新しい組織アカウントで Security Hub を自動的に有効にする - AWS Security Hub
新しい組織アカウントを自動的に有効にする (中央設定)新しい組織アカウントを自動的に有効にする (ローカル設定)

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

新しい組織アカウントで Security Hub を自動的に有効にする

新しいアカウントが組織に追加されると、 AWS Security Hub コンソールの [アカウント] ページのリストに追加されます。組織アカウントの場合、[Type] (タイプ) は [By organization] (組織別) になります。デフォルトでは、組織を追加しても新しいアカウントが Security Hub メンバーになることはありません。ステータスは、[Not a member] (メンバーではない) です。委任された管理者アカウントは、新しいアカウントをメンバーとして自動的に追加し、そのアカウントが組織に参加したときにSecurity Hub を有効にすることができます。

注記

AWS リージョン 多くの地域はデフォルトで有効になっていますが AWS アカウント、特定の地域は手動で有効化する必要があります。このドキュメントでは、これらのリージョンをオプトインリージョンと呼んでいます。オプトインリージョンの新しいアカウントで Security Hub を自動的に有効にするには、まずアカウントでそのリージョンをアクティブ化する必要があります。オプトインリージョンを有効にできるのはアカウントオーナーだけです。オプトインリージョンの詳細については、「AWS リージョン アカウントで使用できるリージョンの指定」を参照してください。

このプロセスは、中央設定 (推奨) を使用するかローカル設定を使用するかによって異なります。

新しい組織アカウントを自動的に有効にする (中央設定)

中央設定を使用する場合、Security Hub を有効にする設定ポリシーを作成することで、新規および既存の組織アカウントで Security Hub を自動的に有効にできます。その後、そのポリシーを組織ルートまたは特定の組織単位 (OU) に関連付けることができます。

Security Hub が有効になっている設定ポリシーを特定の OU に関連付けると、その OU に属するすべてのアカウント (既存および新規) で Security Hub が自動的に有効になります。OU に属さない新しいアカウントはセルフマネージド型で、Security Hub が自動的に有効になることはありません。Security Hub が有効になっている設定ポリシーをルートに関連付けると、組織に追加するすべてのアカウント (既存および新規) で Security Hub が自動的に有効になります。例外は、アカウントがアプリケーションまたは継承によって異なるポリシーを使用している場合や、セルフマネージド型である場合です。

設定ポリシーでは、OU で有効にするセキュリティ標準とコントロールを定義することもできます。有効になっている標準の管理結果を生成するには、OU AWS Config 内のアカウントが有効化され、必要なリソースを記録するように設定されている必要があります。 AWS Config 記録について詳しくは、「有効化と構成」を参照してください AWS Config。

設定ポリシーの作成手順については、「Security Hub 設定ポリシーの作成と関連付け」を参照してください。

新しい組織アカウントを自動的に有効にする (ローカル設定)

ローカル設定を使用して自動有効化をオンにすると、Security Hub で新しい組織アカウントがメンバーとして追加され、現在のリージョンでそのアカウントの Security Hub が有効になります。他のリージョンは影響を受けません。また、自動有効化をオンにしても、既にメンバーアカウントとして追加されていない限り、既存の組織アカウントで Security Hub が有効になることはありません。

自動有効化をオンにしてから現在のリージョンで新しいアカウントが組織に追加されると、そのアカウントのデフォルトのセキュリティ標準も自動的に有効になります。デフォルトの標準は、 AWS 基礎セキュリティベストプラクティス (FSBP) とインターネットセキュリティセンター (CIS) 基盤ベンチマーク v1.2.0 です。 AWS デフォルトの標準を変更することはできません。組織全体で他の標準を有効にする場合や、特定のアカウントや OU の標準を有効にする場合は、中央設定を使用することをお勧めします。

既定の標準 (およびその他の有効な標準) の管理結果を生成するには、組織内のアカウントで必要なリソースを記録するように有効化および設定されている必要があります。 AWS Config AWS Config 記録について詳しくは、「有効化と構成」を参照してください AWS Config。

お好みの方法を選択し、手順に従って、新しい組織アカウントの Security Hub を自動的に有効にします。これらの手順は、ローカル設定を使用する場合にのみ適用されます。

Security Hub console
新しい組織アカウントを Security Hub メンバーとして自動的に有効にするには

  1. https://console.aws.amazon.com/securityhub/ AWS Security Hub でコンソールを開きます。

    委任された管理者アカウントの認証情報を使用してサインインします。

  2. Security Hub のナビゲーションペインの [設定] で、[設定] を選択します。

  3. [アカウント] セクションで、[アカウントの自動有効化] をオンにします。

Security Hub API

新しい組織アカウントを Security Hub メンバーとして自動的に有効にするには

委任された管理者のアカウントで、UpdateOrganizationConfiguration API を呼び出します。AutoEnable フィールドを true に設定すると、新しい組織アカウントで Security Hub が自動的に有効になります。

AWS CLI

新しい組織アカウントを Security Hub メンバーとして自動的に有効にするには

委任された管理者アカウントで、update-organization-configuration コマンドを実行します。新しい組織アカウントで Security Hub を自動的に有効にするには、auto-enable パラメータを追加します。

aws securityhub update-organization-configuration --auto-enable