設定ポリシーの作成と関連付け - AWS Security Hub

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

設定ポリシーの作成と関連付け

委任された AWS Security Hub 管理者アカウントは、指定されたアカウントと組織単位 () で Security Hub、標準、コントロールを設定する方法を指定する設定ポリシーを作成できますOUs。設定ポリシーは、委任管理者が少なくとも 1 つのアカウントまたは組織単位 (OUs)、またはルートに関連付けた後にのみ有効になります。委任管理者は、セルフマネージド設定をアカウント、、OUsまたはルートに関連付けることもできます。

初めて設定ポリシーを作成する場合は、最初に「Security Hub での設定ポリシーの仕組み」を確認することをお勧めします。

任意のアクセス方法を選択し、手順に従って設定ポリシーまたはセルフマネージド設定を作成して関連付けます。Security Hub コンソールを使用する場合、設定を複数のアカウントまたはOUs同時に関連付けることができます。Security Hub APIまたは を使用する場合 AWS CLI、各リクエストで設定を関連付けることができるアカウントまたは OU は 1 つだけです。

注記

中央設定を使用する場合、Security Hub はホームリージョンを除くすべてのリージョンでグローバルリソースを含むコントロールを自動的に無効にします。設定ポリシーを使用して有効にするその他のコントロールは、使用可能なすべてのリージョンで有効になります。これらのコントロールの検出結果を 1 つのリージョンのみに制限するには、 AWS Config レコーダーの設定を更新し、ホームリージョンを除くすべてのリージョンでグローバルリソースの記録をオフにします。中央設定を使用する場合、ホームリージョンまたはリンクされたリージョンで利用できないコントロールのカバレッジがありません。グローバルリソースに関連するコントロールのリストについては、「」を参照してくださいグローバルリソースを使用するコントロール

Security Hub console
設定ポリシーを作成して関連付けるには
  1. で AWS Security Hub コンソールを開きますhttps://console.aws.amazon.com/securityhub/

    ホームリージョンの Security Hub 委任管理者アカウントの認証情報を使用してサインインします。

  2. ナビゲーションペインで、[設定] および [ポリシー] タブを選択します。次に、[ポリシーの作成] を選択します。

  3. 設定ポリシーを初めて作成する場合は、[組織を設定] ページの [設定タイプ] に 3 つのオプションが表示されます。既に 1 つ以上の設定ポリシーを作成している場合は、[カスタムポリシー] オプションのみが表示されます。

    • 推奨ポリシーを使用するには、組織全体で AWS 推奨される Security Hub 設定を使用するを選択します。推奨ポリシーは、すべての組織アカウントで Security Hub を有効にし、 AWS Foundational Security Best Practices (FSBP) 標準を有効にし、すべての新規および既存のFSBPコントロールを有効にします。コントロールはデフォルトのパラメータ値を使用します。

    • 設定ポリシーを後で作成するには、[まだ設定する準備ができていません] を選択します。

    • [カスタムポリシー] を選択して、カスタム設定ポリシーを作成します。Security Hub を有効にするか無効にするか、どの標準を有効にするか、それらの標準でどのコントロールを有効にするかを指定します。オプションで、カスタムパラメータをサポートする 1 つ以上の有効になっているコントロールにカスタムパラメータ値を指定します。

  4. アカウントセクションで、設定ポリシーを適用するターゲットアカウント、OUs、またはルートを選択します。

    • 設定ポリシーをルートに適用する場合は、[すべてのアカウント] を選択します。これには、別のポリシーが適用されていない、または継承されていない組織OUs内のすべてのアカウントと が含まれます。

    • 設定ポリシーを特定のアカウントまたは に適用する場合は、特定のアカウントを選択しますOUs。アカウント を入力するかIDs、組織構造OUsからアカウント と を選択します。ポリシーは、作成時に最大 15 個のターゲット (アカウント、OUs、またはルート) に適用できます。より大きな数値を指定するには、作成後にポリシーを編集し、追加のターゲットに適用します。

    • [委任された管理者のみ] を選択すると、現在の委任管理者アカウントに設定ポリシーが適用されます。

  5. [Next (次へ)] を選択します。

  6. [確認と適用] ページで、設定ポリシーの詳細を確認します。次に、[ポリシーを作成して適用] を選択します。ホームリージョンとリンクされたリージョンでは、このアクションは、この設定ポリシーに関連付けられているアカウントの既存の設定よりも優先されます。アカウントは、アプリケーションを通じて設定ポリシーに関連付けることも、親ノードから継承して設定ポリシーに関連付けることもできます。適用されたターゲットOUsの子アカウントと は、特に除外、自己管理、または別の設定ポリシーを使用しない限り、この設定ポリシーを自動的に継承します。

Security Hub API
設定ポリシーを作成して関連付けるには
  1. ホームリージョンの Security Hub 委任管理者アカウントCreateConfigurationPolicyAPIから を呼び出します。

  2. Name には、設定ポリシーの一意の名前を入力します。オプションで、Description に設定ポリシーの説明を入力します。

  3. ServiceEnabled フィールドで、Security Hub をこの設定ポリシーで有効にするか無効にするかを指定します。

  4. EnabledStandardIdentifiers フィールドで、この設定ポリシーで有効にする Security Hub 標準を指定します。

  5. SecurityControlsConfiguration オブジェクトで、この設定ポリシーで有効または無効にするコントロールを指定します。EnabledSecurityControlIdentifiers を選択すると、指定したコントロールが有効になります。有効になっている標準に含まれるその他のコントロール (新しくリリースされたコントロールを含む) は無効になります。DisabledSecurityControlIdentifiers を選択すると、指定したコントロールが無効になります。有効になっている標準に含まれるその他のコントロール (新しくリリースされたコントロールを含む) が有効になります。

  6. オプションで、SecurityControlCustomParameters フィールドに、パラメータをカスタマイズする有効なコントロールを指定します。ValueType フィールドに CUSTOM を指定し、Value フィールドにカスタムパラメータ値を指定します。値のデータ型が正しく、Security Hub で指定された有効な範囲内である必要があります。カスタムパラメータ値をサポートするコントロールのみ選択します。詳細については、「Security Hub のコントロールパラメータについて」を参照してください。

  7. 設定ポリシーをアカウントまたは に適用するにはOUs、ホームリージョンの Security Hub 委任管理者アカウントStartConfigurationPolicyAssociationAPIから を呼び出します。

  8. ConfigurationPolicyIdentifier フィールドには、ポリシーの Amazon リソースネーム (ARN) または汎用一意識別子 (UUID) を指定します。ARN と UUIDは CreateConfigurationPolicy によって返されますAPI。セルフマネージド設定の場合、 ConfigurationPolicyIdentifierフィールドは に等しくなりますSELF_MANAGED_SECURITY_HUB

  9. Target フィールドには、この設定ポリシーを適用する OU、アカウント、またはルート ID を指定します。各APIリクエストで指定できるターゲットは 1 つだけです。選択したターゲットOUsの子アカウントと は、セルフマネージド型であるか、別の設定ポリシーを使用しない限り、この設定ポリシーを自動的に継承します。

設定ポリシーを作成するAPIリクエストの例:

{ "Name": "SampleConfigurationPolicy", "Description": "Configuration policy for production accounts", "ConfigurationPolicy": { "SecurityHub": { "ServiceEnabled": true, "EnabledStandardIdentifiers": [ "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0", "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0" ], "SecurityControlsConfiguration": { "DisabledSecurityControlIdentifiers": [ "CloudTrail.2" ], "SecurityControlCustomParameters": [ { "SecurityControlId": "ACM.1", "Parameters": { "daysToExpiration": { "ValueType": "CUSTOM", "Value": { "Integer": 15 } } } } ] } } } }

設定ポリシーを関連付けるAPIリクエストの例:

{ "ConfigurationPolicyIdentifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Target": {"OrganizationalUnitId": "ou-examplerootid111-exampleouid111"} }
AWS CLI
設定ポリシーを作成して関連付けるには
  1. ホームリージョンの Security Hub 委任管理者アカウントで、create-configuration-policy コマンドを実行します。

  2. name には、設定ポリシーの一意の名前を入力します。オプションで、description に設定ポリシーの説明を入力します。

  3. ServiceEnabled フィールドで、Security Hub をこの設定ポリシーで有効にするか無効にするかを指定します。

  4. EnabledStandardIdentifiers フィールドで、この設定ポリシーで有効にする Security Hub 標準を指定します。

  5. SecurityControlsConfiguration フィールドで、この設定ポリシーで有効または無効にするコントロールを指定します。EnabledSecurityControlIdentifiers を選択すると、指定したコントロールが有効になります。有効になっている標準に含まれるその他のコントロール (新しくリリースされたコントロールを含む) は無効になります。DisabledSecurityControlIdentifiers を選択すると、指定したコントロールが無効になります。有効になっている標準に適用されるその他のコントロール (新しくリリースされたコントロールを含む) が有効になります。

  6. オプションで、SecurityControlCustomParameters フィールドに、パラメータをカスタマイズする有効なコントロールを指定します。ValueType フィールドに CUSTOM を指定し、Value フィールドにカスタムパラメータ値を指定します。値のデータ型が正しく、Security Hub で指定された有効な範囲内である必要があります。カスタムパラメータ値をサポートするコントロールのみ選択します。詳細については、「Security Hub のコントロールパラメータについて」を参照してください。

  7. 設定ポリシーをアカウントまたは に適用するにはOUs、ホームリージョンの Security Hub 委任管理者アカウントから start-configuration-policy-association コマンドを実行します。

  8. configuration-policy-identifier フィールドに、設定ポリシーの Amazon リソースネーム (ARN) または ID を指定します。この ARNと ID は create-configuration-policy コマンドによって返されます。

  9. target フィールドには、この設定ポリシーを適用する OU、アカウント、またはルート ID を指定します。コマンドを実行するたびに指定できるターゲットは 1 つのみです。選択したターゲットの子は、セルフマネージド型であるか、別の設定ポリシーを使用している場合を除き、この設定ポリシーを自動的に継承します。

設定ポリシーを作成するコマンドの例:

aws securityhub --region us-east-1 create-configuration-policy \ --name "SampleConfigurationPolicy" \ --description "Configuration policy for production accounts" \ --configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}}]}}}'

設定ポリシーを関連付けるコマンドの例:

aws securityhub --region us-east-1 start-configuration-policy-association \ --configuration-policy-identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \ --target '{"OrganizationalUnitId": "ou-examplerootid111-exampleouid111"}'

は、 というフィールドStartConfigurationPolicyAssociationAPIを返しますAssociationStatus。このフィールドは、ポリシーの関連付けが保留中か、成功または失敗の状態かを示します。ステータスが PENDING から SUCCESS または FAILURE に変わるまで、最大 24 時間かかることがあります。関連付けのステータスの詳細については、「設定ポリシーの関連付けステータスの確認」を参照してください。