Security Hub の中央設定の有効化 - AWS Security Hub

Security Hub の中央設定の有効化

委任 AWS Security Hub 管理者アカウントは、中央設定を使用して、複数のアカウントや組織単位 (OU) の Security Hub、標準、およびコントロールを AWS リージョン で設定できます。

中央設定の利点とその仕組みについては、「Security Hub の中央設定について」を参照してください。

このセクションでは、中央設定の前提条件と使用開始方法について説明します。

中央設定の前提条件

中央設定の使用を開始する前に、Security Hub と AWS Organizations を統合し、ホームリージョンを指定する必要があります。Security Hub コンソールを使用する場合、これらの前提条件は中央設定のオプトインワークフローに含まれています。

Organizations との統合

中央設定を使用するには、Security Hub と Organizations を統合する必要があります。

これらのサービスを統合するには、まず Organizations で組織を作成します。次に Organizations 管理アカウントから Security Hub 委任管理者アカウントを指定します。手順については、Security Hub と AWS Organizations の統合 を参照してください。

必ず、目的のホームリージョンで委任管理者を指定してください。中央設定の使用を開始すると、すべてのリンクされたリージョンにも同じ委任管理者が自動的に設定されます。Organizations 管理アカウントは、委任管理者アカウントとして設定することはできません。

重要

中央設定を使用する場合、Security Hub コンソールまたは Security Hub API を使用して委任された管理者アカウントを変更または削除することはできません。Organizations 管理アカウントが AWS Organizations API を使用して Security Hub 委任管理者を変更または削除すると、Security Hub は自動的に中央設定を停止します。設定ポリシーの関連付けも解除され、削除されます。メンバーアカウントには、委任管理者が変更または削除される前の設定が保持されます。

ホームリージョンの指定

中央設定を使用するにはホームリージョンを指定する必要があります。ホームリージョンは、委任管理者が組織を設定するリージョンです。

注記

ホームリージョンは、AWS でオプトインリージョンとして指定されているリージョンにすることはできません。オプトインリージョンは、デフォルトでは無効となっています。オプトインリージョンのリストについては、「AWS アカウント管理リファレンスガイド」の「Considerations before enabling and disabling Regions」を参照してください。

必要に応じて、ホームリージョンから設定可能なリンクされたリージョンを 1 つ以上指定できます。

委任管理者は、ホームリージョンからのみ設定ポリシーを作成および管理できます。設定ポリシーは、ホームリージョンとリンクされたすべてのリージョンで有効になります。これらのリージョンのサブセットにのみ適用され、他のリージョンには適用されない設定ポリシーは作成できません。ただし、グローバルリソースが関与するコントロールは例外です。中央設定を使用する場合、Security Hub は、ホームリージョンを除くすべてのリージョンでグローバルリソースが含まれるコントロールを自動的に無効にします。詳細については、「グローバルリソースを使用するコントロール」を参照してください。

ホームリージョンは、リンクされたリージョンから検出結果、インサイト、その他のデータを受け取る Security Hub 集約リージョンでもあります。

クロスリージョン集約の集約リージョンを既に設定している場合、それが中央設定のデフォルトのホームリージョンになります。現在の検出結果アグリゲータを削除し、目的のホームリージョンに新しいアグリゲータを作成することで、中央設定の使用を開始する前にホームリージョンを変更できます。検出結果アグリゲータは、ホームリージョンとリンクされたリージョンを指定する Security Hub リソースです。

ホームリージョンを指定する場合は、集約リージョンを設定する手順を参照してください。ホームリージョンを既に指定している場合は、GetFindingAggregator API を呼び出して、現在どのリージョンがリンクされているかなどの詳細を確認できます。

中央設定を有効にする手順

ご希望の方法を選択し、手順に従って組織の中央設定を有効化します。

Security Hub console
中央設定を有効化するには (コンソール)
  1. AWS Security Hub コンソール (https://console.aws.amazon.com/securityhub/) を開きます。

  2. ナビゲーションペインで、[設定][設定] の順に選択します。次に、[中央設定を開始] を選択します。

    Security Hub にオンボーディングする場合は、[Security Hub に移動] を選択します。

  3. [委任された管理者を指定] ページで、委任管理者アカウントを選択するか、アカウント ID を入力します。該当する場合は、他の AWS セキュリティおよびコンプライアンスサービスに設定したのと同じ委任管理者を選択することをお勧めします。[委任された管理者を設定] を選択します。

  4. [組織を一元化] ページの [リージョン] セクションで、ホームリージョンを選択します。続行するには、ホームリージョンにサインインする必要があります。クロスリージョン集約の集約リージョンを既に設定している場合、そのリージョンがホームリージョンとして表示されます。ホームリージョンを変更するには、[リージョンの設定を編集] を選択します。これにより、ご希望のホームリージョンを選択して、このワークフローに戻ることができます。

  5. ホームリージョンにリンクするリージョンを少なくとも 1 つ選択してください。必要に応じて、将来サポートされるリージョンをホームリージョンに自動的にリンクするかどうかを選択します。ここで選択したリージョンは、委任管理者がホームリージョンから設定できます。設定ポリシーは、ホームリージョンとすべてのリンクされたリージョンで有効になります。

  6. [確認して続行] を選択します。

  7. 中央設定を使用できるようになりました。続けてコンソールのプロンプトに従い、最初の設定ポリシーを作成します。設定ポリシーを作成する準備がまだ整っていない場合は、[まだ設定する準備ができていません] を選択します。ポリシーは、後でナビゲーションペインで [設定][設定] の順に選択して作成できます。設定ポリシーの作成手順については、「設定ポリシーの作成と関連付け」を参照してください。

Security Hub API
中央設定を有効化するには (API)
  1. 委任管理者アカウントの認証情報を使用して、ホームリージョンから UpdateOrganizationConfiguration API を呼び出します。

  2. AutoEnable フィールドは false に設定されます。

  3. OrganizationConfiguration オブジェクト内の ConfigurationType フィールドを CENTRAL に設定します。このアクションには以下の影響があります。

    • すべてのリンクされたリージョンで、呼び出しアカウントを Security Hub 委任管理者として指定します。

    • すべてのリンクされたリージョンの委任管理者アカウントで Security Hub を有効にします。

    • Security Hub を使用する、組織に属している新規および既存のアカウントについて、呼び出しアカウントを Security Hub 委任管理者として指定します。これはホームリージョンとすべてのリンクされたリージョンで発生します。呼び出しアカウントは、新しい組織アカウントが Security Hub が有効になっている設定ポリシーに関連付けられている場合にのみ、その委任管理者として設定されます。呼び出しアカウントは、既存の組織アカウントで Security Hub が既に有効になっている場合のみ、その委任管理者として設定されます。

    • すべてのリンクされたリージョンで AutoEnablefalse に設定し、ホームリージョンとすべてのリンクされたリージョンで AutoEnableStandardsNONE に設定します。中央設定を使用する場合、これらのパラメータはホームリージョンやリンクされたリージョンには関係ありませんが、設定ポリシーを使用すると、Security Hub とデフォルトのセキュリティ基準を組織アカウントで自動的に有効にできます。

  4. 中央設定を使用できるようになりました。委任管理者は、組織で Security Hub を設定するための設定ポリシーを作成できます。設定ポリシーの作成手順については、「設定ポリシーの作成と関連付け」を参照してください。

API リクエストの例:

{ "AutoEnable": false, "OrganizationConfiguration": { "ConfigurationType": "CENTRAL" } }
AWS CLI
中央設定を有効化するには (AWS CLI)
  1. 委任管理者アカウントの認証情報を使用して、ホームリージョンから update-organization-configuration コマンドを実行します。

  2. no-auto-enable パラメータを指定します。

  3. organization-configuration オブジェクト内の ConfigurationType フィールドを CENTRAL に設定します。このアクションには以下の影響があります。

    • すべてのリンクされたリージョンで、呼び出しアカウントを Security Hub 委任管理者として指定します。

    • すべてのリンクされたリージョンの委任管理者アカウントで Security Hub を有効にします。

    • Security Hub を使用する、組織に属している新規および既存のアカウントについて、呼び出しアカウントを Security Hub 委任管理者として指定します。これはホームリージョンとすべてのリンクされたリージョンで発生します。呼び出しアカウントは、新しい組織アカウントが Security Hub が有効になっている設定ポリシーに関連付けられている場合にのみ、その委任管理者として設定されます。呼び出しアカウントは、既存の組織アカウントで Security Hub が既に有効になっている場合のみ、その委任管理者として設定されます。

    • すべてのリンクされたリージョンで自動有効化オプションを no-auto-enable に設定し、ホームリージョンとすべてのリンクされたリージョンで auto-enable-standardsNONE に設定します。中央設定を使用する場合、これらのパラメータはホームリージョンやリンクされたリージョンには関係ありませんが、設定ポリシーを使用すると、Security Hub とデフォルトのセキュリティ基準を組織アカウントで自動的に有効にできます。

  4. 中央設定を使用できるようになりました。委任管理者は、組織で Security Hub を設定するための設定ポリシーを作成できます。設定ポリシーの作成手順については、「設定ポリシーの作成と関連付け」を参照してください。

コマンドの例:

aws securityhub --region us-east-1 update-organization-configuration \ --no-auto-enable \ --organization-configuration '{"ConfigurationType": "CENTRAL"}'