翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# を使用した複数のアカウントの Security Hub CSPM の管理 AWS Organizations
<a name="securityhub-accounts-orgs"></a>

 AWS Security Hub CSPM を と統合し AWS Organizations、組織内のアカウントの Security Hub CSPM を管理できます。

Security Hub CSPM を と統合するには AWS Organizations、 で組織を作成します AWS Organizations。組織における Security Hub CSPM の委任管理者は、Organizations の管理アカウントによって指定されます。その後、委任管理者は組織内の他のアカウントに対して Security Hub CSPM を有効にし、それらのアカウントを Security Hub CSPM のメンバーアカウントとして追加して、メンバーアカウントに対して許可されたアクションを実行できるようにします。Security Hub CSPM の委任管理者は、最大 10,000 のメンバーアカウントに対して Security Hub CSPM を有効にし、管理できます。

委任された管理者が設定できる範囲は、[中央設定](central-configuration-intro.md)を使用するかどうかによって異なります。中央設定を有効にすると、各メンバーアカウントや AWS リージョンで個別に Security Hub CSPM を設定する必要がなくなります。委任管理者は、特定のメンバーアカウントや複数のリージョンの組織単位 (OU) に特定の Security Hub CSPM 設定を適用できます。

Security Hub CSPM の委任管理者アカウントは、メンバーアカウントに対して次のアクションを実行できます。
+ 中央設定を使用する場合は、Security Hub CSPM の設定ポリシーを作成し、メンバーアカウントと OU に対して Security Hub CSPM を一元的に設定する。設定ポリシーを使用して、Security Hub CSPM、標準、コントロールを有効または無効にできます。
+ 組織に追加された*新しい*アカウントを Security Hub CSPM メンバーアカウントとして自動的に処理する。中央設定を使用する場合、OU に関連付けられた設定ポリシーには、その OU に含まれる既存のアカウントと新しいアカウントが含まれます。
+ *既存*の組織アカウントを Security Hub CSPM メンバーアカウントとして処理する。中央設定を使用すると、この処理は自動的に行われます。
+ 組織に属するメンバーアカウントの関連付けを解除します。中央設定を使用している場合は、メンバーアカウントをセルフマネージド型として指定してからでないと、そのアカウントの関連付けを解除できません。または、Security Hub CSPM を無効にする設定ポリシーを、特定の一元管理型メンバーアカウントに関連付けることもできます。

中央設定にオプトインしない場合、組織はローカル設定と呼ばれるデフォルトの設定タイプを使用します。ローカル設定では、委任管理者は、メンバーアカウントで設定を強制する機能が制限されます。詳細については、「[Security Hub CSPM でのローカル設定について](local-configuration.md)」を参照してください。

委任された管理者がメンバーアカウントに対して実行できるアクションの完全なリストについては、「[Security Hub CSPM で管理者アカウントとメンバーアカウントが許可するアクション](securityhub-accounts-allowed-actions.md)」を参照してください。

このセクションのトピックでは、Security Hub CSPM を と統合する方法 AWS Organizations と、組織内のアカウントの Security Hub CSPM を管理する方法について説明します。該当する場合は、各セクションで、中央設定を使用するユーザーにとっての管理上の利点と相違点について説明します。

**Topics**
+ [Security Hub CSPM と の統合 AWS Organizations](designate-orgs-admin-account.md)
+ [新しい組織アカウントで Security Hub CSPM を自動的に有効にする](accounts-orgs-auto-enable.md)
+ [新しい組織アカウントで Security Hub CSPM を手動で有効にする](orgs-accounts-enable.md)
+ [組織から Security Hub CSPM メンバーアカウントの関連付けを解除する](accounts-orgs-disassociate.md)

# Security Hub CSPM と の統合 AWS Organizations
<a name="designate-orgs-admin-account"></a>

 AWS Security Hub CSPM と を統合するには AWS Organizations、Organizations で組織を作成し、組織管理アカウントを使用して委任 Security Hub CSPM 管理者アカウントを指定します。これにより、Security Hub CSPM は Organizations の信頼されたサービスとして有効になります。また、委任管理者アカウントの現在の AWS リージョン に対して Security Hub CSPM が有効になり、委任管理者がメンバーアカウントの Security Hub CSPM を有効にしたり、メンバーアカウントのデータを表示したり、メンバーアカウントで[許可されているその他のアクション](securityhub-accounts-allowed-actions.md)を実行したりできるようになります。

[中央設定](central-configuration-intro.md)を使用する場合、委任管理者は組織のアカウントで Security Hub CSPM サービス、標準、およびコントロールを設定する方法を指定する Security Hub CSPM 設定ポリシーを作成することもできます。

## 組織の作成
<a name="create-organization"></a>

組織は、単一のユニットとして管理 AWS アカウント できるように を統合するために作成するエンティティです。

組織を作成するには、 AWS Organizations コンソールを使用するか、 AWS CLI または SDK APIs のいずれかのコマンドを使用します。詳細の手順については、「*AWS Organizations ユーザーガイド*」の「[組織の作成](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_create.html)」を参照してください。

を使用して AWS Organizations 、組織内のすべてのアカウントを一元的に表示および管理できます。組織には、1 つの管理アカウントと、ゼロ以上のメンバーアカウントを含みます。アカウントを階層ツリーのような構造に編成し、ルートを最上部に置いて組織単位 (OU) をその下にネストすることができます。各アカウントは、ルートの下に直接置くか、階層内の OU のいずれかに配置できます。OU は特定のアカウントのコンテナです。例えば、財務運用に関連するアカウントをすべて含めた財務 OU を作成できます。

## Security Hub CSPM の委任管理者を選ぶ際の推奨事項
<a name="designate-admin-recommendations"></a>

手動の招待プロセスから管理者アカウントがあり、アカウント管理に移行する場合は AWS Organizations、そのアカウントを委任 Security Hub CSPM 管理者として指定することをお勧めします。

Security Hub CSPM API とコンソールでは、組織管理アカウントを Security Hub CSPM の委任管理者にすることができますが、2 つの異なるアカウントを選択することをお勧めします。これは、請求管理のために組織の管理アカウントにアクセスできるユーザーと、セキュリティ管理のために Security Hub CSPM にアクセスする必要があるユーザーが異なる可能性があるためです。

複数のリージョンで、同一の委任管理者を使用することが推奨されます。中央設定にオプトインすると、Security Hub CSPM によってホームリージョンとリンクされたリージョンで同一の委任管理者が自動的に指定されます。

## 委任管理者を設定するために必要なアクセス許可の検証
<a name="designate-admin-permissions"></a>

Security Hub CSPM の委任管理者アカウントの指定と削除を実行するには、Security Hub CSPM で `EnableOrganizationAdminAccount` および `DisableOrganizationAdminAccount` アクションのアクセス許可が組織の管理アカウントに付与されている必要があります。Organizations の管理アカウントには、Organizations の管理権限も必要です。

必要な許可をすべて付与するには、組織の管理アカウントの IAM プリンシパルに次の Security Hub CSPM マネージドポリシーをアタッチします。
+ [https://docs.aws.amazon.com/securityhub/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-awssecurityhubfullaccess](https://docs.aws.amazon.com/securityhub/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-awssecurityhubfullaccess)
+ [https://docs.aws.amazon.com/securityhub/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-awssecurityhuborganizationsaccess](https://docs.aws.amazon.com/securityhub/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-awssecurityhuborganizationsaccess)

## 委任管理者を指定する
<a name="designate-admin-instructions"></a>

Security Hub CSPM の委任管理者アカウントの指定は、Security Hub コンソール、Security Hub API、または AWS CLIを使用して実行できます。Security Hub CSPM は、委任された管理者を現在の AWS リージョン のみに設定し、他のリージョンでアクションを繰り返す必要があります。中央設定の使用を開始すると、Security Hub CSPM によってホームリージョンとリンクされたリージョンで同一の委任管理者が自動的に設定されます。

組織の管理アカウントは、Security Hub CSPM の委任管理者アカウントを指定するために Security Hub CSPM を有効にする必要はありません。

組織の管理アカウントを Security Hub CSPM の委任管理者アカウントとして指定しないことをお勧めします。ただし、Security Hub CSPM の委任管理者アカウントとして組織の管理アカウントを選択する場合は、管理アカウントの Security Hub CSPM を有効にする必要があります。管理アカウントの Security Hub CSPM が有効になっていない場合は、Security Hub CSPM を手動で有効にする必要があります。組織の管理アカウントの Security Hub CSPM を自動的に有効にすることはできません。

次のいずれかの方法で Security Hub CSPM の委任管理者を指定する必要があります。Organizations API で Security Hub CSPM の委任管理者を指定しても、Security Hub CSPM には反映されません。

お好みの方法を選択し、手順に従って Security Hub CSPM の委任管理者アカウントを指定します。

------
#### [ Security Hub CSPM console ]

**委任 Security Hub 管理者をオンボーディング中に削除するには**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。

1. **[Security Hub CSPM に移動]** を選択します。組織の管理アカウントにサインインするよう求めるメッセージが表示されます。

1. **[委任された管理者アカウント]** セクションの **[委任された管理者を指定]** ページで、委任された管理者アカウントを指定します。委任された管理者には、他の AWS セキュリティおよびコンプライアンスサービスと同一の設定を選択することをお勧めします。

1. **[委任された管理者を設定]** を選択します。中央設定でオンボーディングを続行するには、委任された管理者アカウントにサインインするよう求められます (まだサインインしていない場合)。中央設定を開始しない場合は、**[キャンセル]** を選択します。委任された管理者は設定されますが、中央設定はまだ使用しません。

****[設定]** ページから 委任管理者の委任を解除するには**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。

1. Security Hub CSPM ナビゲーションペインで、**[Settings]** (設定) を選択します。次に **[Generate]** (生成) を選択します。

1. Security Hub CSPM 管理者アカウントが現在割り当てられている場合は、新しいアカウントを指定する前に、現在のアカウントを削除する必要があります。

   現在のアカウントを削除するには、**[Delegated Administrator]** (代理管理者) で、**[Remove]** (削除) を選択します。

1. **Security Hub CSPM** 管理者アカウントとして指定するアカウントのアカウント ID を入力します。

   すべてのリージョンで同じ Security Hub CSPM 管理者アカウントを指定する必要があります。他のリージョンで指定したアカウントとは異なるアカウントを指定すると、コンソールはエラーを返します。

1. **[委任]** を選択します。

------
#### [ Security Hub CSPM API, AWS CLI ]

組織管理アカウントから、Security Hub CSPM API の [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_EnableOrganizationAdminAccount.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_EnableOrganizationAdminAccount.html) オペレーションを使用します。 AWS CLIを使用している場合は、[https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-organization-admin-account.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-organization-admin-account.html) コマンドを実行します。Security Hub CSPM の委任管理者アカウントの AWS アカウント ID を指定します。

次の例では、Security Hub CSPM の委任管理者を指定します。この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\$1) の行継続文字を使用しています。

```
$ aws securityhub enable-organization-admin-account --admin-account-id 123456789012
```

------

# 委任管理者の削除または変更
<a name="remove-admin-overview"></a>

Security Hub CSPM の委任管理者アカウントは、組織の管理アカウントでのみ削除することができます。

Security Hub CSPM の委任管理者アカウントを変更するには、まず現在の委任管理者アカウントを削除してから、新しいアカウントを指定する必要があります。

**警告**  
[中央設定](central-configuration-intro.md)を使用する場合、Security Hub CSPM コンソールまたは Security Hub CSPM API を使用して委任管理者アカウントを変更または削除することはできません。組織管理アカウントが AWS Organizations コンソールまたは AWS Organizations APIs を使用して委任 Security Hub CSPM 管理者を変更または削除する場合、Security Hub CSPM は自動的に中央設定を停止し、設定ポリシーとポリシーの関連付けを削除します。メンバーアカウントには、委任された管理者が変更または削除される前の設定が保持されます。

Security Hub CSPM コンソールを使用して、あるリージョンの委任管理者を削除すると、その管理者はすべてのリージョンから自動的に削除されます。

Security Hub CSPM API は、API コールまたはコマンドが発行されたリージョンでのみ Security Hub CSPM の委任管理者アカウントを削除します。他のリージョンでもこの操作を繰り返す必要があります。

Organizations API を使用して Security Hub CSPM の委任管理者アカウントを削除すると、すべてのリージョンで自動的に削除されます。

## 委任管理者の削除 (Organizations API、 AWS CLI)
<a name="remove-admin-orgs"></a>

Organizations を使用して、すべてのリージョンの Security Hub CSPM の委任管理者を削除できます。

中央設定を使用してアカウントを管理している場合、委任された管理者アカウントを削除すると、設定ポリシーとポリシーの関連付けも削除されます。メンバーアカウントには、委任された管理者が変更または削除される前の設定が保持されます。ただし、削除済みの委任管理者からは、これらのアカウントを管理できなくなります。これらはリージョンごとに個別に設定する必要があるセルフマネージド型アカウントになります。

任意の方法を選択し、手順に従って委任 Security Hub CSPM 管理者アカウントを削除します AWS Organizations。

------
#### [ Organizations API, AWS CLI ]

**Security Hub CSPM の委任管理者を削除するには**

組織管理アカウントから、Organizations API の [https://docs.aws.amazon.com/organizations/latest/APIReference/API_DeregisterDelegatedAdministrator.html](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DeregisterDelegatedAdministrator.html) オペレーションを使用します。 AWS CLIを使用している場合は、[deregister-delegated-administrator](https://docs.aws.amazon.com/cli/latest/reference/organizations/deregister-delegated-administrator.html) コマンドを実行します。委任管理者のアカウント ID と、Security Hub CSPM のサービスプリンシパル (`securityhub.amazonaws.com`) を指定します。

次の例では、Security Hub CSPM の委任管理者を削除します。この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\$1) の行継続文字を使用しています。

```
$ aws organizations deregister-delegated-administrator --account-id 123456789012 --service-principal securityhub.amazonaws.com
```

------

## Security Hub CSPM の委任管理者の削除 (Security Hub コンソール)
<a name="remove-admin-console"></a>

Security Hub CSPM コンソールを使用して、すべてのリージョンで Security Hub CSPM の委任管理者を削除できます。

Security Hub CSPM の委任管理者アカウントが削除されると、削除される Security Hub CSPM の委任管理者アカウントとメンバーアカウントの関連付けが解除されます。

ただし、Security Hub CSPM はメンバーアカウントで引き続き有効になっています。新しい Security Hub CSPM 管理者がメンバーアカウントとして有効にするまで、これらのアカウントはスタンドアロンアカウントになります。

組織の管理アカウントが Security Hub CSPM で有効なアカウントでない場合は、**[Security Hub CSPM へようこそ]** ページのオプションを使用します。

****[Security Hub CSPM へようこそ]** ページから Security Hub CSPM の委任管理者アカウントを削除するには**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。

1. **[Go to Security Hub]** (Security Hub に移動) を選択します。

1. **[代理管理者]** で、**[削除]** を選択します。

組織管理アカウントが **Security Hub** で有効なアカウントである場合、**[Settings]** (設定) ページの **[General]** (全般) タブのオプションを使用します。

****[設定]** ページから Security Hub CSPM の委任管理者を削除するには**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。

1. Security Hub CSPM ナビゲーションペインで、**[Settings]** (設定) を選択します。次に **[Generate]** (生成) を選択します。

1. **[Delegated Administrator]** (代理管理者) で、**[Remove]** (削除) を選択します。

## 委任管理者の削除 (Security Hub CSPM API、 AWS CLI)
<a name="remove-admin-api"></a>

の Security Hub CSPM API または Security Hub CSPM オペレーションを使用して AWS CLI 、委任 Security Hub CSPM 管理者を削除できます。上記のいずれかの方法で委任された管理者を削除する場合、API コールまたはコマンドが発行されたリージョンでのみ削除されます。Security Hub CSPM は他のリージョンを更新せず、委任管理者アカウントも削除しません AWS Organizations。

お好みの方法を選択し、手順に従って Security Hub CSPM で Security Hub CSPM の委任管理者アカウントを指定します。

------
#### [ Security Hub CSPM API, AWS CLI ]

**Security Hub CSPM の委任管理者を削除するには**

組織管理アカウントから、Security Hub CSPM API の [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisableOrganizationAdminAccount.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisableOrganizationAdminAccount.html) オペレーションを使用します。を使用している場合は AWS CLI、 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/disable-organization-admin-account.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/disable-organization-admin-account.html) コマンドを実行します。Security Hub CSPM の委任管理者のアカウントの ID を指定します。

次の例では、Security Hub CSPM の委任管理者を削除します。この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\$1) の行継続文字を使用しています。

```
$ aws securityhub disable-organization-admin-account --admin-account-id 123456789012
```

------

# と Security Hub CSPM の統合を無効にする AWS Organizations
<a name="disable-orgs-integration"></a>

 AWS Organizations 組織が AWS Security Hub CSPM と統合されると、Organizations 管理アカウントはその後統合を無効にすることができます。Organizations 管理アカウントのユーザーは、 AWS Organizationsの Security Hub CSPM に対する信頼されたアクセスを無効にすることができます。

Security Hub CSPM の信頼されたアクセスを無効化すると、以下が起こります。
+ Security Hub CSPM は、信頼されたサービスとしてのステータスを失います AWS Organizations。
+ Security Hub CSPM の委任管理者アカウントは、すべての AWS リージョンですべての Security Hub CSPM メンバーアカウントの Security Hub CSPM の設定、データ、およびリソースにアクセスできなくなります。
+ [中央設定](central-configuration-intro.md)を使用していた場合、Security Hub CSPM は組織での中央設定の使用を自動的に停止します。設定ポリシーとポリシーの関連付けは削除されます。アカウントでは、信頼されたアクセスを無効にする前の設定が保持されます。
+ Security Hub CSPM のすべてのメンバーアカウントがスタンドアロンアカウントになり、現在の設定が保持されます。Security Hub CSPM が 1 つ以上のリージョン内のメンバーアカウントに対して有効化されている場合、Security Hub CSPM はそのリージョン内のアカウントに対して有効化された状態が継続します。有効になっている標準とコントロールも変わりません。これらの設定は、アカウントやリージョンごとに個別に変更できます。ただし、そのアカウントはどのリージョンの委任管理者とも関連付けられなくなります。

信頼されたサービスアクセスを無効にする結果の詳細については、「 *AWS Organizations ユーザーガイド*」の[「他の AWS Organizations で AWS のサービス](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html)を使用する」を参照してください。

信頼されたアクセスを無効にするには、 AWS Organizations コンソール、Organizations API、または を使用できます AWS CLI。Security Hub CSPM の信頼されたサービスへのアクセスを無効にできるのは、Organizations 管理アカウントのユーザーのみです。必要なアクセス許可に関する詳細は、AWS Organizations ユーザーガイドの[信頼できるアクセスを無効にするために必要なアクセス許可](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html#orgs_trusted_access_disable_perms)を参照してください。

信頼されたアクセスを無効にする前に、必要に応じて組織の委任管理者に連絡して、メンバーアカウントの Security Hub CSPM を無効にし、それらのアカウントの Security Hub CSPM リソースをクリーンアップしてください。

お好みの方法を選択し、手順に従って、Security Hub CSPM の信頼されたアクセスを無効にします。

------
#### [ Organizations console ]

**Security Hub CSPM の信頼されたアクセスを無効にするには**

1.  AWS Organizations 管理アカウントの認証情報 AWS マネジメントコンソール を使用して にサインインします。

1. Organizations コンソール ([https://console.aws.amazon.com/organizations/](https://console.aws.amazon.com/organizations/)) を開きます。

1. ナビゲーションペインで [**Services (サービス)**] を選択します。

1. **[統合サービス]** で、**[AWS Security Hub CSPM]** を選択します。

1. **Disable trusted access** (信頼されたアクセスを無効にする) を選択します。

1. 信頼されたアクセスを無効化することを確認します。

------
#### [ Organizations API ]

**Security Hub CSPM の信頼されたアクセスを無効にするには**

 AWS Organizations API の [DisableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html) オペレーションを呼び出します。`ServicePrincipal` パラメータで、Security Hub CSPM サービスプリンシパル (`securityhub.amazonaws.com`) を指定します。

------
#### [ AWS CLI ]

**Security Hub CSPM の信頼されたアクセスを無効にするには**

 AWS Organizations API の [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html) コマンドを実行します。`service-principal` パラメータで、Security Hub CSPM サービスプリンシパル (`securityhub.amazonaws.com`) を指定します。

**例**:

```
aws organizations disable-aws-service-access --service-principal securityhub.amazonaws.com
```

------

# 新しい組織アカウントで Security Hub CSPM を自動的に有効にする
<a name="accounts-orgs-auto-enable"></a>

新しいアカウントが組織に参加すると、 AWS Security Hub CSPM コンソールの**アカウント**ページのリストに追加されます。組織アカウントの場合、**[Type]** (タイプ) は **[By organization]** (組織別) になります。デフォルトでは、組織を追加しても新しいアカウントが Security Hub CSPM メンバーになることはありません。ステータスは、**[Not a member]** (メンバーではない) です。委任管理者アカウントは、新しいアカウントを自動的にメンバーとして加え、新しいアカウントを組織に追加したときに、これらのアカウントでSecurity Hub CSPM が有効にすることができます。

**注記**  
多くの AWS リージョン はデフォルトで に対してアクティブですが AWS アカウント、特定のリージョンを手動でアクティブ化する必要があります。これらのリージョンは、このドキュメントではオプトインリージョンと呼ばれます。オプトインリージョンの新しいアカウントで Security Hub CSPM を自動的に有効にするには、アカウントでそのリージョンを最初にアクティブ化する必要があります。アカウント所有者のみがオプトインリージョンをアクティブ化できます。オプトインリージョンの詳細については、[AWS リージョン 「アカウントで使用できる を指定する](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html)」を参照してください。

このプロセスは、中央設定 (推奨) を使用するかローカル設定を使用するかによって異なります。

## 新しい組織アカウントを自動的に有効にする (中央設定)
<a name="central-configuration-auto-enable"></a>

[中央設定](central-configuration-intro.md)を使用する場合、Security Hub CSPM が有効になっている設定ポリシーを作成することで、新規および既存の組織アカウントで Security Hub CSPM を自動的に有効にできます。そして、ポリシーを組織ルートや特定の組織単位 (OU) に関連付けることができます。

Security Hub CSPM が有効になっている設定ポリシーを特定の OU に関連付けると、その OU に属するすべてのアカウント (既存および新規) で Security Hub CSPM が自動的に有効になります。OU に属さない新しいアカウントはセルフマネージド型で、Security Hub CSPM が自動的に有効になることはありません。Security Hub CSPM が有効になっている設定ポリシーをルートに関連付けると、組織に追加するすべてのアカウント (既存および新規) で Security Hub CSPM が自動的に有効になります。例外は、アカウントがアプリケーションまたは継承によって異なるポリシーを使用している場合や、セルフマネージド型である場合です。

設定ポリシーでは、OU で有効にするセキュリティ標準とコントロールを定義することもできます。有効な標準のコントロール結果を生成するには、OU のアカウントで必要なリソースを記録するように AWS Config を有効にして設定する必要があります。 AWS Config 記録の詳細については、[「有効化と設定 AWS Config](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-prereq-config.html)」を参照してください。

設定ポリシーの作成手順については、「[設定ポリシーの作成と関連付け](create-associate-policy.md)」を参照してください。

## 新しい組織アカウントを自動的に有効にする (ローカル設定)
<a name="limited-configuration-auto-enable"></a>

ローカル設定を使用してデフォルト標準の自動有効化をオンにすると、Security Hub CSPM で*新しい*組織アカウントがメンバーとして追加され、現在のリージョンでそのアカウントの Security Hub CSPM が有効になります。他のリージョンは影響を受けません。また、自動有効化をオンにしても、既にメンバーアカウントとして追加されていない限り、*既存*の組織アカウントで Security Hub CSPM が有効になることはありません。

自動有効化をオンにしてから現在のリージョンで新しいメンバーアカウントが組織に追加されると、そのアカウントのデフォルトのセキュリティ標準は有効になります。デフォルトの標準は、 AWS Foundational Security Best Practices (FSBP) と Center for Internet Security (CIS) AWS Foundations Benchmark v1.2.0 です。デフォルトの標準を変更することはできません。組織全体で他の標準を有効にする場合や、特定のアカウントや OU の標準を有効にする場合は、中央設定を使用することをお勧めします。

デフォルトの標準 (および他の有効な標準) のコントロール結果を生成するには、組織内のアカウントが、必要なリソースを記録するように AWS Config 有効化および設定されている必要があります。 AWS Config 記録の詳細については、[「有効化と設定 AWS Config](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-prereq-config.html)」を参照してください。

お好みの方法を選択し、手順に従って、新しい組織アカウントの Security Hub CSPM を自動的に有効にします。これらの手順は、ローカル設定を使用する場合にのみ適用されます。

------
#### [ Security Hub CSPM console ]

**新しい組織アカウントを Security Hub CSPM メンバーとして自動的に有効にするには**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。

   委任された管理者アカウントの認証情報を使用してサインインします。

1. Security Hub CSPM のナビゲーションペインの **[設定]** で、**[設定]** を選択します。

1. **[アカウント]** セクションで、**[アカウントの自動有効化]** をオンにします。

------
#### [ Security Hub CSPM API ]

**新しい組織アカウントを Security Hub CSPM メンバーとして自動的に有効にするには**

委任管理者のアカウントで、[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html) API を呼び出します。`AutoEnable` フィールドを `true` に設定すると、新しい組織アカウントで Security Hub CSPM が自動的に有効になります。

------
#### [ AWS CLI ]

**新しい組織アカウントを Security Hub CSPM メンバーとして自動的に有効にするには**

委任管理者アカウントで、[https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html) コマンドを実行します。新しい組織アカウントで Security Hub CSPM を自動的に有効にするには、`auto-enable` パラメータを追加します。

```
aws securityhub update-organization-configuration --auto-enable
```

------

# 新しい組織アカウントで Security Hub CSPM を手動で有効にする
<a name="orgs-accounts-enable"></a>

新しい組織アカウントを組織に追加したときにそのアカウントで Security Hub CSPM を自動的に有効にしない場合は、そのアカウントをメンバーとして追加し、組織に参加した後に手動で Security Hub CSPM を有効にすることができます。また、以前に組織との関連付けを解除 AWS アカウント した で Security Hub CSPM を手動で有効にする必要があります。

**注記**  
[中央設定](central-configuration-intro.md)を使用している場合、このセクションの内容は適用されません。中央設定を使用する場合は、指定したメンバーアカウントや組織単位 (OU) で Security Hub CSPM を有効にする設定ポリシーを作成できます。また、それらのアカウントや OU で特定の標準やコントロールを有効にすることもできます。

アカウントが既に別の組織内のメンバーアカウントである場合、アカウントの Security Hub CSPM を有効にすることはできません。

また、現在一時停止されているアカウントの Security Hub CSPM を有効にすることもできません。一時停止中のアカウントでサービスを有効にしようとすると、アカウントのステータスが **[アカウント停止]** に変更されます。
+ アカウントで Security Hub CSPM が有効になっていない場合、そのアカウントに対して Security Hub CSPM が有効になります。 AWS Foundational Security Best Practices (FSBP) 標準と CIS AWS Foundations Benchmark v1.2.0 も、デフォルトのセキュリティ標準をオフにしない限り、アカウントで有効になります。

  Organizations 管理アカウントは例外です。Organizations 管理アカウントに対して Security Hub CSPM を自動的に有効にすることはできません。Organizations 管理アカウントで Security Hub CSPM をメンバーアカウントとして追加する前に、Security Hub CSPM を手動で有効にする必要があります。
+ アカウントで Security Hub CSPM が既に有効になっている場合、Security Hub CSPM はアカウントに対して変更を加えません。メンバーシップのみが有効になります。

Security Hub CSPM がコントロールの検出結果を生成するには、メンバーアカウントが、必要なリソースを記録するように AWS Config 有効化および設定されている必要があります。詳細については、[「 AWS Configの有効化と設定」](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-prereq-config.html)を参照してください。

お好みの方法を選択し、手順に従って、Security Hub CSPM メンバーアカウントとして組織アカウントを有効にします。

------
#### [ Security Hub CSPM console ]

**Security Hub CSPM メンバーとして組織アカウントを手動で有効にするには**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。

   委任管理者アカウントの認証情報を使用してサインインします。

1. Security Hub CSPM のナビゲーションペインの **[設定]** で、**[設定]** を選択します。

1. **[アカウント]** リストで、有効にする各組織アカウントを選択します。

1. **[アクション]**、**[メンバーを追加]** の順に選択します。

------
#### [ Security Hub CSPM API ]

**Security Hub CSPM メンバーとして組織アカウントを手動で有効にするには**

委任された管理者のアカウントで、[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateMembers.html) API を呼び出します。有効にするアカウントごとに、アカウント ID を指定します。

手動による招待プロセスとは異なり、`CreateMembers` を呼び出して組織アカウントを有効にする場合、招待を送信する必要はありません。

------
#### [ AWS CLI ]

**Security Hub CSPM メンバーとして組織アカウントを手動で有効にするには**

委任された管理者アカウントで、[https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-members.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-members.html) コマンドを実行します。有効にするアカウントごとに、アカウント ID を指定します。

手動による招待プロセスとは異なり、`create-members` を実行して組織アカウントを有効にする場合、招待を送信する必要はありません。

```
aws securityhub create-members --account-details '[{"AccountId": "<accountId>"}]'
```

**例**

```
aws securityhub create-members --account-details '[{"AccountId": "123456789111"}, {"AccountId": "123456789222"}]'
```

------

# 組織から Security Hub CSPM メンバーアカウントの関連付けを解除する
<a name="accounts-orgs-disassociate"></a>

 AWS Security Hub CSPM メンバーアカウントからの検出結果の受信と表示を停止するには、組織からメンバーアカウントの関連付けを解除します。

**注記**  
[中央設定](central-configuration-intro.md)を使用する場合、関連付け解除の仕組みが異なります。1 つ以上の一元管理型メンバーアカウントで、Security Hub CSPM を無効にする設定ポリシーを作成できます。それ以降もこれらのアカウントは引き続き組織に含まれますが、Security Hub CSPM の検出結果は生成されません。中央設定を使用しているが、手動で招待したメンバーアカウントも含まれている場合は、手動で招待した 1 つ以上のアカウントの関連付けを解除できます。

を使用して管理されているメンバーアカウント AWS Organizations は、管理者アカウントからアカウントの関連付けを解除できません。メンバーアカウントの関連付けを解除できるのは管理者アカウントのみです。

メンバーアカウントの関連付けを解除しても、アカウントは削除されません。その代わり、組織からメンバーアカウントが削除されます。関連付けが解除され AWS アカウント たメンバーアカウントはスタンドアロンになり、Security Hub CSPM との統合によって管理されなくなります AWS Organizations。

お好みの方法を選択し、手順に従って、組織とのメンバーアカウントの関連付けを解除します。

------
#### [ Security Hub CSPM console ]

**組織とのメンバーアカウントの関連付けを解除するには**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。

   委任管理者アカウントの認証情報を使用してサインインします。

1. ナビゲーションペインの **[設定]** で **[設定]** を選択します。

1. **[アカウント]** セクションで、関連付けを解除するアカウントを選択します。中央設定を使用している場合は、手動で招待したアカウントを [`Invitation accounts`] タブから選択して関連付けを解除できます。このタブは、中央設定を使用する場合にのみ表示されます。

1. **[アクション]** を選択してから、**[アカウントの関連付けを解除する]** を選択します。

------
#### [ Security Hub CSPM API ]

**組織とのメンバーアカウントの関連付けを解除するには**

委任された管理者のアカウントで、[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisassociateMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisassociateMembers.html) API を呼び出します。関連付けを解除するには、メンバーアカウントの AWS アカウント IDs を指定する必要があります。メンバーアカウントのリストを表示するには、[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListMembers.html) API を呼び出します。

------
#### [ AWS CLI ]

**組織とのメンバーアカウントの関連付けを解除するには**

委任された管理者アカウントで、[ >`disassociate-members`](https://docs.aws.amazon.com/cli/latest/reference/securityhub/disassociate-members.html) コマンドを実行します。関連付けを解除するには、メンバーアカウントの AWS アカウント IDs を指定する必要があります。メンバーアカウントのリストを表示するには、[> `list-members`](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-members.html) コマンドを実行します。

```
aws securityhub disassociate-members --account-ids "<accountIds>"
```

**例**

```
aws securityhub disassociate-members --account-ids "123456789111" "123456789222"
```

------

 AWS Organizations コンソール AWS CLI、または AWS SDKs を使用して、組織からメンバーアカウントの関連付けを解除することもできます。詳細については、「*AWS Organizations ユーザーガイド*」の「[組織からのメンバーアカウントの削除](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_remove.html)」を参照してください。