Security Hub 管理者アカウントの指定 - AWS Security Hub

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Security Hub 管理者アカウントの指定

委任されたAWS Security Hub管理者アカウントは、組織の Security Hub メンバーシップを管理します。

組織管理アカウントは、組織の Security Hub 管理者アカウントを指定します。管理者アカウントがメンバーアカウントを選択します。組織に属するメンバーアカウントの管理 および 組織内にないメンバーアカウントの管理 を参照してください。


      組織管理アカウントが Security Hub の委任管理者として組織アカウントを指定する方法を示す図。委任された管理者は Security Hub 管理者アカウントになります。

組織管理アカウントは、組織内の任意のアカウントを指定できます。ただし、Security Hub では、組織管理アカウントが自身を管理者アカウントとして指定しないことを推奨します。請求を管理するために組織管理アカウントにアクセスできるユーザーは、セキュリティ管理のために Security Hub にアクセスする必要があるユーザーとは異なる可能性があります。

手動招待プロセスで管理者アカウントを設定している場合、Security Hub では、そのアカウントを組織の Security Hub 管理者アカウントとして指定することをお勧めします。メンバーアカウントは、1 つの管理者アカウントにのみ関連付けることができます。組織の管理者アカウントは、別の管理者アカウントに属するメンバーアカウントを有効にできません。

委任された管理者アカウントは、各リージョンで同じである必要があります。ただし、組織管理アカウントは、リージョンごとに同じ Security Hub 管理者アカウントを個別に指定する必要があります。

組織の管理アカウントは、現在委任されている Security Hub 管理者アカウントを削除することもできます。組織管理アカウントがコンソールを使用して 1 つのリージョンの管理者アカウントを削除すると、そのアカウントはすべてのリージョンで自動的に削除されます。Security Hub API は、API 呼び出しまたはコマンドが発行されたリージョンから管理者アカウントのみを削除します。すべてのリージョンから管理者アカウントを削除するには、Organizations API を使用します。

すべての Security Hub アカウントにはAWS Config有効で、すべてのリソースを記録するように構成されています。の要件の詳細については、AWS Config「」を参照してください。の有効化と構成AWS Config

Security Hub 管理者アカウントを設定するために必要なアクセス許可

Security Hub 管理者アカウントを指定および削除するには、組織管理アカウントにEnableOrganizationAdminAccountおよびDisableOrganizationAdminAccountSecurity Hub でのアクション。Organizations 管理アカウントには、組織の管理者権限も必要です。

必要なアクセス許可をすべて付与するには、組織管理アカウントの IAM プリンシパルに次のSecurity Hub 管理ポリシーをアタッチします。

Security Hub 管理者アカウントの指定 (コンソール)

組織管理アカウントは、Security Hub コンソールを使用して Security Hub 管理者アカウントを指定できます。

組織管理アカウントは、Security Hub 管理者アカウントを管理するために Security Hub を有効にする必要はありません。

ただし、組織管理アカウントが自身をSecurity Hub 管理者アカウントとして選択する場合は、Security Hub を有効にする必要があります。Security Hub がまだ有効になっていない場合は、Security Hub を手動で有効にする必要があります。組織管理アカウントに対して Security Hub を自動的に有効にすることはできません。

からSecurity Hub 管理者アカウントを指定するにはSecurity Hub へようこそページで

  1. を開くAWS Security Hubコンソールhttps://console.aws.amazon.com/securityhub/

  2. 選択Security Hub に移動する

  3. Security Hub 管理者アカウントが現在割り当てられている場合は、新しいアカウントを指定する前に、現在のアカウントを削除する必要があります。

    現在のアカウントを削除するには、委任管理者で、を削除します。

  4. []委任管理者で、として指定するアカウントのアカウント ID を入力します。セキュリティハブ管理者アカウント。

    すべてのリージョンで同じ Security Hub 管理者アカウントを指定する必要があります。他のリージョンで指定したアカウントとは異なるアカウントを指定すると、Security Hub はエラーを返します。

  5. [Delegate (委任)] を選択します。

Security Hub が有効になっている場合は、Security Hub 管理者アカウントを設定ページで.

からSecurity Hub 管理者アカウントを指定するにはSettingsページで

  1. を開くAWS Security Hubコンソールhttps://console.aws.amazon.com/securityhub/

  2. Security Hub ナビゲーションペインで、[] を選択します。設定。次に [] を選択します。全般

  3. Security Hub 管理者アカウントが現在割り当てられている場合は、新しいアカウントを指定する前に、現在のアカウントを削除する必要があります。

    []委任管理者で、現在のアカウントを削除するには、を削除します。

  4. として指定するアカウントのアカウント ID を入力します。セキュリティハブ管理者アカウント。

    すべてのリージョンで同じ Security Hub 管理者アカウントを指定する必要があります。他のリージョンで指定したアカウントとは異なるアカウントを指定すると、Security Hub はエラーを返します。

  5. [Delegate (委任)] を選択します。

Security Hub 管理者アカウントの指定 (Security Hub API,AWS CLI)

Security Hub 管理者アカウントを指定するには、API 呼び出しまたはAWS Command Line Interface。組織管理アカウントの認証情報を使用する必要があります。

指定するにはセキュリティハブ管理者アカウント (Security Hub API、AWS CLI)

  • Security Hub API —を使用するEnableOrganizationAdminAccountオペレーション. 以下を指定する必要があります。AWSSecurity Hub 管理者アカウントのアカウント ID。

  • AWS CLI–コマンドラインで、enable-organization-admin-accountコマンド。

    aws securityhub enable-organization-admin-account --admin-account-id <admin account ID>

    aws securityhub enable-organization-admin-account --admin-account-id 777788889999

Security Hub 管理者アカウントの削除 (コンソール)

組織管理アカウントは、現在の Security Hub 管理者アカウントを削除できます。組織管理アカウントがコンソールを使用して Security Hub 管理者アカウントを削除すると、すべてのリージョンでSecurity Hub 管理者アカウントが削除されます。

Security Hub 管理者アカウントを削除すると、メンバーアカウントは削除された Security Hub 管理者アカウントの関連付けが解除されます。

有効なメンバーアカウントでは、Security Hub が引き続き有効になっています。新しい Security Hub 管理者がメンバーアカウントとして有効にするまで、これらのアカウントはスタンドアロンアカウントになります。

組織管理アカウントが Security Hub で有効なアカウントでない場合は、Security Hub へようこそページで.

からSecurity Hub 管理者アカウントを削除するにはSecurity Hub へようこそページで

  1. を開くAWS Security Hubコンソールhttps://console.aws.amazon.com/securityhub/

  2. 選択Security Hub に移動する

  3. []委任管理者で、を削除します。

組織管理アカウントがで有効なアカウントである場合セキュリティハブを選択し、上のオプションを使用します。全般のタブ設定ページで.

からSecurity Hub 管理者アカウントを削除するにはSettingsページで

  1. を開くAWS Security Hubコンソールhttps://console.aws.amazon.com/securityhub/

  2. Security Hub ナビゲーションペインで、[] を選択します。設定。次に [] を選択します。全般

  3. []委任管理者で、を削除します。

Security Hub 管理者アカウントの削除 (Security Hub API,AWS CLI)

Security Hub 管理者アカウントを削除するには、API 呼び出しまたはAWS Command Line Interface。組織管理アカウントの認証情報を使用する必要があります。

APIを使うときやAWS CLISecurity Hub 管理者アカウントを削除するには、API 呼び出しまたはコマンドが発行されたリージョンでのみ削除されます。

Security Hub 管理者アカウントを削除するには (Security Hub API)、AWS CLI)

  • Security Hub API —を使用するDisableOrganizationAdminAccountオペレーション. Security Hub 管理者アカウントのアカウント ID を指定する必要があります。

  • AWS CLI–コマンドラインで、disable-organization-admin-accountコマンド。

    aws securityhub disable-organization-admin-account --admin-account-id <admin account ID>

    aws securityhub disable-organization-admin-account --admin-account-id 777788889999

Security Hub 管理者アカウントの削除 (Organizations API,AWS CLI)

Security Hub API を使用してSecurity Hub 管理者アカウントを削除すると、API 呼び出しまたはコマンドが発行されたリージョンでのみ削除されます。

Organizations API を使用すると、すべてのリージョンからSecurity Hub 管理者アカウントを一度に削除できます。

Security Hub 管理者アカウントを削除するには (Organizations API,AWS CLI)

  • Organizations API —を使用するDeregisterDelegatedAdministratorオペレーション. Security Hub 管理者アカウントのアカウント ID と、Security Hub のサービスプリンシパルを指定する必要があります。securityhub.amazonaws.com

  • AWS CLI–コマンドラインで、deregister-delegated-administratorコマンド。

    aws organizations deregister-delegated-administrator --account-id <admin account ID> --service-principal <Security Hub service principal>

    aws organizations deregister-delegated-administrator --account-id 777788889999 --service-principal securityhub.amazonaws.com