組織アカウントと OUs の管理タイプ - AWS Security Hub

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

組織アカウントと OUs の管理タイプ

中央設定を使用する場合、AWS Security Hub 委任管理者は各組織アカウントと組織単位 (OU) を一元管理型またはセルフマネージド型として指定できます。アカウントまたは OU の管理タイプによって、Security Hub の設定を指定および変更する方法が決まります。

セルフマネージド型のアカウントまたは OU は、AWS リージョンごとに独自の Security Hub 設定を行うことができます。委任された管理者は、セルフマネージド型アカウントまたは OU に対して Security Hub を設定することはできず、設定ポリシーをそれらに関連付けることもできません。対照的に、ホームリージョンとリンクされたリージョンの一元管理型アカウントおよび OU に対しては、委任された管理者のみが Security Hub を設定することができます。設定ポリシーは、一元管理型アカウントおよび OU に関連付けることができます。

委任された管理者は、アカウントまたは OU のステータスをセルフマネージド型と一元管理型の間で切り替えることができます。デフォルトでは、Security Hub API を使用して中央設定を開始する場合、すべてのアカウントと OU がセルフマネージド型になります。コンソールでは、管理タイプは最初の設定ポリシーによって異なります。最初のポリシーに関連付けられるアカウントと OU は、一元管理型です。その他のアカウントと OU は、デフォルトではセルフマネージド型になります。

設定ポリシーをセルフマネージドアカウントに関連付けると、ポリシーはセルフマネージド型の指定を上書きします。アカウントは一元管理され、設定ポリシーに反映された設定を採用します。

子アカウントと OU は、セルフマネージド型の親からセルフマネージド型の動作を継承でき、同様に一元管理型の親から設定ポリシーを継承できます。詳細については、「アプリケーションと継承によるポリシーの関連付け」を参照してください。

セルフマネージドアカウントまたは OU は、親ノードまたはルートから設定ポリシーを継承することはできません。例えば、組織内のすべてのアカウントと OUs がルートから設定ポリシーを継承するようにする場合は、セルフマネージド型ノードの管理タイプを一元管理型に変更する必要があります。

セルフマネージドアカウントの設定の指定

セルフマネージド型アカウントは、リージョンごとに独自の設定を行う必要があります。

セルフマネージド型アカウントの所有者は、各リージョンで次の API を呼び出し、設定できます。

  • Security Hub サービスを有効または無効にする EnableSecurityHub および DisableSecurityHub

  • 標準を有効または無効にする BatchEnableStandards または BatchDisableStandards

  • コントロールを有効または無効にする BatchUpdateStandardsControlAssociations または UpdateStandardsControl

Security Hub API アクションの説明については、AWS Security Hub API のリファレンスを参照してください。

また、セルフマネージド型アカウントは、Security Hub コンソールや AWS CLI を使用して、各リージョンで設定を行うこともできます。

セルフマネージド型アカウントでは、Security Hub の設定ポリシーおよびポリシーの関連付けに関連する API を呼び出すことはできません。中央設定 API を呼び出し、設定ポリシーを使用して一元管理型アカウントを設定できるのは、委任された管理者のみです。

アカウントと OUs の管理タイプの選択

ご希望の方法を選択し、手順に従って、アカウントまたは OU を一元管理型またはセルフマネージド型に指定します。

Security Hub console
アカウントまたは OU の管理タイプを選択するには
  1. AWS Security Hub コンソール (https://console.aws.amazon.com/securityhub/) を開きます。

    ホームリージョンの Security Hub 委任管理者アカウントの認証情報を使用してサインインします。

  2. [設定] を選択します。

  3. [組織] タブで、ターゲットアカウントまたは OU を選択します。[編集] を選択します。

  4. 委任された管理者がターゲットアカウントまたは OU の設定を行う場合は、[設定を定義] ページの [管理タイプ] で、[一元管理] を選択します。次に、既存の設定ポリシーをターゲットと関連付ける場合は、[特定のポリシーを適用] を選択します。ターゲットに最も近い親の設定を継承させる場合は、[自分の組織から継承] を選択します。アカウントまたは OU で独自の設定を行う場合は、[セルフマネージド] を選択します。

  5. [次へ] をクリックします。変更内容を見直して、[保存] を選択します。

Security Hub API
アカウントまたは OU の管理タイプを選択するには
  1. ホームリージョンの Security Hub 委任管理者アカウントから StartConfigurationPolicyAssociation API を呼び出します。

  2. アカウントまたは OU で独自の設定を制御する場合は、ConfigurationPolicyIdentifier フィールドに SELF_MANAGED_SECURITY_HUB と入力します。委任された管理者がアカウントまたは OU の設定を制御する場合は、関連する設定ポリシーの Amazon リソースネーム (ARN) または ID を指定します。

  3. Target フィールドには、変更する管理タイプのターゲットの AWS アカウント ID、OU ID、またはルート ID を指定します。これにより、セルフマネージド型の動作または指定した設定ポリシーがターゲットに関連付けられます。ターゲットの子アカウントは、セルフマネージド型の動作または設定ポリシーを継承できます。

セルフマネージド型アカウントを指定する API リクエストの例:

{ "ConfigurationPolicyIdentifier": "SELF_MANAGED_SECURITY_HUB", "Target": {"AccountId": "123456789012"} }
AWS CLI
アカウントまたは OU の管理タイプを選択するには
  1. ホームリージョンの Security Hub 委任管理者アカウントで、start-configuration-policy-association コマンドを実行します。

  2. アカウントまたは OU で独自の設定を制御するには、configuration-policy-identifier フィールドに SELF_MANAGED_SECURITY_HUB と指定します。委任された管理者がアカウントまたは OU の設定を制御する場合は、関連する設定ポリシーの Amazon リソースネーム (ARN) または ID を指定します。

  3. target フィールドには、変更する管理タイプのターゲットの AWS アカウント ID、OU ID、またはルート ID を指定します。これにより、セルフマネージド型の動作または指定した設定ポリシーがターゲットに関連付けられます。ターゲットの子アカウントは、セルフマネージド型の動作または設定ポリシーを継承できます。

セルフマネージド型アカウントを指定するコマンドの例:

aws securityhub --region us-east-1 start-configuration-policy-association \ --configuration-policy-identifier "SELF_MANAGED_SECURITY_HUB" \ --target '{"AccountId": "123456789012"}'