Security Hub と の統合 AWS Organizations - AWS Security Hub
組織の作成委任された Security Hub 管理者の選択に関する推奨事項委任された Security Hub 管理者を設定するためのアクセス許可を確認する委任された Security Hub 管理者の指定委任された Security Hub 管理者の削除

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Security Hub と の統合 AWS Organizations

AWS Security Hub と を統合するには AWS Organizations、Organizations で組織を作成し、組織管理アカウントを使用して委任された Security Hub 管理者アカウントを指定します。これにより、委任された管理者は、メンバーアカウントに対して Security Hub を有効にしたり、メンバーアカウントのデータを表示したり、メンバーアカウントで許可されているその他のアクションを実行したりできます。

中央設定を使用する場合、委任された管理者は組織のアカウントで Security Hub サービス、標準、およびコントロールを設定する方法を指定する Security Hub 設定ポリシーを作成することもできます。

組織の作成

組織は、 を統合するために作成するエンティティで AWS アカウント 、単一の単位として管理できます。

組織を作成するには、 AWS Organizations コンソールを使用するか、 のコマンド AWS CLI 、または SDK APIsのいずれかを使用します。詳細の手順については、「AWS Organizations ユーザーガイド」の「組織の作成」を参照してください。

を使用して AWS Organizations 、組織内のすべてのアカウントを一元的に表示および管理できます。組織には、1 つの管理アカウントと、ゼロ以上のメンバーアカウントを含みます。アカウントを階層ツリーのような構造に編成し、ルートを最上部に置いて組織単位 (OU) をその下にネストすることができます。各アカウントは、ルートの下に直接置くか、階層内の OU のいずれかに配置できます。OU は特定のアカウントのコンテナです。例えば、財務運用に関連するアカウントをすべて含めた財務 OU を作成できます。

委任された Security Hub 管理者の選択に関する推奨事項

手動の招待プロセスから管理者アカウントが設定されていて、 でアカウント管理に移行する場合 AWS Organizations、Security Hub では、そのアカウントを委任された Security Hub 管理者として指定することをお勧めします。

組織管理アカウントを委任 Security Hub 管理者として指定しないでください。これは、請求管理のために組織の管理アカウントにアクセスできるユーザーと、セキュリティ管理のために Security Hub にアクセスする必要があるユーザーが異なる可能性があるためです。

複数のリージョンで、同一の委任管理者を使用することが推奨されます。中央設定にオプトインすると、Security Hub によってホームリージョンとリンクされたリージョンで同一の委任管理者が自動的に指定されます。

委任された Security Hub 管理者を設定するためのアクセス許可を確認する

委任された Security Hub 管理者アカウントを指定して削除するには、組織管理アカウントに Security Hub の EnableOrganizationAdminAccountおよび DisableOrganizationAdminAccountアクションに対するアクセス許可が必要です。Organizations の管理アカウントには、Organizations の管理権限も必要です。

必要な許可をすべて付与するには、組織の管理アカウントの IAM プリンシパルに次の Security Hub マネージドポリシーをアタッチします。

委任された Security Hub 管理者の指定

委任された Security Hub 管理者アカウントを指定するには、Security Hub コンソール、Security Hub API、または を使用できます AWS CLI。Security Hub は、委任された管理者を現在の AWS リージョン のみに設定し、他のリージョンでこのアクションを繰り返す必要があります。中央設定の使用を開始すると、Security Hub によってホームリージョンとリンクされたリージョンで同一の委任管理者が自動的に設定されます。

組織管理アカウントは、委任された Security Hub 管理者アカウントを指定するために Security Hub を有効にする必要はありません。

組織管理アカウントは、委任された Security Hub 管理者アカウントではないことをお勧めします。ただし、組織管理アカウントを Security Hub の委任された管理者として選択する場合、管理アカウントで Security Hub が有効になっている必要があります。管理アカウントの Security Hub が有効になっていない場合は、Security Hub を手動で有効にする必要があります。組織管理アカウントに対して Security Hub を自動的に有効にすることはできません。

注記

次のいずれかの方法を使用して、委任された Security Hub 管理者を指定する必要があります。Organizations APIs を使用して委任された Security Hub 管理者を指定しても、Security Hub には反映されません。

任意の方法を選択し、手順に従って委任された Security Hub 管理者アカウントを指定します。

Security Hub console
オンボーディング中に委任された Security Hub 管理者を指定するには

  1. https://console.aws.amazon.com/securityhub/ で AWS Security Hub コンソールを開きます。

  2. [Go to Security Hub] (Security Hub に移動) を選択します。組織管理アカウントにサインインするように求められます。

  3. [委任された管理者アカウント] セクションの [委任された管理者を指定] ページで、委任された管理者アカウントを指定します。委任された管理者には、他の AWS セキュリティおよびコンプライアンスサービスと同一の設定を選択することをお勧めします。

  4. [委任された管理者を設定] を選択します。中央設定でオンボーディングを続行するには、委任された管理者アカウントにサインインするよう求められます (まだサインインしていない場合)。中央設定を開始しない場合は、[キャンセル] を選択します。委任された管理者は設定されますが、中央設定はまだ使用しません。

設定ページから委任された Security Hub 管理者を指定するには

  1. https://console.aws.amazon.com/securityhub/ で AWS Security Hub コンソールを開きます。

  2. Security Hub ナビゲーションペインで、[Settings] (設定) を選択します。次に [Generate] (生成) を選択します。

  3. Security Hub 管理者アカウントが現在割り当てられている場合は、新しいアカウントを指定する前に、現在のアカウントを削除する必要があります。

    現在のアカウントを削除するには、[Delegated Administrator] (代理管理者) で、[Remove] (削除) を選択します。

  4. Security Hub 管理者アカウントとして指定するアカウントのアカウント ID を入力します。。

    すべてのリージョンで同じ Security Hub 管理者アカウントを指定する必要があります。他のリージョンで指定したアカウントとは異なるアカウントを指定すると、コンソールはエラーを返します。

  5. [Delegate(委任)] を選択します。

Security Hub API

組織管理アカウントから EnableOrganizationAdminAccount API を呼び出します。委任された Security Hub 管理者アカウントの AWS アカウント ID を指定します。

AWS CLI

組織管理アカウントから enable-organization-admin-account コマンドを実行します。委任された Security Hub 管理者アカウントの AWS アカウント ID を指定します。

コマンドの例:

aws securityhub enable-organization-admin-account --admin-account-id 777788889999

委任された Security Hub 管理者の削除

警告

中央設定を使用する場合、Security Hub コンソールまたは Security Hub API を使用して委任された管理者アカウントを変更または削除することはできません。組織管理アカウントが AWS Organizations コンソールまたは AWS Organizations APIs を使用して委任された Security Hub 管理者を変更または削除する場合、Security Hub は自動的に中央設定を停止し、設定ポリシーとポリシーの関連付けを削除します。メンバーアカウントには、委任された管理者が変更または削除される前の設定が保持されます。

委任された Security Hub 管理者アカウントを削除できるのは、組織管理アカウントのみです。

委任された Security Hub 管理者を変更するには、まず現在の委任された管理者アカウントを削除してから、新しいアカウントを指定する必要があります。

Security Hub コンソールを使用して、あるリージョンの委任管理者を削除すると、その管理者はすべてのリージョンから自動的に削除されます。

Security Hub API は、委任された Security Hub 管理者アカウントを、API コールまたはコマンドが発行されたリージョンから削除するだけです。他のリージョンでもこの操作を繰り返す必要があります。

Organizations API を使用して委任された Security Hub 管理者アカウントを削除すると、すべてのリージョンで自動的に削除されます。

委任された Security Hub 管理者の削除 (Organizations API、 AWS CLI)

Organizations を使用して、すべてのリージョンで委任された Security Hub 管理者を削除できます。

中央設定を使用してアカウントを管理している場合、委任された管理者アカウントを削除すると、設定ポリシーとポリシーの関連付けも削除されます。メンバーアカウントには、委任された管理者が変更または削除される前の設定が保持されます。ただし、削除済みの委任管理者からは、これらのアカウントを管理できなくなります。これらはリージョンごとに個別に設定する必要があるセルフマネージド型アカウントになります。

任意の方法を選択し、指示に従って で委任された Security Hub 管理者アカウントを削除します AWS Organizations。

AWS Organizations API

委任された Security Hub 管理者を削除するには

DeregisterDelegatedAdministrator API を呼び出します。委任された管理者アカウントのアカウント ID と、Security Hub のサービスプリンシパル (securityhub.amazonaws.com) を指定します。

AWS CLI

委任された Security Hub 管理者を削除するには

deregister-delegated-administrator コマンドを実行します。委任された管理者アカウントのアカウント ID と、Security Hub のサービスプリンシパル (securityhub.amazonaws.com) を指定します。

aws organizations deregister-delegated-administrator --account-id <admin account ID> --service-principal <Security Hub service principal>

aws organizations deregister-delegated-administrator --account-id 123456789012 --service-principal securityhub.amazonaws.com

委任された Security Hub 管理者の削除 (Security Hub コンソール)

Security Hub コンソールを使用して、すべてのリージョンで委任された Security Hub 管理者を削除できます。

委任された Security Hub 管理者アカウントを削除すると、削除された委任された Security Hub 管理者アカウントとの関連付けが解除されます。

ただし、Security Hub はメンバーアカウントで引き続き有効になっています。新しい Security Hub 管理者がメンバーアカウントとして有効にするまで、これらのアカウントはスタンドアロンアカウントになります。

組織管理アカウントが Security Hub で有効なアカウントでない場合は、Security Hub へようこそページの オプションを使用します。

委任された Security Hub 管理者アカウントを「Security Hub へようこそ」ページから削除するには

  1. https://console.aws.amazon.com/securityhub/ で AWS Security Hub コンソールを開きます。

  2. [Go to Security Hub] (Security Hub に移動) を選択します。

  3. [Delegated Administrator] (代理管理者) で、[Remove] (削除) を選択します。

組織管理アカウントが Security Hub で有効なアカウントである場合、[Settings] (設定) ページの [General] (全般) タブのオプションを使用します。

委任された Security Hub 管理者アカウントを設定ページから削除するには

  1. https://console.aws.amazon.com/securityhub/ で AWS Security Hub コンソールを開きます。

  2. Security Hub ナビゲーションペインで、[Settings] (設定) を選択します。次に [Generate] (生成) を選択します。

  3. [Delegated Administrator] (代理管理者) で、[Remove] (削除) を選択します。

委任された Security Hub 管理者の削除 (Security Hub API、 AWS CLI)

の Security Hub API または Security Hub オペレーションを使用して AWS CLI 、委任された Security Hub 管理者を削除できます。上記のいずれかの方法で委任された管理者を削除する場合、API コールまたはコマンドが発行されたリージョンでのみ削除されます。Security Hub は他のリージョンを更新せず、 の委任された管理者アカウントも削除しません AWS Organizations。

任意の方法を選択し、以下の手順に従って Security Hub で委任された Security Hub 管理者アカウントを削除します。

Security Hub API

委任された Security Hub 管理者を削除するには

組織管理アカウントの認証情報を使用して、 DisableOrganizationAdminAccount API を呼び出します。委任された Security Hub 管理者アカウントのアカウント ID を指定します。

AWS CLI

委任された Security Hub 管理者を削除するには

組織管理アカウントの認証情報を使用して、 disable-organization-admin-account コマンドを実行します。委任された Security Hub 管理者アカウントのアカウント ID を指定します。

aws securityhub disable-organization-admin-account --admin-account-id <admin account ID>

aws securityhub disable-organization-admin-account --admin-account-id 123456789012