デフォルトのコントロールパラメータ値に戻す - AWS Security Hub
複数のアカウントおよびリージョンでデフォルトのパラメータに戻す1 つのアカウントおよびリージョンでデフォルトのコントロールパラメータ値に戻す

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

デフォルトのコントロールパラメータ値に戻す

コントロールパラメータは、 が AWS Security Hub 定義するデフォルト値を持つことができます。Security Hub では、進化するセキュリティベストプラクティスを反映させるため、パラメータのデフォルト値を更新する場合があります。コントロールパラメータにカスタム値を指定していない場合、コントロールは、これらの更新を自動的に追跡し、新しいデフォルト値を使用します。

コントロールのデフォルトパラメータ値を使用するように戻すことができます。リバージョンの手順については、Security Hub で中央設定を使用するかどうかによって異なります。中央設定は、委任 Security Hub 管理者が AWS リージョン、、アカウント、組織単位 () にわたって Security Hub 機能を設定するために使用できる機能ですOUs。

注記

すべてのコントロールパラメータにデフォルトの Security Hub 値があるわけではありません。このような場合は、ValueTypeDEFAULT に設定しても、Security Hub が使用する特定のデフォルト値は存在しません。より正確に言えば、Security Hub は、カスタム値がないときはパラメータを無視します。

複数のアカウントおよびリージョンでデフォルトのパラメータに戻す

中央設定を使用する場合、ホームリージョンとリンクされたリージョンOUsで、複数の一元管理されたアカウントと の制御パラメータを元に戻すことができます。

希望する方法を選択し、手順に従って、中央設定を使用して複数のアカウントおよびリージョンでデフォルトのパラメータ値に戻します。

Security Hub console
複数のアカウントおよびリージョンでデフォルトのコントロールパラメータ値に戻すには (コンソール)

  1. で AWS Security Hub コンソールを開きますhttps://console.aws.amazon.com/securityhub/

    ホームリージョンの委任 Security Hub 管理者アカウントの認証情報を使用してサインインします。

  2. ナビゲーションペインで、[設定][設定] の順に選択します。

  3. [Policies] タブを選択します。

  4. ポリシーを選択し、[編集] を選択します。

  5. [カスタムポリシー][コントロール] セクションに、カスタムパラメータを指定したコントロールのリストが表示されます。

  6. 元に戻すパラメータ値が 1 つ以上あるコントロールを見つけます。そして、[削除] を選択してデフォルト値に戻します。

  7. アカウント セクションで、ポリシーOUsを適用するアカウントまたは を確認します。

  8. [Next (次へ)] を選択します。

  9. 変更内容を見直し、それらが正しいことを確認します。完了したら、[ポリシーを保存して適用] を選択します。ホームリージョンとリンクされたすべてのリージョンでは、この設定ポリシーに関連付けられているアカウント および の既存の設定OUsが、このアクションによって上書きされます。アカウント と は、直接適用または親からの継承を通じて設定ポリシーに関連付けるOUsことができます。

Security Hub API
複数のアカウントとリージョンでデフォルトのコントロールパラメータ値に戻すには (API)

  1. を呼び出す UpdateConfigurationPolicy API ホームリージョンの委任管理者アカウントから。

  2. Identifier フィールドに、更新するポリシーの Amazon リソースネーム (ARN) または ID を指定します。

  3. SecurityControlCustomParameters オブジェクトには、1 つ以上のパラメータを元に戻す各コントロールの識別子を指定します。

  4. Parameters オブジェクトでは、元に戻すパラメータごとに、ValueType フィールドに DEFAULT を指定します。ValueTypeDEFAULT に設定すると、Value フィールドに値を指定する必要がなくなります。リクエストに値が含まれている場合、Security Hub はその値を無視します。コントロールがサポートするパラメータをリクエストで省略した場合、そのパラメータは現在の値を保持します。

警告

SecurityControlCustomParameters フィールドでコントロールオブジェクトを省略すると、Security Hub は、そのコントロールのすべてのカスタムパラメータをデフォルト値に戻します。SecurityControlCustomParameters のリストが完全に空の場合は、すべてのコントロールのカスタムパラメータがデフォルト値に戻ります。

たとえば、次の AWS CLI コマンドは、 の daysToExpiration コントロールパラメータACM.1を、指定された設定ポリシーのデフォルト値に戻します。この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\) の行継続文字を使用しています。

$ aws securityhub create-configuration-policy \
--region us-east-1 \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--name "TestConfigurationPolicy" \
--description "Updated configuration policy" \
--updated-reason "Revert ACM.1 parameter to default value"
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "DEFAULT"}}}]}}}'

1 つのアカウントおよびリージョンでデフォルトのコントロールパラメータ値に戻す

中央設定を使用していない場合、またはセルフマネージドアカウントがある場合は、一度に 1 つのリージョンでアカウントのデフォルトパラメータ値を使用するように戻すことができます。

希望する方法を選択し、手順に従って 1 つのリージョンでアカウントのデフォルトのパラメータ値に戻します。別のリージョンでデフォルトのパラメータ値に戻すには、それぞれのリージョンでこれらの手順を繰り返します。

注記

Security Hub を無効にすると、カスタムコントロールパラメータがリセットされます。その後、Security Hub を再度有効にすると、すべてのコントロールがデフォルトのパラメータ値を使用して起動します。

Security Hub console
1 つのアカウントおよびリージョンでデフォルトのコントロールパラメータ値に戻すには (コンソール)

  1. で AWS Security Hub コンソールを開きますhttps://console.aws.amazon.com/securityhub/

  2. ナビゲーションペインで [コントロール] を選択します。デフォルトのパラメータ値に戻すコントロールを選択します。

  3. Parameters タブで、コントロールパラメータの横にある [カスタマイズ済み] を選択します。そして、[カスタマイズを削除] を選択します。これで、このパラメータはデフォルトの Security Hub 値を使用し、デフォルト値の今後の更新を追跡するようになります。

  4. 元に戻すパラメータ値ごとに、上記のステップを繰り返します。

Security Hub API
1 つのアカウントとリージョンでデフォルトのコントロールパラメータ値に戻すには (API)

  1. を呼び出す UpdateSecurityControl API.

  2. にはSecurityControlId、パラメータを元に戻すコントロールの ARNまたは ID を指定します。

  3. Parameters オブジェクトでは、元に戻すパラメータごとに、ValueType フィールドに DEFAULT を指定します。ValueTypeDEFAULT に設定すると、Value フィールドに値を指定する必要がなくなります。リクエストに値が含まれている場合、Security Hub はその値を無視します。

  4. 必要に応じて、LastUpdateReason に、デフォルトのパラメータ値に戻す理由を入力します。

例えば、次の AWS CLI コマンドは、 の daysToExpiration コントロールパラメータACM.1をデフォルト値に戻します。この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\) の行継続文字を使用しています。

$ aws securityhub update-security-control \
--region us-east-1 \
--security-control-id ACM.1 \
--parameters '{"daysToExpiration": {"ValueType": "DEFAULT"}}' \
--last-update-reason "New internal requirement"