Security Hub でのセキュリティ標準を無効にする - AWS Security Hub
複数のアカウントとリージョンで標準を無効にする1 つのアカウントおよびリージョンで標準を無効にする

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Security Hub でのセキュリティ標準を無効にする

Security Hub でセキュリティ標準を無効にすると、次のようになります。

  • その標準に適用されるすべてのコントロールも、他の標準と関連付けられていない限り無効になります。

  • 無効化されたコントロールのチェックは実行されなくなります。また、無効化されたコントロールの追加の検出結果は生成されません。

  • 無効化されたコントロールの既存の検出結果は、約 3~5 日後に自動的にアーカイブされます。

  • 無効なコントロール用に Security Hub が作成した AWS Config ルールは削除されます。

    これは通常、標準を無効にしてから数分以内に発生しますが、時間がかかる場合があります。 AWS Config ルールを削除する最初のリクエストが失敗した場合、Security Hub は 12 時間ごとに再試行します。ただし、Security Hub を無効にした場合、または他の標準を有効にしていない場合、Security Hub はこのリクエストを再試行できません。つまり、 AWS Config ルールは削除できません。これが発生し、 AWS Config ルールを削除する必要がある場合は、 にお問い合わせください AWS Support。

複数のアカウントとリージョンで標準を無効にする

複数のアカウントおよびリージョンでセキュリティ標準を無効にするには、中央設定を使用する必要があります。

中央設定を使用する場合、委任管理者は 1 つ以上の標準を無効にする設定ポリシーを作成できます。設定ポリシーを特定のアカウントやOUsルートに関連付けることができます。設定ポリシーは、ホームリージョン (集約リージョンとも呼ばれる) およびリンクされているすべてのリージョンで有効になります。

設定ポリシーではカスタマイズが可能です。例えば、1 つの OU で Payment Card Industry Data Security Standard (PCI DSS) を無効にし、別の OU で PCI DSS と National Institute of Standards and Technology (NIST) SP 800-53 Rev. 5 の両方を無効にすることができます。指定された標準を無効にする設定ポリシーの作成手順については、「設定ポリシーの作成と関連付け」を参照してください。

注記

委任された管理者は、サービス管理標準以外の標準を無効にする設定ポリシーを作成できます AWS Control Tower。この標準は、 AWS Control Tower サービスでのみ無効にできます。中央設定を使用する場合、この標準のコントロールは、 AWS Control Towerで一元管理されたアカウントに対してのみ有効または無効にできます。

委任管理者ではなく一部のアカウントに独自の標準を設定させたい場合は、委任管理者がそれらのアカウントをセルフマネージドとして指定できます。セルフマネージドアカウントは、リージョンごとに標準を個別に設定する必要があります。

1 つのアカウントおよびリージョンで標準を無効にする

中央設定を使用していない場合、またはセルフマネージドアカウントの場合、設定ポリシーを使用して複数のアカウントおよびリージョンで標準を一元的に無効にすることはできません。ただし、次の手順を使用して、1 つのアカウントおよびリージョンで標準を無効にすることができます。

Security Hub console
1 つのアカウントおよびリージョンで標準を無効にするには

  1. で AWS Security Hub コンソールを開きますhttps://console.aws.amazon.com/securityhub/

  2. 標準を無効にするリージョンで Security Hub を使用していることを確認します。

  3. Security Hub ナビゲーションペインで、[Security standards] (セキュリティ標準) を選択します。

  4. 無効にする標準に対して、[Disable] (無効化) を選択します。

  5. 標準を無効にするリージョンごとに、これらの手順を繰り返します。

Security Hub API
1 つのアカウントおよびリージョンで標準を無効にするには

  1. を呼び出す BatchDisableStandards API.

  2. 無効にする標準ごとに、標準サブスクリプション を指定しますARN。ARNs 有効な標準のサブスクリプションを取得するには、 を呼び出します。 GetEnabledStandards API.

  3. 標準を無効にするリージョンごとに、これらの手順を繰り返します。

AWS CLI
1 つのアカウントおよびリージョンで標準を無効にするには

  1. を実行batch-disable-standards コマンド。

  2. 無効にする標準ごとに、標準サブスクリプション を指定しますARN。ARNs 有効な標準のサブスクリプションを取得するには、 を実行します。 get-enabled-standards コマンド。

    aws securityhub batch-disable-standards --standards-subscription-arns "standard subscription ARN"

    aws securityhub batch-disable-standards --standards-subscription-arns "arn:aws:securityhub:us-west-1:123456789012:subscription/aws-foundational-security-best-practices/v/1.0.0"

  3. 標準を無効にするリージョンごとに、これらの手順を繰り返します。