クロスリージョン集約設定の更新 - AWS Security Hub

クロスリージョン集約設定の更新

注記

集約リージョンホームリージョンと呼ばれるようになりました。一部の Security Hub CSPM API オペレーションでは、引き続き古い用語である集約リージョンを使用します。

AWS Security Hub CSPM で現在のクロスリージョン集約設定を更新するには、リンクされたリージョンまたは現在のホームリージョンを変更します。Security Hub CSPM がサポートされている新しい AWS リージョン からデータを自動的に集計するかどうかを変更することもできます。

クロスリージョン集約の変更は、オプトインリージョンが AWS アカウント で有効になるまで、そのリージョンには実装されません。2019 年 3 月 20 日以降に AWS で導入されたリージョンはオプトインリージョンです。

リンクされたリージョンからのデータの集約を停止しても、AWS Security Hub CSPM がホームリージョンでアクセス可能な既存の集約データをそのリージョンから削除することはありません。

このセクションの更新手順を使用して、ホームリージョンを変更することはできません。ホームリージョンを変更するには、以下を実行する必要があります:

  1. クロスリージョン集約を停止します。手順については、「クロスリージョン集約を停止する」を参照してください。

  2. 新しいホームリージョンにするリージョンに変更します。

  3. クロスリージョン集約を有効にします。手順については、「クロスリージョン集約を有効にする」を参照してください。

現在のホームリージョンの、クロスリージョン集約の設定を更新する必要があります。

Security Hub CSPM console
リンクされたリージョンを変更するには

  1. AWS Security Hub CSPM コンソール (https://console.aws.amazon.com/securityhub/) を開きます。

    現在の集約リージョンにサインインします。

  2. Security Hub CSPM ナビゲーションメニューで、[設定][リージョン] の順に選択します。

  3. [検出結果の集約] の場合は、[編集] を選択します。

  4. [リンクされたリージョン] の場合はで、選択したリンクされたリージョンを更新します。

  5. 必要に応じて、[Link future Regions] (将来のリージョンをリンクする) の選択を変更します。この設定は、Security Hub CSPM に新しいリージョンへのサポートが追加され、ユーザーがそのリージョンを選択している場合に、Security Hub で自動的にリンクするかどうかを決定します。

  6. [保存] を選択します。

Security Hub CSPM API

UpdateFindingAggregator 操作を使用します。AWS CLI を使用する場合は、update-finding-aggregator コマンドを実行します。結果アグリゲーターを識別するには、結果アグリゲーター ARN を提供する必要があります。検出結果アグリゲーター ARN を取得するには、 ListFindingAggregators オペレーションまたは list-finding-aggregators コマンドを使用します。

リンクモードが ALL_REGIONS_EXCEPT_SPECIFIED または SPECIFIED_REGIONS の場合、除外されるリージョンまたは含まれるリージョンのリストを変更できます。リージョンリンクモードを NO_REGIONS に変更する場合は、リージョンリストを指定しないでください。

除外または含まれるリージョンのリストを変更する場合は、更新時に完全なリストを提供する必要があります。例えば、現在、米国東部 (オハイオ) からの結果を集約していて、米国西部 (オレゴン) の結果も集約したい場合には、米国東部 (オハイオ) と米国西部 (オレゴン) の両方を含む Regions リストを提供する必要があります。

以下の例では、クロスリージョン集約が、選択したリージョンに対して更新されています。コマンドは、現在のホームリージョンである米国東部 (バージニア北部) から実行されます。リンクされたリージョンは、米国西部 (北カリフォルニア)と米国西部 (オレゴン) です。この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\) の行継続文字を使用しています。

aws securityhub update-finding-aggregator --region us-east-1 --finding-aggregator-arn arn:aws:securityhub:us-east-1:222222222222:finding-aggregator/123e4567-e89b-12d3-a456-426652340000 --region-linking-mode SPECIFIED_REGIONS --regions us-west-1 us-west-2