翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# 設定ポリシーの更新
<a name="update-policy"></a>

設定ポリシーを作成した後、委任 AWS Security Hub CSPM 管理者アカウントはポリシーの詳細とポリシーの関連付けを更新できます。ポリシーの詳細が更新されると、設定ポリシーに関連付けられているアカウントは、更新されたポリシーの使用を自動的に開始します。

中央設定の利点とその仕組みについては、「[Security Hub CSPM での中央設定について](central-configuration-intro.md)」を参照してください。

委任管理者は、次のポリシー設定を更新できます。
+ Security Hub CSPM を有効または無効にします。
+ 1 つ以上の[セキュリティ標準](standards-reference.md)を有効にします。
+ 有効な標準でどの[セキュリティコントロール](securityhub-controls-reference.md)が有効になっているかを示します。そのためには、有効にすべき特定のコントロールのリストを指定します。Security Hub CSPM は、リリース時に新しいコントロールを含め、他のすべてのコントロールを無効にします。または、無効にすべき特定のコントロールのリストを指定して、Security Hub CSPM がリリースされた時点の新しいコントロールを含め、他のすべてのコントロールを有効化することもできます。
+ オプションで、有効な標準全体で有効になっているコントロールを選択して[パラメータをカスタマイズ](https://docs.aws.amazon.com/securityhub/latest/userguide/custom-control-parameters.html)できます。

任意の方法を選択し、その手順に従って設定ポリシーを更新します。

**注記**  
中央設定を使用する場合、Security Hub CSPM は、ホームリージョンを除くすべてのリージョンでグローバルリソースが含まれるコントロールを自動的に無効にします。設定ポリシーを通じて有効を選択したその他のコントロールは、利用可能なすべてのリージョンで有効になります。これらのコントロールの検出結果を 1 つのリージョンのみに制限するには、 AWS Config レコーダー設定を更新し、ホームリージョンを除くすべてのリージョンでグローバルリソース記録をオフにします。  
グローバルリソースを含む有効なコントロールがホームリージョンでサポートされていない場合、Security Hub CSPM は、コントロールがサポートされているリンクされた 1 つのリージョンでコントロールを有効にしようとします。中央設定により、ホームリージョンまたはリンクされたリージョンのいずれかで利用できないコントロールがカバーされなくなります。  
グローバルリソースを含むコントロールのリストについては、「[グローバルリソースを使用するコントロール](controls-to-disable.md#controls-to-disable-global-resources)」を参照してください。

------
#### [ Console ]

**設定ポリシーを更新するには**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。

   ホームリージョンの委任された Security Hub CSPM 管理者アカウントの認証情報を使用してサインインします。

1. ナビゲーションペインで、**[設定]**、**[設定]** の順に選択します。

1. **[Policies]** タブを選択します。

1. 編集する設定ポリシーを選択したら、**[編集]** を選択します。必要に応じて、ポリシーの設定を編集します。ポリシーの設定を変更せずにそのまま維持する場合は、このセクションはそのままにします。

1. **[次へ]** を選択します。必要に応じて、ポリシーの関連付けを編集します。ポリシーの関連付けを変更せずにそのまま維持する場合は、このセクションはそのままにします。更新時に、ポリシーを最大 15 個のターゲット (アカウント、OU、またはルート) に関連付けるか、関連付けを解除できます。

1. [**次へ**] を選択します。

1. 更新内容を確認して **[保存]** を選択して適用します。ホームリージョンとリンクされたリージョンでは、このアクションは、この設定ポリシーに関連付けられているアカウントの既存の設定よりも優先されます。アカウントは、アプリケーションを通じて設定ポリシーに関連付けることも、親ノードから継承することもできます。

------
#### [ API ]

**設定ポリシーを更新するには**

1. 設定ポリシーの設定を更新するには、ホームリージョンの Security Hub CSPM の委任管理者アカウントから [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html) API を呼び出します。

1. 更新する設定ポリシーの Amazon リソースネーム (ARN) または ID を指定します。

1. `ConfigurationPolicy` の下のフィールドに、更新された値を入力します。オプションで、更新の理由も指定できます。

1. この設定ポリシーに新しい関連付けを追加するには、ホームリージョンの Security Hub CSPM 委任管理者アカウントから [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html) API を呼び出します。1 つ以上の現在の関連付けを削除するには、ホームリージョンの Security Hub CSPM の委任管理者アカウントから [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyDisassociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyDisassociation.html) API を呼び出します。

1. `ConfigurationPolicyIdentifier` フィールドには、関連付けを更新する設定ポリシーの ARN または ID を指定します。

1. `Target` フィールドには、関連付けるまたは関連付けを解除するアカウント、OU、またはルート ID を指定します。このアクションは、指定した OU またはアカウントに対する以前のポリシー関連付けを上書きします。

**注記**  
`UpdateConfigurationPolicy` API を呼び出すと、Security Hub CSPM は、`EnabledStandardIdentifiers`、`EnabledSecurityControlIdentifiers`、`DisabledSecurityControlIdentifiers`、`SecurityControlCustomParameters` のフィールドの完全なリスト置換を実行します。この API を呼び出すたびに、有効にする標準の全リストと、有効または無効にしてパラメータをカスタマイズするコントロールの全リストを指定します。

**設定ポリシーを更新する API リクエストの例:**

```
{
    "Identifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "Description": "Updated configuration policy",
    "UpdatedReason": "Disabling CloudWatch.1",
    "ConfigurationPolicy": {
        "SecurityHub": {
             "ServiceEnabled": true,
             "EnabledStandardIdentifiers": [
                    "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0",
                    "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0" 
                ],
            "SecurityControlsConfiguration": {
                "DisabledSecurityControlIdentifiers": [
                    "CloudTrail.2",
                    "CloudWatch.1"
                ],
                "SecurityControlCustomParameters": [
                    {
                        "SecurityControlId": "ACM.1",
                        "Parameters": {
                            "daysToExpiration": {
                                "ValueType": "CUSTOM",
                                "Value": {
                                    "Integer": 15
                                }
                            }
                        }
                    }
                ]
            }
        }
    }
}
```

------
#### [ AWS CLI ]

**設定ポリシーを更新するには**

1. 設定ポリシーの設定を更新するには、ホームリージョンの Security Hub CSPM の委任管理者アカウントから [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-configuration-policy.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-configuration-policy.html) コマンドを実行します。

1.  更新する設定ポリシーの Amazon リソースネーム (ARN) または ID を指定します。

1. `configuration-policy` の下のフィールドに、更新された値を入力します。オプションで、更新の理由も指定できます。

1. この設定ポリシーに新しい関連付けを追加するには、ホームリージョンの Security Hub CSPM 委任管理者アカウントから [https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html) コマンドを実行します。1 つ以上の現在の関連付けを削除するには、ホームリージョンの Security Hub CSPM 委任管理者アカウントから [https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html) コマンドを実行します。

1. `configuration-policy-identifier` フィールドには、関連付けを更新する設定ポリシーの ARN または ID を指定します。

1. `target` フィールドには、関連付けるまたは関連付けを解除するアカウント、OU、またはルート ID を指定します。このアクションは、指定した OU またはアカウントに対する以前のポリシー関連付けを上書きします。

**注記**  
`update-configuration-policy` コマンドを実行すると、Security Hub CSPM は、`EnabledStandardIdentifiers`、`EnabledSecurityControlIdentifiers`、`DisabledSecurityControlIdentifiers`、`SecurityControlCustomParameters` のフィールドの完全なリスト置換を実行します。このコマンドを実行するたびに、有効にする標準の全リストと、有効または無効にしてパラメータをカスタマイズするコントロールの全リストを指定します。

**設定ポリシーを更新するコマンドの例:**

```
aws securityhub update-configuration-policy \
--region us-east-1 \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--description "Updated configuration policy" \
--updated-reason "Disabling CloudWatch.1" \
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2","CloudWatch.1"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}}]}}}'
```

------

`StartConfigurationPolicyAssociation` API は、`AssociationStatus` というフィールドを返します。このフィールドは、ポリシーの関連付けが保留中か、成功または失敗の状態かを示します。ステータスが `PENDING` から `SUCCESS` または `FAILURE` に変わるまで、最大 24 時間かかることがあります。関連付けのステータスの詳細については、「[設定ポリシーの関連付けステータスの確認](view-policy.md#configuration-association-status)」を参照してください。