを委任 Security Hub 管理者アカウントとして指定しないことをお勧めします。ただし、委任 Security Hub の管理者アカウントとして組織の管理アカウントを選択する場合は、管理アカウントの Security Hub を有効にする必要があります。管理アカウントの Security Hub が有効になっていない場合は、Security Hub を手動で有効にする必要があります。組織の管理アカウントの Security Hub を自動的に有効にすることはできません。

次のいずれかの方法で委任 Security Hub 管理者を指定する必要があります。Organizations API で 委任 Security Hub 管理者を指定しても、Security Hub には反映されません。

お好みの方法を選択し、手順に従って委任 Security Hub 管理者アカウントを指定します。

Security Hub console

委任 Security Hub 管理者をオンボーディング中に削除するには

1. https://console.aws.amazon.com/securityhub/ で AWS Security Hub コンソールを開きます。

2. [Go to Security Hub] (Security Hub に移動) を選択します。組織の管理アカウントにサインインするよう求めるメッセージが表示されます。

3. [委任された管理者アカウント] セクションの [委任された管理者を指定] ページで、委任された管理者アカウントを指定します。委任された管理者には、他の AWS セキュリティおよびコンプライアンスサービスと同一の設定を選択することをお勧めします。

4. [委任された管理者を設定] を選択します。中央設定でオンボーディングを続行するには、委任された管理者アカウントにサインインするよう求められます (まだサインインしていない場合)。中央設定を開始しない場合は、[キャンセル] を選択します。委任された管理者は設定されますが、中央設定はまだ使用しません。

[設定] ページから 委任管理者の委任を解除するには

1. https://console.aws.amazon.com/securityhub/ で AWS Security Hub コンソールを開きます。

2. Security Hub ナビゲーションペインで、[Settings] (設定) を選択します。次に [Generate] (生成) を選択します。

3. Security Hub 管理者アカウントが現在割り当てられている場合は、新しいアカウントを指定する前に、現在のアカウントを削除する必要があります。

   現在のアカウントを削除するには、[Delegated Administrator] (代理管理者) で、[Remove] (削除) を選択します。

4. Security Hub 管理者アカウントとして指定するアカウントのアカウント ID を入力します。。

   すべてのリージョンで同じ Security Hub 管理者アカウントを指定する必要があります。他のリージョンで指定したアカウントとは異なるアカウントを指定すると、コンソールはエラーを返します。

5. [委任] を選択します。

Security Hub API, AWS CLI

組織管理アカウントから、Security Hub API の EnableOrganizationAdminAccount オペレーションを使用します。 AWS CLIを使用している場合は、enable-organization-admin-account コマンドを実行します。委任 Security Hub 管理者アカウントの AWS アカウント ID を指定します。

次の例では、委任 Security Hub 管理者を指定します。この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\) の行継続文字を使用しています。

$ aws securityhub enable-organization-admin-account --admin-account-id 123456789012