翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Security Hub CSPM の有効化
Security Hub CSPM AWS を有効にするには、 AWS Organizations と統合するか、手動で 2 つの方法があります。
マルチアカウントおよびマルチリージョン環境では、Organizations との統合を強くお勧めします。スタンドアロンアカウントをお持ちの場合は、Security Hub CSPM を手動で設定する必要があります。
## 必要なアクセス許可を確認する
Security Hub CSPM の機能を使用するには、Amazon Web Services (AWS) へのサインアップ後に Security Hub CSPM を有効化する必要があります。Security Hub CSPM を有効化にするには、まず Security Hub CSPM コンソールと API オペレーションへのアクセスを可能にするアクセス許可を設定する必要があります。これを行う AWS には、 AWS Identity and Access Management (IAM) を使用して、 というマネージドポリシーを AWS IAM ID `AWSSecurityHubFullAccess`にアタッチします。
Organizations 統合を通じて Security Hub CSPM を有効にして管理するには、 という AWS 管理ポリシーもアタッチする必要があります`AWSSecurityHubOrganizationsAccess`。
詳細については、「[AWS Security Hub の マネージドポリシー](security-iam-awsmanpol.md)」を参照してください。
## Security Hub CSPM と Organizations との統合を有効にする
で Security Hub CSPM の使用を開始するには AWS Organizations、組織の AWS Organizations 管理アカウントが、組織の委任 Security Hub CSPM 管理者アカウントとしてアカウントを指定します。Security Hub CSPM は、現在のリージョンの委任管理者アカウントで自動的に有効になります。
ご希望の方法を選択し、手順に従って委任管理者を指定します。
------
#### [ Security Hub CSPM console ]
**オンボーディング時に Security Hub CSPM 委任管理者を指定するには**
1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。
1. **[Security Hub CSPM に移動]** を選択します。組織の管理アカウントにサインインするよう求めるメッセージが表示されます。
1. **[委任された管理者アカウント]** セクションの **[委任された管理者を指定]** ページで、委任された管理者アカウントを指定します。委任された管理者には、他の AWS セキュリティおよびコンプライアンスサービスと同一の設定を選択することをお勧めします。
1. **[委任された管理者を設定]** を選択します。
------
#### [ Security Hub CSPM API ]
Organizations 管理アカウントから [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_EnableOrganizationAdminAccount.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_EnableOrganizationAdminAccount.html) API を呼び出します。Security Hub CSPM の委任管理者アカウントの AWS アカウント ID を指定します。
------
#### [ AWS CLI ]
Organizations 管理アカウントから [https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-organization-admin-account.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-organization-admin-account.html) コマンドを実行します。Security Hub CSPM の委任管理者アカウントの AWS アカウント ID を指定します。
**コマンドの例:**
```
aws securityhub enable-organization-admin-account --admin-account-id 777788889999
```
------
Organizations との統合の詳細については、「[Security Hub CSPM と の統合 AWS Organizations](designate-orgs-admin-account.md)」を参照してください。
### 中央設定
Security Hub CSPM と Organizations を統合することで、[中央設定](central-configuration-intro.md)と呼ばれる機能を使用して組織の Security Hub CSPM を設定および管理できます。管理者が組織のセキュリティ範囲をカスタマイズできるため、中央設定を使用することを強くお勧めします。必要に応じて、委任管理者はメンバーアカウントによる独自のセキュリティカバレッジの設定を許可できます。
中央設定により、委任管理者は複数のアカウント、OU、および AWS リージョンに対して Security Hub CSPM を設定できます。委任管理者は、設定ポリシーを作成して Security Hub CSPM を設定します。設定ポリシー内では、以下の設定を指定できます。
+ Security Hub CSPM を有効にするか無効にするか
+ どのセキュリティ標準を有効または無効にするか
+ どのセキュリティコントロールを有効または無効にするか
+ コントロール選択用のパラメータをカスタマイズするかどうか
委任管理者は、組織全体を対象とする単一の設定ポリシーを作成することも、さまざまなアカウントや OU に異なる設定ポリシーを作成することもできます。例えば、テストアカウントと本稼働アカウントでは異なる設定ポリシーを使用できます。
設定ポリシーを使用するメンバーアカウントと OU は*一元管理*され、委任管理者のみが設定を行うことができます。委任管理者は、特定のメンバーアカウントと OU を*セルフマネージド型* として指定し、メンバー自身がリージョン単位で独自の設定を行えるようにすることができます。
中央設定を使用しない場合は、原則的に各アカウントとリージョンについて個別に Security Hub を設定する必要があります。これは[ローカル設定](local-configuration.md)と呼ばれます。ローカル設定の場合、委任管理者は、現在のリージョンの新しい組織アカウントで、Security Hub CSPM および限定された一連のセキュリティ標準を自動的に有効にできます。ローカル設定は、既存の組織アカウントや、現在のリージョン以外のリージョンには適用されません。また、ローカル設定では設定ポリシーの使用もサポートされていません。
## Security Hub CSPM の手動での有効化
スタンドアロンアカウントがある場合、または と統合していない場合は、Security Hub CSPM を手動で有効にする必要があります AWS Organizations。スタンドアロンアカウントは と統合できず AWS Organizations 、手動有効化を使用する必要があります。
Security Hub CSPM を手動で有効にする場合は、Security Hub CSPM 管理者アカウントを指定し、他のアカウントを招待してメンバーアカウントにします。管理者とメンバーの関係は、メンバーアカウント候補が招待を受け入れたときに確立されます。
ご希望の方法を選択し、手順に従って Security Hub CSPM を有効にします。コンソールから Security Hub CSPM を有効にする場合は、サポートされているセキュリティ標準を有効にするオプションも提供されています。
------
#### [ Security Hub CSPM console ]
1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。
1. Security Hub CSPM コンソールを初めて開く場合は、**[Security Hub CSPM に移動]** を選択します。
1. ウェルカムページには、Security Hub CSPM でサポートするセキュリティ標準が **[セキュリティ標準]** セクションに一覧表示されます。
基準のチェックボックスを選択して有効にします。チェックボックスをオフにすると無効になります。
標準またはその個々のコントロールは、いつでも有効または無効にできます。セキュリティ標準の管理の詳細については、「[Security Hub CSPM のセキュリティ標準を理解する](standards-view-manage.md)」を参照してください。
1. **[Enable Security Hub]** (Security Hub の有効化) を選択します。
------
#### [ Security Hub CSPM API ]
[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_EnableSecurityHub.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_EnableSecurityHub.html) API を呼び出します。API から Security Hub CSPM を有効にすると、以下のデフォルトのセキュリティ標準が自動的に有効になります。
+ AWS 基本的なセキュリティのベストプラクティス
+ Center for Internet Security (CIS) AWS Foundations Benchmark v1.2.0
これらの標準を有効にしない場合は、`EnableDefaultStandards` を `false` に設定します。
また `Tags` パラメータを使用して、ハブリソースにタグ値を割り当てることもできます。
------
#### [ AWS CLI ]
[https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-security-hub.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-security-hub.html) コマンドを実行します。デフォルトの標準を有効にするには、`--enable-default-standards` を含めます。デフォルトの標準を有効にしない場合は、`--no-enable-default-standards` を含めます。デフォルトのセキュリティ基準は次のとおりです。
+ AWS 基本的なセキュリティのベストプラクティス
+ Center for Internet Security (CIS) AWS Foundations Benchmark v1.2.0
```
aws securityhub enable-security-hub [--tags ] [--enable-default-standards | --no-enable-default-standards]
```
**例**
```
aws securityhub enable-security-hub --enable-default-standards --tags '{"Department": "Security"}'
```
------
### マルチアカウント有効化スクリプト
**注記**
このスクリプトの代わりに、中央設定を使用して複数のアカウントとリージョンに対して Security Hub CSPM を有効にして設定することをお勧めします。
[GitHub の Security Hub CSPM マルチアカウント有効化スクリプト](https://github.com/awslabs/aws-securityhub-multiaccount-scripts)では、複数のアカウントやリージョンに対して Security Hub CSPM を有効化することができます。スクリプトを使用することで、メンバーアカウントへの招待の送信と AWS Configの有効化のプロセスも自動化されます。
このスクリプトは、すべてのリージョンで、グローバル AWS Config リソースを含むすべてのリソースのリソース記録を自動的に有効にします。グローバルリソースの記録を 1 つのリージョンに制限するものではありません。コストを削減するには、グローバルリソースを 1 つのリージョンにのみ記録することを推奨しています。中央設定またはクロスリージョン集約を使用する場合、このリージョンはホームリージョンである必要があります。詳細については、「[でのリソースの記録 AWS Config](securityhub-setup-prereqs.md#config-resource-recording)」を参照してください。
上記に対応するスクリプトとして、複数のアカウントとリージョンで Security Hub CSPM を無効にするスクリプトがあります。
## 次のステップ: 体制管理と統合
Security Hub CSPM を有効にしたら、セキュリティ標準とコントロールを有効にしてセキュリティ体制をモニタリングすることをお勧めします。コントロールを有効にすると、Security Hub CSPM はセキュリティチェックの実行と、 AWS 環境の設定ミスの検出に役立つコントロールの検出結果の生成を開始します。コントロールの検出結果を受け取るには、Security Hub CSPM AWS Config の を有効にして設定する必要があります。詳細については、「[Security Hub CSPM AWS Config の有効化と設定](securityhub-setup-prereqs.md)」を参照してください。
Security Hub CSPM を有効にした後、Security Hub CSPM と他の AWS のサービス およびサードパーティーソリューションとの統合を活用して、Security Hub CSPM で検出結果を確認することもできます。Security Hub CSPM は、さまざまなソースからの検出結果を集約し、一貫した形式で取り込みます。詳細については、「[Security Hub CSPM 統合について](securityhub-findings-providers.md)」を参照してください。
# Security Hub CSPM AWS Config の有効化と設定
AWS Security Hub CSPM は、 AWS Config ルールを使用してセキュリティチェックを実行し、ほとんどのコントロールの検出結果を生成します。 AWS Config は、 内の AWS リソースの設定の詳細なビューを提供します AWS アカウント。これは、ルールを使用してリソースのベースライン設定を確立し、設定レコーダーを使用して、特定のリソースがルールの条件に違反しているかどうかを検出します。
AWS Config マネージドルールと呼ばれる一部のルールは、 によって事前定義および開発されています AWS Config。その他のルールは、Security Hub CSPM が開発するカスタム AWS Config ルールです。Security Hub CSPM がコントロールに使用する AWS Config ルールは、*サービスにリンクされたルール*と呼ばれます。Security Hub CSPM AWS のサービス などのサービスにリンクされたルールでは、アカウントに AWS Config ルールを作成できます。
Security Hub CSPM でコントロールの検出結果を受信するには、アカウント AWS Config で を有効にする必要があります。また、有効なコントロールが評価するリソースタイプについて、リソース記録を有効にする必要があります。その後、Security Hub CSPM はコントロールに適切な AWS Config ルールを作成し、セキュリティチェックの実行とコントロールの検出結果の生成を開始できます。
**Topics**
+ [を有効にして設定する前に考慮すべき点 AWS Config](#securityhub-prereq-config)
+ [でのリソースの記録 AWS Config](#config-resource-recording)
+ [を有効にして設定する方法 AWS Config](#config-how-to-enable)
+ [Config.1 コントロールについて](#config-1-overview)
+ [サービスにリンクされたルールの生成](#securityhub-standards-generate-awsconfigrules)
+ [コストに関する考慮事項](#config-cost-considerations)
## を有効にして設定する前に考慮すべき点 AWS Config
Security Hub CSPM でコントロールの検出結果を受信するには、Security Hub CSPM が有効になってい AWS リージョン る各 でアカウントに対して を有効にする AWS Config 必要があります。マルチアカウント環境で Security Hub CSPM を使用する場合は、管理者アカウントとすべてのメンバーアカウントの各リージョンで AWS Config を有効にする必要があります。
Security Hub CSPM 標準とコントロールを有効にする AWS Config *前に*、 でリソース記録を有効にすることを強くお勧めします。これにより、コントロールの検出結果が正確であることが確認できます。
でリソース記録を有効にするには AWS Config、設定レコーダーにアタッチされている AWS Identity and Access Management (IAM) ロールにリソースを記録するのに十分なアクセス許可が必要です。さらに、IAM ポリシーまたは AWS Organizations ポリシーがリソースを記録するアクセス許可を AWS Config に与えないようにします。Security Hub CSPM コントロールは、リソース設定を直接評価し、 AWS Organizations ポリシーを考慮しません。 AWS Config の記録についての詳細は、「*AWS Config デベロッパーガイド*」の「[Working with the configuration recorder](https://docs.aws.amazon.com/config/latest/developerguide/stop-start-recorder.html)」を参照してください。
Security Hub CSPM で標準を有効にしているが、まだ有効にしていない場合 AWS Config、Security Hub CSPM は、次のスケジュールに従ってサービスにリンクされた AWS Config ルールを作成しようとします。
+ 標準を有効にした当日。
+ 標準を有効にした翌日。
+ 標準を有効にしてから 3 日後。
+ 標準を有効にしてから 7 日後 (その後は 7 日ごとに継続的に)。
中央設定を使用する場合、Security Hub CSPM は、1 つ以上の標準を有効にする設定ポリシーをアカウント、組織単位 (OUs)、またはルートに関連付けるたびに、サービスにリンクされた AWS Config ルールの作成も試みます。
## でのリソースの記録 AWS Config
を有効にするときは AWS Config、設定レコーダーに記録する AWS AWS Config リソースを指定する必要があります。設定レコーダーは、サービスにリンクされたルールを通じて、Security Hub CSPM がリソース設定の変更を検出できるようにします。
Security Hub CSPM が正確なコントロール検出結果を生成するには、有効化されたコントロールに対応するリソースタイプについて、 AWS Config で記録を有効にする必要があります。リソースの記録が必要なのは、主に*変更トリガー*スケジュールタイプの有効化されたコントロールです。*定期*スケジュールタイプの一部のコントロールでも、リソースの記録が必要です。これらのコントロールとそれに対応するリソースのリストについては、「[コントロールの検出結果に必要な AWS Config リソース](controls-config-resources.md)」を参照してください。
**警告**
Security Hub CSPM コントロールの記録 AWS Config を正しく設定しないと、特に次のインスタンスで、コントロールの検出結果が不正確になる可能性があります。
特定のコントロールのリソースを記録したことがない、またはそのタイプのリソースを作成する前にリソースの記録を無効にした。このような場合、記録を無効にした後にコントロールの範囲内でリソースを作成している場合でも、問題のコントロールの `WARNING` 検出結果が表示されます。この `WARNING` 検出結果は、リソースの設定状態を実際に評価しないデフォルトの検出結果です。
特定のコントロールによって評価されるリソースの記録を無効にする。この場合、コントロールが新規または更新されたリソースを評価していない場合でも、Security Hub CSPM は記録を無効にする前に生成されたコントロール検出結果を保持します。Security Hub CSPM は、検出結果のコンプライアンスステータスも `WARNING` に変更します。これらの保持された検出結果は、リソースの現在の設定状態を正確に反映していない可能性があります。
デフォルトでは、 AWS リージョン は、実行中の で検出されたサポートされているすべての*リージョンリソース* AWS Config を記録します。すべての Security Hub CSPM コントロールの検出結果を受信するには、*グローバルリソース*を記録する AWS Config ように も設定する必要があります。コストを削減するには、グローバルリソースを 1 つのリージョンにのみ記録することを推奨しています。中央設定またはクロスリージョン集約を使用する場合、このリージョンはホームリージョンである必要があります。
では AWS Config、リソースの状態の変化を継続的に*記録*するか、*毎日記録*するかを選択できます。日次記録を選択した場合、 はリソース状態に変更があった場合、24 時間ごとにリソース設定データを AWS Config 配信します。変化がなければ、データは配信されません。そのため、変更によってトリガーされるコントロールに関する Security Hub CSPM の検出結果の生成が 24 時間周期の終了まで遅れる可能性があります。
AWS Config 記録の詳細については、「 *AWS Config デベロッパーガイド*」の[AWS 「リソースの記録](https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html)」を参照してください。
## を有効にして設定する方法 AWS Config
リソース記録は、次のいずれかの方法で有効化 AWS Config および有効化できます。
+ **AWS Config コンソール** – AWS Config コンソールを使用して AWS Config 、アカウントの を有効にできます。手順については、「 *AWS Config デベロッパーガイド*[」の「 コンソール AWS Config でのセットアップ](https://docs.aws.amazon.com/config/latest/developerguide/gs-console.html)」を参照してください。
+ **AWS CLI または SDKs** – AWS Command Line Interface () を使用して AWS Config 、アカウントの を有効にできますAWS CLI。手順については、「 *AWS Config デベロッパーガイド*」の[「 AWS Config でのセットアップ AWS CLI](https://docs.aws.amazon.com/config/latest/developerguide/gs-cli.html)」を参照してください。 AWS ソフトウェア開発キット (SDK) は、多くのプログラミング言語でも使用できます。 SDKs
+ **CloudFormation テンプレート** – 多くのアカウント AWS Config で を有効にするには、**Enable AWS Config**という名前の AWS CloudFormation テンプレートを使用することをお勧めします。このテンプレートにアクセスする方法については、「*AWS CloudFormation ユーザーガイド*」の「[AWS CloudFormation StackSets サンプルテンプレート](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-sampletemplates.html)」を参照してください。
デフォルトでは、このテンプレートは IAM グローバルリソースの記録を除外します。IAM グローバルリソースの記録は、記録コストを節約するために、1 つの AWS リージョン でのみ有効にしてください。クロスリージョン集約を有効にしている場合、これは [Security Hub CSPM ホームリージョン](finding-aggregation.md)である必要があります。それ以外の場合は、Security Hub CSPM が使用可能で、IAM グローバルリソースの記録をサポートする任意のリージョンでも構いません。ホームリージョンまたはその他の選択したリージョンで、IAM グローバルリソースを含むすべてのリソースを記録する 1 つの StackSet を実行することを推奨します。次に、他のリージョンにある IAM グローバルリソース以外のすべてのリソースを記録する 2 つ目の StackSet を実行します。
+ **GitHub スクリプト** – Security Hub CSPM は、Security Hub CSPM と をリージョン間で複数のアカウント AWS Config に対して有効にする [GitHub スクリプト](https://github.com/awslabs/aws-securityhub-multiaccount-scripts)を提供します。このスクリプトは、 と統合していない場合や AWS Organizations、組織の一部ではないメンバーアカウントがある場合に便利です。
詳細については、 *AWS セキュリティ*ブログのブログ記事[「Optimize AWS Config for AWS Security Hub CSPM to effectively manage your cloud security posture](https://aws.amazon.com/blogs/security/optimize-aws-config-for-aws-security-hub-to-effectively-manage-your-cloud-security-posture/)」を参照してください。
## Config.1 コントロールについて
Security Hub CSPM では、 が無効になっている場合、[Config.1](config-controls.md#config-1) コントロール AWS Config はアカウントに`FAILED`結果を生成します。また、 AWS Config が有効になっていてもリソース記録が有効になっていない場合、アカウントに`FAILED`結果を生成します。
AWS Config が有効になっていてリソース記録が有効になっているが、有効なコントロールがチェックするタイプのリソースに対してリソース記録が有効になっていない場合、Security Hub CSPM は Config.1 コントロール`FAILED`の結果を生成します。この `FAILED` 検出結果に加えて、Security Hub CSPM は、有効なコントロールと、コントロールがチェックするリソースのタイプに関する `WARNING` 検出結果を生成します。たとえば、[KMS.5](kms-controls.md#kms-5) コントロールを有効にし、リソース記録が有効になっていない場合 AWS KMS keys、Security Hub CSPM は Config.1 コントロール`FAILED`の結果を生成します。Security Hub CSPM は、KMS.5 コントロールと KMS キーの `WARNING` 検出結果も生成します。
Config.1 コントロールの `PASSED` 検出結果を受信するには、有効なコントロールに対応するすべてのリソースタイプのリソース記録を有効にします。また、組織に必要ないコントロールも無効にします。これにより、セキュリティコントロールチェックで設定ギャップがなくなります。また、誤って設定されたリソースに関する正確な検出結果を確実に受け取れるようにします。
お客様が組織の委任された Security Hub CSPM 管理者である場合は、自分のアカウントとメンバーアカウントに対して AWS Config 記録を正しく設定する必要があります。クロスリージョン集約を使用する場合は、ホームリージョンとリンクされたすべてのリージョンで AWS Config 録音を正しく設定する必要があります。リンクされたリージョンでは、グローバルリソースを記録する必要はありません。
## サービスにリンクされたルールの生成
サービスにリンクされた AWS Config ルールを使用するコントロールごとに、Security Hub CSPM は必要なルールのインスタンスを AWS 環境に作成します。
これらのサービスにリンクされたルールは Security Hub CSPM に固有です。同じルールの他のインスタンスが既に存在している場合でも、Security Hub CSPM がこれらのサービスにリンクされたルールを作成します。このサービスにリンクされたルールでは、元のルール名の前に `securityhub` が追加され、ルール名の後に一意の識別子が追加されます。たとえば、 AWS Config マネージドルール の場合`vpc-flow-logs-enabled`、サービスにリンクされたルール名は になります`securityhub-vpc-flow-logs-enabled-12345`。
コントロールの評価に使用できる AWS Config マネージドルールの数にはクォータがあります。Security Hub CSPM が作成する AWS Config ルールは、これらのクォータにはカウントされません。アカウントのマネージドルール AWS Config のクォータにすでに達している場合でも、セキュリティ標準を有効にできます。 AWS Config ルールのクォータの詳細については、「 *AWS Config デベロッパーガイド*」の[「 のサービス制限 AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/configlimits.html)」を参照してください。
## コストに関する考慮事項
Security Hub CSPM は、 AWS Config 設定項目を更新することで、`AWS::Config::ResourceCompliance`設定レコーダーのコストに影響を与える可能性があります。更新は、 AWS Config ルールに関連付けられた Security Hub CSPM コントロールがコンプライアンス状態を変更する、有効または無効になる、またはパラメータが更新されるたびに発生する可能性があります。Security Hub CSPM にのみ AWS Config 設定レコーダーを使用し、他の目的でこの設定項目を使用しない場合は、その記録をオフにすることをお勧めします AWS Config。これにより、 AWS Config コストを削減できます。Security Hub CSPM でセキュリティチェックを行うために `AWS::Config::ResourceCompliance` を記録する必要はありません。
リソースの記録に関連するコストの詳細については、「[AWS Security Hub CSPM の料金](https://aws.amazon.com/security-hub/pricing/)」と「[AWS Config の料金](https://aws.amazon.com/config/pricing/)」を参照してください。
# Security Hub CSPM でのローカル設定について
ローカル設定は、Security Hub CSPM で AWS 組織を設定するデフォルトの方法です。中央設定にオプトインして有効にしない場合、組織はデフォルトでローカル設定を使用します。
ローカル設定では、委任 Security Hub CSPM 管理者アカウントは設定の制御が制限されています。委任管理者が適用できる唯一の設定は、新しい組織アカウントで Security Hub CSPM とデフォルトのセキュリティ標準を自動的に有効にすることです。これらの設定は、委任管理者アカウントを指定したリージョンにのみ適用されます。デフォルトのセキュリティ標準は、 AWS Foundational Security Best Practices (FSBP) と Center for Internet Security (CIS) AWS Foundations Benchmark v1.2.0 です。ローカル設定は、既存の組織アカウントや、委任管理者アカウントが指定されたリージョン以外のリージョンには適用されません。
単一のリージョンの新しい組織アカウントで Security Hub CSPM とデフォルトの標準を有効にする以外に、各リージョンとアカウントで、標準とコントロールを含む他の Security Hub CSPM 設定を個別に設定する必要があります。これは重複するプロセスであるため、次のいずれかに当てはまる場合は、マルチアカウント環境に中央設定を使用することをお勧めします。
+ 組織のさまざまな部分で異なる設定 (例えば、チームごとに異なる有効な標準やコントロール) が必要です。
+ 複数のリージョンで運用しており、これらのリージョン全体でサービスを設定する時間と複雑さを軽減したいと考えています。
+ 新しいアカウントが組織に加わるときに、特定の設定を使用するようにします。
+ 組織アカウントは、親アカウントまたはルートから特定の設定を継承します。
中央設定の詳細については、「[Security Hub CSPM での中央設定について](central-configuration-intro.md)」を参照してください。
# Security Hub CSPM での中央設定について
中央設定は、複数の AWS アカウント と にまたがる AWS Security Hub CSPM のセットアップと管理に役立つ Security Hub CSPM 機能です AWS リージョン。中央設定を使用するには、まず Security Hub CSPM と を統合する必要があります AWS Organizations。組織を作成し、組織に対して Security Hub CSPM の委任管理者アカウントを指定することで、サービスを統合できます。
Security Hub CSPM の委任管理者アカウントから、リージョン間で組織のアカウントと組織単位 (OUs) に対して Security Hub CSPM を有効にできます。また、リージョン間でアカウントと OUs の個々のセキュリティ標準とセキュリティコントロールを有効、設定、無効にすることもできます。これらの設定は、*ホームリージョン*と呼ばれる 1 つのプライマリリージョンから、わずか数ステップで設定できます。
中央設定を使用する場合、委任された管理者が設定するアカウントと OU を選択できます。委任された管理者がメンバーアカウントまたは OU をセルフマネージド型に指定した場合、メンバーは各リージョンで独自の設定を個別に構成できます。委任された管理者がメンバーアカウントまたは OU を一元管理型に指定した場合、委任された管理者のみが複数のリージョンにわたってメンバーアカウントまたは OU を設定できます。組織内のすべてのアカウントと OU を、一元管理型、すべてセルフマネージド型、または両方の組み合わせとして指定できます。
一元管理型アカウントを設定するには、委任管理者が Security Hub CSPM の設定ポリシーを使用します。設定ポリシーにより、委任管理者は Security Hub CSPM を有効にするか無効にするか、またどの標準とコントロールを有効または無効にするかを指定できます。またこのポリシーを使用して、特定のコントロールのパラメータをカスタマイズすることもできます。
設定ポリシーは、ホームリージョンとリンクされたすべてのリージョンで有効になります。委任された管理者は、中央設定の使用を開始する前に、組織のホームリージョンとリンクされたリージョンを指定します。リンクされたリージョンの指定はオプションです。委任された管理者は、組織全体に単一の設定ポリシーを作成することも、複数の設定ポリシーを作成してさまざまなアカウントや OU の変数設定を行うこともできます。
**ヒント**
中央設定を使用しない場合は、原則的に各アカウントとリージョンについて個別に Security Hub を設定する必要があります。これは*ローカル設定*と呼ばれます。ローカル設定の場合、委任管理者は、現在のリージョンの新しい組織アカウントで、Security Hub CSPM および限定された一連のセキュリティ標準を自動的に有効にできます。ローカル設定は、既存の組織アカウントや、現在のリージョン以外のリージョンには適用されません。また、ローカル設定では設定ポリシーの使用もサポートされていません。
このセクションでは、中央設定の概要について説明します。
## 中央設定を使用する利点
中央設定には、次のような利点があります。
**Security Hub CSPM サービスと機能の設定を簡素化する**
中央設定を使用する場合、Security Hub CSPM によって組織のセキュリティ上のベストプラクティスを設定するプロセスに誘導されます。また、作成された設定ポリシーは、指定したアカウントと OU に自動的にデプロイされます。新しいセキュリティコントロールを自動的に有効にするなど、Security Hub CSPM の既存の設定がある場合は、それらの設定を設定ポリシーの開始点として使用できます。さらに、Security Hub CSPM コンソールの **[設定]** ページには、設定ポリシーの概要と、各ポリシーを使用するアカウントおよび OU がリアルタイムで表示されます。
**複数のアカウントやリージョンにまたがる設定**
中央設定を使用すると、Security Hub CSPM を複数のアカウントとリージョンにまたがって設定を行うことができます。これにより、組織の各部署で一貫した設定と適切なセキュリティ対策が確保されます。
**さまざまなアカウントや OU で異なる設定に対応**
中央設定により、組織のアカウントと OU をさまざまな方法で設定できます。例えば、テストアカウントと本稼働アカウントでは異なる設定が必要になる場合があります。組織に追加する際に新しいアカウントを対象とする設定ポリシーを作成することもできます。
**設定のずれを防ぐ**
設定のずれは、サービスや機能に対してユーザーが行った変更が、委任された管理者が行った選択と競合する場合に発生します。中央設定によりこのずれを防止します。アカウントまたは OU を一元管理型として指定する場合に設定できるのは、組織の委任管理者のみです。特定のアカウントや OU で独自の設定を行う場合は、セルフマネージド型に指定できます。
## 中央設定をいつ使用するのか?
中央設定は、複数の Security Hub CSPM アカウントを含む AWS 環境に最も有益です。複数のアカウントに対して Security Hub CSPM を一元管理できるように設計されています。
中央設定を使用して、Security Hub CSPM サービス、セキュリティ標準、およびセキュリティコントロールを設定できます。また、この設定を使用して特定のコントロールのパラメータをカスタマイズすることもできます。セキュリティ標準の詳細については、「[Security Hub CSPM のセキュリティ標準を理解する](standards-view-manage.md)」を参照してください。セキュリティコントロールの詳細については、「[Security Hub CSPM のセキュリティコントロールを理解する](controls-view-manage.md)」を参照してください。
## 中央設定に関する用語と概念
以下の主要な用語と概念を理解しておくと、Security Hub CSPM の中央設定を使用する際に役立ちます。
**中央設定**
組織に対してSecurity Hub CSPM の委任管理者アカウントが、複数のアカウントとリージョンにわたって Security Hub CSPM サービス、セキュリティ標準、およびセキュリティコントロールを設定する際に役立つ、Security Hub CSPM の機能。これらの設定を行うには、委任管理者が組織内の一元管理型アカウントに対して Security Hub CSPM 設定ポリシーを作成し、管理します。セルフマネージド型アカウントは、リージョンごとに独自の設定を個別に行うことができます。中央設定を使用するには、Security Hub CSPM と を統合する必要があります AWS Organizations。
**ホームリージョン**
設定ポリシーを作成および管理することで、委任管理者が Security Hub CSPM を一元的に設定 AWS リージョン する 。設定ポリシーは、ホームリージョンとリンクされたすべてのリージョンで有効になります。
ホームリージョンは、リンクされたリージョンから検出結果、インサイト、その他のデータを受け取る Security Hub CSPM 集約リージョンとしても機能します。
2019 年 3 月 20 日以降に AWS 導入されたリージョンは、オプトインリージョンと呼ばれます。オプトインリージョンをホームリージョンにすることはできませんが、リンクされたリージョンにすることはできます。オプトインリージョンのリストについては、「*AWS アカウント管理リファレンスガイド*」の「[Considerations before enabling and disabling Regions](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#manage-acct-regions-considerations)」を参照してください。
**リンクされたリージョン**
ホームリージョンから設定 AWS リージョン 可能な 。設定ポリシーは、ホームリージョンの委任管理者によって作成されます。ポリシーは、ホームリージョンとリンクされたすべてのリージョンで有効になります。リンクされたリージョンの指定はオプションです。
また、リンクされたリージョンによって、検出結果、インサイト、その他のデータがホームリージョンに送信されます。
2019 年 3 月 20 日以降に AWS 導入されたリージョンは、オプトインリージョンと呼ばれます。設定ポリシーを適用する前に、そのようなリージョンをアカウントで有効にする必要があります。Organizations 管理アカウントでは、メンバーアカウントのオプトインリージョンを有効にできます。詳細については、「 [アカウント管理リファレンスガイド」の AWS リージョン 「アカウントで使用できる を指定する](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#rande-manage-enable)」を参照してください。 *AWS *
**ターゲット**
AWS アカウント、組織単位 (OU)、または組織ルート。
**Security Hub CSPM の設定ポリシー**
委任管理者が一元管理型ターゲットに設定できる Security Hub CSPM 設定のコレクション。これには、以下が含まれます。
+ Security Hub CSPM を有効または無効にするかどうか。
+ 1 つ以上の[セキュリティ標準](standards-reference.md)を有効にするかどうか。
+ 有効になっている標準でどの[セキュリティコントロール](securityhub-controls-reference.md)を有効にするか。委任管理者は、有効にする必要のある特定のコントロールのリストを指定することでこれを実行できます。Security Hub CSPM によって、リリース時の新しいコントロールを含め、他のすべてのコントロールが無効になります。または、委任管理者が無効にする必要のある特定のコントロールのリストを指定し、Security Hub CSPM でリリース時の新しいコントロールを含め、他のすべてのコントロールを有効にすることもできます。
+ オプションで、有効な複数の標準で有効になっているコントロールを選択して[パラメータをカスタマイズ](custom-control-parameters.md)できます。
設定ポリシーは、少なくとも 1 つのアカウント、組織単位 (OU)、またはルートに関連付けられると、ホームリージョンとリンクされたすべてのリージョンで有効になります。
Security Hub CSPM コンソールでは、委任管理者が Security Hub CSPM 推奨設定ポリシーを選択するか、カスタム設定ポリシーを作成できます。Security Hub CSPM API と を使用すると AWS CLI、委任管理者はカスタム設定ポリシーのみを作成できます。委任された管理者は、最大 20 のカスタム設定ポリシーを作成できます。
推奨される設定ポリシーでは、Security Hub CSPM、 AWS の基本的なセキュリティのベストプラクティス (FSBP) 標準、すべての既存および新規の FSBP コントロールが有効になっています。パラメータを受け入れるコントロールは、デフォルト値を使用します。推奨される設定ポリシーは、組織全体に適用されます。
組織に異なる設定を適用したり、異なるアカウントや OU に異なる設定ポリシーを適用したりするには、カスタム設定ポリシーを作成します。
**ローカル設定**
Security Hub CSPM と を統合した後の、組織のデフォルトの設定タイプ AWS Organizations。ローカル設定では、委任管理者が、現在のリージョンの*新しい*組織アカウントで Security Hub CSPM と[デフォルトのセキュリティ標準](securityhub-auto-enabled-standards.md)を自動的に有効にするよう選択できます。委任された管理者がデフォルトの標準を自動的に有効にすると、これらの標準に含まれるすべてのコントロールも、新しい組織アカウントのデフォルトパラメータを使用して自動的に有効になります。これらの設定は既存のアカウントには適用されないため、アカウントを組織に追加した後に設定のずれが生じる可能性があります。デフォルトの標準に含まれる特定のコントロールの無効化、および追加の標準とコントロールの設定は、アカウントやリージョンごとに個別に行う必要があります。
ローカル設定では、設定ポリシーの使用がサポートされていません。設定ポリシーを使用するには、中央設定に切り替える必要があります。
**手動アカウント管理**
Security Hub CSPM を と統合しない場合、 AWS Organizations またはスタンドアロンアカウントがある場合は、各リージョンで各アカウントの設定を個別に指定する必要があります。手動によるアカウント管理では、設定ポリシーの使用がサポートされていません。
**中央設定 API**
一元管理型アカウントの設定ポリシーを管理するために Security Hub CSPM の委任管理者のみがホームリージョンで使用する Security Hub CSPM オペレーション。オペレーションは次のとおりです。
+ `CreateConfigurationPolicy`
+ `DeleteConfigurationPolicy`
+ `GetConfigurationPolicy`
+ `ListConfigurationPolicies`
+ `UpdateConfigurationPolicy`
+ `StartConfigurationPolicyAssociation`
+ `StartConfigurationPolicyDisassociation`
+ `GetConfigurationPolicyAssociation`
+ `BatchGetConfigurationPolicyAssociations`
+ `ListConfigurationPolicyAssociations`
**アカウント固有の API**
Security Hub CSPM 、標準、コントロールをアカウントごとに有効または無効にできる、Security Hub CSPM のオペレーション。これらのオペレーションは、個々のリージョンで使用されます。
セルフマネージド型アカウントは、アカウント固有のオペレーションを使用して独自の設定を行うことができます。一元管理型アカウントは、ホームリージョンとリンクされたリージョンでは以下のアカウント固有のオペレーションを使用することができません。これらのリージョンで中央設定オペレーションと設定ポリシーによって一元管理型アカウントを設定できるのは、委任された管理者のみです。
+ `BatchDisableStandards`
+ `BatchEnableStandards`
+ `BatchUpdateStandardsControlAssociations`
+ `DisableSecurityHub`
+ `EnableSecurityHub`
+ `UpdateStandardsControl`
アカウントのステータスを確認するために、一元管理型アカウントの所有者が Security Hub CSPM API の `Get` または `Describe` オペレーションを使用することは*可能です*。
中央設定の代わりにローカル設定または手動アカウント管理を使用する場合は、これらのアカウント固有のオペレーションを使用できます。
セルフマネージドアカウントは、 `*Invitations` および `*Members` オペレーションを使用することもできます。ただし、セルフマネージド型アカウントではこれらのオペレーションを使用しないことをお勧めします。メンバーアカウントに、委任管理者とは異なる組織に属する独自のメンバーがある場合、ポリシーの関連付けが失敗する可能性があります。
**組織単位 (OU)**
AWS Organizations および Security Hub CSPM では、 グループのコンテナ AWS アカウント。また、組織単位 (OU) は他の OU に含めることもでき、上下反転したツリーのような階層を作成できます。最上部には親 OU があり、下に向かって OU の枝が広がり、先端にはツリーの葉であるアカウントがあります。OU は、厳密に親を 1 つ持つことができ、各組織アカウントを厳密に 1 つの OU のメンバーにすることができます。
OUs は AWS Organizations または で管理できます AWS Control Tower。詳細については、「*AWS Organizations ユーザーガイド*」の「[Managing organizational units](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_ous.html)」または「*AWS Control Tower ユーザーガイド*」の「[Govern organizations and accounts with AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/existing-orgs.html)」を参照してください。
委任された管理者は、設定ポリシーを特定のアカウントや OU に関連付けたり、組織内のすべてのアカウントや OU を対象とするルートに関連付けたりできます。
**一元管理型**
委任管理者のみが設定ポリシーを使用して複数のリージョンにわたり設定できるターゲット。
委任管理者アカウントで、ターゲットが一元管理型かどうかを指定します。委任された管理者は、ターゲットのステータスを一元管理型からセルフマネージド型に、またはその逆に変更することもできます。
**セルフマネージド型**
独自の Security Hub CSPM 設定を管理するターゲット。セルフマネージド型ターゲットは、アカウント固有のオペレーションを使用して、各リージョンで個別に Security Hub CSPM を設定します。これとは対照的に、一元管理型ターゲットは、設定ポリシーによって複数のリージョンにわたり委任された管理者のみが設定できます。
委任管理者アカウントで、ターゲットがセルフマネージド型かどうかを指定します。委任管理者は、ターゲットにセルフマネージド型の動作を適用できます。また、アカウントや OU は親からセルフマネージド型の動作を継承することもできます。
委任管理者アカウントは、それ自体がセルフマネージド型アカウントである可能性があります。委任管理者アカウントは、ターゲットのステータスをセルフマネージド型から一元管理型、または逆に変更できます。
**設定ポリシーの関連付け**
設定ポリシーとアカウント、組織単位 (OU)、またはルートとの間のリンク。ポリシーが関連付けられている場合、アカウント、OU、またはルートでは設定ポリシーで定義された設定を使用します。関連付けは次のいずれかの場合に発生します。
+ 委任された管理者が設定ポリシーをアカウント、OU、またはルートに直接適用する場合
+ アカウントまたは OU が親 OU またはルートから設定ポリシーを継承する場合
関連付けは、別の設定が適用または継承されるまで発生します。
**適用された設定ポリシー**
委任された管理者が設定ポリシーをターゲットアカウント、OU、またはルートに直接適用する、設定ポリシーの関連付けタイプ。ターゲットは設定ポリシーで定義されている方法で設定され、委任された管理者のみが設定を変更できます。ルートに適用した場合、設定ポリシーは、アプリケーションまたは最も近い親からの継承によって異なる設定を使用していない、組織内のすべてのアカウントと OU に影響します。
委任された管理者は、特定のアカウント、OU、またはルートにセルフマネージド型の設定を適用することもできます。
**継承された設定ポリシー**
アカウントまたは OU が最も近い親 OU またはルートの設定を採用する、設定ポリシーの関連付けタイプ。設定ポリシーがアカウントや OU に直接適用されない場合、最も近い親 OU の設定が継承されます。ポリシーのすべての要素は継承されます。つまり、アカウントや OU はポリシーの一部だけを選択的に継承することはできません。最も近い親がセルフマネージド型の場合、子アカウントまたは OU は親のセルフマネージド型の動作を継承します。
継承によって適用された設定を上書きすることはできません。つまり、設定ポリシーまたはセルフマネージド型の設定がアカウントまたは OU に直接適用された場合、その設定が使用され、親の設定は継承されません。
**ルート**
AWS Organizations および Security Hub CSPM では、組織内の最上位の親ノード。委任された管理者が設定ポリシーをルートに適用すると、そのポリシーは組織内のすべてのアカウントと OU に関連付けられます。ただし、アプリケーションまたは継承によって別のポリシーが使用されている場合や、セルフマネージド型として指定されている場合は除きます。管理者がルートをセルフマネージド型として指定した場合、アプリケーションまたは継承で設定ポリシーを使用する場合を除き、組織内のすべてのアカウントと OU はセルフマネージド型になります。ルートがセルフマネージド型で、現在設定ポリシーが存在しない場合、組織内のすべての新規アカウントで現在の設定が保持されます。
組織に追加した新しいアカウントは、特定の OU に割り当てられるまではルートに属します。新しいアカウントが OU に割り当てられない場合、委任された管理者がセルフマネージド型アカウントとして指定しない限り、そのアカウントはルート設定を継承します。
# Security Hub CSPM の中央設定の有効化
委任 AWS Security Hub CSPM 管理者アカウントは、中央設定を使用して、複数のアカウントと組織単位 (OUs) の Security Hub CSPM、標準、コントロールを設定できます AWS リージョン。
中央設定の利点とその仕組みについては、「[Security Hub CSPM での中央設定について](central-configuration-intro.md)」を参照してください。
このセクションでは、中央設定の前提条件と使用開始方法について説明します。
## 中央設定の前提条件
中央設定の使用を開始する前に、Security Hub CSPM を と統合 AWS Organizations し、ホームリージョンを指定する必要があります。Security Hub CSPM コンソールを使用する場合、これらの前提条件は中央設定のオプトインワークフローに含まれています。
### Organizations との統合
中央設定を使用するには、Security Hub CSPM と Organizations を統合する必要があります。
これらのサービスを統合するには、まず Organizations で組織を作成します。次に Organizations 管理アカウントから Security Hub CSPM の委任管理者アカウントを指定します。手順については、「[Security Hub CSPM と の統合 AWS Organizations](designate-orgs-admin-account.md)」を参照してください。
必ず、**目的のホームリージョン**で委任管理者を指定してください。中央設定の使用を開始すると、すべてのリンクされたリージョンにも同じ委任管理者が自動的に設定されます。Organizations 管理アカウントは、委任管理者アカウントとして設定することは*できません*。
**重要**
中央設定を使用する場合、Security Hub CSPM コンソールまたは Security Hub CSPM API を使用して委任管理者アカウントを変更または削除することはできません。Organizations 管理アカウントが AWS Organizations APIs を使用して Security Hub CSPM 委任管理者を変更または削除する場合、Security Hub CSPM は自動的に中央設定を停止します。設定ポリシーの関連付けも解除され、削除されます。メンバーアカウントには、委任管理者が変更または削除される前の設定が保持されます。
### ホームリージョンの指定
中央設定を使用するにはホームリージョンを指定する必要があります。ホームリージョンは、委任管理者が組織を設定するリージョンです。
**注記**
ホームリージョンは、 AWS をオプトインリージョンとして指定したリージョンにすることはできません。オプトインリージョンは、デフォルトでは無効となっています。オプトインリージョンのリストについては、「AWS アカウント管理リファレンスガイド」の「[Considerations before enabling and disabling Regions](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#manage-acct-regions-considerations)」を参照してください。
必要に応じて、ホームリージョンから設定可能なリンクされたリージョンを 1 つ以上指定できます。
委任管理者は、ホームリージョンからのみ設定ポリシーを作成および管理できます。設定ポリシーは、ホームリージョンとリンクされたすべてのリージョンで有効になります。これらのリージョンのサブセットにのみ適用され、他のリージョンには適用されない設定ポリシーは作成できません。ただし、グローバルリソースが関与するコントロールは例外です。中央設定を使用する場合、Security Hub CSPM は、ホームリージョンを除くすべてのリージョンでグローバルリソースが含まれるコントロールを自動的に無効にします。詳細については、「[グローバルリソースを使用するコントロール](controls-to-disable.md#controls-to-disable-global-resources)」を参照してください。
ホームリージョンは、リンクされたリージョンから検出結果、インサイト、その他のデータを受け取る Security Hub CSPM 集約リージョンでもあります。
クロスリージョン集約の集約リージョンを既に設定している場合、それが中央設定のデフォルトのホームリージョンになります。現在の検出結果アグリゲータを削除し、目的のホームリージョンに新しいアグリゲータを作成することで、中央設定の使用を開始する前にホームリージョンを変更できます。検出結果アグリゲータは、ホームリージョンとリンクされたリージョンを指定する Security Hub CSPM リソースです。
ホームリージョンを指定する場合は、[集約リージョンを設定する手順](finding-aggregation-enable.md)を参照してください。ホームリージョンを既に指定している場合は、[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindingAggregator.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindingAggregator.html) API を呼び出して、現在どのリージョンがリンクされているかなどの詳細を確認できます。
## 中央設定を有効にする手順
ご希望の方法を選択し、手順に従って組織の中央設定を有効化します。
------
#### [ Security Hub CSPM console ]
**中央設定を有効化するには (コンソール)**
1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。
1. ナビゲーションペインで、**[設定]**、**[設定]** の順に選択します。次に、**[中央設定を開始]** を選択します。
Security Hub CSPM にオンボーディングする場合は、**[Security Hub CSPM に移動]** を選択します。
1. **[委任された管理者を指定]** ページで、委任管理者アカウントを選択するか、アカウント ID を入力します。該当する場合は、他の AWS セキュリティおよびコンプライアンスサービスに設定したのと同じ委任管理者を選択することをお勧めします。**[委任された管理者を設定]** を選択します。
1. **[組織を一元化]** ページの **[リージョン]** セクションで、ホームリージョンを選択します。続行するには、ホームリージョンにサインインする必要があります。クロスリージョン集約の集約リージョンを既に設定している場合、そのリージョンがホームリージョンとして表示されます。ホームリージョンを変更するには、**[リージョンの設定を編集]** を選択します。これにより、ご希望のホームリージョンを選択して、このワークフローに戻ることができます。
1. ホームリージョンにリンクするリージョンを少なくとも 1 つ選択してください。必要に応じて、将来サポートされるリージョンをホームリージョンに自動的にリンクするかどうかを選択します。ここで選択したリージョンは、委任管理者がホームリージョンから設定できます。設定ポリシーは、ホームリージョンとすべてのリンクされたリージョンで有効になります。
1. **[確認して続行]** を選択します。
1. 中央設定を使用できるようになりました。続けてコンソールのプロンプトに従い、最初の設定ポリシーを作成します。設定ポリシーを作成する準備がまだ整っていない場合は、**[まだ設定する準備ができていません]** を選択します。ポリシーは、後でナビゲーションペインで **[設定]**、**[設定]** の順に選択して作成できます。設定ポリシーの作成手順については、「[設定ポリシーの作成と関連付け](create-associate-policy.md)」を参照してください。
------
#### [ Security Hub CSPM API ]
**中央設定を有効化するには (API)**
1. 委任管理者アカウントの認証情報を使用して、ホームリージョンから [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html) API を呼び出します。
1. `AutoEnable` フィールドは `false` に設定されます。
1. `OrganizationConfiguration` オブジェクト内の `ConfigurationType` フィールドを `CENTRAL` に設定します。このアクションには以下の影響があります。
+ すべてのリンクされたリージョンで、呼び出しアカウントを Security Hub CSPM の委任管理者として指定します。
+ すべてのリンクされたリージョンの委任管理者アカウントで Security Hub CSPM を有効にします。
+ Security Hub CSPM を使用する、組織に属している新規および既存のアカウントについて、呼び出しアカウントを Security Hub CSPM の委任管理者として指定します。これはホームリージョンとすべてのリンクされたリージョンで発生します。呼び出しアカウントは、新しい組織アカウントが Security Hub CSPM が有効になっている設定ポリシーに関連付けられている場合にのみ、その委任管理者として設定されます。呼び出しアカウントは、既存の組織アカウントで Security Hub CSPM が既に有効になっている場合のみ、その委任管理者として設定されます。
+ すべてのリンクされたリージョンで [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html#securityhub-UpdateOrganizationConfiguration-request-AutoEnable](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html#securityhub-UpdateOrganizationConfiguration-request-AutoEnable) を `false` に設定し、ホームリージョンとすべてのリンクされたリージョンで [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html#securityhub-UpdateOrganizationConfiguration-request-AutoEnableStandards](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html#securityhub-UpdateOrganizationConfiguration-request-AutoEnableStandards) を `NONE` に設定します。中央設定を使用する場合、これらのパラメータはホームリージョンやリンクされたリージョンには関係ありませんが、設定ポリシーを使用すると、Security Hub CSPM とデフォルトのセキュリティ基準を組織アカウントで自動的に有効にできます。
1. 中央設定を使用できるようになりました。委任管理者は、組織で Security Hub CSPM を設定するための設定ポリシーを作成できます。設定ポリシーの作成手順については、「[設定ポリシーの作成と関連付け](create-associate-policy.md)」を参照してください。
**API リクエストの例**:
```
{
"AutoEnable": false,
"OrganizationConfiguration": {
"ConfigurationType": "CENTRAL"
}
}
```
------
#### [ AWS CLI ]
**中央設定を有効化するには (AWS CLI)**
1. 委任管理者アカウントの認証情報を使用して、ホームリージョンから [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html) コマンドを実行します。
1. `no-auto-enable` パラメータを指定します。
1. `organization-configuration` オブジェクト内の `ConfigurationType` フィールドを `CENTRAL` に設定します。このアクションには以下の影響があります。
+ すべてのリンクされたリージョンで、呼び出しアカウントを Security Hub CSPM の委任管理者として指定します。
+ すべてのリンクされたリージョンの委任管理者アカウントで Security Hub CSPM を有効にします。
+ Security Hub CSPM を使用する、組織に属している新規および既存のアカウントについて、呼び出しアカウントを Security Hub CSPM の委任管理者として指定します。これはホームリージョンとすべてのリンクされたリージョンで発生します。呼び出しアカウントは、新しい組織アカウントが Security Hub が有効になっている設定ポリシーに関連付けられている場合にのみ、その委任管理者として設定されます。呼び出しアカウントは、既存の組織アカウントで Security Hub CSPM が既に有効になっている場合のみ、その委任管理者として設定されます。
+ すべてのリンクされたリージョンで自動有効化オプションを [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html#options](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html#options) に設定し、ホームリージョンとすべてのリンクされたリージョンで [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html#options](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html#options) を `NONE` に設定します。中央設定を使用する場合、これらのパラメータはホームリージョンやリンクされたリージョンには関係ありませんが、設定ポリシーを使用すると、Security Hub CSPM とデフォルトのセキュリティ基準を組織アカウントで自動的に有効にできます。
1. 中央設定を使用できるようになりました。委任管理者は、組織で Security Hub CSPM を設定するための設定ポリシーを作成できます。設定ポリシーの作成手順については、「[設定ポリシーの作成と関連付け](create-associate-policy.md)」を参照してください。
**コマンドの例:**
```
aws securityhub --region us-east-1 update-organization-configuration \
--no-auto-enable \
--organization-configuration '{"ConfigurationType": "CENTRAL"}'
```
------
# 一元管理とセルフマネージドターゲット
中央設定を有効にすると、委任 AWS Security Hub CSPM 管理者は、各組織アカウント、組織単位 (OU)、ルートを*一元管理*型または*セルフマネージド*型として指定できます。ターゲットの管理タイプによって、Security Hub CSPM の設定を指定する方法が決まります。
中央設定の利点とその仕組みについては、「[Security Hub CSPM での中央設定について](central-configuration-intro.md)」を参照してください。
このセクションでは、一元管理型とセルフマネージド型の指定の違いと、アカウント、OU、またはルートの管理タイプを選択する方法について説明します。
**セルフマネージド型**
セルフマネージドアカウント、OU、またはルートの所有者は、それぞれの設定を個別に設定する必要があります AWS リージョン。委任管理者は、セルフマネージドターゲットの設定ポリシーを作成できません。
**一元管理型**
ホームリージョンとリンクされたリージョンの一元管理型アカウントおよび OU に対しては、Security Hub CSPM の委任管理者のみが設定することができます。設定ポリシーは、一元管理型アカウントおよび OU に関連付けることができます。
委任管理者は、ターゲットのステータスをセルフマネージド型と一元管理型の間で切り替えることができます。デフォルトでは、Security Hub CSPM API を使用して中央設定を開始する場合、すべてのアカウントと OU がセルフマネージド型になります。コンソールでは、管理タイプは最初の設定ポリシーによって異なります。最初のポリシーに関連付けられるアカウントと OU は、一元管理型です。その他のアカウントと OU は、デフォルトではセルフマネージド型になります。
設定ポリシーを以前のセルフマネージドアカウントに関連付けると、ポリシー設定はセルフマネージド指定を上書きします。アカウントは一元管理され、設定ポリシーに反映された設定を採用します。
一元管理型アカウントをセルフマネージド型アカウントに変更した場合、設定ポリシーを通じて以前アカウントに適用された設定は、そのまま残ります。たとえば、一元管理アカウントは、最初は Security Hub CSPM を有効にし、 AWS Foundational Security Best Practices を有効にし、CloudTrail.1. その後、アカウントをセルフマネージド型に指定してもすべての設定はそのままになります。ただし、その後アカウント所有者はアカウントの設定を個別に変更できます。
子アカウントと OU は、セルフマネージド型の親からセルフマネージド型の動作を継承でき、同様に一元管理型の親から設定ポリシーを継承できます。詳細については、「[アプリケーションと継承によるポリシーの関連付け](configuration-policies-overview.md#policy-association)」を参照してください。
セルフマネージドアカウントまたは OU は、親ノードまたはルートから設定ポリシーを継承できません。例えば、組織内のすべてのアカウントと OU がルートから設定ポリシーを継承する場合は、セルフマネージド型ノードの管理タイプを一元管理型に変更する必要があります。
## セルフマネージドアカウントで設定を行うオプション
セルフマネージド型アカウントは、リージョンごとに独自の設定を行う必要があります。
セルフマネージド型アカウントの所有者は、各リージョンで Security Hub CSPM API の次のオペレーションを呼び出し、設定できます。
+ `EnableSecurityHub` および `DisableSecurityHub` を使用して、Security Hub CSPM サービスを有効または無効にします (セルフマネージドアカウントに Security Hub CSPM の委任管理者がいる場合、管理者は、アカウントの所有者が Security Hub CSPM を無効にする前に[アカウントの関連付けを解除](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisassociateMembers.html)する必要があります)。
+ 標準を有効または無効にする `BatchEnableStandards` または `BatchDisableStandards`
+ コントロールを有効または無効にする `BatchUpdateStandardsControlAssociations` または `UpdateStandardsControl`
セルフマネージドアカウントは、 `*Invitations` および `*Members` オペレーションを使用することもできます。ただし、セルフマネージド型アカウントではこれらのオペレーションを使用しないことをお勧めします。メンバーアカウントに、委任管理者とは異なる組織に属する独自のメンバーがある場合、ポリシーの関連付けが失敗する可能性があります。
Security Hub CSPM API アクションの説明については、「[https://docs.aws.amazon.com/securityhub/1.0/APIReference/Welcome.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/Welcome.html)」を参照してください。
セルフマネージドアカウントは、Security Hub CSPM コンソールまたは を使用して AWS CLI 、各リージョンで設定を構成することもできます。
セルフマネージド型アカウントでは、Security Hub CSPM の設定ポリシーおよびポリシーの関連付けに関連する API を呼び出すことはできません。中央設定 API を呼び出し、設定ポリシーを使用して一元管理型アカウントを設定できるのは、委任された管理者のみです。
## ターゲットの管理タイプの選択
任意の方法を選択し、手順に従って、 AWS Security Hub CSPM でアカウントまたは OU を一元管理またはセルフマネージドとして指定します。
------
#### [ Security Hub CSPM console ]
**アカウントまたは OU の管理タイプを選択するには**
1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。
ホームリージョンの委任された Security Hub CSPM 管理者アカウントの認証情報を使用してサインインします。
1. **[設定]** を選択します。
1. **[組織]** タブで、ターゲットアカウントまたは OU を選択します。**[編集]** を選択します。
1. 委任された管理者がターゲットアカウントまたは OU の設定を行う場合は、**[設定を定義]** ページの **[管理タイプ]** で、**[一元管理]** を選択します。次に、既存の設定ポリシーをターゲットと関連付ける場合は、**[特定のポリシーを適用]** を選択します。ターゲットに最も近い親の設定を継承させる場合は、**[自分の組織から継承]** を選択します。アカウントまたは OU で独自の設定を行う場合は、**[セルフマネージド]** を選択します。
1. [**次へ**] を選択します。変更内容を見直して、**[保存]** を選択します。
------
#### [ Security Hub CSPM API ]
**アカウントまたは OU の管理タイプを選択するには**
1. ホームリージョンの Security Hub CSPM 委任管理者アカウントから [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html) API を呼び出します。
1. アカウントまたは OU で独自の設定を制御する場合は、`ConfigurationPolicyIdentifier` フィールドに `SELF_MANAGED_SECURITY_HUB` と入力します。委任された管理者がアカウントまたは OU の設定を制御する場合は、関連する設定ポリシーの Amazon リソースネーム (ARN) または ID を指定します。
1. `Target` フィールドに、管理タイプを変更するターゲットの AWS アカウント ID、OU ID、またはルート ID を指定します。これにより、セルフマネージド型の動作または指定した設定ポリシーがターゲットに関連付けられます。ターゲットの子アカウントは、セルフマネージド型の動作または設定ポリシーを継承できます。
**セルフマネージド型アカウントを指定する API リクエストの例:**
```
{
"ConfigurationPolicyIdentifier": "SELF_MANAGED_SECURITY_HUB",
"Target": {"AccountId": "123456789012"}
}
```
------
#### [ AWS CLI ]
**アカウントまたは OU の管理タイプを選択するには**
1. ホームリージョンの Security Hub CSPM 委任管理者アカウントで、[https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html) コマンドを実行します。
1. アカウントまたは OU で独自の設定を制御するには、`configuration-policy-identifier` フィールドに `SELF_MANAGED_SECURITY_HUB` と指定します。委任された管理者がアカウントまたは OU の設定を制御する場合は、関連する設定ポリシーの Amazon リソースネーム (ARN) または ID を指定します。
1. `target` フィールドに、管理タイプを変更するターゲットの AWS アカウント ID、OU ID、またはルート ID を指定します。これにより、セルフマネージド型の動作または指定した設定ポリシーがターゲットに関連付けられます。ターゲットの子アカウントは、セルフマネージド型の動作または設定ポリシーを継承できます。
**セルフマネージド型アカウントを指定するコマンドの例:**
```
aws securityhub --region us-east-1 start-configuration-policy-association \
--configuration-policy-identifier "SELF_MANAGED_SECURITY_HUB" \
--target '{"AccountId": "123456789012"}'
```
------
# Security Hub CSPM の設定ポリシーの仕組み
委任 AWS Security Hub CSPM 管理者は、組織の Security Hub CSPM、セキュリティ標準、セキュリティコントロールを設定する設定ポリシーを作成できます。設定ポリシーを作成した後に、委任管理者はそれを特定のアカウント、組織単位 (OU)、またはルートに関連付けることができます。その後、ポリシーは、指定されたアカウント、OU またはルートで有効になります。
中央設定の利点とその仕組みについては、「[Security Hub CSPM での中央設定について](central-configuration-intro.md)」を参照してください。
このセクションでは、設定ポリシーの詳細な概要を示します。
## ポリシーに関する考慮事項
Security Hub CSPM で設定ポリシーを作成する前に、次の点について考えます。
+ **設定ポリシーを有効にするには関連付ける必要がある** — 設定ポリシーを作成した後に、1 つ以上のアカウント、組織単位 (OU)、またはルートに関連付けることができます。設定ポリシーは、直接適用するか、親 OU からの継承によってアカウントまたは OU に関連付けることができます。
+ **アカウントまたは OU は 1 つの設定ポリシーにのみ関連付けることができる** — 設定の競合を防ぐため、アカウントまたは OU は常に 1 つの設定ポリシーにのみ関連付けることができます。または、アカウントまたは OU をセルフマネージドすることもできます。
+ **設定ポリシーが完全である** — 設定ポリシーには設定の完全な仕様が記載されています。例えば、子アカウントでは、あるポリシーの一部のコントロールの設定と、別のポリシーのその他のコントロールの設定を受け入れることはできません。ポリシーを子アカウントに関連付けるときは、その子アカウントで使用したい設定のすべてがポリシーで指定されていることを確認します。
+ **設定ポリシーを元に戻すことはできない** – アカウントまたは OU に関連付けると、設定ポリシーを元に戻すオプションはありません。例えば、CloudWatch コントロールを無効にする設定ポリシーを特定のアカウントに関連付けると、そのポリシーの関連付けを解除しても、そのアカウントでは CloudWatch コントロールは引き続き無効になります。CloudWatch コントロールを再度有効にするには、コントロールを有効にする新しいポリシーをアカウントに関連付けることができます。または、アカウントをセルフマネージドに変更し、アカウント内の各 CloudWatch コントロールを有効にすることもできます。
+ **設定ポリシーが、ホームリージョンとリンクされているすべてのリージョンで有効になっている** — 設定ポリシーは、ホームリージョンとリンクされているすべてのリージョンの関連付けられているアカウントのすべてに影響します。これらのリージョンの一部でのみ有効で、他のリージョンでは有効にならない設定ポリシーを作成することはできません。ただし、[グローバルリソースが使用するコントロール](controls-to-disable.md#controls-to-disable-global-resources)は例外です。Security Hub CSPM は、ホームリージョンを除くすべてのリージョンでグローバルリソースが含まれる定期的なコントロールを自動的に無効にします。
2019 年 3 月 20 日以降に AWS 導入されたリージョンは、オプトインリージョンと呼ばれます。設定ポリシーを有効にする前に、アカウントでこのようなリージョンを有効にする必要があります。Organizations 管理アカウントでは、メンバーアカウントのオプトインリージョンを有効にできます。オプトインリージョンを有効にする手順については、[「 アカウント管理リファレンスガイド」の AWS リージョン 「アカウントで使用できる を指定する](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#rande-manage-enable)」を参照してください。 *AWS *
ポリシーでホームリージョンまたは 1 つ以上のリンクされたリージョンでは使用できないコントロールが設定されている場合、Security Hub CSPM は使用できないリージョンのコントロール設定をスキップし、コントロールが利用可能なリージョンの設定を適用します。ホームリージョンまたはリンクされたリージョンのいずれかで利用できないコントロールがカバーされなくなります。
+ **設定ポリシーがリソースである** — リソースとして、設定ポリシーには、Amazon リソースネーム (ARN) と一意識別子 (UUID) があります。ARN は次の形式を使用します: `arn:partition:securityhub:region:delegated administrator account ID:configuration-policy/configuration policy UUID`。セルフマネージド設定には ARN または UUID はありません。セルフマネージド設定の識別子は、`SELF_MANAGED_SECURITY_HUB` です。
## 設定ポリシーのタイプ
各設定ポリシーでは、次の設定を指定します。
+ Security Hub CSPM を有効または無効にします。
+ 1 つ以上の[セキュリティ標準](standards-reference.md)を有効にします。
+ 有効な標準でどの[セキュリティコントロール](securityhub-controls-reference.md)が有効になっているかを示します。そのためには、有効にすべき特定のコントロールのリストを指定します。Security Hub CSPM は、リリース時に新しいコントロールを含め、他のすべてのコントロールを無効にします。または、無効にすべき特定のコントロールのリストを指定して、Security Hub CSPM がリリースされた時点の新しいコントロールを含め、他のすべてのコントロールを有効化することもできます。
+ オプションで、有効な標準全体で有効になっているコントロールを選択して[パラメータをカスタマイズ](https://docs.aws.amazon.com/securityhub/latest/userguide/custom-control-parameters.html)できます。
中央設定ポリシーには AWS Config レコーダー設定は含まれません。Security Hub CSPM がコントロール結果を生成するには、必要なリソースの記録を個別に有効に AWS Config して有効にする必要があります。詳細については、「[を有効にして設定する前に考慮すべき点 AWS Config](securityhub-setup-prereqs.md#securityhub-prereq-config)」を参照してください。
中央設定を使用する場合、Security Hub CSPM は、ホームリージョンを除くすべてのリージョンでグローバルリソースが含まれるコントロールを自動的に無効にします。設定ポリシーを通じて有効を選択したその他のコントロールは、利用可能なすべてのリージョンで有効になります。これらのコントロールの検出結果を 1 つのリージョンのみに制限するには、 AWS Config レコーダー設定を更新し、ホームリージョンを除くすべてのリージョンでグローバルリソース記録をオフにします。
グローバルリソースを含む有効なコントロールがホームリージョンでサポートされていない場合、Security Hub CSPM は、コントロールがサポートされているリンクされた 1 つのリージョンでコントロールを有効にしようとします。中央設定により、ホームリージョンまたはリンクされたリージョンのいずれかで利用できないコントロールがカバーされなくなります。
グローバルリソースを含むコントロールのリストについては、「[グローバルリソースを使用するコントロール](controls-to-disable.md#controls-to-disable-global-resources)」を参照してください。
### 推奨される設定ポリシー
*Security Hub CSPM コンソールで初めて*設定ポリシーを作成する場合、Security Hub CSPM の推奨されるポリシーを選択するオプションもあります。
推奨ポリシーにより、Security Hub CSPM、 AWS Foundational Security Best Practices (FSBP) 標準、および既存および新規のすべての FSBP コントロールが有効になります。パラメータを受け入れるコントロールは、デフォルト値を使用します。推奨されるポリシーはルート (新規および既存のすべてのアカウントと OU) に適用されます。組織用の推奨されるポリシーを作成した後に、委任管理者アカウントから変更できます。例えば、追加の標準やコントロールを有効にしたり、特定の FSBP コントロールを無効にしたりできます。設定ポリシーを変更する手順については、「[設定ポリシーの更新](update-policy.md)」を参照してください。
### カスタム設定ポリシー
委任管理者は、推奨されるポリシーの代わりに最大 20 件のカスタム設定ポリシーを作成できます。1 つのカスタムポリシーを組織全体に関連付けることも、別のカスタムポリシーをさまざまなアカウントや OU に関連付けることもできます。カスタム設定ポリシーの場合は、必要な設定を指定します。例えば、FSBP、Center for Internet Security (CIS) AWS Foundations Benchmark v1.4.0、および Amazon Redshift のコントロールを除くこれらの標準のすべてのコントロールを有効にするカスタムポリシーを作成できます。カスタム設定ポリシーで使用する細分性のレベルは、組織全体で想定された範囲のセキュリティカバレッジによって異なります。
**注記**
Security Hub CSPM を無効にする設定ポリシーを、委任管理者アカウントに関連付けることはできません。このようなポリシーは他のアカウントと関連付けることはできますが、委任管理者との関連付けはスキップされます。委任管理者アカウントは現在の設定を保持します。
カスタム設定ポリシーを作成した後に、推奨される設定を反映するように設定ポリシーを更新することで、推奨される設定ポリシーに切り替えることができます。ただし、最初のポリシーを作成した後は、Security Hub CSPM コンソールに推奨される設定ポリシーを作成する選択肢は表示されません。
## アプリケーションと継承によるポリシーの関連付け
最初に中央設定にオプトインした時点では、組織は関連付けられておらず、オプトイン前と同じように動作します。その後、委任管理者は設定ポリシーまたはセルフマネージド型の動作とアカウント、OU、またはルートとの関連付けを確立できます。関連付けは、*アプリケーション*または*継承*によって確立できます。
委任管理者アカウントから、設定ポリシーをアカウント、OU、またはルートに直接適用できます。または、委任管理者がアカウント、OU、またはルートをセルフマネージド型指定を直接適用することもできます。
ダイレクトアプリケーションが適用されない場合、アカウントまたは OU は、設定ポリシーまたはセルフマネージド型の動作を持つ最も近い親の設定を継承します。最も近い親が設定ポリシーに関連付けられている場合、子はそのポリシーを継承し、設定できるのはホームリージョンの委任管理者のみです。最も近い親がセルフマネージド型である場合、子はセルフマネージド型の動作を継承し、それぞれに独自の設定を指定できます AWS リージョン。
適用は継承よりも優先されます。つまり、委任管理者がアカウントまたは OU に直接適用した設定ポリシーまたはセルフマネージド型指定を継承によって上書きされることはありません。
設定ポリシーをセルフマネージドアカウントに直接適用すると、ポリシーはセルフマネージド指定を上書きします。アカウントは一元管理され、設定ポリシーに反映された設定を採用します。
設定ポリシーをルートに直接適用することをお勧めします。ルートにポリシーを適用すると、組織に参加する新しいアカウントは、別のポリシーに関連付けたり、セルフマネージド型として指定したりしない限り、自動的にルートポリシーを継承します。
アプリケーションまたは継承によって、一度に 1 つのアカウントまたは OU に関連付けることができる設定ポリシーは 1 つだけです。これは設定の競合を防ぐためのものです。
次の図は、中央設定におけるポリシーの適用と継承の仕組みを示しています。
![\[Security Hub CSPM 設定ポリシーの適用と継承\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/images/sechub-diagram-central-configuration-association.png)
この例では、緑色で強調表示されているノードには設定ポリシーが適用されています。青色で強調表示されているノードには、設定ポリシーが適用されていません。黄色で強調表示されているノードは、セルフマネージド型として指定されています。各アカウントと OU は以下の設定を使用します。
+ **OU:Root (緑)** — この OU は、適用されている設定ポリシーを使用します。
+ **OU:Prod (青)** — この OU は OU:Root から設定ポリシーを継承します。
+ **OU:Applications (緑)** — この OU は、適用されている設定ポリシーを使用します。
+ **Account 1 (緑)** — このアカウントは、適用されている設定ポリシーを使用します。
+ **Account 2 (青)** — このアカウントは OU:Applications の設定ポリシーを継承します。
+ **OU:Dev (黄)** — この OU はセルフマネージド型です。
+ **Account 3 (緑)** — このアカウントは、適用されている設定ポリシーを使用します。
+ **Account 4 (青)** — このアカウントは OU:Dev のセルフマネージド型の動作を継承します。
+ **OU:Test (青)** — このアカウントは OU:Root の設定ポリシーを継承します。
+ **Account 5 (青)** — このアカウントは OU:Root の設定ポリシーを継承します。これは、その直接の親である OU:Test には設定ポリシーが関連付けられていないためです。
## 設定ポリシーのテスト
設定ポリシーの仕組みを確実に理解するには、1 つのポリシーを作成し、テストアカウントまたは OU に関連付けることをお勧めします。
**設定ポリシーをテストするには**
1. カスタム設定ポリシーを作成し、Security Hub CSPM の有効化、標準、およびコントロールに指定されている設定が正しいことを確認します。手順については、「[設定ポリシーの作成と関連付け](create-associate-policy.md)」を参照してください。
1. 子アカウントや OU を持たないテストアカウントまたは OU に設定ポリシーを適用します。
1. テストアカウントまたは OU が、ホームリージョンとリンクされているすべてのリージョンで設定ポリシーを想定どおりに使用していることを確認します。また、組織内の他のすべてのアカウントと OU が引き続きセルフマネージドされ、各地域で独自の設定を変更できることを確認できます。
1 つのアカウントまたは OU で設定ポリシーをテストした後に、その設定ポリシーを他のアカウントや OU に関連付けることができます。
# 設定ポリシーの作成と関連付け
委任 AWS Security Hub CSPM 管理者アカウントは、指定されたアカウントと組織単位 (OUs) で Security Hub CSPM、標準、コントロールを設定する方法を指定する設定ポリシーを作成できます。設定ポリシーは、委任管理者が少なくとも 1 つのアカウントまたは組織単位 (OU)、またはルートに関連付けた後にのみ有効になります。委任管理者は、アカウント、OU、またはルートにセルフマネージド型の設定を関連付けることもできます。
初めて設定ポリシーを作成する場合は、最初に「[Security Hub CSPM の設定ポリシーの仕組み](configuration-policies-overview.md)」を確認することをお勧めします。
お好みのアクセス方法を選択し、手順に従って設定ポリシーまたはセルフマネージド設定を作成し、関連付けます。Security Hub CSPMコンソールを使用する場合、設定を複数のアカウントまたは OU に同時に関連付けることができます。Security Hub CSPM API または を使用する場合 AWS CLI、各リクエストで設定を関連付けることができるアカウントまたは OU は 1 つだけです。
**注記**
中央設定を使用する場合、Security Hub CSPM は、ホームリージョンを除くすべてのリージョンでグローバルリソースが含まれるコントロールを自動的に無効にします。設定ポリシーを通じて有効を選択したその他のコントロールは、利用可能なすべてのリージョンで有効になります。これらのコントロールの検出結果を 1 つのリージョンのみに制限するには、 AWS Config レコーダー設定を更新し、ホームリージョンを除くすべてのリージョンでグローバルリソース記録をオフにします。
グローバルリソースを含む有効なコントロールがホームリージョンでサポートされていない場合、Security Hub CSPM は、コントロールがサポートされているリンクされた 1 つのリージョンでコントロールを有効にしようとします。中央設定により、ホームリージョンまたはリンクされたリージョンのいずれかで利用できないコントロールがカバーされなくなります。
グローバルリソースを含むコントロールのリストについては、「[グローバルリソースを使用するコントロール](controls-to-disable.md#controls-to-disable-global-resources)」を参照してください。
------
#### [ Security Hub CSPM console ]
**設定ポリシーを作成して関連付けるには**
1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。
ホームリージョンの委任された Security Hub CSPM 管理者アカウントの認証情報を使用してサインインします。
1. ナビゲーションペインで、**[設定]** および **[ポリシー]** タブを選択します。次に、**[ポリシーの作成]** を選択します。
1. 設定ポリシーを初めて作成する場合は、**[組織を設定]** ページの **[設定タイプ]** に 3 つのオプションが表示されます。既に 1 つ以上の設定ポリシーを作成している場合は、**[カスタムポリシー]** オプションのみが表示されます。
+ ** AWS 推奨ポリシーを使用するには、組織全体で推奨される Security Hub CSPM 設定**を使用するを選択します。推奨ポリシーは、すべての組織アカウントで Security Hub CSPM を有効にし、 AWS Foundational Security Best Practices (FSBP) 標準を有効にし、すべての新規および既存の FSBP コントロールを有効にします。コントロールはデフォルトのパラメータ値を使用します。
+ 設定ポリシーを後で作成するには、**[まだ設定する準備ができていません]** を選択します。
+ **[カスタムポリシー]** を選択して、カスタム設定ポリシーを作成します。Security Hub CSPM を有効にするか無効にするか、どの標準を有効にするか、それらの標準でどのコントロールを有効にするかを指定します。オプションで、カスタムパラメータをサポートする 1 つ以上の有効になっているコントロールに[カスタムパラメータ値](custom-control-parameters.md)を指定します。
1. **[アカウント]** セクションで、設定ポリシーを適用するターゲットアカウント、OU、またはルートを選択します。
+ 設定ポリシーをルートに適用する場合は、**[すべてのアカウント]** を選択します。これには、別のポリシーが適用されていない、または継承されていない組織内のすべてのアカウントと OU が含まれます。
+ 設定ポリシーを特定のアカウントまたは OU に適用する場合は、**[特定のアカウント]** を選択します。アカウント ID を入力するか、組織構造からアカウントと OU を選択します。ポリシーは、作成時に最大 15 個のターゲット (アカウント、OU、またはルート) に適用できます。さらに多く指定するには、作成後にポリシーを編集し、他のターゲットに適用します。
+ **[委任された管理者のみ]** を選択すると、現在の委任管理者アカウントに設定ポリシーが適用されます。
1. [**次へ**] を選択します。
1. **[確認と適用]** ページで、設定ポリシーの詳細を確認します。次に、**[ポリシーを作成して適用]** を選択します。ホームリージョンとリンクされたリージョンでは、このアクションは、この設定ポリシーに関連付けられているアカウントの既存の設定よりも優先されます。アカウントは、アプリケーションを通じて設定ポリシーに関連付けることも、親ノードから継承して設定ポリシーに関連付けることもできます。適用されたターゲットの子アカウントと OU は、特に除外されたり、セルフマネージド型であったり、別の設定ポリシーを使用したりしない限り、この設定ポリシーを自動的に継承します。
------
#### [ Security Hub CSPM API ]
**設定ポリシーを作成して関連付けるには**
1. ホームリージョンの Security Hub CSPM 委任管理者アカウントから [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateConfigurationPolicy.html) API を呼び出します。
1. `Name` には、設定ポリシーの一意の名前を入力します。オプションで、`Description` に設定ポリシーの説明を入力します。
1. `ServiceEnabled` フィールドで、Security Hub CSPM をこの設定ポリシーで有効にするか無効にするかを指定します。
1. `EnabledStandardIdentifiers` フィールドで、この設定ポリシーで有効にする Security Hub CSPM 標準を指定します。
1. `SecurityControlsConfiguration` オブジェクトで、この設定ポリシーで有効または無効にするコントロールを指定します。`EnabledSecurityControlIdentifiers` を選択すると、指定したコントロールが有効になります。有効になっている標準に含まれるその他のコントロール (新しくリリースされたコントロールを含む) は無効になります。`DisabledSecurityControlIdentifiers` を選択すると、指定したコントロールが無効になります。有効になっている標準に含まれるその他のコントロール (新しくリリースされたコントロールを含む) が有効になります。
1. オプションで、`SecurityControlCustomParameters` フィールドに、パラメータをカスタマイズする有効なコントロールを指定します。`ValueType` フィールドに `CUSTOM` を指定し、`Value` フィールドにカスタムパラメータ値を指定します。値のデータ型が正しく、Security Hub CSPM で指定された有効な範囲内である必要があります。カスタムパラメータ値をサポートするコントロールのみ選択します。詳細については、「[Security Hub CSPM のコントロールパラメータについて](custom-control-parameters.md)」を参照してください。
1. 設定ポリシーをアカウントまたは OU に適用するには、ホームリージョン内の Security Hub CSPM 委任管理者アカウントから [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html) API を呼び出します。
1. `ConfigurationPolicyIdentifier` フィールドに、ポリシーの Amazon リソースネーム (ARN) または 一意識別子 (UUID) を入力します。ARN と UUID は `CreateConfigurationPolicy` API によって返されます。セルフマネージド設定の場合、 `ConfigurationPolicyIdentifier` フィールドは `SELF_MANAGED_SECURITY_HUB` に等しくなります。
1. `Target` フィールドには、この設定ポリシーを適用する OU、アカウント、またはルート ID を指定します。各 API リクエストに指定できるターゲットは 1 つのみです。選択したターゲットの子アカウントと OU は、セルフマネージド型であるか、別の設定ポリシーを使用している場合を除き、自動的にこの設定ポリシーを継承します。
**設定ポリシーを作成する API リクエストの例:**
```
{
"Name": "SampleConfigurationPolicy",
"Description": "Configuration policy for production accounts",
"ConfigurationPolicy": {
"SecurityHub": {
"ServiceEnabled": true,
"EnabledStandardIdentifiers": [
"arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0",
"arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"
],
"SecurityControlsConfiguration": {
"DisabledSecurityControlIdentifiers": [
"CloudTrail.2"
],
"SecurityControlCustomParameters": [
{
"SecurityControlId": "ACM.1",
"Parameters": {
"daysToExpiration": {
"ValueType": "CUSTOM",
"Value": {
"Integer": 15
}
}
}
}
]
}
}
}
}
```
**設定ポリシーを関連付ける API リクエストの例:**
```
{
"ConfigurationPolicyIdentifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"Target": {"OrganizationalUnitId": "ou-examplerootid111-exampleouid111"}
}
```
------
#### [ AWS CLI ]
**設定ポリシーを作成して関連付けるには**
1. ホームリージョンの Security Hub CSPM 委任管理者アカウントで、[https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-configuration-policy.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-configuration-policy.html) コマンドを実行します。
1. `name` には、設定ポリシーの一意の名前を入力します。オプションで、`description` に設定ポリシーの説明を入力します。
1. `ServiceEnabled` フィールドで、Security Hub CSPM をこの設定ポリシーで有効にするか無効にするかを指定します。
1. `EnabledStandardIdentifiers` フィールドで、この設定ポリシーで有効にする Security Hub CSPM 標準を指定します。
1. `SecurityControlsConfiguration` フィールドで、この設定ポリシーで有効または無効にするコントロールを指定します。`EnabledSecurityControlIdentifiers` を選択すると、指定したコントロールが有効になります。有効になっている標準に含まれるその他のコントロール (新しくリリースされたコントロールを含む) は無効になります。`DisabledSecurityControlIdentifiers` を選択すると、指定したコントロールが無効になります。有効になっている標準に適用されるその他のコントロール (新しくリリースされたコントロールを含む) が有効になります。
1. オプションで、`SecurityControlCustomParameters` フィールドに、パラメータをカスタマイズする有効なコントロールを指定します。`ValueType` フィールドに `CUSTOM` を指定し、`Value` フィールドにカスタムパラメータ値を指定します。値のデータ型が正しく、Security Hub CSPM で指定された有効な範囲内である必要があります。カスタムパラメータ値をサポートするコントロールのみ選択します。詳細については、「[Security Hub CSPM のコントロールパラメータについて](custom-control-parameters.md)」を参照してください。
1. 設定ポリシーをアカウントまたは OU に適用するには、ホームリージョンの Security Hub CSPM 委任管理者アカウントで [https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html) コマンドを実行します。
1. `configuration-policy-identifier` フィールドに、設定ポリシーの Amazon リソースネーム (ARN) または ID を入力します。この ARN と ID は、`create-configuration-policy` コマンドによって返されます。
1. `target` フィールドには、この設定ポリシーを適用する OU、アカウント、またはルート ID を指定します。コマンドを実行するたびに指定できるターゲットは 1 つのみです。選択したターゲットの子は、セルフマネージド型であるか、別の設定ポリシーを使用している場合を除き、この設定ポリシーを自動的に継承します。
**設定ポリシーを作成するコマンドの例:**
```
aws securityhub --region us-east-1 create-configuration-policy \
--name "SampleConfigurationPolicy" \
--description "Configuration policy for production accounts" \
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}}]}}}'
```
**設定ポリシーを関連付けるコマンドの例:**
```
aws securityhub --region us-east-1 start-configuration-policy-association \
--configuration-policy-identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--target '{"OrganizationalUnitId": "ou-examplerootid111-exampleouid111"}'
```
------
`StartConfigurationPolicyAssociation` API は、`AssociationStatus` というフィールドを返します。このフィールドは、ポリシーの関連付けが保留中か、成功または失敗の状態かを示します。ステータスが `PENDING` から `SUCCESS` または `FAILURE` に変わるまで、最大 24 時間かかることがあります。関連付けのステータスの詳細については、「[設定ポリシーの関連付けステータスの確認](view-policy.md#configuration-association-status)」を参照してください。
# 設定ポリシーのステータスと詳細の確認
委任 AWS Security Hub CSPM 管理者は、組織の設定ポリシーとその詳細を表示できます。これには、ポリシーが関連付けられているアカウントと組織単位 (OU) が含まれます。
中央設定の利点とその仕組みについては、「[Security Hub CSPM での中央設定について](central-configuration-intro.md)」を参照してください。
任意の方法を選択し、その手順に従って設定ポリシーを表示します。
------
#### [ Security Hub CSPM console ]
**設定ポリシーを表示するには (コンソール)**
1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。
ホームリージョンの委任された Security Hub CSPM 管理者アカウントの認証情報を使用してサインインします。
1. ナビゲーションペインで、**[設定]**、**[設定]** の順に選択します。
1. 設定ポリシーの概要については、**[ポリシー]** タブを選択します。
1. 設定ポリシーを選択し、**[詳細を表示]** を選択すると、関連付けられているアカウントや OU など、そのポリシーに関するその他の詳細が表示されます。
------
#### [ Security Hub CSPM API ]
すべての設定ポリシーの概要リストを表示するには、Security Hub CSPM API の [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListConfigurationPolicies.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListConfigurationPolicies.html) オペレーションを使用します。を使用する場合は AWS CLI、 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-configuration-policies.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-configuration-policies.html) コマンドを実行します。委任 Security Hub CSPM 管理者アカウントは、ホームリージョンでオペレーションを呼び出す必要があります。
```
$ aws securityhub list-configuration-policies \
--max-items 5 \
--starting-token U2FsdGVkX19nUI2zoh+Pou9YyutlYJHWpn9xnG4hqSOhvw3o2JqjI23QDxdf
```
特定の設定ポリシーの詳細を表示するには、[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetConfigurationPolicy.html) オペレーションを使用します。を使用する場合は AWS CLI、 を実行します[https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-configuration-policy.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-configuration-policy.html)。委任管理者アカウントは、ホームリージョンでオペレーションを呼び出す必要があります。詳細を表示する設定ポリシーの Amazon リソースネーム (ARN) または ID を指定します。
```
$ aws securityhub get-configuration-policy \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
```
すべての設定ポリシーとそのアカウント関連付けの概要リストを表示するには、[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListConfigurationPolicyAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListConfigurationPolicyAssociations.html) オペレーションを使用します。を使用する場合は AWS CLI、 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-configuration-policy-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-configuration-policy-associations.html) コマンドを実行します。委任管理者アカウントは、ホームリージョンでオペレーションを呼び出す必要があります。オプションで、ページ分割パラメータを指定したり、特定のポリシー ID、関連付けタイプ、または関連付けステータスで結果をフィルタリングしたりできます。
```
$ aws securityhub list-configuration-policy-associations \
--filters '{"AssociationType": "APPLIED"}'
```
特定のアカウントの関連付けを表示するには、[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetConfigurationPolicyAssociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetConfigurationPolicyAssociation.html)オペレーションを使用します。を使用する場合は AWS CLI、 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-configuration-policy-association.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-configuration-policy-association.html) コマンドを実行します。委任管理者アカウントは、ホームリージョンでオペレーションを呼び出す必要があります。`target` の場合、アカウント番号、OU ID、またはルート ID を指定します。
```
$ aws securityhub get-configuration-policy-association \
--target '{"AccountId": "123456789012"}'
```
------
## 設定ポリシーの関連付けステータスの確認
以下の中央設定 API オペレーションは、`AssociationStatus` というフィールドを返します。
+ `BatchGetConfigurationPolicyAssociations`
+ `GetConfigurationPolicyAssociation`
+ `ListConfigurationPolicyAssociations`
+ `StartConfigurationPolicyAssociation`
このフィールドは、基礎となる設定が設定ポリシーの場合とセルフマネージド型の動作の場合の両方で返されます。
`AssociationStatus` の値は、特定のアカウントにおけるポリシーの関連付けが保留中か、成功または失敗の状態かを示します。ステータスが `PENDING` から `SUCCESS` または `FAILED` に変わるまで、最大 24 時間かかることがあります。ステータスが `SUCCESS` の場合、設定ポリシーで指定されたすべての設定がアカウントに関連付けられていることを意味します。ステータスが `FAILED` の場合、設定ポリシーで指定された 1 つ以上の設定がアカウントとの関連付けに失敗したことを意味します。`FAILED` ステータスにかかわらず、アカウントはポリシーに従って部分的に設定できます。たとえば、Security Hub CSPM を有効にし、 AWS 基本的なセキュリティのベストプラクティスを有効にし、CloudTrail.1. 最初の 2 つの設定は成功し、CloudTrail.1 の設定は失敗した場合、一部の設定が正しく設定されていても、関連付けステータスは `FAILED` になります。
親 OU またはルートの関連付けステータスは、子のステータスによって異なります。すべての子の関連付けステータスが `SUCCESS` の場合、親の関連付けステータスは `SUCCESS` です。1 人以上の子の関連付けステータスが `FAILED` の場合、親の関連付けステータスは `FAILED` です。
`AssociationStatus` の値は、関連するすべてのリージョンのポリシーの関連付けステータスによって異なります。ホームリージョンとリンクされているすべてのリージョンで関連付けが成功すると、`AssociationStatus` の値は `SUCCESS` になります。これらの 1 つ以上のリージョンで関連付けに失敗すると、`AssociationStatus` の値は `FAILED` になります。
以下の動作は、`AssociationStatus` の値にも影響します。
+ ターゲットが親 OU またはルートの場合、すべての子が `SUCCESS` または `FAILED` ステータスの場合にのみ `SUCCESS` または `FAILED` の `AssociationStatus` が含まれます。最初に親を設定に関連付けた後に、子アカウントまたは OU の関連付けステータスが変更された場合 (リンクされたリージョンが追加または削除された場合など)、`StartConfigurationPolicyAssociation` API を再度呼び出さない限り、その変更によって親の関連付けステータスは更新されません。
+ ターゲットがアカウントの場合、関連付けにホームリージョンとすべてのリンクされたリージョンの `SUCCESS` または `FAILED` の結果がある場合に限り、そのアカウントには `SUCCESS` または `FAILED` の `AssociationStatus` があります。ターゲットアカウントを初めて設定に関連付けた後に、ターゲットアカウントの関連付けステータスが変更された場合 (リンクされたリージョンが追加または削除された場合など)、その関連付けステータスは更新されます。ただし、`StartConfigurationPolicyAssociation` API を再度呼び出さない限り、変更によって親の関連付けステータスは更新されません。
リンクされた新しいリージョンを追加すると、Security Hub CSPM は、新しいリージョンの `PENDING`、`SUCCESS`、`FAILED` ステータスにある既存の関連付けをレプリケートします。
関連付けステータスが `SUCCESS` であっても、ポリシーの一部である標準の有効化ステータスは不完全な状態に移行する可能性があります。その場合、Security Hub CSPM は標準コントロールの検出結果を生成できません。詳細については、「[標準のステータスをチェックする](enable-standards.md#standard-subscription-status)」を参照してください。
## 関連付けの失敗のトラブルシューティング
AWS Security Hub CSPM では、以下の一般的な理由で設定ポリシーの関連付けが失敗することがあります。
+ **Organizations 管理アカウントはメンバーではありません** – 設定ポリシーを Organizations 管理アカウントに関連付ける場合は、そのアカウントで AWS Security Hub CSPM が有効になっている必要があります。これにより、管理アカウントが組織内のメンバーアカウントになります。
+ **AWS Config が有効になっていないか、正しく設定**されていない – 設定ポリシーで標準を有効にする AWS Config には、関連するリソースを記録するように有効化および設定する必要があります。
+ **委任管理者アカウントから関連付ける必要がある** – Security Hub CSPM 委任管理者アカウントにサインインすると、ポリシーをターゲットアカウントと OU にのみ関連付けることができます。
+ **ホームリージョンから関連付ける必要がある** — ホームリージョンにサインインすると、ポリシーをターゲットアカウントと OU にのみ関連付けることができます。
+ **オプトイン地域が有効化されていない** — 委任管理者が有効化していないオプトインリージョンの場合、リンクされたリージョンのメンバーアカウントまたは OU に対するポリシーの関連付けが失敗します。委任管理者アカウントからリージョンを有効化した後で再試行できます。
+ **メンバーアカウントが一時停止している** — 一時停止されたメンバーアカウントにポリシーを関連付けようとすると、ポリシーの関連付けが失敗します。
# 設定ポリシーの更新
設定ポリシーを作成した後、委任 AWS Security Hub CSPM 管理者アカウントはポリシーの詳細とポリシーの関連付けを更新できます。ポリシーの詳細が更新されると、設定ポリシーに関連付けられているアカウントは、更新されたポリシーの使用を自動的に開始します。
中央設定の利点とその仕組みについては、「[Security Hub CSPM での中央設定について](central-configuration-intro.md)」を参照してください。
委任管理者は、次のポリシー設定を更新できます。
+ Security Hub CSPM を有効または無効にします。
+ 1 つ以上の[セキュリティ標準](standards-reference.md)を有効にします。
+ 有効な標準でどの[セキュリティコントロール](securityhub-controls-reference.md)が有効になっているかを示します。そのためには、有効にすべき特定のコントロールのリストを指定します。Security Hub CSPM は、リリース時に新しいコントロールを含め、他のすべてのコントロールを無効にします。または、無効にすべき特定のコントロールのリストを指定して、Security Hub CSPM がリリースされた時点の新しいコントロールを含め、他のすべてのコントロールを有効化することもできます。
+ オプションで、有効な標準全体で有効になっているコントロールを選択して[パラメータをカスタマイズ](https://docs.aws.amazon.com/securityhub/latest/userguide/custom-control-parameters.html)できます。
任意の方法を選択し、その手順に従って設定ポリシーを更新します。
**注記**
中央設定を使用する場合、Security Hub CSPM は、ホームリージョンを除くすべてのリージョンでグローバルリソースが含まれるコントロールを自動的に無効にします。設定ポリシーを通じて有効を選択したその他のコントロールは、利用可能なすべてのリージョンで有効になります。これらのコントロールの検出結果を 1 つのリージョンのみに制限するには、 AWS Config レコーダー設定を更新し、ホームリージョンを除くすべてのリージョンでグローバルリソース記録をオフにします。
グローバルリソースを含む有効なコントロールがホームリージョンでサポートされていない場合、Security Hub CSPM は、コントロールがサポートされているリンクされた 1 つのリージョンでコントロールを有効にしようとします。中央設定により、ホームリージョンまたはリンクされたリージョンのいずれかで利用できないコントロールがカバーされなくなります。
グローバルリソースを含むコントロールのリストについては、「[グローバルリソースを使用するコントロール](controls-to-disable.md#controls-to-disable-global-resources)」を参照してください。
------
#### [ Console ]
**設定ポリシーを更新するには**
1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。
ホームリージョンの委任された Security Hub CSPM 管理者アカウントの認証情報を使用してサインインします。
1. ナビゲーションペインで、**[設定]**、**[設定]** の順に選択します。
1. **[Policies]** タブを選択します。
1. 編集する設定ポリシーを選択したら、**[編集]** を選択します。必要に応じて、ポリシーの設定を編集します。ポリシーの設定を変更せずにそのまま維持する場合は、このセクションはそのままにします。
1. **[次へ]** を選択します。必要に応じて、ポリシーの関連付けを編集します。ポリシーの関連付けを変更せずにそのまま維持する場合は、このセクションはそのままにします。更新時に、ポリシーを最大 15 個のターゲット (アカウント、OU、またはルート) に関連付けるか、関連付けを解除できます。
1. [**次へ**] を選択します。
1. 更新内容を確認して **[保存]** を選択して適用します。ホームリージョンとリンクされたリージョンでは、このアクションは、この設定ポリシーに関連付けられているアカウントの既存の設定よりも優先されます。アカウントは、アプリケーションを通じて設定ポリシーに関連付けることも、親ノードから継承することもできます。
------
#### [ API ]
**設定ポリシーを更新するには**
1. 設定ポリシーの設定を更新するには、ホームリージョンの Security Hub CSPM の委任管理者アカウントから [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html) API を呼び出します。
1. 更新する設定ポリシーの Amazon リソースネーム (ARN) または ID を指定します。
1. `ConfigurationPolicy` の下のフィールドに、更新された値を入力します。オプションで、更新の理由も指定できます。
1. この設定ポリシーに新しい関連付けを追加するには、ホームリージョンの Security Hub CSPM 委任管理者アカウントから [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html) API を呼び出します。1 つ以上の現在の関連付けを削除するには、ホームリージョンの Security Hub CSPM の委任管理者アカウントから [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyDisassociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyDisassociation.html) API を呼び出します。
1. `ConfigurationPolicyIdentifier` フィールドには、関連付けを更新する設定ポリシーの ARN または ID を指定します。
1. `Target` フィールドには、関連付けるまたは関連付けを解除するアカウント、OU、またはルート ID を指定します。このアクションは、指定した OU またはアカウントに対する以前のポリシー関連付けを上書きします。
**注記**
`UpdateConfigurationPolicy` API を呼び出すと、Security Hub CSPM は、`EnabledStandardIdentifiers`、`EnabledSecurityControlIdentifiers`、`DisabledSecurityControlIdentifiers`、`SecurityControlCustomParameters` のフィールドの完全なリスト置換を実行します。この API を呼び出すたびに、有効にする標準の全リストと、有効または無効にしてパラメータをカスタマイズするコントロールの全リストを指定します。
**設定ポリシーを更新する API リクエストの例:**
```
{
"Identifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"Description": "Updated configuration policy",
"UpdatedReason": "Disabling CloudWatch.1",
"ConfigurationPolicy": {
"SecurityHub": {
"ServiceEnabled": true,
"EnabledStandardIdentifiers": [
"arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0",
"arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"
],
"SecurityControlsConfiguration": {
"DisabledSecurityControlIdentifiers": [
"CloudTrail.2",
"CloudWatch.1"
],
"SecurityControlCustomParameters": [
{
"SecurityControlId": "ACM.1",
"Parameters": {
"daysToExpiration": {
"ValueType": "CUSTOM",
"Value": {
"Integer": 15
}
}
}
}
]
}
}
}
}
```
------
#### [ AWS CLI ]
**設定ポリシーを更新するには**
1. 設定ポリシーの設定を更新するには、ホームリージョンの Security Hub CSPM の委任管理者アカウントから [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-configuration-policy.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-configuration-policy.html) コマンドを実行します。
1. 更新する設定ポリシーの Amazon リソースネーム (ARN) または ID を指定します。
1. `configuration-policy` の下のフィールドに、更新された値を入力します。オプションで、更新の理由も指定できます。
1. この設定ポリシーに新しい関連付けを追加するには、ホームリージョンの Security Hub CSPM 委任管理者アカウントから [https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html) コマンドを実行します。1 つ以上の現在の関連付けを削除するには、ホームリージョンの Security Hub CSPM 委任管理者アカウントから [https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html) コマンドを実行します。
1. `configuration-policy-identifier` フィールドには、関連付けを更新する設定ポリシーの ARN または ID を指定します。
1. `target` フィールドには、関連付けるまたは関連付けを解除するアカウント、OU、またはルート ID を指定します。このアクションは、指定した OU またはアカウントに対する以前のポリシー関連付けを上書きします。
**注記**
`update-configuration-policy` コマンドを実行すると、Security Hub CSPM は、`EnabledStandardIdentifiers`、`EnabledSecurityControlIdentifiers`、`DisabledSecurityControlIdentifiers`、`SecurityControlCustomParameters` のフィールドの完全なリスト置換を実行します。このコマンドを実行するたびに、有効にする標準の全リストと、有効または無効にしてパラメータをカスタマイズするコントロールの全リストを指定します。
**設定ポリシーを更新するコマンドの例:**
```
aws securityhub update-configuration-policy \
--region us-east-1 \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--description "Updated configuration policy" \
--updated-reason "Disabling CloudWatch.1" \
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2","CloudWatch.1"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}}]}}}'
```
------
`StartConfigurationPolicyAssociation` API は、`AssociationStatus` というフィールドを返します。このフィールドは、ポリシーの関連付けが保留中か、成功または失敗の状態かを示します。ステータスが `PENDING` から `SUCCESS` または `FAILURE` に変わるまで、最大 24 時間かかることがあります。関連付けのステータスの詳細については、「[設定ポリシーの関連付けステータスの確認](view-policy.md#configuration-association-status)」を参照してください。
# 設定ポリシーの削除
設定ポリシーを作成した後、委任 AWS Security Hub CSPM 管理者はそのポリシーを削除できます。また、委任管理者はポリシーを保持したまま、特定のアカウントや組織単位 (OU) またはルートとの関連付けを解除することもできます。ポリシーの関連付けを解除する手順については、「[ターゲットから設定の関連付けを解除する](disassociate-policy.md)」を参照してください。
中央設定の利点とその仕組みについては、「[Security Hub CSPM での中央設定について](central-configuration-intro.md)」を参照してください。
このセクションでは、設定ポリシーを削除する方法について説明します。
設定ポリシーを削除すると、組織には存在しなくなります。ターゲットアカウント、OU、および組織ルートは設定ポリシーを使用できなくなります。削除された設定ポリシーに関連付けられていたターゲットは、最も近い親の設定ポリシーを継承するか、最も近い親がセルフマネージド型の場合はセルフマネージド型になります。ターゲットに別の設定を使用する場合は、そのターゲットを新しい設定ポリシーに関連付けることができます。詳細については、「[設定ポリシーの作成と関連付け](create-associate-policy.md)」を参照してください。
適切なセキュリティカバレッジを確保するために、少なくとも 1 つの設定ポリシーを作成して組織に関連付けることをお勧めします。
設定ポリシーを削除する前に、現在適用されているアカウント、OU、またはルートからポリシーの関連付けを解除する必要があります。
任意の方法を選択し、その手順に従って設定ポリシーを削除します。
------
#### [ Console ]
**設定ポリシーを削除するには**
1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。
ホームリージョンの委任された Security Hub CSPM 管理者アカウントの認証情報を使用してサインインします。
1. ナビゲーションペインで、**[設定]**、**[設定]** の順に選択します。
1. **[Policies]** タブを選択します。削除する設定ポリシーを選択し、**[削除]** を選択します。設定ポリシーがまだアカウントまたは OU に関連付けられている場合は、削除する前にポリシーとそれらのターゲットとの関連付けを解除するように求められます。
1. 確認メッセージを確認します。「**confirm**」と入力し、**[削除]** を選択します。
------
#### [ API ]
**設定ポリシーを削除するには**
ホームリージョンの Security Hub CSPM 委任管理者アカウントから [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DeleteConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DeleteConfigurationPolicy.html) API を呼び出します。
削除する設定ポリシーの Amazon リソースネーム (ARN) または ID を指定します。`ConflictException` エラーを受け取った場合でも、設定ポリシーは組織内のアカウントまたは OU に適用されます。このエラーを解決するには、削除する前に、設定ポリシーとこれらのアカウントまたは OU との関連付けを解除します。
**設定ポリシーを削除する API リクエストの例:**
```
{
"Identifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
}
```
------
#### [ AWS CLI ]
**設定ポリシーを削除するには**
ホームリージョンの Security Hub CSPM 委任管理者アカウントで、[https://docs.aws.amazon.com/cli/latest/reference/securityhub/delete-configuration-policy.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/delete-configuration-policy.html) コマンドを実行します。
削除する設定ポリシーの Amazon リソースネーム (ARN) または ID を指定します。`ConflictException` エラーを受け取った場合でも、設定ポリシーは組織内のアカウントまたは OU に適用されます。このエラーを解決するには、削除する前に、設定ポリシーとこれらのアカウントまたは OU との関連付けを解除します。
```
aws securityhub --region us-east-1 delete-configuration-policy \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
```
------
# ターゲットから設定の関連付けを解除する
委任 AWS Security Hub CSPM 管理者アカウントから、アカウント、OU、またはルートから設定ポリシーまたはセルフマネージド設定の関連付けを解除できます。関連付けを解除すると、ポリシーは将来の使用のために保持されますが、特定のアカウント、OU、またはルートからの既存の関連付けは削除されます。関連付けを解除できるのは、継承された設定ではなく、直接適用された設定のみです。継承された設定を変更するには、影響を受けるアカウントまたは OU に設定ポリシーまたはセルフマネージド型の動作を適用します。また、必要な変更を含む新しい設定ポリシーを、最も近い親に適用することもできます。
関連付けを解除しても設定ポリシーは削除*されません*。ポリシーはアカウントに保持されるため、組織内の他のターゲットと関連付けることができます。設定ポリシーの削除手順については、「[設定ポリシーの削除](delete-policy.md)」を参照してください。関連付けの解除が完了すると、影響を受けるターゲットは、設定ポリシーまたは最も近い親のセルフマネージド型の動作を継承します。継承が可能な設定がない場合、ターゲットは関連付け解除前の設定を保持しますが、セルフマネージド型になります。
任意の方法を選択し、その手順に従って、アカウント、OU、またはルートと現在の設定との関連付けを解除します。
------
#### [ Console ]
**アカウントまたは OU と現在の設定との関連付けを解除するには**
1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。
ホームリージョンの委任された Security Hub CSPM 管理者アカウントの認証情報を使用してサインインします。
1. ナビゲーションペインで、**[設定]**、**[設定]** の順に選択します。
1. **[組織]** タブで、現在の設定との関連付けを解除したいアカウント、OU、またはルートを選択します。**[編集]** を選択します。
1. 委任管理者がターゲットに直接ポリシーを適用できるようにするには、**[構成を定義]** ページの **[管理]** で、適用される **[ポリシー]** を選択します。ターゲットに最も近い親の設定を継承する場合は、**[継承済み]** を選択します。いずれの場合も、委任管理者がターゲットの設定をコントロールします。アカウントまたは OU に独自の設定を管理する場合は、**[セルフマネージド]** を選択します。
1. 変更を確認したら、**[次へ]** と **[適用]** を選択します。このアクションは、対象範囲内のアカウントまたは OU の既存の設定が現在の選択内容と矛盾する場合、それらの設定を上書きします。
------
#### [ API ]
**アカウントまたは OU と現在の設定との関連付けを解除するには**
1. ホームリージョンの Security Hub CSPM 委任管理者アカウントから [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyDisassociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyDisassociation.html) API を呼び出します。
1. `ConfigurationPolicyIdentifier` の場合、関連付けを解除する設定ポリシーの Amazon リソースネーム (ARN) または ID を指定します。セルフマネージド型の動作との関連付けを解除するには、このフィールドに `SELF_MANAGED_SECURITY_HUB` を指定します。
1. `Target` の場合、この設定ポリシーとの関連付けを解除するアカウント、OU、またはルートを指定します。
**設定ポリシーの関連付けを解除する API リクエストの例:**
```
{
"ConfigurationPolicyIdentifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"Target": {"RootId": "r-f6g7h8i9j0example"}
}
```
------
#### [ AWS CLI ]
**アカウントまたは OU と現在の設定との関連付けを解除するには**
1. ホームリージョンの Security Hub CSPM 委任管理者アカウントで、[https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-disassociation.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-disassociation.html) コマンドを実行します。
1. `configuration-policy-identifier` の場合、関連付けを解除する設定ポリシーの Amazon リソースネーム (ARN) または ID を指定します。セルフマネージド型の動作との関連付けを解除するには、このフィールドに `SELF_MANAGED_SECURITY_HUB` を指定します。
1. `target` の場合、この設定ポリシーとの関連付けを解除するアカウント、OU、またはルートを指定します。
**設定ポリシーの関連付けを解除するコマンドの例:**
```
aws securityhub --region us-east-1 start-configuration-policy-disassociation \
--configuration-policy-identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--target '{"RootId": "r-f6g7h8i9j0example"}'
```
------
# 状況に応じた標準またはコントロールの設定
AWS Security Hub CSPM で[中央設定](central-configuration-intro.md)を使用する場合、委任 Security Hub CSPM 管理者は、Security Hub CSPM、セキュリティ標準、およびセキュリティコントロールを組織に対して設定する方法を指定する設定ポリシーを作成できます。委任管理者は、ポリシーを特定のアカウントと組織単位 (OU) に関連付けることができます。ポリシーは、ホームリージョンとすべてのリンクされたリージョンで有効になります。委任管理者は、必要に応じて設定ポリシーを更新できます。
Security Hub CSPM コンソールでは、委任管理者は**[設定]**ページから、または既存のワークフローのコンテキスト内からの 2 つの方法で設定ポリシーを更新できます。後者は、セキュリティの検出結果を確認しながら、どの標準とコントロールが自分の環境に最も関連性があるかを見出し、同時に設定することができるため、有益です。
コンテキスト内の設定は、Security Hub CSPM コンソールでのみ実行できます。プログラムによって委任管理者は、Security Hub CSPM API の [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html) オペレーションを呼び出し、特定の標準やコントロールの組織内での設定方法を変更する必要があります。
コンテキスト内の Security Hub CSPM 標準またはコントロールを設定するには、次の手順に従います。
**コンテキストの標準またはコントロールを設定する (コンソール)**
1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。
ホームリージョンの委任された Security Hub CSPM 管理者アカウントの認証情報を使用してサインインします。
1. ナビゲーションペインで、次のオプションのいずれかを選択します。
+ 標準を設定するには、**[セキュリティ標準]** を選択し、標準を指定します。
+ コントロールを設定するには、**[コントロール]** を選択し、コントロールを指定します。
1. コンソールには、既存の Security Hub CSPM 設定ポリシーと各ポリシーにおける選択した標準とコントロールのステータスが一覧表示されます。既存の各設定ポリシーの標準、またはコントロールを有効または無効にするオプションを選択します。コントロールでは、[コントロールパラメータ](custom-control-parameters.md)をカスタマイズすることもできます。コンテキスト内設定中に新しいポリシーを作成することはできません。新しいポリシーを作成するには、**[設定]**ページに移動し、**[ポリシー]**タブを選択し、**[ポリシーの作成]** を選択する必要があります。
1. 変更を加えたら、**[次へ]** を選択します。
1. 変更内容を確認したら、**[適用]** を選択します。変更内容は、変更した設定ポリシーに関連付けられているすべてのアカウントと OU に影響します。また、ホームリージョンとリンクされたすべてのリージョンで有効になります。
# Security Hub CSPM の中央設定を無効化する
AWS Security Hub CSPM で中央設定を無効にすると、委任された管理者は、複数の組織単位 (OUs) および で Security Hub CSPM AWS アカウント、セキュリティ標準、セキュリティコントロールを設定できなくなります AWS リージョン。代わりに、各リージョンでその設定のほとんどをアカウントごとに設定する必要があります。
**重要**
中央設定を無効化する前に、まず[アカウントと OU](disassociate-policy.md) を現在の設定から切り離す必要があります (それが設定ポリシーか、セルフマネージド型動作であるかは関係ありません)。
中央設定の使用を無効化する前に、[既存の設定ポリシーも削除する](delete-policy.md)必要があります。
中央設定を無効化すると、次の変更が行われます。
+ 委任管理者は、組織の設定ポリシーを作成できなくなります。
+ 設定ポリシーが適用または継承されたアカウントは、現在の設定を保持しますが、セルフマネージド型になります。
+ 組織は*ローカル設定*に切り替わります。ローカル設定では、Security Hub CSPM 設定の大部分を組織アカウントとリージョンごとに個別に設定する必要があります。委任管理者は、Security Hub CSPM、[デフォルトのセキュリティ基準](securityhub-auto-enabled-standards.md)、および新しい組織アカウントのデフォルト標準に含まれるすべてのコントロールを自動的に有効にすることを選択できます。デフォルトの標準は、 AWS Foundational Security Best Practices (FSBP) と Center for Internet Security (CIS) AWS Foundations Benchmark v1.2.0 です。これらの設定は現在のリージョンでのみ有効で、新しい組織アカウントにのみ影響します。委任管理者は、どの標準がデフォルトになるかを変更できません。ローカル設定では、設定ポリシーの使用や OU レベルでの設定はサポートされていません。
中央設定の使用を停止しても、委任管理者アカウントの ID は変わりません。ホームリージョンとリンクされたリージョンも変更されません (ホームリージョンは集約リージョンと呼ばれることになり、検出結果の集約に使用できます)。
お好みの方法を選択し、手順に従って中央設定の使用を停止し、ローカル設定に切り替えます。
------
#### [ Security Hub CSPM console ]
**中央設定を無効化するには (コンソール)**
1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。
ホームリージョンの委任された Security Hub CSPM 管理者アカウントの認証情報を使用してサインインします。
1. ナビゲーションペインで、**[設定]**、**[設定]** の順に選択します。
1. **[概要]** セクションで **[編集]** を選択します。
1. **[組織設定を編集]** ボックスで、**[ローカル設定]** を選択します。まだ行っていない場合は、中央設定を停止する前に、現在の設定ポリシーの関連付けを解除して削除するよう求められます。セルフマネージド型として指定されているアカウントまたは OU は、セルフマネージド型設定との関連付けを解除する必要があります。これをコンソールで行うには、各セルフマネージド型アカウントまたは OU の[管理タイプ](central-configuration-management-type.md#choose-management-type)を **[一元管理]** と **[自分の組織から継承]** に変更します。
1. 必要に応じて、新しい組織アカウントのローカル設定のデフォルト設定を選択します。
1. **[確認]** を選択します。
------
#### [ Security Hub CSPM API ]
**中央設定 (API) を無効にするには**
1. [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html) API を呼び出します。
1. `OrganizationConfiguration` オブジェクト内の `ConfigurationType` フィールドを `LOCAL` に設定します。既存の設定ポリシーまたはポリシーの関連付けがある場合、API はエラーを返します。設定ポリシーの関連付けを解除するには、`StartConfigurationPolicyDisassociation` API を呼び出します。設定ポリシーを削除するには、`DeleteConfigurationPolicy` API を呼び出します。
1. 新しい組織アカウントで Security Hub CSPM を自動的に有効にする場合は、`AutoEnable` フィールドを `true` に設定します。デフォルトでは、このフィールドの値は `false` で、Security Hub CSPM は新しい組織アカウントで自動的には有効になりません。必要に応じて、新しい組織アカウントでデフォルトのセキュリティ基準を自動的に有効にする場合は、`AutoEnableStandards` フィールドを `DEFAULT` に設定します。これは、デフォルト値です。新しい組織アカウントでデフォルトのセキュリティ基準を自動的に有効化しない場合は、`AutoEnableStandards` フィールドを `NONE` に設定します。
**API リクエストの例**:
```
{
"AutoEnable": true,
"OrganizationConfiguration": {
"ConfigurationType" : "LOCAL"
}
}
```
------
#### [ AWS CLI ]
**中央設定を無効にするには (AWS CLI)**
1. [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html) コマンドを実行します。
1. `organization-configuration` オブジェクト内の `ConfigurationType` フィールドを `LOCAL` に設定します。既存の設定ポリシーまたはポリシーの関連付けがある場合、このコマンドはエラーを返します。設定ポリシーの関連付けを解除するには、`start-configuration-policy-disassociation` コマンドを実行します。設定ポリシーを削除するには、`delete-configuration-policy` コマンドを実行します。
1. 新しい組織アカウントで Security Hub CSPM を自動的に有効にする場合は、`auto-enable` パラメータを使用します。デフォルトでは、このパラメータの値は `no-auto-enable` で、Security Hub CSPM は新しい組織アカウントで自動的には有効になりません。必要に応じて、新しい組織アカウントでデフォルトのセキュリティ基準を自動的に有効にする場合は、`auto-enable-standards` フィールドを `DEFAULT` に設定します。これは、デフォルト値です。新しい組織アカウントでデフォルトのセキュリティ基準を自動的に有効化しない場合は、`auto-enable-standards` フィールドを `NONE` に設定します。
```
aws securityhub --region us-east-1 update-organization-configuration \
--auto-enable \
--organization-configuration '{"ConfigurationType": "LOCAL"}'
```
------