AWS Security Hub および AWS Organizations - AWS Organizations
サービスリンクロールサービスプリンシパル信頼されたアクセスを有効にする信頼されたアクセスを無効にするSecurity Hub 用の委任管理者の有効化Security Hub の委任管理者の無効化

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Security Hub および AWS Organizations

AWS Security Hub では、AWS のセキュリティ状態を包括的に把握し、セキュリティ業界標準およびベストプラクティスに照らして環境をチェックするのに役立ちます。

Security Hub は、AWS アカウント全体、使用している AWS のサービス、サポートされているサードパーティーパートナー製品からセキュリティデータを収集します。セキュリティの傾向を分析し、特に優先度の高いセキュリティ問題を特定するのに役立ちます。

Security Hub と AWS Organizations を合わせて使用すると、新しく追加されたアカウンも含め、すべてのアカウントに対して Security Hub を自動的に有効にすることができます。これにより、Security Hub のチェックと検出がより広範囲に行えるようになり、セキュリティ体制の全体像をより包括的かつ正確に把握できます。

Security Hub について詳しくは、AWS Security Hub ユーザーガイドを参照してください。

AWS Security Hub と AWS Organizations の統合には、次の情報を参考にしてください。

統合を有効にする際に作成されるサービスにリンクされたロール

信頼されたアクセスを有効にすると、以下のサービスにリンクされたロールが組織の管理アカウントに自動的に作成されます。このロールにより、Security Hub はサポートされているオペレーションを組織内のアカウントで実行できます。

このロールを削除または変更できるのは、Security Hub と Organizations 間の信頼されたアクセスを無効にした場合か、組織から当該のメンバーアカウントを削除した場合だけです。

  • AWSServiceRoleForSecurityHub

サービスにリンクされたロールで使用されるサービスプリンシパル

前のセクションで説明したサービスにリンクされたロールを引き受けることができるのは、ロールに定義された信頼関係によって承認されたサービスプリンシパルだけです。Security Hub によって使用されるサービスにリンクされたロールには、次のサービスプリンシパルへのアクセス許可が付与されます。

  • securityhub.amazonaws.com

Security Hub との信頼されたアクセスの有効化

信頼されたアクセスの有効化に必要なアクセス許可に関しては、信頼されたアクセスを有効にするために必要なアクセス許可 を参照してください。

Security Hub に委任管理者を指定すると、Security Hub に対する信頼されたアクセスが Security Hub によって自動的に有効になります。

Security Hub との信頼できるアクセスの無効化

信頼されたアクセスを無効にするために必要なアクセス許可については、「AWS Organizations ユーザーガイド」の「Permissions required to disable trusted access」を参照してください。

信頼されたアクセスを無効にする前に、必要に応じて組織の委任管理者に連絡して、メンバーアカウントの Security Hub を無効にし、それらのアカウントの Security Hub リソースをクリーンアップしてください。

AWS Organizations コンソール、Organizations API、または AWS CLI を使用することで、信頼されたアクセスを無効にできます。Security Hub との信頼されたアクセスを無効にできるのは、Organizations の管理アカウントの管理者だけです。

Security Hub で信頼されたアクセスを無効にする手順については、「Disabling Security Hub integration with AWS Organizations」を参照してください。

Security Hub 用の委任管理者の有効化

メンバーアカウントを組織の委任管理者として指定すると、そのアカウントのユーザーおよびロールは、Security Hub の管理アクションを実行できるようになります。通常この管理アクションは、組織の管理アカウントのユーザーとロールだけが実行できるものです。この手法は、組織の管理から Security Hub の管理を分離するのに有効です。

詳細については、AWS Security Hub ユーザーガイドSecurity Hub 管理者アカウントの指定を参照してください。

メンバーアカウントを Security Hub の委任管理者として指定するには

  1. Organizations の管理アカウントでサインインします。

  2. 次のいずれかを実行します。

    • 管理アカウントで Security Hub が有効になっていない場合は、Security Hub コンソールで [Go to Security Hub] (Security Hub に移動) を選択します。

    • 管理アカウントで Security Hub が有効になっている場合は、Security Hub コンソールの [一般][設定] を選択します。

  3. [Delegated Administrator] (委任管理者) に、アカウント ID を入力します。

Security Hub の委任管理者の無効化

委任 Security Hub 管理者アカウントを削除することができるのは、組織管理アカウントでのみです。

委任 Security Hub 管理者を変更するには、まず現在の委任された管理者アカウントを削除してから、新しいアカウントを指定する必要があります。

Security Hub コンソールを使用して、あるリージョンの委任管理者を削除すると、その管理者はすべてのリージョンから自動的に削除されます。

Security Hub API は、API コールまたはコマンドが発行されたリージョンでのみ委任 Security Hub 管理者アカウントを削除します。他のリージョンでもこの操作を繰り返す必要があります。

Organizations API を使用して委任 Security Hub 管理者アカウントを削除すると、すべてのリージョンで自動的に削除されます。

委任 Security Hub 管理者を無効にする手順については、「Removing or changing the delegated administrator」を参照してください。