翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Security Hub CSPM での管理者アカウントとメンバーアカウントの管理
<a name="securityhub-accounts"></a>

 AWS 環境に複数のアカウントがある場合は、 AWS Security Hub CSPM を使用するアカウントをメンバーアカウントとして扱い、単一の管理者アカウントに関連付けることができます。管理者は全体的なセキュリティ状況を監視し、メンバーアカウントに対して[許可されたアクション](securityhub-accounts-allowed-actions.md)を実行できます。管理者は、推定使用コストのモニタリングやアカウントクォータの評価など、さまざまなアカウント管理および管理タスクも大規模に実行できます。

メンバーアカウントを管理者に関連付けるには、Security Hub CSPM を と統合 AWS Organizations するか、Security Hub CSPM でメンバーシップの招待を手動で送受信します。

## を使用したアカウントの管理 AWS Organizations
<a name="securityhub-orgs-account-management-overview"></a>

AWS Organizations は、 AWS 管理者が複数の を統合して管理できるようにするグローバルアカウント管理サービスです AWS アカウント。予算、セキュリティ、コンプライアンスのニーズをサポートするように設計されたアカウント管理および一括請求 (コンソリデーティッドビリング) 機能が備わっています。追加料金なしで提供され、 AWS Security Hub CSPM AWS のサービス、Amazon Macie、Amazon GuardDuty などの複数の と統合されます。詳細については、「[https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)」を参照してください。

Security Hub CSPM と を統合すると AWS Organizations、Organizations 管理アカウントは Security Hub CSPM 委任管理者を指定します。Security Hub CSPM は、指定された の委任管理者アカウントで自動的に有効 AWS リージョン になります。

委任管理者を指定した後は、[中央設定](central-configuration-intro.md)を使用して Security Hub CSPM でアカウントを管理することをお勧めします。これは、Security Hub CSPM をカスタマイズし、組織の適切なセキュリティカバレッジを確保するための最も効率的な方法です。

中央設定により、委任管理者は Security Hub CSPM をリージョンごとに設定するのではなく、複数の組織アカウントとリージョンにわたってカスタマイズできます。組織全体の設定ポリシーを作成することも、アカウントや OU ごとに異なる設定ポリシーを作成することもできます。ポリシーでは、関連するアカウントで Security Hub CSPM を有効にするか無効にするか、およびどのセキュリティ標準とコントロールを有効にするかを指定します。

委任された管理者は、アカウントを一元管理型またはセルフマネージド型として指定できます。一元管理型アカウントは、委任された管理者のみが設定できます。セルフマネージド型アカウントは、独自の設定を指定できます。

中央設定にオプトインしない場合、委任管理者が Security Hub CSPM を設定できる権限は、*ローカル設定*と呼ばれるより限定的な権限に制限されます。ローカル設定では、委任管理者は、現在のリージョンの新しい組織アカウントで Security Hub CSPM と[デフォルトのセキュリティ標準](securityhub-auto-enabled-standards.md)を自動的に有効にできます。ただし、既存のアカウントではこれらの設定を使用しないため、アカウントを組織に追加した後に設定のずれが生じる可能性があります。

これらの新しいアカウント設定に加え、ローカル設定もアカウントおよびリージョンに固有です。各組織のアカウントで、Security Hub CSPM のサービス、標準、コントロールをリージョンごとに個別に設定する必要があります。また、ローカル設定では設定ポリシーの使用もサポートされていません。

## 招待によるアカウントの手動での管理
<a name="securityhub-manual-account-management-overview"></a>

スタンドアロンアカウントをお持ちの場合、または Organizations と統合していない場合は、Security Hub CSPM で招待によってメンバーアカウントを手動で管理する必要があります。スタンドアロンアカウントは Organizations と統合できないため、手動で管理する必要があります。今後アカウントを追加する場合は、 と統合 AWS Organizations し、中央設定を使用することをお勧めします。

手動によるアカウント管理を使用する場合は、アカウントを Security Hub CSPM 管理者として指定します。管理者アカウントは、メンバーアカウントのデータを表示したり、メンバーアカウントの検出結果に基づいて特定のアクションを実行したりできます。メンバー候補アカウントが招待を承諾すると、Security Hub CSPM 管理者は他のアカウントをメンバーアカウントに招待し、管理者とメンバーの関係が確立されます。

手動によるアカウント管理では、設定ポリシーの使用がサポートされていません。設定ポリシーがない場合、管理者はアカウントごとに変数設定を行うことになり Security Hub CSPM を一元的にカスタマイズすることができません。代わりに、各組織アカウントが各リージョンで個別に Security Hub CSPM を有効にして設定する必要があります。これにより、Security Hub CSPM を使用するすべてのアカウントとリージョンで適切なセキュリティカバレッジを確保することがより困難になり、時間もかかります。また、メンバーアカウントが管理者の入力なしに独自の設定を指定できるため、設定のずれが生じる可能性もあります。

招待によってアカウントを管理する方法については、「[Security Hub CSPM での招待によるアカウントの管理](account-management-manual.md)」を参照してください。

# Security Hub CSPM で複数のアカウントを管理する際の推奨事項
<a name="securityhub-account-restrictions-recommendations"></a>

次のセクションでは、 AWS Security Hub CSPM でメンバーアカウントを管理する際に注意すべき制限と推奨事項をまとめます。

## メンバーアカウントの最大数
<a name="admin-maximum-member-accounts"></a>

との統合を使用する場合 AWS Organizations、Security Hub CSPM は、各 の委任管理者アカウントあたり最大 10,000 のメンバーアカウントをサポートします AWS リージョン。Security Hub CSPM を手動で有効にして管理する場合、Security Hub CSPM では各リージョンの管理者アカウントにつき、最大 1,000 のメンバーアカウント招待をサポートします。

## 管理者とメンバーの関係の作成
<a name="securityhub-accounts-regions"></a>

**注記**  
Security Hub CSPM 統合を使用していて AWS Organizations、メンバーアカウントを手動で招待していない場合、このセクションは適用されません。

アカウントを、管理者アカウントとメンバーアカウントの両方のアカウントとして同時に設定することはできません。

メンバーアカウントは、一度に 1 つの管理者アカウントのみと関連付けることができます。Security Hub CSPM 管理者アカウントによって組織アカウントが有効になっている場合、そのアカウントは別のアカウントからの招待を承諾することができません。アカウントが既に招待を承諾している場合、組織の Security Hub CSPM 管理者アカウントでそのアカウントを有効にすることはできません。また、他のアカウントからの招待を受信することはできません。

手動の招待プロセスでは、メンバーシップの招待の承諾はオプションです。

### によるメンバーシップ AWS Organizations
<a name="accounts-regions-orgs"></a>

Security Hub CSPM を と統合する場合 AWS Organizations、Organizations 管理アカウントは Security Hub CSPM の委任管理者 (DA) アカウントを指定できます。Organizations 管理アカウントを組織の DA として設定することはできません。これは Security Hub CSPM では許可されていますが、Organizations 管理アカウントを DA に*しない*ことをお勧めします。

すべてのリージョンで、同一の DA を選択することが推奨されます。[中央設定](central-configuration-intro.md)を使用する場合、Security Hub CSPM は組織の Security Hub CSPM を設定したすべてのリージョンに同じ DA アカウントを設定します。

また、 AWS セキュリティ関連の問題を 1 つの画面で管理できるように、セキュリティおよびコンプライアンスサービス全体で同じ DA アカウントを選択することをお勧めします。

### 招待によるメンバーシップ
<a name="accounts-regions-invitation"></a>

招待によって作成されたメンバーアカウントの場合、管理者アカウントとメンバーのアカウントの関連付けは、招待の送信元の 1 つのリージョンでのみ作成されます。管理者アカウントでは、使用する各リージョンの Security Hub CSPM を有効にする必要があります。次に、管理者アカウントは各アカウントをそのリージョンのメンバーアカウントに招待します。

**注記**  
メンバーアカウントを管理するには、Security Hub CSPM の招待 AWS Organizations の代わりに を使用することをお勧めします。

## サービス間の管理者アカウントの調整
<a name="securityhub-coordinate-admins"></a>

Security Hub CSPM は、Amazon GuardDuty、Amazon Inspector、Amazon Macie などのさまざまな AWS サービスの結果を集計します。Security Hub CSPM では、ユーザーは GuardDuty の検出結果からピボットして Amazon Detective で調査を開始することもできます。

ただし、これらの他のサービスで設定した管理者とメンバーの関係が、Security Hub CSPM に自動的に適用されることはありません。Security Hub CSPM ではこれらすべてのサービスで、管理者アカウントと同じアカウントを使用することを推奨しています。この管理者アカウントは、セキュリティツールを担当するアカウントである必要があります。また、 AWS Configの集約アカウントもこのアカウントが担う必要があります。

例えば、GuardDuty 管理アカウント A のユーザーは、GuardDuty コンソールで GuardDuty メンバーアカウント B と C の結果を表示できます。アカウント A が Security Hub CSPM を有効にした場合、アカウント A のユーザーは Security Hub CSPM でアカウント B と C の GuardDuty の検出結果を自動的には確認*できません*。これらのアカウントには、Security Hub CSPM 管理者とメンバーの関係も必要になります。

これを行うには、アカウント A をSecurity Hub CSPM 管理者アカウントにし、アカウント B と C がSecurity Hub CSPM のメンバーアカウントになるようにします。

# を使用した複数のアカウントの Security Hub CSPM の管理 AWS Organizations
<a name="securityhub-accounts-orgs"></a>

 AWS Security Hub CSPM を と統合し AWS Organizations、組織内のアカウントの Security Hub CSPM を管理できます。

Security Hub CSPM を と統合するには AWS Organizations、 で組織を作成します AWS Organizations。組織における Security Hub CSPM の委任管理者は、Organizations の管理アカウントによって指定されます。その後、委任管理者は組織内の他のアカウントに対して Security Hub CSPM を有効にし、それらのアカウントを Security Hub CSPM のメンバーアカウントとして追加して、メンバーアカウントに対して許可されたアクションを実行できるようにします。Security Hub CSPM の委任管理者は、最大 10,000 のメンバーアカウントに対して Security Hub CSPM を有効にし、管理できます。

委任された管理者が設定できる範囲は、[中央設定](central-configuration-intro.md)を使用するかどうかによって異なります。中央設定を有効にすると、各メンバーアカウントや AWS リージョンで個別に Security Hub CSPM を設定する必要がなくなります。委任管理者は、特定のメンバーアカウントや複数のリージョンの組織単位 (OU) に特定の Security Hub CSPM 設定を適用できます。

Security Hub CSPM の委任管理者アカウントは、メンバーアカウントに対して次のアクションを実行できます。
+ 中央設定を使用する場合は、Security Hub CSPM の設定ポリシーを作成し、メンバーアカウントと OU に対して Security Hub CSPM を一元的に設定する。設定ポリシーを使用して、Security Hub CSPM、標準、コントロールを有効または無効にできます。
+ 組織に追加された*新しい*アカウントを Security Hub CSPM メンバーアカウントとして自動的に処理する。中央設定を使用する場合、OU に関連付けられた設定ポリシーには、その OU に含まれる既存のアカウントと新しいアカウントが含まれます。
+ *既存*の組織アカウントを Security Hub CSPM メンバーアカウントとして処理する。中央設定を使用すると、この処理は自動的に行われます。
+ 組織に属するメンバーアカウントの関連付けを解除します。中央設定を使用している場合は、メンバーアカウントをセルフマネージド型として指定してからでないと、そのアカウントの関連付けを解除できません。または、Security Hub CSPM を無効にする設定ポリシーを、特定の一元管理型メンバーアカウントに関連付けることもできます。

中央設定にオプトインしない場合、組織はローカル設定と呼ばれるデフォルトの設定タイプを使用します。ローカル設定では、委任管理者は、メンバーアカウントで設定を強制する機能が制限されます。詳細については、「[Security Hub CSPM でのローカル設定について](local-configuration.md)」を参照してください。

委任された管理者がメンバーアカウントに対して実行できるアクションの完全なリストについては、「[Security Hub CSPM で管理者アカウントとメンバーアカウントが許可するアクション](securityhub-accounts-allowed-actions.md)」を参照してください。

このセクションのトピックでは、Security Hub CSPM を と統合する方法 AWS Organizations と、組織内のアカウントの Security Hub CSPM を管理する方法について説明します。該当する場合は、各セクションで、中央設定を使用するユーザーにとっての管理上の利点と相違点について説明します。

**Topics**
+ [Security Hub CSPM と の統合 AWS Organizations](designate-orgs-admin-account.md)
+ [新しい組織アカウントで Security Hub CSPM を自動的に有効にする](accounts-orgs-auto-enable.md)
+ [新しい組織アカウントで Security Hub CSPM を手動で有効にする](orgs-accounts-enable.md)
+ [組織から Security Hub CSPM メンバーアカウントの関連付けを解除する](accounts-orgs-disassociate.md)

# Security Hub CSPM と の統合 AWS Organizations
<a name="designate-orgs-admin-account"></a>

 AWS Security Hub CSPM と を統合するには AWS Organizations、Organizations で組織を作成し、組織管理アカウントを使用して委任 Security Hub CSPM 管理者アカウントを指定します。これにより、Security Hub CSPM は Organizations の信頼されたサービスとして有効になります。また、委任管理者アカウントの現在の AWS リージョン に対して Security Hub CSPM が有効になり、委任管理者がメンバーアカウントの Security Hub CSPM を有効にしたり、メンバーアカウントのデータを表示したり、メンバーアカウントで[許可されているその他のアクション](securityhub-accounts-allowed-actions.md)を実行したりできるようになります。

[中央設定](central-configuration-intro.md)を使用する場合、委任管理者は組織のアカウントで Security Hub CSPM サービス、標準、およびコントロールを設定する方法を指定する Security Hub CSPM 設定ポリシーを作成することもできます。

## 組織の作成
<a name="create-organization"></a>

組織は、単一のユニットとして管理 AWS アカウント できるように を統合するために作成するエンティティです。

組織を作成するには、 AWS Organizations コンソールを使用するか、 AWS CLI または SDK APIs のいずれかのコマンドを使用します。詳細の手順については、「*AWS Organizations ユーザーガイド*」の「[組織の作成](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_create.html)」を参照してください。

を使用して AWS Organizations 、組織内のすべてのアカウントを一元的に表示および管理できます。組織には、1 つの管理アカウントと、ゼロ以上のメンバーアカウントを含みます。アカウントを階層ツリーのような構造に編成し、ルートを最上部に置いて組織単位 (OU) をその下にネストすることができます。各アカウントは、ルートの下に直接置くか、階層内の OU のいずれかに配置できます。OU は特定のアカウントのコンテナです。例えば、財務運用に関連するアカウントをすべて含めた財務 OU を作成できます。

## Security Hub CSPM の委任管理者を選ぶ際の推奨事項
<a name="designate-admin-recommendations"></a>

手動の招待プロセスから管理者アカウントがあり、アカウント管理に移行する場合は AWS Organizations、そのアカウントを委任 Security Hub CSPM 管理者として指定することをお勧めします。

Security Hub CSPM API とコンソールでは、組織管理アカウントを Security Hub CSPM の委任管理者にすることができますが、2 つの異なるアカウントを選択することをお勧めします。これは、請求管理のために組織の管理アカウントにアクセスできるユーザーと、セキュリティ管理のために Security Hub CSPM にアクセスする必要があるユーザーが異なる可能性があるためです。

複数のリージョンで、同一の委任管理者を使用することが推奨されます。中央設定にオプトインすると、Security Hub CSPM によってホームリージョンとリンクされたリージョンで同一の委任管理者が自動的に指定されます。

## 委任管理者を設定するために必要なアクセス許可の検証
<a name="designate-admin-permissions"></a>

Security Hub CSPM の委任管理者アカウントの指定と削除を実行するには、Security Hub CSPM で `EnableOrganizationAdminAccount` および `DisableOrganizationAdminAccount` アクションのアクセス許可が組織の管理アカウントに付与されている必要があります。Organizations の管理アカウントには、Organizations の管理権限も必要です。

必要な許可をすべて付与するには、組織の管理アカウントの IAM プリンシパルに次の Security Hub CSPM マネージドポリシーをアタッチします。
+ [https://docs.aws.amazon.com/securityhub/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-awssecurityhubfullaccess](https://docs.aws.amazon.com/securityhub/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-awssecurityhubfullaccess)
+ [https://docs.aws.amazon.com/securityhub/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-awssecurityhuborganizationsaccess](https://docs.aws.amazon.com/securityhub/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-awssecurityhuborganizationsaccess)

## 委任管理者を指定する
<a name="designate-admin-instructions"></a>

Security Hub CSPM の委任管理者アカウントの指定は、Security Hub コンソール、Security Hub API、または AWS CLIを使用して実行できます。Security Hub CSPM は、委任された管理者を現在の AWS リージョン のみに設定し、他のリージョンでアクションを繰り返す必要があります。中央設定の使用を開始すると、Security Hub CSPM によってホームリージョンとリンクされたリージョンで同一の委任管理者が自動的に設定されます。

組織の管理アカウントは、Security Hub CSPM の委任管理者アカウントを指定するために Security Hub CSPM を有効にする必要はありません。

組織の管理アカウントを Security Hub CSPM の委任管理者アカウントとして指定しないことをお勧めします。ただし、Security Hub CSPM の委任管理者アカウントとして組織の管理アカウントを選択する場合は、管理アカウントの Security Hub CSPM を有効にする必要があります。管理アカウントの Security Hub CSPM が有効になっていない場合は、Security Hub CSPM を手動で有効にする必要があります。組織の管理アカウントの Security Hub CSPM を自動的に有効にすることはできません。

次のいずれかの方法で Security Hub CSPM の委任管理者を指定する必要があります。Organizations API で Security Hub CSPM の委任管理者を指定しても、Security Hub CSPM には反映されません。

お好みの方法を選択し、手順に従って Security Hub CSPM の委任管理者アカウントを指定します。

------
#### [ Security Hub CSPM console ]

**委任 Security Hub 管理者をオンボーディング中に削除するには**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。

1. **[Security Hub CSPM に移動]** を選択します。組織の管理アカウントにサインインするよう求めるメッセージが表示されます。

1. **[委任された管理者アカウント]** セクションの **[委任された管理者を指定]** ページで、委任された管理者アカウントを指定します。委任された管理者には、他の AWS セキュリティおよびコンプライアンスサービスと同一の設定を選択することをお勧めします。

1. **[委任された管理者を設定]** を選択します。中央設定でオンボーディングを続行するには、委任された管理者アカウントにサインインするよう求められます (まだサインインしていない場合)。中央設定を開始しない場合は、**[キャンセル]** を選択します。委任された管理者は設定されますが、中央設定はまだ使用しません。

****[設定]** ページから 委任管理者の委任を解除するには**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。

1. Security Hub CSPM ナビゲーションペインで、**[Settings]** (設定) を選択します。次に **[Generate]** (生成) を選択します。

1. Security Hub CSPM 管理者アカウントが現在割り当てられている場合は、新しいアカウントを指定する前に、現在のアカウントを削除する必要があります。

   現在のアカウントを削除するには、**[Delegated Administrator]** (代理管理者) で、**[Remove]** (削除) を選択します。

1. **Security Hub CSPM** 管理者アカウントとして指定するアカウントのアカウント ID を入力します。

   すべてのリージョンで同じ Security Hub CSPM 管理者アカウントを指定する必要があります。他のリージョンで指定したアカウントとは異なるアカウントを指定すると、コンソールはエラーを返します。

1. **[委任]** を選択します。

------
#### [ Security Hub CSPM API, AWS CLI ]

組織管理アカウントから、Security Hub CSPM API の [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_EnableOrganizationAdminAccount.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_EnableOrganizationAdminAccount.html) オペレーションを使用します。 AWS CLIを使用している場合は、[https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-organization-admin-account.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-organization-admin-account.html) コマンドを実行します。Security Hub CSPM の委任管理者アカウントの AWS アカウント ID を指定します。

次の例では、Security Hub CSPM の委任管理者を指定します。この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\$1) の行継続文字を使用しています。

```
$ aws securityhub enable-organization-admin-account --admin-account-id 123456789012
```

------

# 委任管理者の削除または変更
<a name="remove-admin-overview"></a>

Security Hub CSPM の委任管理者アカウントは、組織の管理アカウントでのみ削除することができます。

Security Hub CSPM の委任管理者アカウントを変更するには、まず現在の委任管理者アカウントを削除してから、新しいアカウントを指定する必要があります。

**警告**  
[中央設定](central-configuration-intro.md)を使用する場合、Security Hub CSPM コンソールまたは Security Hub CSPM API を使用して委任管理者アカウントを変更または削除することはできません。組織管理アカウントが AWS Organizations コンソールまたは AWS Organizations APIs を使用して委任 Security Hub CSPM 管理者を変更または削除する場合、Security Hub CSPM は自動的に中央設定を停止し、設定ポリシーとポリシーの関連付けを削除します。メンバーアカウントには、委任された管理者が変更または削除される前の設定が保持されます。

Security Hub CSPM コンソールを使用して、あるリージョンの委任管理者を削除すると、その管理者はすべてのリージョンから自動的に削除されます。

Security Hub CSPM API は、API コールまたはコマンドが発行されたリージョンでのみ Security Hub CSPM の委任管理者アカウントを削除します。他のリージョンでもこの操作を繰り返す必要があります。

Organizations API を使用して Security Hub CSPM の委任管理者アカウントを削除すると、すべてのリージョンで自動的に削除されます。

## 委任管理者の削除 (Organizations API、 AWS CLI)
<a name="remove-admin-orgs"></a>

Organizations を使用して、すべてのリージョンの Security Hub CSPM の委任管理者を削除できます。

中央設定を使用してアカウントを管理している場合、委任された管理者アカウントを削除すると、設定ポリシーとポリシーの関連付けも削除されます。メンバーアカウントには、委任された管理者が変更または削除される前の設定が保持されます。ただし、削除済みの委任管理者からは、これらのアカウントを管理できなくなります。これらはリージョンごとに個別に設定する必要があるセルフマネージド型アカウントになります。

任意の方法を選択し、手順に従って委任 Security Hub CSPM 管理者アカウントを削除します AWS Organizations。

------
#### [ Organizations API, AWS CLI ]

**Security Hub CSPM の委任管理者を削除するには**

組織管理アカウントから、Organizations API の [https://docs.aws.amazon.com/organizations/latest/APIReference/API_DeregisterDelegatedAdministrator.html](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DeregisterDelegatedAdministrator.html) オペレーションを使用します。 AWS CLIを使用している場合は、[deregister-delegated-administrator](https://docs.aws.amazon.com/cli/latest/reference/organizations/deregister-delegated-administrator.html) コマンドを実行します。委任管理者のアカウント ID と、Security Hub CSPM のサービスプリンシパル (`securityhub.amazonaws.com`) を指定します。

次の例では、Security Hub CSPM の委任管理者を削除します。この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\$1) の行継続文字を使用しています。

```
$ aws organizations deregister-delegated-administrator --account-id 123456789012 --service-principal securityhub.amazonaws.com
```

------

## Security Hub CSPM の委任管理者の削除 (Security Hub コンソール)
<a name="remove-admin-console"></a>

Security Hub CSPM コンソールを使用して、すべてのリージョンで Security Hub CSPM の委任管理者を削除できます。

Security Hub CSPM の委任管理者アカウントが削除されると、削除される Security Hub CSPM の委任管理者アカウントとメンバーアカウントの関連付けが解除されます。

ただし、Security Hub CSPM はメンバーアカウントで引き続き有効になっています。新しい Security Hub CSPM 管理者がメンバーアカウントとして有効にするまで、これらのアカウントはスタンドアロンアカウントになります。

組織の管理アカウントが Security Hub CSPM で有効なアカウントでない場合は、**[Security Hub CSPM へようこそ]** ページのオプションを使用します。

****[Security Hub CSPM へようこそ]** ページから Security Hub CSPM の委任管理者アカウントを削除するには**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。

1. **[Go to Security Hub]** (Security Hub に移動) を選択します。

1. **[代理管理者]** で、**[削除]** を選択します。

組織管理アカウントが **Security Hub** で有効なアカウントである場合、**[Settings]** (設定) ページの **[General]** (全般) タブのオプションを使用します。

****[設定]** ページから Security Hub CSPM の委任管理者を削除するには**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。

1. Security Hub CSPM ナビゲーションペインで、**[Settings]** (設定) を選択します。次に **[Generate]** (生成) を選択します。

1. **[Delegated Administrator]** (代理管理者) で、**[Remove]** (削除) を選択します。

## 委任管理者の削除 (Security Hub CSPM API、 AWS CLI)
<a name="remove-admin-api"></a>

の Security Hub CSPM API または Security Hub CSPM オペレーションを使用して AWS CLI 、委任 Security Hub CSPM 管理者を削除できます。上記のいずれかの方法で委任された管理者を削除する場合、API コールまたはコマンドが発行されたリージョンでのみ削除されます。Security Hub CSPM は他のリージョンを更新せず、委任管理者アカウントも削除しません AWS Organizations。

お好みの方法を選択し、手順に従って Security Hub CSPM で Security Hub CSPM の委任管理者アカウントを指定します。

------
#### [ Security Hub CSPM API, AWS CLI ]

**Security Hub CSPM の委任管理者を削除するには**

組織管理アカウントから、Security Hub CSPM API の [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisableOrganizationAdminAccount.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisableOrganizationAdminAccount.html) オペレーションを使用します。を使用している場合は AWS CLI、 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/disable-organization-admin-account.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/disable-organization-admin-account.html) コマンドを実行します。Security Hub CSPM の委任管理者のアカウントの ID を指定します。

次の例では、Security Hub CSPM の委任管理者を削除します。この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\$1) の行継続文字を使用しています。

```
$ aws securityhub disable-organization-admin-account --admin-account-id 123456789012
```

------

# と Security Hub CSPM の統合を無効にする AWS Organizations
<a name="disable-orgs-integration"></a>

 AWS Organizations 組織が AWS Security Hub CSPM と統合されると、Organizations 管理アカウントはその後統合を無効にすることができます。Organizations 管理アカウントのユーザーは、 AWS Organizationsの Security Hub CSPM に対する信頼されたアクセスを無効にすることができます。

Security Hub CSPM の信頼されたアクセスを無効化すると、以下が起こります。
+ Security Hub CSPM は、信頼されたサービスとしてのステータスを失います AWS Organizations。
+ Security Hub CSPM の委任管理者アカウントは、すべての AWS リージョンですべての Security Hub CSPM メンバーアカウントの Security Hub CSPM の設定、データ、およびリソースにアクセスできなくなります。
+ [中央設定](central-configuration-intro.md)を使用していた場合、Security Hub CSPM は組織での中央設定の使用を自動的に停止します。設定ポリシーとポリシーの関連付けは削除されます。アカウントでは、信頼されたアクセスを無効にする前の設定が保持されます。
+ Security Hub CSPM のすべてのメンバーアカウントがスタンドアロンアカウントになり、現在の設定が保持されます。Security Hub CSPM が 1 つ以上のリージョン内のメンバーアカウントに対して有効化されている場合、Security Hub CSPM はそのリージョン内のアカウントに対して有効化された状態が継続します。有効になっている標準とコントロールも変わりません。これらの設定は、アカウントやリージョンごとに個別に変更できます。ただし、そのアカウントはどのリージョンの委任管理者とも関連付けられなくなります。

信頼されたサービスアクセスを無効にする結果の詳細については、「 *AWS Organizations ユーザーガイド*」の[「他の AWS Organizations で AWS のサービス](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html)を使用する」を参照してください。

信頼されたアクセスを無効にするには、 AWS Organizations コンソール、Organizations API、または を使用できます AWS CLI。Security Hub CSPM の信頼されたサービスへのアクセスを無効にできるのは、Organizations 管理アカウントのユーザーのみです。必要なアクセス許可に関する詳細は、AWS Organizations ユーザーガイドの[信頼できるアクセスを無効にするために必要なアクセス許可](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html#orgs_trusted_access_disable_perms)を参照してください。

信頼されたアクセスを無効にする前に、必要に応じて組織の委任管理者に連絡して、メンバーアカウントの Security Hub CSPM を無効にし、それらのアカウントの Security Hub CSPM リソースをクリーンアップしてください。

お好みの方法を選択し、手順に従って、Security Hub CSPM の信頼されたアクセスを無効にします。

------
#### [ Organizations console ]

**Security Hub CSPM の信頼されたアクセスを無効にするには**

1.  AWS Organizations 管理アカウントの認証情報 AWS マネジメントコンソール を使用して にサインインします。

1. Organizations コンソール ([https://console.aws.amazon.com/organizations/](https://console.aws.amazon.com/organizations/)) を開きます。

1. ナビゲーションペインで [**Services (サービス)**] を選択します。

1. **[統合サービス]** で、**[AWS Security Hub CSPM]** を選択します。

1. **Disable trusted access** (信頼されたアクセスを無効にする) を選択します。

1. 信頼されたアクセスを無効化することを確認します。

------
#### [ Organizations API ]

**Security Hub CSPM の信頼されたアクセスを無効にするには**

 AWS Organizations API の [DisableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html) オペレーションを呼び出します。`ServicePrincipal` パラメータで、Security Hub CSPM サービスプリンシパル (`securityhub.amazonaws.com`) を指定します。

------
#### [ AWS CLI ]

**Security Hub CSPM の信頼されたアクセスを無効にするには**

 AWS Organizations API の [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html) コマンドを実行します。`service-principal` パラメータで、Security Hub CSPM サービスプリンシパル (`securityhub.amazonaws.com`) を指定します。

**例**:

```
aws organizations disable-aws-service-access --service-principal securityhub.amazonaws.com
```

------

# 新しい組織アカウントで Security Hub CSPM を自動的に有効にする
<a name="accounts-orgs-auto-enable"></a>

新しいアカウントが組織に参加すると、 AWS Security Hub CSPM コンソールの**アカウント**ページのリストに追加されます。組織アカウントの場合、**[Type]** (タイプ) は **[By organization]** (組織別) になります。デフォルトでは、組織を追加しても新しいアカウントが Security Hub CSPM メンバーになることはありません。ステータスは、**[Not a member]** (メンバーではない) です。委任管理者アカウントは、新しいアカウントを自動的にメンバーとして加え、新しいアカウントを組織に追加したときに、これらのアカウントでSecurity Hub CSPM が有効にすることができます。

**注記**  
多くの AWS リージョン はデフォルトで に対してアクティブですが AWS アカウント、特定のリージョンを手動でアクティブ化する必要があります。これらのリージョンは、このドキュメントではオプトインリージョンと呼ばれます。オプトインリージョンの新しいアカウントで Security Hub CSPM を自動的に有効にするには、アカウントでそのリージョンを最初にアクティブ化する必要があります。アカウント所有者のみがオプトインリージョンをアクティブ化できます。オプトインリージョンの詳細については、[AWS リージョン 「アカウントで使用できる を指定する](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html)」を参照してください。

このプロセスは、中央設定 (推奨) を使用するかローカル設定を使用するかによって異なります。

## 新しい組織アカウントを自動的に有効にする (中央設定)
<a name="central-configuration-auto-enable"></a>

[中央設定](central-configuration-intro.md)を使用する場合、Security Hub CSPM が有効になっている設定ポリシーを作成することで、新規および既存の組織アカウントで Security Hub CSPM を自動的に有効にできます。そして、ポリシーを組織ルートや特定の組織単位 (OU) に関連付けることができます。

Security Hub CSPM が有効になっている設定ポリシーを特定の OU に関連付けると、その OU に属するすべてのアカウント (既存および新規) で Security Hub CSPM が自動的に有効になります。OU に属さない新しいアカウントはセルフマネージド型で、Security Hub CSPM が自動的に有効になることはありません。Security Hub CSPM が有効になっている設定ポリシーをルートに関連付けると、組織に追加するすべてのアカウント (既存および新規) で Security Hub CSPM が自動的に有効になります。例外は、アカウントがアプリケーションまたは継承によって異なるポリシーを使用している場合や、セルフマネージド型である場合です。

設定ポリシーでは、OU で有効にするセキュリティ標準とコントロールを定義することもできます。有効な標準のコントロール結果を生成するには、OU のアカウントで必要なリソースを記録するように AWS Config を有効にして設定する必要があります。 AWS Config 記録の詳細については、[「有効化と設定 AWS Config](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-prereq-config.html)」を参照してください。

設定ポリシーの作成手順については、「[設定ポリシーの作成と関連付け](create-associate-policy.md)」を参照してください。

## 新しい組織アカウントを自動的に有効にする (ローカル設定)
<a name="limited-configuration-auto-enable"></a>

ローカル設定を使用してデフォルト標準の自動有効化をオンにすると、Security Hub CSPM で*新しい*組織アカウントがメンバーとして追加され、現在のリージョンでそのアカウントの Security Hub CSPM が有効になります。他のリージョンは影響を受けません。また、自動有効化をオンにしても、既にメンバーアカウントとして追加されていない限り、*既存*の組織アカウントで Security Hub CSPM が有効になることはありません。

自動有効化をオンにしてから現在のリージョンで新しいメンバーアカウントが組織に追加されると、そのアカウントのデフォルトのセキュリティ標準は有効になります。デフォルトの標準は、 AWS Foundational Security Best Practices (FSBP) と Center for Internet Security (CIS) AWS Foundations Benchmark v1.2.0 です。デフォルトの標準を変更することはできません。組織全体で他の標準を有効にする場合や、特定のアカウントや OU の標準を有効にする場合は、中央設定を使用することをお勧めします。

デフォルトの標準 (および他の有効な標準) のコントロール結果を生成するには、組織内のアカウントが、必要なリソースを記録するように AWS Config 有効化および設定されている必要があります。 AWS Config 記録の詳細については、[「有効化と設定 AWS Config](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-prereq-config.html)」を参照してください。

お好みの方法を選択し、手順に従って、新しい組織アカウントの Security Hub CSPM を自動的に有効にします。これらの手順は、ローカル設定を使用する場合にのみ適用されます。

------
#### [ Security Hub CSPM console ]

**新しい組織アカウントを Security Hub CSPM メンバーとして自動的に有効にするには**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。

   委任された管理者アカウントの認証情報を使用してサインインします。

1. Security Hub CSPM のナビゲーションペインの **[設定]** で、**[設定]** を選択します。

1. **[アカウント]** セクションで、**[アカウントの自動有効化]** をオンにします。

------
#### [ Security Hub CSPM API ]

**新しい組織アカウントを Security Hub CSPM メンバーとして自動的に有効にするには**

委任管理者のアカウントで、[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html) API を呼び出します。`AutoEnable` フィールドを `true` に設定すると、新しい組織アカウントで Security Hub CSPM が自動的に有効になります。

------
#### [ AWS CLI ]

**新しい組織アカウントを Security Hub CSPM メンバーとして自動的に有効にするには**

委任管理者アカウントで、[https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html) コマンドを実行します。新しい組織アカウントで Security Hub CSPM を自動的に有効にするには、`auto-enable` パラメータを追加します。

```
aws securityhub update-organization-configuration --auto-enable
```

------

# 新しい組織アカウントで Security Hub CSPM を手動で有効にする
<a name="orgs-accounts-enable"></a>

新しい組織アカウントを組織に追加したときにそのアカウントで Security Hub CSPM を自動的に有効にしない場合は、そのアカウントをメンバーとして追加し、組織に参加した後に手動で Security Hub CSPM を有効にすることができます。また、以前に組織との関連付けを解除 AWS アカウント した で Security Hub CSPM を手動で有効にする必要があります。

**注記**  
[中央設定](central-configuration-intro.md)を使用している場合、このセクションの内容は適用されません。中央設定を使用する場合は、指定したメンバーアカウントや組織単位 (OU) で Security Hub CSPM を有効にする設定ポリシーを作成できます。また、それらのアカウントや OU で特定の標準やコントロールを有効にすることもできます。

アカウントが既に別の組織内のメンバーアカウントである場合、アカウントの Security Hub CSPM を有効にすることはできません。

また、現在一時停止されているアカウントの Security Hub CSPM を有効にすることもできません。一時停止中のアカウントでサービスを有効にしようとすると、アカウントのステータスが **[アカウント停止]** に変更されます。
+ アカウントで Security Hub CSPM が有効になっていない場合、そのアカウントに対して Security Hub CSPM が有効になります。 AWS Foundational Security Best Practices (FSBP) 標準と CIS AWS Foundations Benchmark v1.2.0 も、デフォルトのセキュリティ標準をオフにしない限り、アカウントで有効になります。

  Organizations 管理アカウントは例外です。Organizations 管理アカウントに対して Security Hub CSPM を自動的に有効にすることはできません。Organizations 管理アカウントで Security Hub CSPM をメンバーアカウントとして追加する前に、Security Hub CSPM を手動で有効にする必要があります。
+ アカウントで Security Hub CSPM が既に有効になっている場合、Security Hub CSPM はアカウントに対して変更を加えません。メンバーシップのみが有効になります。

Security Hub CSPM がコントロールの検出結果を生成するには、メンバーアカウントが、必要なリソースを記録するように AWS Config 有効化および設定されている必要があります。詳細については、[「 AWS Configの有効化と設定」](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-prereq-config.html)を参照してください。

お好みの方法を選択し、手順に従って、Security Hub CSPM メンバーアカウントとして組織アカウントを有効にします。

------
#### [ Security Hub CSPM console ]

**Security Hub CSPM メンバーとして組織アカウントを手動で有効にするには**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。

   委任管理者アカウントの認証情報を使用してサインインします。

1. Security Hub CSPM のナビゲーションペインの **[設定]** で、**[設定]** を選択します。

1. **[アカウント]** リストで、有効にする各組織アカウントを選択します。

1. **[アクション]**、**[メンバーを追加]** の順に選択します。

------
#### [ Security Hub CSPM API ]

**Security Hub CSPM メンバーとして組織アカウントを手動で有効にするには**

委任された管理者のアカウントで、[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateMembers.html) API を呼び出します。有効にするアカウントごとに、アカウント ID を指定します。

手動による招待プロセスとは異なり、`CreateMembers` を呼び出して組織アカウントを有効にする場合、招待を送信する必要はありません。

------
#### [ AWS CLI ]

**Security Hub CSPM メンバーとして組織アカウントを手動で有効にするには**

委任された管理者アカウントで、[https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-members.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-members.html) コマンドを実行します。有効にするアカウントごとに、アカウント ID を指定します。

手動による招待プロセスとは異なり、`create-members` を実行して組織アカウントを有効にする場合、招待を送信する必要はありません。

```
aws securityhub create-members --account-details '[{"AccountId": "<accountId>"}]'
```

**例**

```
aws securityhub create-members --account-details '[{"AccountId": "123456789111"}, {"AccountId": "123456789222"}]'
```

------

# 組織から Security Hub CSPM メンバーアカウントの関連付けを解除する
<a name="accounts-orgs-disassociate"></a>

 AWS Security Hub CSPM メンバーアカウントからの検出結果の受信と表示を停止するには、組織からメンバーアカウントの関連付けを解除します。

**注記**  
[中央設定](central-configuration-intro.md)を使用する場合、関連付け解除の仕組みが異なります。1 つ以上の一元管理型メンバーアカウントで、Security Hub CSPM を無効にする設定ポリシーを作成できます。それ以降もこれらのアカウントは引き続き組織に含まれますが、Security Hub CSPM の検出結果は生成されません。中央設定を使用しているが、手動で招待したメンバーアカウントも含まれている場合は、手動で招待した 1 つ以上のアカウントの関連付けを解除できます。

を使用して管理されているメンバーアカウント AWS Organizations は、管理者アカウントからアカウントの関連付けを解除できません。メンバーアカウントの関連付けを解除できるのは管理者アカウントのみです。

メンバーアカウントの関連付けを解除しても、アカウントは削除されません。その代わり、組織からメンバーアカウントが削除されます。関連付けが解除され AWS アカウント たメンバーアカウントはスタンドアロンになり、Security Hub CSPM との統合によって管理されなくなります AWS Organizations。

お好みの方法を選択し、手順に従って、組織とのメンバーアカウントの関連付けを解除します。

------
#### [ Security Hub CSPM console ]

**組織とのメンバーアカウントの関連付けを解除するには**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。

   委任管理者アカウントの認証情報を使用してサインインします。

1. ナビゲーションペインの **[設定]** で **[設定]** を選択します。

1. **[アカウント]** セクションで、関連付けを解除するアカウントを選択します。中央設定を使用している場合は、手動で招待したアカウントを [`Invitation accounts`] タブから選択して関連付けを解除できます。このタブは、中央設定を使用する場合にのみ表示されます。

1. **[アクション]** を選択してから、**[アカウントの関連付けを解除する]** を選択します。

------
#### [ Security Hub CSPM API ]

**組織とのメンバーアカウントの関連付けを解除するには**

委任された管理者のアカウントで、[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisassociateMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisassociateMembers.html) API を呼び出します。関連付けを解除するには、メンバーアカウントの AWS アカウント IDs を指定する必要があります。メンバーアカウントのリストを表示するには、[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListMembers.html) API を呼び出します。

------
#### [ AWS CLI ]

**組織とのメンバーアカウントの関連付けを解除するには**

委任された管理者アカウントで、[ >`disassociate-members`](https://docs.aws.amazon.com/cli/latest/reference/securityhub/disassociate-members.html) コマンドを実行します。関連付けを解除するには、メンバーアカウントの AWS アカウント IDs を指定する必要があります。メンバーアカウントのリストを表示するには、[> `list-members`](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-members.html) コマンドを実行します。

```
aws securityhub disassociate-members --account-ids "<accountIds>"
```

**例**

```
aws securityhub disassociate-members --account-ids "123456789111" "123456789222"
```

------

 AWS Organizations コンソール AWS CLI、または AWS SDKs を使用して、組織からメンバーアカウントの関連付けを解除することもできます。詳細については、「*AWS Organizations ユーザーガイド*」の「[組織からのメンバーアカウントの削除](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_remove.html)」を参照してください。

# Security Hub CSPM での招待によるアカウントの管理
<a name="account-management-manual"></a>

Security AWS Hub CSPM を と統合 AWS Organizations するか、メンバーシップの招待を手動で送受信することで、複数の Security Hub CSPM アカウントを 2 つの方法で一元管理できます。スタンドアロンアカウントを持っている場合、または と統合していない場合は、手動プロセスを使用する必要があります AWS Organizations。手動によるアカウント管理では、Security Hub CSPM 管理者がアカウントをメンバーに招待します。管理者とメンバーの関係は、候補となるメンバーが招待を承諾したときに確立されます。Security Hub CSPM の管理者アカウントは、最大 1,000 件の招待ベースのメンバーアカウントに対応する Security Hub CSPM を管理できます。

**注記**  
Security Hub CSPM で招待ベースの組織を作成する場合は、代わりに後で [AWS Organizationsの使用に移行](accounts-transition-to-orgs.md)できます。複数のメンバーアカウントがある場合は、Security Hub CSPM の招待 AWS Organizations の代わりに を使用してメンバーアカウントを管理することをお勧めします。詳細については、「[を使用した複数のアカウントの Security Hub CSPM の管理 AWS Organizations](securityhub-accounts-orgs.md)」を参照してください。

手動による招待プロセスで招待したアカウントについては、検出結果やその他のデータのクロスリージョン集約を使用できます。ただし、クロスリージョン集約が機能するには、管理者は集約リージョンとすべてのリンクされたリージョンからメンバーアカウントを招待する必要があります。さらに、管理者にメンバーアカウントの検出結果を表示できるようにするには、メンバーアカウントで集約リージョンとすべてのリンクされたリージョンで Security Hub CSPM が有効になっている必要があります。

手動で招待されたメンバーアカウントでは、設定ポリシーはサポートされていません。代わりに、各メンバーアカウントと手動招待プロセスを使用する AWS リージョン ときに、Security Hub CSPM 設定を個別に設定する必要があります。

また、自分の組織に属していないアカウントについては、手動による招待ベースのプロセスを使用する必要があります。たとえば、組織にテストアカウントを含めない場合もあります。あるいは、複数の組織のアカウントを 1 つの Security Hub CSPM 管理者アカウントに統合することもあります。Security Hub CSPM 管理者アカウントは、他の組織に属するアカウントに招待を送信する必要があります。

Security Hub CSPM コンソールの **[設定]** ページでは、招待によって追加されたアカウントが **[招待アカウント]** タブに表示されます。[中央設定](central-configuration-intro.md) を使用しており、組織外のアカウントも招待している場合は、このタブで招待ベースのアカウントの検出結果を確認できます。ただし、Security Hub CSPM 管理者は、設定ポリシーを使用して複数のリージョンに招待ベースのアカウントを設定することはできません。

このセクションのトピックでは、招待を使用してメンバーアカウントを管理する方法について説明します。

**Topics**
+ [Security Hub CSPM でのメンバーアカウントの追加と招待](securityhub-accounts-add-invite.md)
+ [Security Hub CSPM メンバーアカウントへの招待を承諾する](securityhub-invitation-respond.md)
+ [Security Hub CSPM でメンバーアカウントの関連付けを解除する](securityhub-disassociate-members.md)
+ [Security Hub CSPM でのメンバーアカウントの削除](securityhub-delete-member-accounts.md)
+ [Security Hub CSPM 管理者アカウントとの関連付けを解除する](securityhub-disassociate-from-admin.md)
+ [Security Hub CSPM でアカウントを管理するための Organizations への移行](accounts-transition-to-orgs.md)

# Security Hub CSPM でのメンバーアカウントの追加と招待
<a name="securityhub-accounts-add-invite"></a>

**注記**  
メンバーアカウントを管理するには、Security Hub CSPM の招待 AWS Organizations の代わりに を使用することをお勧めします。詳細については、「[を使用した複数のアカウントの Security Hub CSPM の管理 AWS Organizations](securityhub-accounts-orgs.md)」を参照してください。

アカウントは、 AWS Security Hub CSPM メンバーアカウントへの招待を受け入れるアカウントの Security Hub CSPM 管理者になります。

別のアカウントからの招待を承諾すると、自分のアカウントはメンバーアカウントになり、招待したアカウントが自分の管理者になります。

自分のアカウントが管理者アカウントである場合、メンバーアカウントになるための招待を承諾することはできません。

メンバーアカウントの追加は、以下のステップで構成されています。

1. 管理者アカウントで、メンバーアカウントをメンバーアカウントのリストに追加します。

1. 管理者アカウントから、メンバーアカウントに招待を送信します。

1. メンバーアカウントは招待を承諾します。

## メンバーアカウントを組織に追加する
<a name="securityhub-add-accounts"></a>

Security Hub CSPM コンソールから、メンバーアカウントのリストにアカウントを追加することができます。Security Hub CSPM コンソールでアカウントを個別に選択するか、アカウント情報を含む `.csv` ファイルをアップロードします。

各アカウントについて、アカウント ID と E メールアドレスを指定する必要があります。メールアドレスは、アカウントのセキュリティ問題について連絡する E メールアドレスである必要があります。アカウントの検証には使用されません。

お好みの方法を選択し、手順に従ってメンバーアカウントを追加します。

------
#### [ Security Hub CSPM console ]

**メンバーアカウントのリストにアカウントを追加するには**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。

   管理者アカウントの認証情報を使用してサインインします。

1. 左側のペインで、**[Settings]** (設定) を選択します。

1. **[Settings]** (設定) ページで **[Accounts]** (アカウント) を選択してから、**[Add accounts]** (アカウントの追加) を選択します。その後、アカウントを個別に追加するか、アカウントのリストを含む `.csv` ファイルをアップロードできます。

1. アカウントを選択するには、次のいずれかを実行します。
   + アカウントを個別に追加するには、**[Enter accounts]** (アカウントを入力) に、追加するアカウントのアカウント ID と E メールアドレスを入力して **[Add]** (追加) を選択します。

     アカウントごとにこのプロセスを繰り返します。
   + カンマ区切り値 (.csv) ファイルを使用して複数のアカウントを追加するには、まずファイルを作成します。ファイルには、追加する各アカウントのアカウント ID と E メールアドレスを含める必要があります。

     `.csv` リストには 1 行に 1 つのアカウントが入力されている必要があります。`.csv` ファイルの 1 行目には、ヘッダーが含まれている必要があります。ヘッダーの、一列目は **Account ID** で二列目は **Email** です。

     続く各行には、追加するアカウントの有効なアカウント ID および E メールアドレスが含まれている必要があります。

     `.csv` ファイルをテキストエディタで表示した場合、次のようになります。

     ```
     Account ID,Email
     111111111111,user@example.com
     ```

     スプレッドシートプログラムでは、フィールドは別々の列に表示されます。基になる形式はコンマで区切られています。アカウント ID の書式設定は 10 進数以外の数値にする必要があります。たとえば、アカウント ID 444455556666 の場合、書式設定を 444455556666.0 とすることはできません。また、数値の書式設定によってアカウント ID の先頭のゼロが削除されないようにしてください。

     ファイルを選択するには、コンソールで **[Upload list (.csv)]** (リストのアップロード (.csv)) を選択します。次に **[Browse]** (参照) を選択します。

     ファイルを選択したら、**[Add accounts]** (アカウントの追加) を選択します。

1. アカウントの追加が完了したら、**[Accounts to be added]** (追加するアカウント) で **[Next]** (次) を選択します。

------
#### [ Security Hub CSPM API ]

**メンバーアカウントのリストにアカウントを追加するには**

管理者アカウントで、[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateMembers.html) API を呼び出します。追加するメンバーアカウントごとに、 AWS アカウント ID を指定する必要があります。

------
#### [ AWS CLI ]

**メンバーアカウントのリストにアカウントを追加するには**

管理者アカウントで、[https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-members.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-members.html) コマンドを実行します。追加するメンバーアカウントごとに、 AWS アカウント ID を指定する必要があります。

```
aws securityhub create-members --account-details '[{"AccountId": "<accountID1>"}]'
```

**例**

```
aws securityhub create-members --account-details '[{"AccountId": "123456789111"}, {"AccountId": "123456789222"}]'
```

------

## メンバーアカウントの招待
<a name="securityhub-invite-accounts"></a>

メンバーアカウントを追加した後、メンバーアカウントに招待を送信します。管理者が関連付けを解除したアカウントに招待を再送信することもできます。

------
#### [ Security Hub CSPM console ]

**メンバー候補アカウントを招待するには**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。

   管理者アカウントの認証情報を使用してサインインします。

1. ナビゲーションペインで、**[Settings]** (設定) を選択し、**[Accounts]** (アカウント) を選択します。

1. 招待するアカウントの **[Status]** (ステータス) 列の **[Invite]** (招待) を選択します。

1. 確認を求められたら **[Invite]** (招待) を選択します。

**注記**  
関連付けを解除されたアカウントに招待を再送信するには、**[アカウント]** ページで関連付けを解除された各アカウントを選択します。**[アクション]** で、**[招待の再送信]** を選択します。

------
#### [ Security Hub CSPM API ]

**メンバー候補アカウントを招待するには**

管理者アカウントで、[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_InviteMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_InviteMembers.html) API を呼び出します。招待するアカウントごとに、 AWS アカウント ID を指定する必要があります。

------
#### [ AWS CLI ]

**メンバー候補アカウントを招待するには**

管理者アカウントで、[https://docs.aws.amazon.com/cli/latest/reference/securityhub/invite-members.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/invite-members.html) コマンドを実行します。招待するアカウントごとに、 AWS アカウント ID を指定する必要があります。

```
aws securityhub invite-members --account-ids <accountIDs>
```

**例**

```
aws securityhub invite-members --account-ids "123456789111" "123456789222"
```

------

# Security Hub CSPM メンバーアカウントへの招待を承諾する
<a name="securityhub-invitation-respond"></a>

**注記**  
メンバーアカウントを管理するには、Security Hub CSPM の招待 AWS Organizations の代わりに を使用することをお勧めします。詳細については、「[を使用した複数のアカウントの Security Hub CSPM の管理 AWS Organizations](securityhub-accounts-orgs.md)」を参照してください。

 AWS Security Hub CSPM メンバーアカウントへの招待を承諾または拒否できます。

招待を承諾すると、アカウントが Security Hub CSPM メンバーアカウントになります。招待を送信したアカウントは、Security Hub CSPM 管理者アカウントになります。管理者アカウントのユーザーは、Security Hub CSPM でメンバーアカウントの検出結果を表示できます。

招待を拒否すると、アカウントは管理者アカウントのメンバーアカウントのリストで、**[Resigned]** (辞退) とマークされます。

メンバーアカウントへの招待は 1 つしか承諾できません。

招待を承諾または拒否する前に、Security Hub CSPM を有効にする必要があります。

すべての Security Hub CSPM アカウントは、すべてのリソースを記録するように AWS Config 有効化および設定されている必要があります。の要件の詳細については AWS Config、[「有効化と設定 AWS Config](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-prereq-config.html)」を参照してください。

## 招待の承諾
<a name="securityhub-accept-invitation"></a>

管理者アカウントから Security Hub CSPM メンバーアカウントへの招待を送信できます。その後、メンバーアカウントにサインインした後に招待を承諾できます。

お好みの方法を選択し、手順に従ってメンバーアカウントへの招待を承諾します。

------
#### [ Security Hub CSPM console ]

**メンバーシップの招待を承諾するには**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。

1. ナビゲーションペインで、**[Settings]** (設定) を選択し、**[Accounts]** (アカウント) を選択します。

1. **[管理者アカウント]** セクションで、**[承諾]** をオンにし、**[招待を承諾]** を選択します。

------
#### [ Security Hub CSPM API ]

**メンバーシップの招待を承諾するには**

[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AcceptAdministratortInvitation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AcceptAdministratortInvitation.html) API を呼び出します。招待識別子と管理者アカウントの AWS アカウント ID を指定する必要があります。招待の詳細を取得するには、[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListInvitations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListInvitations.html) オペレーションを使用します。

------
#### [ AWS CLI ]

**メンバーシップの招待を承諾するには**

[https://docs.aws.amazon.com/cli/latest/reference/securityhub/accept-administrator-invitation.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/accept-administrator-invitation.html) コマンドを実行します。招待識別子と管理者アカウントの AWS アカウント ID を指定する必要があります。招待の詳細を取得するには、[https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-invitations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-invitations.html) コマンドを実行します。

```
aws securityhub accept-administrator-invitation --administrator-id <administratorAccountID> --invitation-id <invitationID>
```

**例**

```
aws securityhub accept-administrator-invitation --administrator-id 123456789012 --invitation-id 7ab938c5d52d7904ad09f9e7c20cc4eb
```

------

**注記**  
Security Hub CSPM コンソールは引き続き `AcceptInvitation` を使用します。最終的には `AcceptAdministratorInvitation` を使用するように変更されます。この機能へのアクセスを制御する IAM ポリシーは、引き続き `AcceptInvitation` を使用する必要があります。また、コンソールで `AcceptAdministratorInvitation` の使用が開始された後に正しい許可が設定されているようにするには、ポリシーに `AcceptAdministratorInvitation` を追加する必要があります。

## 招待の拒否
<a name="securityhub-decline-invitation"></a>

Security Hub CSPM メンバーアカウントへの招待を拒否できます。Security Hub CSPM コンソールで招待を拒否すると、管理者アカウントのメンバーアカウントのリストで、アカウントが **[退会済み]** とマークされます。**[辞退]** ステータスは、管理者アカウントを使用して Security Hub CSPM コンソールにサインインした場合にのみ表示されます。ただし、管理者アカウントにサインインして招待を削除するまで、招待はメンバーアカウントのコンソールで変更されません。

招待を拒否するには、招待を受けたメンバーアカウントにサインインする必要があります。

お好みの方法を選択し、手順に従ってメンバーアカウントへの招待を拒否します。

------
#### [ Security Hub CSPM console ]

**メンバーシップへの招待を拒否するには**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。

1. ナビゲーションペインで、**[Settings]** (設定) を選択し、**[Accounts]** (アカウント) を選択します。

1. **[管理者アカウント]** セクションで、**[招待を辞退]** を選択します。

------
#### [ Security Hub CSPM API ]

**メンバーシップへの招待を拒否するには**

[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DeclineInvitations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DeclineInvitations.html) API を呼び出します。招待を発行した管理者アカウントの AWS アカウント ID を指定する必要があります。招待に関する情報を表示するには、[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListInvitations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListInvitations.html) オペレーションを使用します。

------
#### [ AWS CLI ]

**メンバーシップへの招待を拒否するには**

[https://docs.aws.amazon.com/cli/latest/reference/securityhub/decline-invitations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/decline-invitations.html) コマンドを実行します。招待を発行した管理者アカウントの AWS アカウント ID を指定する必要があります。招待に関する情報を表示するには、[https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-invitations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-invitations.html) コマンドを実行します。

```
aws securityhub decline-invitations --account-ids "<administratorAccountId>"
```

**例**

```
aws securityhub decline-invitations --account-ids "123456789012"
```

------

# Security Hub CSPM でメンバーアカウントの関連付けを解除する
<a name="securityhub-disassociate-members"></a>

**注記**  
メンバーアカウントを管理するには、Security Hub CSPM の招待 AWS Organizations の代わりに を使用することをお勧めします。詳細については、「[を使用した複数のアカウントの Security Hub CSPM の管理 AWS Organizations](securityhub-accounts-orgs.md)」を参照してください。

 AWS Security Hub CSPM 管理者アカウントは、メンバーアカウントの関連付けを解除して、そのアカウントからの検出結果の受信と表示を停止できます。メンバーを削除する前に、メンバーアカウントの関連付けを解除する必要があります。

メンバーアカウントの関連付けを解除すると、メンバーアカウントのリストには残りますが、ステータスが **[Removed (Disassociated)]** (削除 (関連付け解除)) になります。アカウントは、メンバーアカウントの管理者アカウント情報から削除されます。

アカウントの結果の受信を再開するには、招待を再送信します。メンバーアカウントを完全に削除するには、メンバーアカウントを削除します。

お好みの方法を選択し、手順に従って、手動で招待されたメンバーアカウントと管理者アカウントの関連付けを解除します。

------
#### [ Security Hub CSPM console ]

**手動で招待したメンバーアカウントの関連付けを解除するには**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。

   管理者アカウントの認証情報を使用してサインインします。

1. ナビゲーションペインの **[設定]** で **[設定]** を選択します。

1. **[アカウント]** セクションで、関連付けを解除するアカウントを選択します。

1. **[アクション]** を選択してから、**[アカウントの関連付けを解除する]** を選択します。

------
#### [ Security Hub CSPM API ]

**手動で招待したメンバーアカウントの関連付けを解除するには**

管理者アカウントで、[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisassociateMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisassociateMembers.html) API を呼び出します。関連付けを解除するメンバーアカウントの AWS アカウント IDs を指定する必要があります。メンバーアカウントのリストを表示するには、[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListMembers.html) オペレーションを使用します。

------
#### [ AWS CLI ]

**手動で招待したメンバーアカウントの関連付けを解除するには**

管理者アカウントで、[https://docs.aws.amazon.com/cli/latest/reference/securityhub/disassociate-members.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/disassociate-members.html) コマンドを実行します。関連付けを解除するメンバーアカウントの AWS アカウント IDs を指定する必要があります。メンバーアカウントのリストを表示するには、[https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-members.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-members.html) コマンドを実行します。

```
aws securityhub disassociate-members --account-ids <accountIds>
```

**例**

```
aws securityhub disassociate-members --account-ids "123456789111" "123456789222"
```

------

# Security Hub CSPM でのメンバーアカウントの削除
<a name="securityhub-delete-member-accounts"></a>

**注記**  
メンバーアカウントを管理するには、Security Hub CSPM の招待 AWS Organizations の代わりに を使用することをお勧めします。詳細については、「[を使用した複数のアカウントの Security Hub CSPM の管理 AWS Organizations](securityhub-accounts-orgs.md)」を参照してください。

 AWS Security Hub CSPM 管理者アカウントは、招待によって追加されたメンバーアカウントを削除できます。有効なアカウントを削除する前に、関連付けを解除する必要があります。

メンバーアカウントを削除すると、そのメンバーアカウントはリストから完全に削除されます。アカウントのメンバーシップを復元するには、アカウントを追加し、まったく新しいメンバーアカウントであるかのように再度招待する必要があります。

組織に属するアカウントと、 との統合を使用して管理されているアカウントを削除することはできません AWS Organizations。

お好みの方法を選択し、手順に従って手動で招待されたメンバーアカウントを削除します。

------
#### [ Security Hub CSPM console ]

**手動で招待したメンバーアカウントを削除するには**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。

   管理者アカウントを使用してサインインします。

1. ナビゲーションペインで、**[設定]** を選択し、**[設定]** を選択します。

1. **[招待アカウント]** タブを選択します。次に、削除するアカウントを選択します。

1. **[アクション]**、**[削除]** の順に選択します。このオプションは、アカウントの関連付けを解除した場合にのみ使用できます。メンバーアカウントを削除する前に、関連付けを解除する必要があります。

------
#### [ Security Hub CSPM API ]

**手動で招待したメンバーアカウントを削除するには**

管理者アカウントで、[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DeleteMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DeleteMembers.html) API を呼び出します。削除するメンバーアカウントの AWS アカウント ID を指定する必要があります。メンバーアカウントのリストを取得するには、[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListMembers.html) API を呼び出します。

------
#### [ AWS CLI ]

**手動で招待したメンバーアカウントを削除するには**

管理者アカウントで、[https://docs.aws.amazon.com/cli/latest/reference/securityhub/delete-members.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/delete-members.html) コマンドを実行します。削除するメンバーアカウントの AWS アカウント ID を指定する必要があります。メンバーアカウントのリストを取得するには、[https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-members.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-members.html) コマンドを実行します。

```
aws securityhub delete-members --account-ids <memberAccountIDs>
```

**例**

```
aws securityhub delete-members --account-ids "123456789111" "123456789222"
```

------

# Security Hub CSPM 管理者アカウントとの関連付けを解除する
<a name="securityhub-disassociate-from-admin"></a>

**注記**  
メンバーアカウントを管理するには、Security Hub CSPM の招待 AWS Organizations の代わりに を使用することをお勧めします。詳細については、「[を使用した複数のアカウントの Security Hub CSPM の管理 AWS Organizations](securityhub-accounts-orgs.md)」を参照してください。

招待によってアカウントが AWS Security Hub CSPM メンバーアカウントとして追加された場合は、メンバーアカウントの管理者アカウントとの関連付けを解除できます。メンバーアカウントの関連付けを解除すると、Security Hub CSPM は、そのアカウントから管理者アカウントに検出結果を送信しません。

との統合を使用して管理されているメンバーアカウント AWS Organizations は、管理者アカウントからアカウントの関連付けを解除できません。Security Hub CSPM の委任管理者のみが、Organizations で管理されているメンバーアカウントの関連付けを解除できます。

管理者アカウントとの関連付けを解除すると、管理者アカウントのメンバーリストには残りますが、アカウントはステータスが **[Resigned]** (辞退) になります。ただし、管理者アカウントはアカウントの結果を受信しません。

管理者アカウントとの関連付けを解除しても、メンバーになるための招待は残ります。この招待は、今後再度承諾できます。

------
#### [ Security Hub CSPM console ]

**管理者アカウントとの関連付けを解除するには**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。

1. ナビゲーションペインで、**[Settings]** (設定) を選択し、**[Accounts]** (アカウント) を選択します。

1. **[管理者アカウント]** セクションで、**[承諾]** をオフにし、**[更新]** を選択します。

------
#### [ Security Hub CSPM API ]

**管理者アカウントとの関連付けを解除するには**

[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisassociateFromAdministratorAccount.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisassociateFromAdministratorAccount.html) API を呼び出します。

------
#### [ AWS CLI ]

**管理者アカウントとの関連付けを解除するには**

[https://docs.aws.amazon.com/cli/latest/reference/securityhub/disassociate-from-administrator-account.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/disassociate-from-administrator-account.html) コマンドを実行します。

```
aws securityhub disassociate-from-administrator-account
```

------

**注記**  
Security Hub CSPM コンソールは引き続き `DisassociateFromMasterAccount` を使用します。最終的には `DisassociateFromAdministratorAccount` を使用するように変更されます。この機能へのアクセスを制御する IAM ポリシーは、引き続き `DisassociateFromMasterAccount` を使用する必要があります。また、コンソールで `DisassociateFromAdministratorAccount` の使用が開始された後に正しい許可が設定されているようにするには、ポリシーに `DisassociateFromAdministratorAccount` を追加する必要があります。

# Security Hub CSPM でアカウントを管理するための Organizations への移行
<a name="accounts-transition-to-orgs"></a>

 AWS Security Hub CSPM でアカウントを手動で管理する場合は、メンバー候補アカウントを招待し、各メンバーアカウントを個別に設定する必要があります AWS リージョン。

Security Hub CSPM と を統合することで AWS Organizations、招待を送信する必要がなくなり、Security Hub CSPM が組織内でどのように設定およびカスタマイズされるかをより詳細に制御できます。このため、Security Hub CSPM の招待の代わりに AWS Organizations を使用してメンバーアカウントを管理することをお勧めします。詳細については、「[を使用した複数のアカウントの Security Hub CSPM の管理 AWS Organizations](securityhub-accounts-orgs.md)」を参照してください。

 AWS Organizations 統合を使用する複合アプローチを使用できますが、組織外にアカウントを手動で招待することもできます。ただし、Organizations の統合のみを使用することをお勧めします。[中央設定](central-configuration-intro.md)は、複数のアカウントやリージョンにわたって Security Hub CSPM を管理するのに役立つ機能であり、Organizations と統合する場合にのみ使用できます。

このセクションでは、手動による招待ベースのアカウント管理から AWS Organizationsによるアカウント管理に移行する方法について説明します。

## Security Hub CSPM と の統合 AWS Organizations
<a name="transition-activate-orgs-integration"></a>

まず、Security Hub CSPM と を統合する必要があります AWS Organizations。

次の手順を完了することで、これらのサービスを統合できます。
+  AWS Organizationsで組織を作成します。手順については、「*AWS Organizations ユーザーガイド*」の「[組織の作成](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_create.html#create-org)」を参照してください。
+ Organizations 管理アカウントから、Security Hub CSPM の委任管理者アカウントを指定します。

**注記**  
Organizations 管理アカウントを DA アカウントとして使用することは*できません*。

詳細な手順については、「[Security Hub CSPM と の統合 AWS Organizations](designate-orgs-admin-account.md)」を参照してください。

前のステップを完了することで、Security Hub CSPM の[信頼されたアクセス](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-securityhub.html#integrate-enable-ta-securityhub)を許可します AWS Organizations。これにより、委任管理者アカウントの現在の で Security Hub CSPM AWS リージョン も有効になります。

委任管理者は、主に組織のアカウントを Security Hub CSPM メンバーアカウントとして追加することで、Security Hub CSPM で組織を管理できます。また、管理者は、そのアカウントの特定の Security Hub CSPM 設定、データ、およびリソースにアクセスできます。

Organizations を使用してアカウント管理に移行しても、招待ベースのアカウントが自動的に Security Hub CSPM のメンバーになることはありません。Security Hub CSPM メンバーになることができるのは、新しい組織に追加したアカウントのみです。

統合をアクティブ化すると、Organizations でアカウントを管理できるようになります。詳細については、「[を使用した複数のアカウントの Security Hub CSPM の管理 AWS Organizations](securityhub-accounts-orgs.md)」を参照してください。アカウント管理は、組織の設定タイプによって異なります。

# Security Hub CSPM で管理者アカウントとメンバーアカウントが許可するアクション
<a name="securityhub-accounts-allowed-actions"></a>

管理者アカウントとメンバーアカウントは、次の表に示す AWS Security Hub CSPM アクションにアクセスできます。テーブルの値の意味は次のとおりです。
+ **すべて -** アカウントは、同じ管理者のすべてのメンバーアカウントに対してアクションを実行できます。
+ **現在 —** アカウントは、ユーザー自身 (現在サインインしているアカウント) に対してのみアクションを実行できます。
+ **ダッシュ —** アカウントがアクションを実行できないことを示します。

表で説明したように、許可されるアクションは、 と統合するかどうか AWS Organizations 、および組織が使用する設定タイプによって異なります。中央設定とローカル設定の違いについては、「[を使用したアカウントの管理 AWS Organizations](securityhub-accounts.md#securityhub-orgs-account-management-overview)」を参照してください。

Security Hub CSPM では、メンバーアカウントの検出結果を管理者アカウントにコピーすることはありません。Security Hub CSPM では、すべての検出結果が、特定のアカウントの特定のリージョンに取り込まれます。管理者アカウントは、各リージョンのメンバーアカウントの結果を表示および管理できます。

集約リージョンを設定する場合は、管理者アカウントで、集約リージョンにレプリケートされたリンク済みリージョンのメンバーアカウントの検出結果を表示および管理することができます。クロスリージョン集約の詳細については、「[クロスリージョン集約](https://docs.aws.amazon.com/securityhub/latest/userguide/finding-aggregation.html)」を参照してください。

次の表は、管理者およびメンバーアカウントのデフォルトの許可を示しています。カスタム IAM ポリシーを使用することで、Security Hub CSPM の機能へのアクセスをさらに制限できます。ガイダンスと例については、ブログ記事[「IAM ポリシーを AWS Security Hub CSPM のユーザーペルソナに調整](https://aws.amazon.com/blogs/security/aligning-iam-policies-to-user-personas-for-aws-security-hub/)する」を参照してください。

## Organizations と統合して中央設定を使用する場合に許可されるアクション
<a name="central-configuration-allowed-actions"></a>

Organizations と統合して中央設定を使用する場合、管理者アカウントとメンバーアカウントは次のように Security Hub CSPM のアクションにアクセスできます。


|  Action  |  Security Hub CSPM 委任管理者アカウント  |  一元管理型メンバーアカウント  |  セルフマネージド型メンバーアカウント  | 
| --- | --- | --- | --- | 
|  Security Hub CSPM 設定ポリシーを作成および管理する  |  セルフマネージド型アカウントおよび一元管理型アカウント用  |  –  |  –  | 
|  組織のアカウントを表示する  |  いずれか  |  –  |  –  | 
|  メンバーアカウントの関連付けを解除する  |  いずれか  |  –  |  –  | 
|  メンバーアカウントを削除する  |  組織以外のアカウントすべて  |  –  |  –  | 
|  Security Hub CSPM を無効にする  |  現在のアカウントおよび一元管理型アカウント用  |  –  |  現在 (管理者アカウントから関連付けを解除する必要があります)  | 
|  検出結果と検索履歴を表示する  |  いずれか  |  Current  |  Current  | 
|  検出結果を更新する  |  いずれか  |  Current  |  Current  | 
|  インサイトの結果を表示する  |  いずれか  |  Current  |  Current  | 
|  コントロールの詳細を表示する  |  いずれか  |  Current  |  Current  | 
|  統合コントロール検出結果のオン/オフを切り替える  |  いずれか  |  –  |  –  | 
|  標準を有効または無効にする  |  現在のアカウントおよび一元管理型アカウント用  |  –  |  Current  | 
|  コントロールを有効または無効にする  |  現在のアカウントおよび一元管理型アカウント用  |  –  |  Current  | 
|  統合を有効または無効にする  |  Current  |  Current  |  Current  | 
|  クロスリージョン集約を設定する  |  いずれか  |  –  |  –  | 
|  ホームリージョンとリンクされたリージョンを選択する  |  すべて (ホームリージョンを変更するには、中央設定をいったん停止して再起動する必要があります)  |  –  |  –  | 
|  カスタムアクションを設定する  |  Current  |  Current  |  Current  | 
|  自動化ルールを設定する  |  いずれか  |  –  |  –  | 
|  カスタムインサイトを設定する  |  Current  |  Current  |  Current  | 

## Organizations と統合してローカル設定を使用する場合に許可されるアクション
<a name="orgs-allowed-actions"></a>

Organizations と統合してローカル設定を使用する場合、管理者アカウントとメンバーアカウントは次のように Security Hub CSPM のアクションにアクセスできます。


|  Action  |  Security Hub CSPM 委任管理者アカウント  |  メンバーアカウント  | 
| --- | --- | --- | 
|  Security Hub CSPM 設定ポリシーを作成および管理する  |  –  |  –  | 
|  組織のアカウントを表示する  |  いずれか  |  –  | 
|  メンバーアカウントの関連付けを解除する  |  いずれか  |  –  | 
|  メンバーアカウントを削除する  |  –  |  –  | 
|  Security Hub CSPM を無効にする  |  –  |  現在 (アカウントと委任された管理者との関連付けが解除されている場合)  | 
|  検出結果と検索履歴を表示する  |  いずれか  |  Current  | 
|  検出結果を更新する  |  いずれか  |  Current  | 
|  インサイトの結果を表示する  |  いずれか  |  Current  | 
|  コントロールの詳細を表示する  |  いずれか  |  Current  | 
|  統合コントロール検出結果のオン/オフを切り替える  |  いずれか  |  –  | 
|  標準を有効または無効にする  |  Current  |  Current  | 
|  新しい組織アカウントで Security Hub CSPM とデフォルトの標準を自動的に有効にする  |  現在のアカウントと新しい組織アカウント用  |  –  | 
|  コントロールを有効または無効にする  |  Current  |  Current  | 
|  統合を有効または無効にする  |  Current  |  Current  | 
|  クロスリージョン集約を設定する  |  いずれか  |  –  | 
|  カスタムアクションを設定する  |  Current  |  Current  | 
|  自動化ルールを設定する  |  いずれか  |  –  | 
|  カスタムインサイトを設定する  |  Current  |  Current  | 

## 招待ベースのアカウントで許可されるアクション
<a name="manual-allowed-actions"></a>

管理者アカウントとメンバーアカウントは、招待ベースの方法を使用して、 と統合するのではなく、アカウントを手動で管理する場合、次のように Security Hub CSPM アクションにアクセスできます AWS Organizations。


|  Action  |  Security Hub CSPM 管理者アカウント  |  メンバーアカウント  | 
| --- | --- | --- | 
|  Security Hub CSPM 設定ポリシーを作成および管理する  |  –  |  –  | 
|  組織のアカウントを表示する  |  いずれか  |  –  | 
|  メンバーアカウントの関連付けを解除する  |  いずれか  |  Current  | 
|  メンバーアカウントを削除する  |  いずれか  |  –  | 
|  Security Hub CSPM を無効にする  |  現在 (有効なメンバーアカウントがない場合)  |  現在 (アカウントと管理者アカウントの関連付けが解除されている場合)  | 
|  検出結果と検索履歴を表示する  |  いずれか  |  Current  | 
|  検出結果を更新する  |  いずれか  |  Current  | 
|  インサイトの結果を表示する  |  いずれか  |  Current  | 
|  コントロールの詳細を表示する  |  いずれか  |  Current  | 
|  統合コントロール検出結果のオン/オフを切り替える  |  いずれか  |  –  | 
|  標準を有効または無効にする  |  Current  |  Current  | 
|  新しい組織アカウントで Security Hub CSPM とデフォルトの標準を自動的に有効にする  |  –  |  –  | 
|  コントロールを有効または無効にする  |  Current  |  Current  | 
|  統合を有効または無効にする  |  Current  |  Current  | 
|  クロスリージョン集約を設定する  |  いずれか  |  –  | 
|  カスタムアクションを設定する  |  Current  |  Current  | 
|  自動化ルールを設定する  |  いずれか  |  –  | 
|  カスタムインサイトを設定する  |  Current  |  Current  | 

# アカウントアクションが Security Hub CSPM データに及ぼす影響
<a name="securityhub-data-retention"></a>

これらのアカウントアクションは、 AWS Security Hub CSPM データに次の影響を与えます。

## Security Hub CSPM を無効にする
<a name="securityhub-effects-disable-securityhub"></a>

[中央設定](central-configuration-intro.md)を使用する場合、委任管理者 (DA) は、特定のアカウントや組織単位 (OU) で AWS Security Hub CSPM を無効にする Security Hub CSPM 設定ポリシーを作成できます。この場合、指定したアカウントとホームリージョンおよびリンクされたリージョンの OU では Security Hub CSPM が無効になります。中央設定を使用しない場合、Security Hub CSPM を有効にした各アカウントとリージョンで、Security Hub CSPM を個別に無効にする必要があります。また、DA アカウントで Security Hub CSPM が無効になっている場合は、中央設定を使用できません。

Security Hub CSPM が管理者アカウントで無効になっている場合、管理者アカウントで新しい検出結果は生成および更新されません。既存のアーカイブされた検出結果は生成後 30 日後に削除されます。既存のアーカイブされた検出結果は生成後 90 日後に削除されます。

他の との統合 AWS のサービス は削除されます。

有効になっているセキュリティ標準およびコントロールは無効になります。

カスタムアクション、インサイト、サードパーティー製品のサブスクリプションを含む、その他の Security Hub CSPM データと設定は 90 日間保持されます。

## 管理者アカウントからメンバーアカウントとの関連付けを解除する
<a name="securityhub-effects-member-disassociation"></a>

メンバーアカウントが管理者アカウントとの関連付けを解除されると、管理者アカウントはそのメンバーアカウントの結果を表示するための許可を失います。ただし、Security Hub CSPM は両方のアカウントで引き続き有効になっています。

中央設定を使用する場合、DA は DA アカウントとの関連付けが解除されたメンバーアカウントに Security Hub CSPM を設定できません。

管理者アカウントに対して定義されたカスタム設定または統合は、過去のメンバーアカウントからの結果には適用されません。例えば、アカウントの関連付けが解除された後に、管理者アカウントのカスタムアクションを、Amazon EventBridge ルールのイベントパターンとして使用することが可能です。ただし、このカスタムアクションをメンバーアカウントで使用することはできません。

Security Hub CSPM 管理者アカウントの **[アカウント]** リストでは、削除されたアカウントのステータスが **[関連付けを解除済み]** になります。

## メンバーアカウントが組織から削除されている
<a name="securityhub-effects-member-leaves-org"></a>

メンバーアカウントが組織から削除されると、Security Hub CSPM 管理者アカウントはそのメンバーアカウントの検出結果を表示するための許可を失います。ただし、Security Hub CSPM では、両方のアカウントが削除前と同じ設定で引き続き有効になっています。

中央設定を使用する場合、委任管理者が所属する組織からメンバーアカウントが削除された後は、そのメンバーアカウントに Security Hub CSPM を設定することはできません。ただし、手動で変更しない限り、アカウントは削除前の設定を保持します。

Security Hub CSPM 管理者アカウントの **[アカウント]** リストでは、削除されたアカウントのステータスが **[削除済み]** になります。

## アカウントの停止
<a name="securityhub-effects-account-suspended"></a>

 AWS アカウント が停止されると、アカウントは Security Hub CSPM で検出結果を表示するアクセス許可を失います。そのアカウントに対する検出結果は生成および更新されません。停止されたアカウントの管理者アカウントは、アカウントの既存の検出結果を表示できます。

組織アカウントの場合、メンバーアカウントのステータスが **[Account Suspended]** (アカウントの停止) に変更されることもあります。これは、管理者アカウントがアカウントを有効にしようとしたときにアカウントが停止されている場合に発生します。**[Account Suspended]** (アカウントの停止)になっている場合、管理者アカウントは、そのアカウントの結果を表示することはできません。それ以外の場合、停止ステータスによってメンバーアカウントのステータスに影響が生じることはありません。

中央設定を使用する場合、委任された管理者が設定ポリシーを一時停止中のアカウントに関連付けようとしても、ポリシーの関連付けは失敗します。

90 日後、アカウントは削除または再アクティブ化されます。アカウントが再アクティブ化されると、その Security Hub CSPM 許可が復元されます。メンバーアカウントのステータスが **[Account Suspended]** (アカウントの停止) の場合、管理者アカウントでそのアカウントを手動で有効にする必要があります。

## アカウントの閉鎖
<a name="securityhub-effects-account-deletion"></a>

 AWS アカウント が閉鎖されると、Security Hub CSPM は閉鎖に次のように応答します。

アカウントが Security Hub CSPM 管理者アカウントの場合、アカウントは管理者アカウントとして削除され、すべてのメンバーアカウントもすべて削除されます。アカウントがメンバーアカウントの場合、Security Hub CSPM 管理者アカウントとの関連付けが解除され、メンバーから削除されます。

Security Hub CSPM は、アーカイブされた既存の検出結果を 30 日間アカウントに保持します。コントロールの検出結果の場合、30 日の計算は検出結果の `UpdatedAt` フィールドの値に基づきます。他のタイプの検出結果の場合、計算は、検出結果の `UpdatedAt` フィールドまたは `ProcessedAt` フィールドのいずれかの、最新の日付の値に基づきます。この 30 日が経過すると、Security Hub CSPM では、そのアカウントの検出結果が完全に削除されます。

Security Hub CSPM は、既存のアクティブな検出結果を 90 日間アカウントに保持します。コントロールの検出結果の場合、90 日の計算は検出結果の `UpdatedAt` フィールドの値に基づきます。他のタイプの検出結果の場合、計算は、検出結果の `UpdatedAt` フィールドまたは `ProcessedAt` フィールドのいずれかの、最新の日付の値に基づきます。この 90 日が経過すると、Security Hub CSPM では、そのアカウントの検出結果が完全に削除されます。

既存の検出結果を長期間保持するには、検出結果を S3 バケットにエクスポートできます。これを行うには、Amazon EventBridge ルールでカスタムアクションを使用します。詳細については、「[EventBridge を使用した自動応答と修復](securityhub-cloudwatch-events.md)」を参照してください。

**重要**  
のお客様は AWS GovCloud (US) Regions、アカウントを閉鎖する前に、ポリシーデータやその他のアカウントリソースをバックアップして削除します。アカウントを閉鎖すると、リソースとデータにアクセスできなくなります。

詳細については、「*AWS アカウント管理 リファレンスガイド*」の「[AWS アカウントの閉鎖](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/close-account.html)」を参照してください。