設定ポリシーの更新 - AWS Security Hub

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

設定ポリシーの更新

設定ポリシーを作成した後、委任された AWS Security Hub 管理者アカウントはポリシーの詳細とポリシーの関連付けを更新できます。ポリシーの詳細が更新されると、設定ポリシーに関連付けられているアカウントは、更新されたポリシーを使用して自動的に開始されます。

中央設定の利点とその仕組みについては、「」を参照してくださいSecurity Hub の中央設定について

委任された管理者は、次のポリシー設定を更新できます。

  • Security Hub を有効または無効にします。

  • 1 つ以上のセキュリティ標準を有効にします。

  • 有効な標準でどのセキュリティコントロールが有効になっているかを示します。そのためには、有効にすべき特定のコントロールのリストを指定します。Security Hub は、リリース時に新しいコントロールを含め、他のすべてのコントロールを無効にします。または、無効にすべき特定のコントロールのリストを指定して、Security Hub がリリースされた時点の新しいコントロールを含め、他のすべてのコントロールを有効化することもできます。

  • オプションで、有効な標準全体で有効になっているコントロールを選択してパラメータをカスタマイズできます。

任意の方法を選択し、その手順に従って設定ポリシーを更新します。

注記

中央設定を使用する場合、Security Hub はホームリージョンを除くすべてのリージョンのグローバルリソースを含むコントロールを自動的に無効にします。設定ポリシーが利用可能なすべてのリージョンで有効になっているが、有効にするその他のコントロール。これらのコントロールの検出結果を 1 つのリージョンのみに制限するには、 AWS Config レコーダー設定を更新し、ホームリージョンを除くすべてのリージョンでグローバルリソース記録をオフにできます。中央設定を使用する場合、ホームリージョンまたはリンクされたリージョンで利用できないコントロールのカバレッジがありません。グローバルリソースを含むコントロールのリストについては、「」を参照してくださいグローバルリソースを使用するコントロール

Console
設定ポリシーを更新するには

  1. で AWS Security Hub コンソールを開きますhttps://console.aws.amazon.com/securityhub/

    ホームリージョンの委任 Security Hub 管理者アカウントの認証情報を使用してサインインします。

  2. ナビゲーションペインで、[設定][設定] の順に選択します。

  3. [Policies] タブを選択します。

  4. 編集する設定ポリシーを選択したら、[編集] を選択します。必要に応じて、ポリシーの設定を編集します。ポリシーの設定を変更せずにそのまま維持する場合は、このセクションはそのままにします。

  5. [次へ] を選択します。必要に応じて、ポリシーの関連付けを編集します。ポリシーの関連付けを変更せずにそのまま維持する場合は、このセクションはそのままにします。更新時に、ポリシーを最大 15 個のターゲット (アカウント、OUs、またはルート) に関連付けたり、関連付けを解除したりできます。

  6. [Next (次へ)] を選択します。

  7. 更新内容を確認して [保存] を選択して適用します。ホームリージョンとリンクされたリージョンでは、このアクションは、この設定ポリシーに関連付けられているアカウントの既存の設定よりも優先されます。アカウントは、アプリケーションを通じて設定ポリシーに関連付けることも、親ノードから継承することもできます。

API
設定ポリシーを更新するには

  1. 設定ポリシーの設定を更新するには、 を呼び出します。 UpdateConfigurationPolicy API ホームリージョンの Security Hub 委任管理者アカウントから。

  2. 更新する設定ポリシーの Amazon リソースネーム (ARN) または ID を指定します。

  3. ConfigurationPolicy の下のフィールドに、更新された値を入力します。オプションで、更新の理由も指定できます。

  4. この設定ポリシーに新しい関連付けを追加するには、 を呼び出します。 StartConfigurationPolicyAssociation API ホームリージョンの Security Hub 委任管理者アカウントから。1 つ以上の現在の関連付けを削除するには、 StartConfigurationPolicyDisassociation API ホームリージョンの Security Hub 委任管理者アカウントから。

  5. ConfigurationPolicyIdentifier フィールドに、関連付けを更新する設定ポリシーの ARNまたは ID を指定します。

  6. Target フィールドに、関連付けまたは関連付け解除するアカウントOUs、、またはルート ID を指定します。このアクションは、指定された OUs または アカウントの以前のポリシーの関連付けを上書きします。

注記

を呼び出すとUpdateConfigurationPolicyAPI、Security Hub は、EnabledStandardIdentifiers、、EnabledSecurityControlIdentifiersDisabledSecurityControlIdentifiers、および SecurityControlCustomParametersフィールドの完全なリスト置換を実行します。この を呼び出すたびにAPI、有効にする標準の完全なリストと、パラメータを有効または無効にしてカスタマイズするコントロールの完全なリストを指定します。

設定ポリシーを更新するAPIリクエストの例:

{
    "Identifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "Description": "Updated configuration policy",
    "UpdatedReason": "Disabling CloudWatch.1",
    "ConfigurationPolicy": {
        "SecurityHub": {
             "ServiceEnabled": true,
             "EnabledStandardIdentifiers": [
                    "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0",
                    "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0" 
                ],
            "SecurityControlsConfiguration": {
                "DisabledSecurityControlIdentifiers": [
                    "CloudTrail.2",
                    "CloudWatch.1"
                ],
                "SecurityControlCustomParameters": [
                    {
                        "SecurityControlId": "ACM.1",
                        "Parameters": {
                            "daysToExpiration": {
                                "ValueType": "CUSTOM",
                                "Value": {
                                    "Integer": 15
                                }
                            }
                        }
                    }
                ]
            }
        }
    }
}
AWS CLI
設定ポリシーを更新するには

  1. 設定ポリシーの設定を更新するには、 を実行します。 update-configuration-policy ホームリージョンの Security Hub 委任管理者アカウントからの コマンド。

  2. 更新する設定ポリシーの Amazon リソースネーム (ARN) または ID を指定します。

  3. configuration-policy の下のフィールドに、更新された値を入力します。オプションで、更新の理由も指定できます。

  4. この設定ポリシーに新しい関連付けを追加するには、 を実行します。 start-configuration-policy-association ホームリージョンの Security Hub 委任管理者アカウントからの コマンド。1 つ以上の現在の関連付けを削除するには、 を実行します。 start-configuration-policy-disassociation ホームリージョンの Security Hub 委任管理者アカウントからの コマンド。

  5. configuration-policy-identifier フィールドに、関連付けを更新する設定ポリシーの ARNまたは ID を指定します。

  6. target フィールドに、関連付けまたは関連付け解除するアカウントOUs、、またはルート ID を指定します。このアクションは、指定された OUs または アカウントの以前のポリシーの関連付けを上書きします。

注記

update-configuration-policy コマンドを実行すると、Security Hub は、EnabledStandardIdentifiersEnabledSecurityControlIdentifiersDisabledSecurityControlIdentifiersSecurityControlCustomParameters のフィールドの完全なリスト置換を実行します。このコマンドを実行するたびに、有効にする標準の全リストと、有効または無効にしてパラメータをカスタマイズするコントロールの全リストを指定します。

設定ポリシーを更新するコマンドの例:

aws securityhub update-configuration-policy \
--region us-east-1 \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--description "Updated configuration policy" \
--updated-reason "Disabling CloudWatch.1" \
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2","CloudWatch.1"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}}]}}}'

は、 というフィールドStartConfigurationPolicyAssociationAPIを返しますAssociationStatus。このフィールドは、ポリシーの関連付けが保留中か、成功または失敗の状態かを示します。ステータスが PENDING から SUCCESS または FAILURE に変わるまで、最大 24 時間かかることがあります。関連付けのステータスの詳細については、「設定ポリシーの関連付けステータスの確認」を参照してください。