Security Hub 管理者アカウントの指定 - AWS Security Hub

Security Hub 管理者アカウントの指定

Security Hub 管理者アカウントは、組織のSecurity Hub メンバーシップを管理します。

Security Hub 管理者アカウントの管理方法

組織管理アカウントが各リージョンの Security Hub 管理者アカウントを指定します。

その後 Security Hub 管理者アカウントで、組織アカウントをメンバーアカウントとして有効にします。他のアカウントをメンバーアカウントに招待することもできます。「組織に属するメンバーアカウントの管理」および「招待によるメンバーアカウントの管理」を参照してください。


        組織管理アカウントで組織アカウントを Security Hub の委任管理者として指定する方法を示す図表。委任管理者が Security Hub 管理者アカウントになります。

メンバーアカウントは、一度に 1 つの管理者アカウントのみと関連付けることができます。Security Hub 管理者アカウントは、別の管理者アカウントに属するメンバーアカウントを有効にすることはできません。

すべての Security Hub アカウントで AWS Config が有効になっていて、すべてのリソースを記録するように構成されている必要があります。AWS Config の要件の詳細については、「AWS Config を有効にして設定する」を参照してください。

Security Hub 管理者アカウントを委任管理者アカウントとして設定する

最初に Security Hub 管理者アカウントを選択すると、Security Hub で Organizations が呼び出され、そのアカウントが Security Hub の委任管理者アカウントとして設定されます。

Organizations に委任管理者アカウントを作成したら、そのアカウントか、組織管理アカウントのいずれかを、すべてのリージョンの Security Hub 管理者アカウントとして選択することができます。すべてのリージョンで、同一の委任管理者アカウントを選択することが推奨されます。

別のアカウントを選択するには、すべてのリージョンの現在の Security Hub 管理者アカウントを削除する必要があります。

Security Hub 管理者アカウントを選択する際の推奨事項

マニュアルでの招待プロセスで管理者アカウントを設定している場合は、Security Hub でそのアカウントを Security Hub 管理者アカウントとして指定することをお勧めします。

また、組織の管理アカウントを Security Hub 管理者アカウントとして指定しないことが推奨されます。これは、請求管理のために組織の管理アカウントにアクセスできるユーザーと、セキュリティ管理のために Security Hub にアクセスする必要があるユーザーが異なる可能性があるためです。

また、組織の管理アカウントを、組織のサービスを委任する管理者アカウントにすることはできません。

Security Hub 管理者アカウントの削除

組織管理アカウントで、Security Hub 管理者アカウントを削除することができます。

組織管理アカウントでコンソールを使用して、あるリージョンの Security Hub 管理者アカウントを削除すると、すべてのリージョンで自動的に削除されます。また、Security Hub で Organizations が呼び出され、委任管理者アカウントが削除されます。

Security Hub API を使用すると、API コールまたはコマンドが発行されたリージョンでのみ Security Hub 管理者アカウントが削除されます。他のリージョンの更新はされず、Organizations の委任管理者アカウントも削除されません。

Organizations API を使用して Security Hub の委任管理者アカウントを削除すると、Security Hub によってすべてのリージョンの Security Hub 管理者アカウントも削除されます。

Security Hub 管理者アカウントを設定するために必要な許可

Security Hub 管理者アカウントを指定したり削除したりするには、組織の管理アカウントには、Security Hub で EnableOrganizationAdminAccount および DisableOrganizationAdminAccount アクション許可が付与されている必要があります。組織の管理アカウントには、Organizations の管理許可も必要です。

必要な許可をすべて付与するには、組織の管理アカウントの IAM プリンシパルに次の Security Hub マネージドポリシーを添付します。

Security Hub 管理者アカウントの指定 (コンソール)

組織管理アカウントは、Security Hub コンソールを使用して、Security Hub 管理者アカウントを指定することができます。

組織管理アカウントは、Security Hub 管理者アカウントを管理するために Security Hub を有効にする必要はありません。

組織管理アカウントを Security Hub 管理者アカウントとして指定しないことをお勧めします。ただし、組織管理アカウントを Security Hub 管理者アカウントとして選択する場合は、Security Hub を有効にする必要があります。Security Hub が有効になっていない場合は、Security Hub を手動で有効にする必要があります。組織管理アカウントに対して Security Hub を自動的に有効にすることはできません。

Security Hub へようこそページからSecurity Hub 管理者アカウントを指定するには

  1. AWS Security Hub コンソール (https://console.aws.amazon.com/securityhub/) を開きます。

  2. [Go to Security Hub] (Security Hub に移動) を選択します。

  3. Security Hub 管理者アカウントが現在割り当てられている場合は、新しいアカウントを指定する前に、現在のアカウントを削除する必要があります。

    現在のアカウントを削除するには、[Delegated Administrator] (委任管理者) で [Remove] (削除) を選択します。

  4. [Delegated Administrator] (委任管理者) で、Security Hub 管理者アカウントとして指定するアカウントのアカウント ID を入力します。

    すべてのリージョンで同じ Security Hub 管理者アカウントを指定する必要があります。他のリージョンで指定したアカウントとは異なるアカウントを指定すると、Security Hub はエラーを返します。

  5. [Delegate] (委任) を選択します。

Security Hub が有効になっている場合は、[Settings] (設定) ページで Security Hub 管理者アカウントを指定することもできます。

[Settings] (設定) ページで Security Hub 管理者アカウントを指定するには

  1. AWS Security Hub コンソール (https://console.aws.amazon.com/securityhub/) を開きます。

  2. Security Hub ナビゲーションペインで、[Settings] (設定) を選択します。次に [Generate] (生成) を選択します。

  3. Security Hub 管理者アカウントが現在割り当てられている場合は、新しいアカウントを指定する前に、現在のアカウントを削除する必要があります。

    現在のアカウントを削除するには、[Delegated Administrator] (代理管理者) で、[Remove] (削除) を選択します。

  4. Security Hub 管理者アカウントとして指定するアカウントのアカウント ID を入力します。。

    すべてのリージョンで同じ Security Hub 管理者アカウントを指定する必要があります。他のリージョンで指定したアカウントとは異なるアカウントを指定すると、Security Hub はエラーを返します。

  5. [Delegate] (委任) を選択します。

Security Hub 管理者アカウントの指定 (Security Hub API、AWS CLI)

Security Hub 管理者アカウントを指定するには、API コールまたは AWS Command Line Interface を使用します。組織管理アカウントの認証情報を使用する必要があります。

Security Hub 管理者アカウントの指定を行うには (Security Hub API、AWS CLI)

  • Security Hub API - EnableOrganizationAdminAccount オペレーションを使用します。Security Hub 管理者アカウントの AWS アカウント ID を指定する必要があります。

  • AWS CLI - コマンドラインで enable-organization-admin-account コマンドを実行します。

    aws securityhub enable-organization-admin-account --admin-account-id <admin account ID>

    aws securityhub enable-organization-admin-account --admin-account-id 777788889999

Security Hub 管理者アカウントの削除 (コンソール)

組織の管理アカウントで、現在の Security Hub 管理者アカウントを削除することができます。コンソールを使用して Security Hub 管理者アカウントを削除すると、すべてのリージョンで Security Hub 管理者アカウントが削除されます。また、Security Hub で Organizations が呼び出され、Security Hub の委任管理者アカウントが削除されます。

Security Hub 管理者アカウントが削除されると、削除された Security Hub 管理者アカウントとメンバーアカウントの関連付けが解除されます。

有効なメンバーアカウントでは、Security Hub が引き続き有効になっています。新しい Security Hub 管理者がメンバーアカウントとして有効にするまで、これらのアカウントはスタンドアロンアカウントになります。

組織管理アカウントが Security Hub で有効なアカウントでない場合は、[Welcome to Security Hub] (Security Hub へようこそ) ページのオプションを使用します。

[Welcome to Security Hub] (Security Hub へようこそ) ページから Security Hub 管理者アカウントを削除するには

  1. AWS Security Hub コンソール (https://console.aws.amazon.com/securityhub/) を開きます。

  2. [Go to Security Hub] (Security Hub に移動) を選択します。

  3. [Delegated Administrator] (代理管理者) で、[Remove] (削除) を選択します。

組織管理アカウントが Security Hub で有効なアカウントである場合、[Settings] (設定) ページの [General] (全般) タブのオプションを使用します。

[Settings] (設定) ページから Security Hub 管理者アカウントを削除するには

  1. AWS Security Hub コンソール (https://console.aws.amazon.com/securityhub/) を開きます。

  2. Security Hub ナビゲーションペインで、[Settings] (設定) を選択します。次に [Generate] (生成) を選択します。

  3. [Delegated Administrator] (代理管理者) で、[Remove] (削除) を選択します。

Security Hub 管理者アカウントの削除 (Security Hub API、AWS CLI)

Security Hub 管理者アカウントを削除するには、API コールまたは AWS Command Line Interface を使用します。組織管理アカウントの認証情報を使用する必要があります。

API または AWS CLI を使用して Security Hub 管理者アカウントを削除する場合、API コールまたはコマンドが発行されたリージョンでのみ削除されます。Security Hub は他のリージョンを更新せず、Organizations 内の委任された管理者アカウントは削除されません。

Security Hub 管理者アカウントを削除するには (Security Hub API、AWS CLI)

  • Security Hub API - DisableOrganizationAdminAccount オペレーションを使用します。Security Hub 管理者アカウントのアカウント ID を指定する必要があります。

  • AWS CLI - コマンドラインで disable-organization-admin-account コマンドを実行します。

    aws securityhub disable-organization-admin-account --admin-account-id <admin account ID>

    aws securityhub disable-organization-admin-account --admin-account-id 777788889999

委任された管理者アカウントの削除 (Organizations API、AWS CLI)

Security Hub API を使用して Security Hub 管理者アカウントを削除すると、API コールまたはコマンドが発行されたリージョンでのみ削除されます。Security Hub は他のリージョンを更新せず、Organizations 内の委任された管理者アカウントも削除しません。

Organizations API を使用すると、委任された管理者アカウントを削除できます。Security Hub の委任された管理者アカウントを削除すると、Security Hub はすべてのリージョンからSecurity Hub 管理者アカウントも削除します。

委任された管理者アカウントを削除するには (Organizations API、AWS CLI)

  • Organizations API - DeregisterDelegatedAdministrator オペレーションを使用します。委任された管理者アカウントのアカウント ID と、Security Hub のサービスプリンシパル securityhub.amazonaws.com を指定する必要があります。

  • AWS CLI - コマンドラインで deregister-delegated-administrator コマンドを実行します。

    aws organizations deregister-delegated-administrator --account-id <admin account ID> --service-principal <Security Hub service principal>

    aws organizations deregister-delegated-administrator --account-id 777788889999 --service-principal securityhub.amazonaws.com