AWS Security Hub: および AWS Organizations
AWS Security Hub では、AWS のセキュリティ状態を包括的に把握し、セキュリティ業界標準およびベストプラクティスに照らして環境をチェックするのに役立ちます。
Security Hub は、AWS アカウント 全体、使用している AWS サービス、サポートされているサードパーティーパートナー製品からセキュリティデータを収集します。セキュリティの傾向を分析し、特に優先度の高いセキュリティ問題を特定するのに役立ちます。
Security Hub と AWS Organizations を合わせて使用すると、新しく追加されたアカウンも含め、すべてのアカウントに対して Security Hub を自動的に有効にすることができます。これにより、Security Hub のチェックと検出がより広範囲に行えるようになり、セキュリティ体制の全体像をより包括的かつ正確に把握できます。
Security Hub について詳しくは、AWS Security Hub ユーザーガイドを参照してください。
AWS Security Hub と AWS Organizations の統合には、次の情報を参考にしてください。
統合を有効にする際に作成されるサービスにリンクされたロール
信頼されたアクセスを有効にすると、以下のサービスにリンクされたロールが組織の管理アカウントに自動的に作成されます。このロールにより、Security Hub はサポートされているオペレーションを組織内のアカウントで実行できます。
このロールを削除または変更できるのは、Security Hub と Organizations 間の信頼されたアクセスを無効にした場合か、組織から当該のメンバーアカウントを削除した場合だけです。
-
AWSServiceRoleForSecurityHub
サービスにリンクされたロールで使用されるサービスプリンシパル
前のセクションで説明したサービスにリンクされたロールを引き受けることができるのは、ロールに定義された信頼関係によって承認されたサービスプリンシパルだけです。Security Hub によって使用されるサービスにリンクされたロールには、次のサービスプリンシパルへのアクセス許可が付与されます。
-
securityhub.amazonaws.com
Security Hub との信頼されたアクセスの有効化
信頼されたアクセスの有効化に必要なアクセス許可に関しては、信頼されたアクセスを有効にするために必要なアクセス許可 を参照してください。
Security Hub に委任管理者を指定すると、Security Hub に対する信頼されたアクセスが Security Hub によって自動的に有効になります。
Security Hub 用の委任管理者アカウントの有効化
メンバーアカウントを組織の委任管理者として指定すると、そのアカウントのユーザーおよびロールは、Security Hub の管理アクションを実行できるようになります。通常この管理アクションは、組織の管理アカウントのユーザーとロールだけが実行できるものです。この手法は、組織の管理から Security Hub の管理を分離するのに有効です。
詳細については、AWS Security Hub ユーザーガイドの Security Hub 管理者アカウントの指定を参照してください。
メンバーアカウントを Security Hub の委任管理者として指定するには
-
Organizations の管理アカウントでサインインします。
-
次のいずれかを実行します。
-
管理アカウントで Security Hub が有効になっていない場合は、Security Hub コンソールで [Go to Security Hub] (Security Hub に移動) を選択します。
-
管理アカウントで Security Hub が有効になっている場合は、Security Hub コンソールで [Settings] (設定) を選択します。
-
-
[Delegated Administrator] (委任管理者) に、アカウント ID を入力します。