翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Security Hub と の統合 AWS Organizations
AWS Security Hub と を統合するには AWS Organizations、Organizations で組織を作成し、組織管理アカウントを使用して委任された Security Hub 管理者アカウントを指定します。これにより、Security Hub が Organizations の信頼されたサービスとして有効になります。また、委任された管理者アカウントの現在の AWS リージョン で Security Hub を有効にし、委任された管理者がメンバーアカウントの Security Hub を有効にしたり、メンバーアカウントのデータを表示したり、メンバーアカウントで許可されているその他のアクションを実行したりできるようにします。
中央設定を使用する場合、委任された管理者は組織のアカウントで Security Hub サービス、標準、およびコントロールを設定する方法を指定する Security Hub 設定ポリシーを作成することもできます。
組織の作成
組織は、 を統合するために作成するエンティティであり AWS アカウント 、単一のユニットとして管理できます。
組織を作成するには、 AWS Organizations コンソールを使用するか、 AWS CLI または SDK のいずれかのコマンドを使用しますAPIs。詳細の手順については、「AWS Organizations ユーザーガイド」の「組織の作成」を参照してください。
を使用して AWS Organizations 、組織内のすべてのアカウントを一元的に表示および管理できます。組織には、1 つの管理アカウントと、ゼロ以上のメンバーアカウントを含みます。アカウントは、上部にルート、ルートの下にネストされた組織単位 (OUs) を持つ階層的なツリーのような構造に整理できます。各アカウントは、ルートの直下に配置することも、OUs階層内の 1 つの に配置することもできます。OU は特定のアカウントのコンテナです。例えば、財務運用に関連するアカウントをすべて含めた財務 OU を作成できます。
委任された Security Hub 管理者の選択に関する推奨事項
手動の招待プロセスから管理者アカウントがあり、 でアカウント管理に移行する場合は AWS Organizations、そのアカウントを委任された Security Hub 管理者として指定することをお勧めします。
Security Hub APIsとコンソールでは、組織管理アカウントを委任された Security Hub 管理者にすることができますが、2 つの異なるアカウントを選択することをお勧めします。これは、請求管理のために組織の管理アカウントにアクセスできるユーザーと、セキュリティ管理のために Security Hub にアクセスする必要があるユーザーが異なる可能性があるためです。
複数のリージョンで、同一の委任管理者を使用することが推奨されます。中央設定にオプトインすると、Security Hub によってホームリージョンとリンクされたリージョンで同一の委任管理者が自動的に指定されます。
委任された管理者を設定するアクセス許可を確認する
委任された Security Hub 管理者アカウントを指定および削除するには、組織管理アカウントに Security Hub の EnableOrganizationAdminAccount
および DisableOrganizationAdminAccount
アクションに対するアクセス許可が必要です。Organizations の管理アカウントには、Organizations の管理権限も必要です。
必要なアクセス許可をすべて付与するには、次の Security Hub 管理ポリシーを組織管理アカウントのIAMプリンシパルにアタッチします。
委任管理者の指定
委任された Security Hub 管理者アカウントを指定するには、Security Hub コンソール、Security Hub API、または を使用できます AWS CLI。Security Hub は委任された管理者を現在の AWS リージョン にのみ設定するため、他のリージョンでもこのアクションを繰り返す必要があります。中央設定の使用を開始すると、Security Hub によってホームリージョンとリンクされたリージョンで同一の委任管理者が自動的に設定されます。
組織管理アカウントは、委任された Security Hub 管理者アカウントを指定するために Security Hub を有効にする必要はありません。
組織管理アカウントは、委任された Security Hub 管理者アカウントではないことをお勧めします。ただし、組織管理アカウントを Security Hub の委任された管理者として選択すると、管理アカウントで Security Hub が有効になっている必要があります。管理アカウントの Security Hub が有効になっていない場合は、Security Hub を手動で有効にする必要があります。Security Hub を組織管理アカウントで自動的に有効にすることはできません。
次のいずれかの方法を使用して、委任された Security Hub 管理者を指定する必要があります。Organizations で委任された Security Hub 管理者を指定しても、Security Hub には反映APIsされません。
任意の方法を選択し、手順に従って委任された Security Hub 管理者アカウントを指定します。
委任管理者の削除または変更
警告
中央設定を使用する場合、Security Hub コンソールまたは Security Hub APIsを使用して、委任された管理者アカウントを変更または削除することはできません。組織管理アカウントが AWS Organizations コンソールまたは AWS Organizations APIs を使用して委任された Security Hub 管理者を変更または削除する場合、Security Hub は自動的に中央設定を停止し、設定ポリシーとポリシーの関連付けを削除します。メンバーアカウントには、委任された管理者が変更または削除される前の設定が保持されます。
委任された Security Hub 管理者アカウントを削除できるのは、組織管理アカウントのみです。
委任された Security Hub 管理者を変更するには、まず現在の委任された管理者アカウントを削除してから、新しいアカウントを指定する必要があります。
Security Hub コンソールを使用して、あるリージョンの委任管理者を削除すると、その管理者はすべてのリージョンから自動的に削除されます。
Security Hub は、API呼び出しまたはコマンドが発行されたリージョンから、委任された Security Hub 管理者アカウントAPIのみを削除します。他のリージョンでもこの操作を繰り返す必要があります。
Organizations を使用して委任された Security Hub 管理者アカウントAPIを削除すると、すべてのリージョンで自動的に削除されます。
委任された管理者の削除 (組織 API、 AWS CLI)
Organizations を使用して、すべてのリージョンで委任された Security Hub 管理者を削除できます。
中央設定を使用してアカウントを管理している場合、委任された管理者アカウントを削除すると、設定ポリシーとポリシーの関連付けも削除されます。メンバーアカウントには、委任された管理者が変更または削除される前の設定が保持されます。ただし、削除済みの委任管理者からは、これらのアカウントを管理できなくなります。これらはリージョンごとに個別に設定する必要があるセルフマネージド型アカウントになります。
任意の方法を選択し、手順に従って で委任された Security Hub 管理者アカウントを削除します AWS Organizations。
委任された管理者の削除 (Security Hub コンソール)
Security Hub コンソールを使用して、すべてのリージョンで委任された Security Hub 管理者を削除できます。
委任された Security Hub 管理者アカウントが削除されると、メンバーアカウントは削除された委任された Security Hub 管理者アカウントから関連付けが解除されます。
ただし、Security Hub はメンバーアカウントで引き続き有効になっています。新しい Security Hub 管理者がメンバーアカウントとして有効にするまで、これらのアカウントはスタンドアロンアカウントになります。
組織管理アカウントが Security Hub で有効なアカウントでない場合は、「セキュリティハブへようこそ」ページの オプションを使用します。
委任された Security Hub 管理者アカウントを Security Hub へようこそページから削除するには
で AWS Security Hub コンソールを開きますhttps://console.aws.amazon.com/securityhub/
。 -
[Go to Security Hub] (Security Hub に移動) を選択します。
-
[Delegated Administrator] (代理管理者) で、[Remove] (削除) を選択します。
組織管理アカウントが Security Hub で有効なアカウントである場合、[Settings] (設定) ページの [General] (全般) タブのオプションを使用します。
設定ページから委任された Security Hub 管理者アカウントを削除するには
で AWS Security Hub コンソールを開きますhttps://console.aws.amazon.com/securityhub/
。 -
Security Hub ナビゲーションペインで、[Settings] (設定) を選択します。次に [Generate] (生成) を選択します。
-
[Delegated Administrator] (代理管理者) で、[Remove] (削除) を選択します。
委任された管理者の削除 (Security Hub API、 AWS CLI)
の Security Hub APIまたは Security Hub オペレーションを使用して AWS CLI 、委任された Security Hub 管理者を削除できます。これらの方法のいずれかを使用して委任された管理者を削除すると、API呼び出しまたはコマンドが発行されたリージョンでのみ削除されます。Security Hub は他のリージョンを更新せず、 の委任管理者アカウントも削除しません AWS Organizations。
任意の方法を選択し、以下の手順に従って Security Hub で委任された Security Hub 管理者アカウントを削除します。
と Security Hub の統合を無効にする AWS Organizations
AWS Organizations 組織が と統合されると AWS Security Hub、Organizations 管理アカウントはその後、統合を無効にすることができます。Organizations 管理アカウントのユーザーは、 AWS Organizationsの Security Hub に対する信頼されたアクセスを無効にすることができます。
Security Hub の信頼されたアクセスを無効化すると、以下が起こります。
-
Security Hub は、 で信頼されたサービスとしてのステータスを失います AWS Organizations。
-
Security Hub 委任管理者アカウントは、すべての AWS リージョンですべての Security Hub メンバーアカウントの Security Hub の設定、データ、およびリソースにアクセスできなくなります。
-
中央設定を使用していた場合、Security Hub は組織での中央設定の使用を自動的に停止します。設定ポリシーとポリシーの関連付けは削除されます。アカウントでは、信頼されたアクセスを無効にする前の設定が保持されます。
-
Security Hub のすべてのメンバーアカウントがスタンドアロンアカウントになり、現在の設定が保持されます。Security Hub が 1 つ以上のリージョン内のメンバーアカウントに対して有効化されている場合、Security Hub はそのリージョン内のアカウントに対して有効化された状態が継続します。有効になっている標準とコントロールも変わりません。これらの設定は、アカウントやリージョンごとに個別に変更できます。ただし、そのアカウントはどのリージョンの委任管理者とも関連付けられなくなります。
信頼されたサービスアクセスを無効にする結果の詳細については、 ユーザーガイドの「他の AWS Organizations で AWS サービスを使用するAWS Organizations 」を参照してください。
信頼されたアクセスを無効にするには、 AWS Organizations コンソール、OrganizationsAPI、または を使用できます AWS CLI。Security Hub の信頼されたサービスへのアクセスを無効にできるのは、Organizations 管理アカウントのユーザーのみです。必要なアクセス許可に関する詳細は、AWS Organizations ユーザーガイドの信頼できるアクセスを無効にするために必要なアクセス許可を参照してください。
信頼されたアクセスを無効にする前に、必要に応じて組織の委任管理者に連絡して、メンバーアカウントの Security Hub を無効にし、それらのアカウントの Security Hub リソースをクリーンアップしてください。
お好みの方法を選択し、手順に従って、Security Hub の信頼されたアクセスを無効にします。