設定ポリシーの削除と関連付けの解除 - AWS Security Hub

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

設定ポリシーの削除と関連付けの解除

設定ポリシーを作成すると、委任された AWS Security Hub 管理者はそのポリシーを削除できます。または、委任された管理者はポリシーを保持できますが、特定のアカウントまたは組織単位 (OUs)、またはルートからの関連付けを解除できます。

中央設定の利点とその仕組みに関する背景情報については、「」を参照してくださいSecurity Hub の中央設定について

このセクションでは、設定ポリシーを削除または関連付け解除する方法について説明します。

設定ポリシーの削除

設定ポリシーを削除すると、組織には存在しなくなります。ターゲットアカウント、OUs、および組織ルートは、設定ポリシーを使用できなくなります。削除された設定ポリシーに関連付けられていたターゲットは、最も近い親の設定ポリシーを継承するか、最も近い親がセルフマネージド型の場合はセルフマネージド型になります。ターゲットに別の設定を使用する場合は、そのターゲットを新しい設定ポリシーに関連付けることができます。詳細については、「設定ポリシーの作成と関連付け」を参照してください。

適切なセキュリティカバレッジを確保するために、少なくとも 1 つの設定ポリシーを作成して組織に関連付けることをお勧めします。

設定ポリシーを削除する前に、現在適用されているアカウント、、OUsまたはルートからポリシーの関連付けを解除する必要があります。

任意の方法を選択し、その手順に従って設定ポリシーを削除します。

Console
設定ポリシーを削除するには
  1. で AWS Security Hub コンソールを開きますhttps://console.aws.amazon.com/securityhub/

    ホームリージョンの Security Hub 委任管理者アカウントの認証情報を使用してサインインします。

  2. ナビゲーションペインで、[設定][設定] の順に選択します。

  3. [Policies] タブを選択します。削除する設定ポリシーを選択し、[削除] を選択します。設定ポリシーがまだ任意のアカウントまたは に関連付けられている場合はOUs、削除する前に、まずそれらのターゲットからポリシーの関連付けを解除するように求められます。

  4. 確認メッセージを確認します。「confirm」と入力し、[削除] を選択します。

API

設定ポリシーを削除するには

ホームリージョンの Security Hub 委任管理者アカウントDeleteConfigurationPolicyAPIから を呼び出します。

削除する設定ポリシーの Amazon リソースネーム (ARN) または ID を指定します。ConflictException エラーが表示されても、設定ポリシーは組織OUs内のアカウントまたは に適用されます。エラーを解決するには、設定ポリシーとこれらのアカウントの関連付けを解除するか、削除OUsを試みます。

設定ポリシーを削除するAPIリクエストの例:

{ "Identifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" }
AWS CLI

設定ポリシーを削除するには

ホームリージョンの Security Hub 委任管理者アカウントで、delete-configuration-policy コマンドを実行します。

削除する設定ポリシーの Amazon リソースネーム (ARN) または ID を指定します。ConflictException エラーが表示されても、設定ポリシーは組織OUs内のアカウントまたは に適用されます。エラーを解決するには、設定ポリシーとこれらのアカウントの関連付けを解除するか、削除OUsを試みます。

aws securityhub --region us-east-1 delete-configuration-policy \ --identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"

ターゲットから設定の関連付けを解除する

委任された管理者アカウントから、アカウント、OU、またはルートから設定ポリシーまたはセルフマネージド設定の関連付けを解除できます。関連付けを解除できるのは、直接適用された設定のみで、継承された設定は解除できません。継承された設定を変更するには、影響を受けるアカウントまたは OU に設定ポリシーまたはセルフマネージド型の動作を適用します。また、必要な変更を含む新しい設定ポリシーを、最も近い親に適用することもできます。

関連付けを解除しても設定ポリシーは削除されません。ポリシーはアカウントに保持されるため、組織内の他のターゲットと関連付けることができます。関連付けの解除が完了すると、影響を受けるターゲットは、設定ポリシーまたは最も近い親のセルフマネージド型の動作を継承します。継承が可能な設定がない場合、ターゲットは関連付け解除前の設定を保持しますが、セルフマネージド型になります。

任意の方法を選択し、その手順に従って、アカウント、OU、またはルートと現在の設定との関連付けを解除します。

Console
アカウントまたは OU と現在の設定との関連付けを解除するには
  1. で AWS Security Hub コンソールを開きますhttps://console.aws.amazon.com/securityhub/

    ホームリージョンの Security Hub 委任管理者アカウントの認証情報を使用してサインインします。

  2. ナビゲーションペインで、[設定][設定] の順に選択します。

  3. [組織] タブで、現在の設定との関連付けを解除したいアカウント、OU、またはルートを選択します。[編集] を選択します。

  4. 委任管理者がターゲットに直接ポリシーを適用できるようにするには、[構成を定義] ページの [管理] で、適用される [ポリシー] を選択します。ターゲットに最も近い親の設定を継承する場合は、[継承済み] を選択します。いずれの場合も、委任管理者がターゲットの設定をコントロールします。アカウントまたは OU に独自の設定を管理する場合は、[セルフマネージド] を選択します。

  5. 変更を確認したら、[次へ][適用] を選択します。このアクションは、これらの設定OUsが現在の選択と競合する場合、対象範囲内のアカウントまたは の既存の設定を上書きします。

API
アカウントまたは OU と現在の設定との関連付けを解除するには
  1. ホームリージョンの Security Hub 委任管理者アカウントStartConfigurationPolicyDisassociationAPIから を呼び出します。

  2. にはConfigurationPolicyIdentifier、関連付けを解除する設定ポリシーの Amazon リソースネーム (ARN) または ID を指定します。セルフマネージド型の動作との関連付けを解除するには、このフィールドに SELF_MANAGED_SECURITY_HUB を指定します。

  3. にはTarget、この設定ポリシーから関連付けを解除するアカウントOUs、、またはルートを指定します。

設定ポリシーの関連付けを解除するAPIリクエストの例:

{ "ConfigurationPolicyIdentifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Target": {"RootId": "r-f6g7h8i9j0example"} }
AWS CLI
アカウントまたは OU と現在の設定との関連付けを解除するには
  1. ホームリージョンの Security Hub 委任管理者アカウントで、start-configuration-policy-disassociation コマンドを実行します。

  2. にはconfiguration-policy-identifier、関連付けを解除する設定ポリシーの Amazon リソースネーム (ARN) または ID を指定します。セルフマネージド型の動作との関連付けを解除するには、このフィールドに SELF_MANAGED_SECURITY_HUB を指定します。

  3. には、この設定ポリシーから関連付けを解除するアカウントOUs、、またはルートtargetを指定します。

設定ポリシーの関連付けを解除するコマンドの例:

aws securityhub --region us-east-1 start-configuration-policy-disassociation \ --configuration-policy-identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \ --target '{"RootId": "r-f6g7h8i9j0example"}'