翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Security Hub を有効にする
任意の AWS アカウントに対して Security Hub を有効にできます。ドキュメントのこのセクションでは、 AWS 組織またはスタンドアロンアカウントの Security Hub を有効にするために必要なすべてのステップについて説明します。
## AWS 組織の Security Hub を有効にする
このセクションでは、次の 3 つのステップについて説明します。
+ **ステップ 1 **では、 AWS 組織管理アカウントが AWS 組織の委任管理者を指定し、委任管理者ポリシーを作成し、オプションで自分のアカウントに対して Security Hub を有効にします。
+ **ステップ 2 **では、組織の委任管理者が自分のアカウントで Security Hub を有効にします。
+ **ステップ 3 **では、組織の委任管理者は、Security Hub およびその他のサポートされているセキュリティサービスについて、組織内のすべてのメンバーアカウントを設定します。
### ステップ 1. 管理者アカウントを委任し、必要に応じて AWS 組織管理アカウントで Security Hub を有効にする
**注記**
このステップは、組織管理アカウントの 1 つのリージョンでのみ完了する必要があります。
Security Hub の委任管理者アカウントを割り当てる場合、委任管理者に選択できるアカウントは、Security Hub CSPM の委任管理者の設定方法によって異なります。Security Hub CSPM の委任管理者を設定し、そのアカウントが組織の管理アカウントでない場合、そのアカウントは自動的に Security Hub の委任管理者として設定され、別のアカウントを選択することはできません。Security Hub CSPM の委任管理者アカウントが組織管理アカウントとして設定されている場合、またはまったく設定されていない場合は、組織管理アカウントを除き、Security Hub の委任管理者アカウントとなるアカウントを選択できます。
Security Hub での委任管理者の指定については、「[Designating a delegated administrator account in Security Hub](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-v2-set-da.html)」を参照してください。Security Hub での委任管理者ポリシーの作成については、「[Creating the delegated administrator policy in Security Hub](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-v2-policy-statement.html)」を参照してください。
**Security Hub のアドミストレーターを指定するには**
1. AWS 組織管理 AWS アカウントの認証情報を使用してアカウントにサインインします。[https://console.aws.amazon.com/securityhub/v2/home](https://console.aws.amazon.com/securityhub/v2/home) で Security Hub コンソールを開きます。
1. Security Hub ホームページから **[Security Hub]**、**[開始]** を選択します。
1. **委任管理者**セクションで、提供されたオプションに基づいて管理者アカウントを選択します。ベストプラクティスとして、一貫したガバナンスのために、すべてのセキュリティサービスで同じ委任管理者を使用することをお勧めします。
1. **Trusted access** チェックボックスをオンにします。このオプションを選択すると、委任管理者アカウントは、GuardDuty Malware Protection などの特定の機能をメンバーアカウントで設定できます。このオプションのチェックを解除すると、Security Hub はユーザーに代わってこれらの機能を有効にできず、機能が関連付けられているサービスから直接有効にする必要があります。
1. (オプション) **アカウントを有効にする**には、 AWS アカウントの Security Hub を有効にするボックスを選択します。
1. **委任管理者ポリシー**で、次のいずれかのオプションを選択してポリシーステートメントを追加します。
1. (オプション 1) **[これを更新する]** を選択します。ポリシーステートメントの下にあるボックスを選択して、Security Hub が委任管理者に必要なすべてのアクセス許可を付与する委任ポリシーを自動的に作成することを確認します。
1. (オプション 2) **[手動でアタッチする]** を選択します。**[コピーしてアタッチ]** を選択します。 AWS Organizations コンソールの **の委任された管理者 AWS Organizations** で、**委任**を選択し、委任ポリシーエディタにリソースポリシーを貼り付けます。**[ポリシーを作成]** を選択します。Security Hub コンソールにあるタブを開きます。
1. [**設定**] を選択します。
### ステップ 2. 委任管理者アカウントでセキュリティを有効化する
委任管理者アカウントはこのステップを完了します。 AWS Organization 管理アカウントが組織の委任管理者を指定した後、委任管理者は AWS 、Organization 全体で を有効にする前に、自分のアカウントで Security Hub を有効にする必要があります。
**委任管理者アカウントで Security Hub を有効にするには**
1. 委任管理者認証情報を使用して AWS アカウントにサインインします。[https://console.aws.amazon.com/securityhub/v2/home](https://console.aws.amazon.com/securityhub/v2/home) で Security Hub コンソールを開きます。
1. Security Hub ホームページから、**開始**方法を選択します。
1. セキュリティ機能セクションでは、自動的に有効になり、Security Hub のリソースあたりの基本料金に含まれる機能の概要を説明します。
1. (オプション) **[タグ]** では、キーと値のペアをアカウント設定に追加するかどうかを決定します。
1. **Security Hub を有効にする** を選択して、Security Hub の有効化を完了します。
1. (推奨) ポップアップから**組織の設定**を選択し、ステップ 3 に進みます。
Security Hub を有効にすると、[AWSServiceRoleForSecurityHubV2](https://docs.aws.amazon.com/securityhub/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-awssecurityhubv2servicerolepolicy) というサービスにリンクされたロールとサービスにリンクされたレコーダーがアカウントに作成されます。サービスにリンクされたレコーダーは、 AWS サービス固有のリソースの設定データを記録できる サービスによって管理される AWS Config レコーダーの一種です。サービスにリンクされたレコーダーを使用することで、Security Hub は公開分析のカバレッジに必要なリソース設定項目を取得したり、リソースインベントリを報告したりするために、イベント駆動型のアプローチを可能にします。サービスにリンクされたレコーダーは、 AWS アカウント および ごとに設定されます AWS リージョン。グローバルリソースタイプの場合、 は指定されたホームリージョンのグローバルリソースタイプ AWS Config のみを記録するため、追加のサービスにリンクされたレコーダーがホームリージョンに自動的に作成され、グローバルリソースの設定変更が記録されます。詳細については、[「サービスにリンクされた設定レコーダーに関する考慮事項](https://docs.aws.amazon.com/config/latest/developerguide/stop-start-recorder.html#stop-start-recorder-considerations-service-linked)」および[「リージョンおよびグローバルリソースの記録](https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html#select-resources-all)」を参照してください。
### ステップ 3. すべてのメンバーアカウントで Security Hub を有効にするポリシーを作成する
組織の委任管理者アカウントで Security Hub をエンブした後、組織メンバーアカウントで有効になっているサービスと機能を定義するポリシーを作成する必要があります。詳細については、[「ポリシーのタイプで設定を有効にする](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-v2-da-policy.html#securityhub-v2-configuration-enable-policy)」を参照してください。
## Security Hub スタンドアロンアカウントを有効にする
この手順では、スタンドアロンアカウントで Security Hub を有効にする方法について説明します。スタンドアロンアカウントは AWS アカウント 、 AWS 組織を有効にしていない です。
**スタンドアロンアカウントで Security Hub を有効にするには**
1. AWS アカウント認証情報を使用してアカウントにサインインします。[https://console.aws.amazon.com/securityhub/v2/home](https://console.aws.amazon.com/securityhub/v2/home) で Security Hub コンソールを開きます。
1. Security Hub ホームページから、**開始方法**を選択します。
1. **「セキュリティ機能**」セクションで、次のいずれかを実行します。
1. (オプション 1) **すべての機能を有効にする**を選択します。これにより、Security Hub の必須機能、脅威分析、その他の機能がすべてオンになります。
1. (オプション 2) **カスタマイズ機能**を選択します。有効にする脅威分析と追加機能を選択します。Security Hub の必須プラン機能の一部である機能の選択を解除することはできません。
1. **「リージョン**」セクションで、**「すべてのリージョンを有効にする**」または**「特定のリージョンを有効にする**」を選択します。**[すべてのリージョンを有効にする]** を選択した場合、新しいリージョンを自動的に有効にするかどうかを選択できます。**特定のリージョンを有効にする** を選択した場合は、有効にするリージョンを選択する必要があります。
1. (オプション) **リソースタグ**には、設定を簡単に識別できるように、キーと値のペアとしてタグを追加します。
1. **[Enable Security Hub]** (Security Hub の有効化) を選択します。
Security Hub を有効にすると、[AWSServiceRoleForSecurityHubV2](https://docs.aws.amazon.com/securityhub/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-awssecurityhubv2servicerolepolicy) というサービスにリンクされたロールとサービスにリンクされたレコーダーがアカウントに作成されます。サービスにリンクされたレコーダーは、 AWS サービス固有のリソースの設定データを記録できる サービスによって管理される AWS Config レコーダーの一種です。サービスにリンクされたレコーダーを使用することで、Security Hub は公開分析のカバレッジに必要なリソース設定項目を取得したり、リソースインベントリを報告したりするために、イベント駆動型のアプローチを可能にします。サービスにリンクされたレコーダーは、 AWS アカウント および ごとに設定されます AWS リージョン。グローバルリソースタイプの場合、 は指定されたホームリージョンのグローバルリソースタイプ AWS Config のみを記録するため、追加のサービスにリンクされたレコーダーがホームリージョンに自動的に作成され、グローバルリソースの設定変更が記録されます。詳細については、[「サービスにリンクされた設定レコーダーに関する考慮事項](https://docs.aws.amazon.com/config/latest/developerguide/stop-start-recorder.html#stop-start-recorder-considerations-service-linked)」および[「リージョンおよびグローバルリソースの記録](https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html#select-resources-all)」を参照してください。
# Security Hub の委任管理者の指定
AWS 組織管理アカウントでは、組織の委任管理者を指定できます。ベストプラクティスとして、一貫したガバナンスのために、すべてのセキュリティサービスで同じ委任管理者を使用することをお勧めします。
このトピックの手順では、Security Hub の委任管理者を指定する方法について説明します。ここでは、すでに Security Hub を有効化しているが、まだ有効化ワークフローで委任管理者を指定していないことを前提としています。
**考慮事項**
Security Hub で委任管理者を指定する際は、以下の点に留意してください。
+ AWS 組織管理アカウントは、Security Hub CSPM で自身を委任管理者として指定できます。 AWS 組織管理アカウントは、Security Hub の委任管理者として自身を指定することはできません。このシナリオでは、 AWS 組織管理アカウントは、Security Hub で別の を委任管理者 AWS アカウント として指定する必要があります。ベストプラクティスとして、一貫したガバナンスのために、すべてのセキュリティサービスで同じ委任管理者を使用することをお勧めします。
+ AWS 組織管理アカウントが Security Hub CSPM で委任管理者を指定すると、その委任管理者は自動的に Security Hub の委任管理者になります。このシナリオでは、Security Hub は、この特定の のみを委任管理者として AWS アカウント 使用できます。
**注記**
AWS 組織管理アカウントが Security Hub で Security Hub CSPM と同じ委任管理者を使用している場合、Security Hub CSPM コンソールまたは AWS Organizations API を使用して削除すると、Security Hub でも削除されます。同様に、Security Hub コンソールまたは AWS Organizations API を使用して削除すると、Security Hub CSPM でも削除されます。委任管理者が Security Hub CSPM から削除されると、中央設定は自動的にオプトアウトされます。
## Security Hub 有効化後の委任管理者の指定
この手順は、 AWS 組織管理アカウントが完了するためのものです。これは、 AWS 組織管理アカウントが以前に Security Hub を有効にしたが、有効化ワークフロー中に委任管理者を指定していないことを前提としています。
**注記**
この手順の完了後に、組織の委任管理者が Security Hub を設定して AWS Organizationsで特定のアクションを実行することを許可するポリシーを作成する必要があります。詳細については、「[Creating the delegated administrator policy in Security Hub](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-v2-policy-statement.html)」を参照してください。
**Security Hub の委任管理者を指定するには**
1. 組織管理 AWS アカウントの認証情報を使用してアカウントにサインインし、[https://console.aws.amazon.com/securityhub/v2/home](https://console.aws.amazon.com/securityhub/v2/home) で Security Hub コンソールを開きます。
1. ナビゲーションペインから、**[全般設定]** を選択します。
1. **[委任管理者]** で、**[設定]** を選択します。指定された のいずれかを選択するか AWS アカウント、組織の委任管理者として AWS アカウント 指定する の 12 桁の AWS アカウント 番号を入力します。**[保存]** を選択します。
# Security Hub の委任管理者ポリシーの作成
AWS 組織管理アカウントは、委任された管理者が Security Hub を設定し、特定のアクションを実行できるようにするポリシーを作成できます AWS Organizations。このトピックの手順では、ポリシーを作成する方法について説明します。この手順を完了すると、Security Hub でポリシーを作成させることも、あるいは手動でポリシーを作成することもできるようになります。特定のユースケースに合わせてポリシーをカスタマイズする場合を除き、Security Hub によるポリシーの作成を許可することをお勧めします。 AWS 組織管理アカウントは、Security Hub を有効にして委任管理者を指定したが、[有効化](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-v2-enable.html#securityhub-v2-enable-management-account)ワークフローの完了時にポリシーの作成をスキップした場合にのみ、この手順を完了する必要があります。このポリシーを更新する方法については、「*AWS Organizations ユーザーガイド*」の「[Update a resource-based delegation policy with AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs-policy-delegate-update.html)」を参照してください。
**注記**
この手順を完了すると、委任管理者は組織内のメンバーアカウントを管理するポリシーを作成できるようになります。詳細については、「[Creating a policy as the delegated administrator to manage member accounts](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-v2-da-policy.html)」を参照してください。
**委任管理者ポリシーを作成するには**
1. 組織管理 AWS アカウントの認証情報を使用してアカウントにサインインします。[https://console.aws.amazon.com/securityhub/v2/home](https://console.aws.amazon.com/securityhub/v2/home) で Security Hub コンソールを開きます。
1. ナビゲーションペインから、**[全般設定]** を選択します。
1. **委任管理者ポリシー** の場合は、次のいずれかを実行します。
1. (オプション 1) **[ポリシーの作成]** を選択します。ポリシーステートメントの下にあるボックスを選択して、Security Hub が委任管理者に必要なすべてのアクセス許可を付与する委任ポリシーを自動的に作成することを確認します。
1. (オプション 2) ポリシーを開きます。**[コピーしてアタッチ]** を選択します。 AWS Organizations コンソールの **の委任された管理者 AWS Organizations** で、**委任**を選択し、委任ポリシーエディタにリソースポリシーを貼り付けます。**[ポリシーを作成]** を選択します。Security Hub コンソールにあるタブを開き、**[設定]** を選択します。
# AWS 組織内のメンバーアカウントの設定の管理
AWS 組織の委任管理者は、メンバーアカウントとリージョン全体でセキュリティ機能を設定できます。使用可能な設定には、**ポリシー**と**デプロイの** 2 種類があります。**ポリシー**は、 AWS Security Hub と Amazon Inspector のアカウントとリージョンの AWS Organizations ポリシーを生成します。**デプロイ**は、Amazon GuardDuty と AWS Security Hub CSPM の選択したアカウントとリージョンでセキュリティ機能を有効にする 1 回限りのアクションです。ポリシーとは異なり、デプロイを表示または編集することはできません。デプロイは新しく有効化されたアカウントには適用されません。別の方法として、新しいメンバーアカウントの自動有効化機能は、Amazon GuardDuty と AWS Security Hub CSPM で使用できます。
## Security Hub 設定カタログ
Security Hub の設定カタログには、 が提供するセキュリティ機能用に AWS Organization アカウントを設定するのに役立つ複数のオプションが用意されています。
Security Hub 設定カタログで使用できるオプションを次に示します。
### Security Hub (必須および追加機能)
これは、Security Hub にデプロイするための推奨設定です。
**タイプ**: ポリシーとデプロイ
**説明**: この設定は、Security Hub の基本的なセキュリティ管理、体制管理、脅威分析、脆弱性管理機能を強化します。必要に応じて、追加の機能を有効にします。
### GuardDuty からの脅威分析
**タイプ**: Deployment
**説明**: 選択した Amazon GuardDuty 機能を有効にして、 AWS 環境内の AWS データソースとログを継続的にモニタリング、分析、処理します。
### AWS Security Hub CSPM からの姿勢管理)
**タイプ**: Deployment
**説明**: この設定は、 AWS アカウントとリソースがセキュリティのベストプラクティスから逸脱した場合を検出する Security Hub CSPM の標準とコントロールを有効にします。
### Amazon Inspector からの脆弱性管理
**タイプ**: ポリシー
**説明**: この設定は、ワークロード、インスタンス、コンテナイメージなどを自動的に検出し、脆弱性やネットワークへの露出がないかスキャンする、選択した Amazon Inspector 機能を有効にします。
## ポリシーのタイプで設定を有効にする
次の手順では、 AWS Organization アカウントのポリシータイプを使用して設定を作成する方法について説明します。設定ポリシーを作成するには、 AWS 組織の管理アカウントで委任管理者ポリシーを作成する必要があります。Security Hub での委任管理者ポリシーの作成については、「[Creating the delegated administrator policy in Security Hub](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-v2-policy-statement.html)」を参照してください。
**メンバーアカウントを有効または無効にするポリシーを作成するには**
1. 委任管理者認証情報を使用して AWS アカウントを使用してサインインします。[https://console.aws.amazon.com/securityhub/v2/home](https://console.aws.amazon.com/securityhub/v2/home?) で Security Hub コンソールを開きます。
1. ナビゲーションペインから、**管理**を選択し、**設定**を選択します。
1. 設定カタログから、**ポリシー**または**ポリシーとデプロイ**のタイプを持つ項目を選択します。Security Hub を完全に設定するには、**Security Hub (必須および追加機能) **を選択することをお勧めします。
1. **詳細**セクションの**「Security Hub の設定**」ページで、ポリシーの名前と説明を入力します。
1. **「セキュリティ機能**」セクションで、次のいずれかを実行します。
1. (オプション 1) **すべての機能を有効にする**を選択します。これにより、Security Hub の必須機能、脅威分析、その他の機能がすべてオンになります。
1. (オプション 2) **カスタマイズ機能**を選択します。有効にする脅威分析と追加機能を選択します。Security Hub の必須プラン機能の一部である機能の選択を解除することはできません。
1. **アカウント選択**セクションで、次のいずれかのオプションを選択します。設定を**すべての組織単位とアカウント**に適用する場合は、すべての組織単位とアカウントを選択します。**特定の組織単位とアカウントに**設定を適用する場合は、特定の組織単位とアカウントを選択します。このオプションを選択した場合、検索バーまたは組織構造ツリーを使用して、ポリシーを適用する組織単位とアカウントを指定してください。**組織単位またはアカウントに**設定を適用しない場合は、組織単位またはアカウントなしを選択します。
1. **「リージョン**」セクションで、**「すべてのリージョンを有効にする**」、**「すべてのリージョンを無効にする**」、または**「リージョンを指定する**」を選択します。**[すべてのリージョンを有効にする]** を選択した場合、新しいリージョンを自動的に有効にするかどうかを選択できます。**[すべてのリージョンを無効にする]** を選択した場合、新しいリージョンを自動的に無効にするかどうかを選択できます。**[リージョンを指定する]** を選択した場合、有効または無効にするリージョンを選択する必要があります。
1. (オプション) **詳細設定**については、 の[ガイダンス](https://docs.aws.amazon.com/organizations/latest/userguide/policy-operators.html)を参照してください AWS Organizations。
1. (オプション) **リソースタグ**の場合は、設定を簡単に識別できるように、キーと値のペアとしてタグを追加します。
1. [**次へ**] を選択します。
1. 変更内容を確認し、**[適用]** を選択します。ターゲットアカウントは、ポリシーに基づいて設定されます。ポリシーの設定ステータスは、ポリシーページの上部に表示されます。各機能は、設定されている場合、またはデプロイに障害が発生した場合、 のステータスを提供します。障害が発生した場合は、障害メッセージのリンクをクリックし、詳細を確認します。有効なポリシーをアカウントレベルで表示するには、**[設定]** ページの**[組織]** タブでアカウントを選択します。
## デプロイのタイプで設定を有効にする
次の手順では、 AWS Organization アカウントのデプロイタイプを使用して設定を作成する方法について説明します。
**メンバーアカウントを有効または無効にするデプロイを作成するには**
1. 委任管理者認証情報を使用して AWS アカウントを使用してサインインします。[https://console.aws.amazon.com/securityhub/v2/home](https://console.aws.amazon.com/securityhub/v2/home?) で Security Hub コンソールを開きます。
1. ナビゲーションペインから、**管理**を選択し、**設定**を選択します。
1. 設定カタログ****からデプロイのタイプを持つ項目を選択します。Security Hub を完全に設定するには、**Security Hub (必須および追加機能) **を選択することをお勧めします。
1. **セキュリティ機能**セクションで、オンにするセキュリティ機能を選択します。
1. **アカウント選択**セクションで、次のいずれかのオプションを選択します。設定を**すべての組織単位とアカウント**に適用する場合は、すべての組織単位とアカウントを選択します。**特定の組織単位とアカウントに**設定を適用する場合は、特定の組織単位とアカウントを選択します。このオプションを選択した場合、検索バーまたは組織構造ツリーを使用して、ポリシーを適用する組織単位とアカウントを指定してください。**組織単位またはアカウントに**設定を適用しない場合は、組織単位またはアカウントなしを選択します。
1. **「リージョン**」セクションで、**「すべてのリージョンを有効にする**」、**「すべてのリージョンを無効にする**」、または**「リージョンを指定する**」を選択します。**[すべてのリージョンを有効にする]** を選択した場合、新しいリージョンを自動的に有効にするかどうかを選択できます。**[すべてのリージョンを無効にする]** を選択した場合、新しいリージョンを自動的に無効にするかどうかを選択できます。**[リージョンを指定する]** を選択した場合、有効または無効にするリージョンを選択する必要があります。
1. [**設定**] を選択します。
## 設定ポリシーの編集
**ポリシー**のタイプを持つ設定に関連付けられた機能、リージョン、アカウントを編集できます。
以下に、Security Hub で設定ポリシーを編集する方法について説明します。
**設定ポリシーを編集するには**
1. 委任管理者認証情報を使用して AWS アカウントを使用してサインインします。[https://console.aws.amazon.com/securityhub/v2/home](https://console.aws.amazon.com/securityhub/v2/home?) で Security Hub コンソールを開きます。
1. ナビゲーションペインから、**管理**を選択し、**設定**を選択します。
1. **設定済みポリシー**タブで、編集するポリシーのラジオボタンを選択します。**編集**を選択します。
1. **アカウント選択**セクションで変更を行うには、次のいずれかのオプションを選択します。**すべての組織単位とアカウントに**設定を適用する場合は、すべての組織単位とアカウントを選択します。**特定の組織単位とアカウントに**設定を適用する場合は、特定の組織単位とアカウントを選択します。このオプションを選択した場合、検索バーまたは組織構造ツリーを使用して、ポリシーを適用する組織単位とアカウントを指定してください。**組織単位またはアカウントに**設定を適用しない場合は、組織単位またはアカウントなしを選択します。
1. **「リージョン**」セクションを変更するには、**「すべてのリージョンを有効にする**」、**「すべてのリージョンを無効にする**」、または**「リージョンを指定する**」を選択します。**[すべてのリージョンを有効にする]** を選択した場合、新しいリージョンを自動的に有効にするかどうかを選択できます。**[すべてのリージョンを無効にする]** を選択した場合、新しいリージョンを自動的に無効にするかどうかを選択できます。**[リージョンを指定する]** を選択した場合、有効または無効にするリージョンを選択する必要があります。
1. [**次へ**] を選択します。
1. 変更内容を確認し、**[Update]** (更新) を選択します。ターゲットアカウントは、ポリシーに基づいて設定されます。
## 設定ポリシーの削除
**ポリシー**のタイプがある設定を削除できます。ポリシーを削除すると、アタッチされたすべてのアカウントと組織単位がポリシーから削除されます。
以下に、Security Hub で設定ポリシーを削除する方法について説明します。
**設定ポリシーを削除するには**
1. 委任管理者認証情報を使用して AWS アカウントを使用してサインインします。[https://console.aws.amazon.com/securityhub/v2/home](https://console.aws.amazon.com/securityhub/v2/home?) で Security Hub コンソールを開きます。
1. ナビゲーションペインから、**管理**を選択し、**設定**を選択します。
1. **設定済みポリシー**タブで、編集するポリシーのラジオボタンを選択します。**[削除]** ボタンを選択します。
1. 確認ボックスに「**削除**」と入力します。**削除**を選択します。
# Security Hub 委任管理者アカウントの削除
委任管理者アカウントは Security Hub コンソールでいつでも削除できます。ただし、このアクションは、委任管理者を Security Hub から削除するだけでなく、Security Hub CSPM からも削除することになります。このアクションは、セキュリティアカウントでオペレーションを確認した場合にのみ実行することをお勧めします。
**注記**
Security Hub の CSPM 委任管理者として組織管理アカウント以外のアカウントを使用している場合、CSPM コンソールまたは AWS Organizations API を使用してアカウントを削除すると、Security Hub からも削除されます。
同様に、Security Hub コンソールまたは AWS Organizations API を使用して Security Hub 委任管理者を削除すると、Security Hub CSPM からも削除されます。委任管理者が CSPM から削除されると、中央設定は自動的にオプトアウトされます。
**委任管理者を削除するには**
1. 組織管理 AWS アカウントの認証情報を使用してアカウントにサインインします。[https://console.aws.amazon.com/securityhub/v2/home](https://console.aws.amazon.com/securityhub/v2/home?) で Security Hub コンソールを開きます。
1. ナビゲーションペインから、**[全般設定]** を選択します。
1. **[委任管理者]** で、**[委任管理者の削除]** を選択します。ポップアップウィンドウで、*[削除]* と入力し、**[削除する]** を選択します。
# Security Hub の再有効化
Security Hub ポリシーを使用して以前に無効にされたアカウントで Security Hub を再度有効にする前に、まず無効化ポリシーをデタッチする必要があります。無効化ポリシーがアカウントまたは組織単位にアタッチされている間に Security Hub を再度有効にしようとすると、無効化ポリシーは有効化を上書きし、Security Hub は無効のままになります。
**組織またはアカウントの Security Hub 無効化ポリシーを削除するには。**
1. 組織管理 AWS アカウントの認証情報を使用してサインインします。[https://console.aws.amazon.com/organizations/v2/home](https://console.aws.amazon.com/organizations/v2/home) で Security Hub コンソールを開きます。
1. ナビゲーションパネルから**AWS アカウント**を選択します。
1. 現在の Security Hub 無効化ポリシーが組織全体のものだった場合は、**組織構造**で**ルート**を選択します。現在の Security Hub 無効化ポリシーが特定のアカウント向けである場合は、**組織構造**で特定のアカウントを選択し、各アカウントの残りのステップに従います。
1. **ポリシー**タブで、**Security Hub ポリシー**というタイトルのセクションを見つけます。
1. Security Hub を無効にするポリシーの横にあるラジオボタンを選択します。**「デタッチ**」を選択します。
組織またはアカウントからポリシーがアタッチされたら、Security Hub を再度有効にできます。Security Hub の再有効化の詳細については、[AWS 「Organization のメンバーアカウントの設定の管理](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-v2-da-policy.html)」を参照してください。