アカウント管理のための AWS Organizations への移行 - AWS Security Hub

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

アカウント管理のための AWS Organizations への移行

AWS Security Hub でアカウントを手動で管理する場合は、メンバー候補アカウントを招待し、AWS リージョンごとに各メンバーアカウントを個別に設定する必要があります。

Security Hub と AWS Organizations を統合することで、招待の送信を省略し、組織内での Security Hub の設定やカスタマイズの方法をより細かく制御できるようになります。

AWS Organizations 統合を使用するだけでなく、組織外のアカウントを手動で招待するという複合的なアプローチを使用することもできます。ただし、Organizations の統合のみを使用することをお勧めします。中央設定は、複数のアカウントやリージョンにわたって Security Hub を管理するのに役立つ機能であり、Organizations と統合する場合にのみ使用できます。

このセクションでは、手動による招待ベースのアカウント管理から AWS Organizations によるアカウント管理に移行する方法について説明します。

Security Hub と AWS Organizations の統合

まず、Security Hub と AWS Organizations を統合する必要があります。

次の手順を完了することで、これらのサービスを統合できます。

  • AWS Organizations で組織を作成します。手順については、「AWS Organizations ユーザーガイド」の「組織の作成」を参照してください。

  • Organizations 管理アカウントから、Security Hub 委任管理者アカウントを指定します。

注記

Organizations 管理アカウントを DA アカウントとして使用することはできません。

詳細な手順については、「Security Hub と の統合 AWS Organizations」を参照してください。

前述の手順を完了すると、AWS Organizations で Security Hub の信頼されたアクセスを付与することになります。また、委任された管理者アカウントの Security Hub が、現在の AWS リージョンで有効になります。

委任された管理者は、主に組織のアカウントを Security Hub メンバーアカウントとして追加することで、Security Hub で組織を管理できます。また、管理者は、そのアカウントの特定の Security Hub 設定、データ、およびリソースにアクセスできます。

Organizations を使用してアカウント管理に移行しても、招待ベースのアカウントが自動的に Security Hub のメンバーになることはありません。Security Hub メンバーになることができるのは、新しい組織に追加したアカウントのみです。

中央設定とローカル設定

統合をアクティブ化すると、Organizations でアカウントを管理できるようになります。詳細については、でのアカウントの管理 AWS Organizationsを参照してください。アカウント管理は、組織の設定タイプによって異なります。

組織には、ローカルと中央という 2 種類の設定タイプがあります。デフォルトの設定タイプは、ローカル設定です。現在の設定タイプを確認するには、Security Hub コンソールのナビゲーションペインで [設定] を選択し、次に [設定] を選択します。DescribeOrganizationConfiguration API を呼び出して設定タイプを表示することもできます。

ローカル設定では、新しいアカウントを組織に追加する際に、委任された管理者アカウントで、Security Hub とデフォルトのセキュリティ標準を自動的に有効化できます。これらの新しいアカウント設定は、現在のリージョンで有効化されます。その他の Security Hub 設定は、各リージョンのメンバーアカウントごとに個別に設定する必要があります。

ローカル設定ではなく中央設定を使用することをお勧めします。中央設定では、委任された管理者アカウントは、複数のリージョンで有効な Security Hub 設定ポリシーを作成し、組織のさまざまなアカウントや組織単位 (OU) で Security Hub 機能を指定できます。1 つの設定ポリシーを組織全体に適用することも、異なる設定ポリシーを異なるアカウントや OU に適用することもできます。例えば、本番稼働用アカウントで有効にする標準とコントロールのセットと、テストアカウントで有効にする標準とコントロールを別にすることができます。DA は必要に応じて設定ポリシーを編集できます。

中央設定の動作の詳細については、「Security Hub の中央設定」を参照してください。

ローカル設定から中央設定へ切り替える手順については、「中央設定の使用を開始する」を参照してください。