AWS Security Hub および AWS Organizations - AWS Organizations
サービスリンクロールサービスプリンシパル信頼されたアクセスを有効にする信頼されたアクセスを無効にするSecurity Hub の委任管理者の有効化Security Hub の委任管理者を無効にする

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Security Hub および AWS Organizations

AWS Security Hub は、 のセキュリティ状態を包括的に把握 AWS し、セキュリティ業界標準とベストプラクティスに照らして環境をチェックするのに役立ちます。

Security Hub は、 全体 AWS アカウント、 AWS のサービス 使用する 、およびサポートされているサードパーティーパートナー製品からセキュリティデータを収集します。セキュリティの傾向を分析し、特に優先度の高いセキュリティ問題を特定するのに役立ちます。

Security Hub と の両方を同時に使用すると AWS Organizations 、追加された新しいアカウントを含め、すべてのアカウントに対して Security Hub を自動的に有効にできます。これにより、Security Hub のチェックと検出がより広範囲に行えるようになり、セキュリティ体制の全体像をより包括的かつ正確に把握できます。

Security Hub について詳しくは、AWS Security Hub ユーザーガイドを参照してください。

以下の情報は、 AWS Security Hub との統合に役立ちます AWS Organizations。

統合を有効にする際に作成されるサービスにリンクされたロール

信頼されたアクセスを有効にすると、以下のサービスにリンクされたロールが組織の管理アカウントに自動的に作成されます。このロールにより、Security Hub はサポートされているオペレーションを組織内のアカウントで実行できます。

このロールを削除または変更できるのは、Security Hub と Organizations 間の信頼されたアクセスを無効にした場合か、組織から当該のメンバーアカウントを削除した場合だけです。

  • AWSServiceRoleForSecurityHub

サービスにリンクされたロールで使用されるサービスプリンシパル

前のセクションで説明したサービスにリンクされたロールを引き受けることができるのは、ロールに定義された信頼関係によって承認されたサービスプリンシパルだけです。Security Hub によって使用されるサービスにリンクされたロールには、次のサービスプリンシパルへのアクセス許可が付与されます。

  • securityhub.amazonaws.com

Security Hub との信頼されたアクセスの有効化

信頼されたアクセスの有効化に必要なアクセス許可に関しては、信頼されたアクセスを有効にするために必要なアクセス許可 を参照してください。

Security Hub に委任管理者を指定すると、Security Hub に対する信頼されたアクセスが Security Hub によって自動的に有効になります。

Security Hub での信頼されたアクセスの無効化

信頼されたアクセスを無効にするために必要なアクセス許可の詳細については、「 AWS Organizations ユーザーガイド」の「信頼されたアクセスを無効にするために必要なアクセス許可」を参照してください。

信頼されたアクセスを無効にする前に、必要に応じて組織の委任管理者に連絡して、メンバーアカウントの Security Hub を無効にし、それらのアカウントの Security Hub リソースをクリーンアップしてください。

信頼されたアクセスを無効にするには、 AWS Organizations コンソール、Organizations API、または を使用します AWS CLI。Security Hub での信頼されたアクセスを無効にすることができるのは、Organizations 管理アカウントの管理者のみです。

Security Hub で信頼されたアクセスを無効にする手順については、「 と Security Hub の統合を無効にする AWS Organizations」を参照してください。

Security Hub の委任管理者の有効化

メンバーアカウントを組織の委任管理者として指定すると、そのアカウントのユーザーおよびロールは、Security Hub の管理アクションを実行できるようになります。通常この管理アクションは、組織の管理アカウントのユーザーとロールだけが実行できるものです。この手法は、組織の管理から Security Hub の管理を分離するのに有効です。

詳細については、AWS Security Hub ユーザーガイドSecurity Hub 管理者アカウントの指定を参照してください。

メンバーアカウントを Security Hub の委任管理者として指定するには

  1. Organizations の管理アカウントでサインインします。

  2. 次のいずれかを実行します。

    • 管理アカウントで Security Hub が有効になっていない場合は、Security Hub コンソールで [Go to Security Hub] (Security Hub に移動) を選択します。

    • 管理アカウントで Security Hub が有効になっている場合は、Security Hub コンソールの「全般」で「設定」を選択します。

  3. [Delegated Administrator] (委任管理者) に、アカウント ID を入力します。

Security Hub の委任管理者を無効にする

委任された Security Hub 管理者アカウントを削除できるのは、組織管理アカウントのみです。

委任された Security Hub 管理者を変更するには、まず現在の委任された管理者アカウントを削除してから、新しいアカウントを指定する必要があります。

Security Hub コンソールを使用して、あるリージョンの委任管理者を削除すると、その管理者はすべてのリージョンから自動的に削除されます。

Security Hub は、API呼び出しまたはコマンドが発行されたリージョンから、委任された Security Hub 管理者アカウントAPIのみを削除します。他のリージョンでもこの操作を繰り返す必要があります。

Organizations を使用して委任された Security Hub 管理者アカウントAPIを削除すると、すべてのリージョンで自動的に削除されます。

委任された Security Hub 管理者を無効にする手順については、「委任された管理者 の削除または変更」を参照してください。