招待によるアカウントの管理

Security Hub を と統合 AWS Organizations するか、メンバーシップの招待を手動で送信して承諾することで、2 つの方法で複数の AWS Security Hub アカウントを一元管理できます。スタンドアロンアカウントをお持ちの場合、または Organizations と統合していない場合は、手動プロセスを使用する必要があります。手動によるアカウント管理では、Security Hub 管理者がアカウントをメンバーに招待します。管理者とメンバーの関係は、候補となるメンバーが招待を承諾したときに確立されます。Security Hub の管理者アカウントは、最大 1,000 件の招待ベースのメンバーアカウントに対応する Security Hub を管理できます。

ヒント

Security Hub で招待ベースの組織を作成する場合は、代わりに後で AWS Organizationsの使用に移行できます。複数のメンバーアカウントがある場合は、 を使用してアカウントを管理することをお勧めします AWS Organizations。

手動による招待プロセスで招待したアカウントについては、検出結果やその他のデータのクロスリージョン集約を使用できます。ただし、クロスリージョン集約を機能させるには、管理者は集約リージョンとすべてのリンクされたリージョンからメンバーアカウントを招待する必要があります。さらに、管理者にメンバーアカウントの結果を表示できるようにするには、メンバーアカウントで集約リージョンとすべてのリンクされたリージョンで Security Hub が有効になっている必要があります。

手動で招待されたメンバーアカウントでは、設定ポリシーはサポートされていません。代わりに、手動の招待プロセスを使用する AWS リージョン ときに、各メンバーアカウントと で Security Hub 設定を個別に設定する必要があります。

また、自分の組織に属していないアカウントについては、手動による招待ベースのプロセスを使用する必要があります。たとえば、組織にテストアカウントを含めない場合もあります。あるいは、複数の組織のアカウントを 1 つの Security Hub 管理者アカウントに統合することもあります。Security Hub 管理者アカウントは、他の組織に属するアカウントに招待を送信する必要があります。

Security Hub コンソールの [設定] ページでは、招待によって追加されたアカウントが [招待アカウント] タブに表示されます。中央設定の仕組みを使用しているが、組織外のアカウントも招待している場合は、このタブで招待ベースのアカウントの検出結果を確認できます。ただし、Security Hub 管理者は、設定ポリシーを使用して複数のリージョンに招待ベースのアカウントを設定することはできません。

このセクションのトピックでは、招待を使用してメンバーアカウントを管理する方法について説明します。

トピック

• メンバーアカウントの追加と招待
• メンバーアカウントへの招待を承諾する
• メンバーアカウントの関連付けを解除する
• メンバーアカウントの削除
• 管理者アカウントから関連付けを解除する
• アカウント管理のための AWS Organizations への移行