Security Hub でのクロスリージョン集約について - AWS Security Hub
集計されるデータのタイプ管理者アカウントとメンバーアカウントの集計

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Security Hub でのクロスリージョン集約について

注記

集約リージョンホームリージョンと呼ばれるようになりました。一部の Security Hub API オペレーションでは、引き続き古い用語である集約リージョンを使用します。

AWS Security Hub でクロスリージョン集約を使用すると、複数のリージョンの検出結果、検出結果の更新、インサイト、コントロールコンプライアンスのステータス、セキュリティスコアを複数の AWS リージョン から単一のホームリージョンに集約できます。その後は、これらすべてのデータをホームリージョンで管理できます。

例えば、米国東部 (バージニア北部) をホームリージョンとして設定し、米国西部 (オレゴン) と米国西部 (北カリフォルニア) をリンクされたリージョンとして設定するとします。米国東部 (バージニア北部) の [Findings] (結果) ページを見ると、上記 3 つのリージョンすべての結果が表示されます。これらの結果に対する更新は、3 つのリージョンすべてに反映されています。

注記

AWS GovCloud (US) では、クロスリージョン集約は、AWS GovCloud (US) の結果、結果の更新、インサイトにのみ使用できます。具体的には、AWS GovCloud (米国東部) と AWS GovCloud (米国西部) の間の結果、結果の更新、およびインサイトのみを集約できます。中国リージョンでは、クロスリージョン集約は、中国リージョンの結果、結果の更新、インサイトにのみ使用できます。具体的には、中国 (北京) と中国 (寧夏) の間の結果、結果の更新、インサイトのみを集約できます。

コントロールが、リンクされたリージョンでは有効になっていても、ホームリージョンでは無効になっている場合、そのコントロールのコンプライアンスステータスはホームリージョンで確認できます。ただし、ホームリージョンからそのコントロールを有効または無効にすることはできません。ただし、中央設定を使用している場合は例外です。中央設定を使用する場合、委任された Security Hub 管理者は、ホームリージョンとリンクされたリージョンのコントロールをホームリージョンから設定できます。

ホームリージョンを設定した場合、セキュリティスコアはすべてのリンクされたリージョンのコントロールステータスを考慮します。
 。リージョンを横断してセキュリティスコアとコンプライアンスステータスを表示するには、Security Hub を使用する IAM ロールに次のアクセス権限を追加します。

集計されるデータのタイプ

クロスリージョン集約が 1 つ以上のリンクされたリージョンで有効になっている場合、Security Hub はリンクされたリージョンからホームリージョンに次のデータをレプリケートします。これは、クロスリージョン集約が有効になっているすべてのアカウントで発生します。

  • 結果

  • インサイト

  • コントロールコンプライアンスステータス

  • セキュリティスコア

以前のリストの新しいデータだけでなく、Security Hub はリンクされたリージョンとホームリージョン間で、データの更新のレプリケートも行います。リンクされたリージョンで発生した更新は、ホームリージョンにレプリケートされます。ホームリージョンで発生した更新は、元のリンクされたリージョンにレプリケートされます。ホームリージョンとリンクされたリージョンに相反する更新がある場合は、最も新しい更新が使用されます。

クロスリージョン集約が有効になっている場合、Security Hub はリンクされたリージョンとホームリージョン間で新しい検出結果と更新された検出結果をレプリケートします。

クロスリージョン集約によって、Security Hub のコストが増えることはありません。Security Hub が新しいデータや更新を複製しても、請求は発生しません。

ホームリージョンでは、[概要] ページに、リンクされたリージョン全体のアクティブな結果が表示されます。詳細については、「Viewing a cross-Region summary of findings by severity」を参照してください。結果を分析するその他の [Summary] (概要) ページのパネルには、リンクされたリージョン全体からの情報も表示されます。

ホームリージョンのセキュリティスコアは、リンクされているすべてのリージョンで有効になっているコントロールと、合格の状態にあるコントロールの数を比較して計算されます。また、コントロールが 1 つ以上のリンクされたリージョンで有効になっている場合、そのコントロールは、ホームリージョンの [セキュリティ標準] の詳細ページに表示されます。標準の詳細ページの、コントロールのコンプライアンスステータスには、リンクされたリージョンの結果が反映されています。1 つまたは複数のリンクされたリージョンでコントロールに関連付けられたセキュリティチェックが失敗した場合、そのコントロールのコンプライアンスステータスは、ホームリージョンの標準の詳細ページに [失敗] と表示されます。セキュリティチェックの数値には、リンクされているすべてのリージョンの結果が含まれます。

Security Hub は、アカウントで Security Hub が有効になっているリージョンからのみ、データを集約します。Security Hub は、クロスリージョン集約の設定に基づいて自動的にアカウントで有効にされることはありません。

リンクされたリージョンを選択せずに、クロスリージョン集約を有効にできます。この場合、データレプリケーションは発生しません。

管理者アカウントとメンバーアカウントの集計

クロスリージョン集約は、スタンドアロンのアカウント、メンバーカウントおよび管理者アカウントによって設定できます。管理者が設定した場合、管理アカウントでクロスリージョン集約を使用するには、管理者アカウントの存在が不可欠です。管理者アカウントが削除されたりメンバーアカウントとの関連付けが解除されたりすると、そのメンバーアカウントに対するクロスリージョン集約は停止されます。これは、管理者とメンバーの関係が始まる前にクロスリージョン集約を有効にしていた場合でも、同様です。

管理者アカウントがクロスリージョン集約を有効にすると、Security Hub は、管理者アカウントがすべてのリンクされたリージョンで生成するデータをホームリージョンにレプリケートします。さらに、Security Hub はその管理者に関連付けられているメンバーアカウントを識別し、各メンバーアカウントは管理者のクロスリージョン集約設定を継承します。Security Hub は、メンバーアカウントがすべてのリンクされたリージョンで生成するデータをホームリージョンにレプリケートします。

管理者は、管理対象リージョン内のすべてのメンバーアカウントからセキュリティ検出結果にアクセスして管理できます。ただし、Security Hub 管理者として、すべてのメンバーアカウントとリンクされたリージョンからの集計データを表示するには、ホームリージョンにサインインする必要があります。

Security Hub メンバーアカウントとして、リンクされたすべてのリージョンのアカウントから集約されたデータを表示するには、ホームリージョンにサインインする必要があります。メンバーアカウントには、他のメンバーアカウントのデータを表示するアクセス許可がありません。

管理者アカウントは、メンバーアカウントを手動で招待したり、AWS Organizations と統合されている組織の委任管理者として機能したりすることができます。手動で招待されたメンバーアカウントの場合、クロスリージョン集約を機能させるには、管理者がホームリージョンとリンクされたすべてのリージョンのアカウントを招待する必要があります。さらに、管理者がメンバーアカウントの検出結果を閲覧できるようにするには、メンバーアカウントでホームリージョンとリンクされたすべてのリージョンの Security Hub が有効になっている必要があります。他の目的でホームリージョンを使用しない場合は、料金が発生しないよう、そのリージョンの Security Hub の標準と統合を無効にできます。

クロスリージョン集約を使用する予定で、複数の管理者アカウントがある場合、次のベストプラクティスを推奨します。

  • 各管理者アカウントに、異なるメンバーアカウントが含まれている。

  • 各管理者アカウントが、リージョン間で同じメンバーアカウントを有している。

  • 各管理者アカウントに、別のホームリージョンを使用する。

注記

クロスリージョン集約が中央設定にどのように影響するかについては、「中央設定がクロスリージョン集約に与える影響」を参照してください。