デフォルトのコントロールパラメータ値に戻す - AWS Security Hub
複数のアカウントおよびリージョンでデフォルトのパラメータに戻す1 つのアカウントおよびリージョンでデフォルトのコントロールパラメータ値に戻す

デフォルトのコントロールパラメータ値に戻す

コントロールパラメータには、AWS Security Hub CSPM が定義するデフォルト値を設定できます。Security Hub CSPM では、進化するセキュリティのベストプラクティスを反映させるため、パラメータのデフォルト値を更新する場合があります。コントロールパラメータにカスタム値を指定していない場合、コントロールは、これらの更新を自動的に追跡し、新しいデフォルト値を使用します。

コントロールのデフォルトパラメータ値を使用するように戻すことができます。元に戻す手順については、Security Hub CSPM で中央設定を使用するかどうかによって異なります。中央設定は、委任された Security Hub CSPM 管理者が AWS リージョン、アカウント、および組織単位 (OU) 全体の Security Hub CSPM 機能を構成するために使用できる機能です。

注記

すべてのコントロールパラメータにデフォルトの Security Hub CSPM 値があるわけではありません。このような場合は、ValueTypeDEFAULT に設定しても、Security Hub CSPM が使用する特定のデフォルト値は存在しません。より正確に言えば、Security Hub CSPM は、カスタム値がないときはパラメータを無視します。

複数のアカウントおよびリージョンでデフォルトのパラメータに戻す

中央設定を使用すると、ホームリージョンとリンクされたリージョン内の複数の一元管理されるアカウントや OU のコントロールパラメータを元に戻すことができます。

希望する方法を選択し、手順に従って、中央設定を使用して複数のアカウントおよびリージョンでデフォルトのパラメータ値に戻します。

Security Hub CSPM console
複数のアカウントおよびリージョンでデフォルトのコントロールパラメータ値に戻すには (コンソール)

  1. AWS Security Hub CSPM コンソール (https://console.aws.amazon.com/securityhub/) を開きます。

    ホームリージョンの委任された Security Hub CSPM 管理者アカウントの認証情報を使用してサインインします。

  2. ナビゲーションペインで、[設定][設定] の順に選択します。

  3. [Policies] タブを選択します。

  4. ポリシーを選択し、[編集] を選択します。

  5. [カスタムポリシー][コントロール] セクションに、カスタムパラメータを指定したコントロールのリストが表示されます。

  6. 元に戻すパラメータ値が 1 つ以上あるコントロールを見つけます。そして、[削除] を選択してデフォルト値に戻します。

  7. [アカウント] セクションで、ポリシーを適用するアカウントまたは OU を確認します。

  8. [次へ] を選択します。

  9. 変更内容を見直し、それらが正しいことを確認します。完了したら、[ポリシーを保存して適用] を選択します。ホームリージョンおよびリンクされているすべてのリージョンで、このアクションにより、この設定ポリシーに関連付けられているアカウントおよび OU の既存の構成設定がオーバーライドされます。アカウントと OU は、直接適用するか親から継承することによって、設定ポリシーに関連付けることができます。

Security Hub CSPM API
複数のアカウントおよびリージョンでデフォルトのコントロールパラメータ値に戻すには (API)

  1. ホームリージョンの委任管理者アカウントから UpdateConfigurationPolicy API を呼び出します。

  2. Identifier フィールドには、更新するポリシーの Amazon リソースネーム (ARN) または ID を指定します。

  3. SecurityControlCustomParameters オブジェクトには、1 つ以上のパラメータを元に戻す各コントロールの識別子を指定します。

  4. Parameters オブジェクトでは、元に戻すパラメータごとに、ValueType フィールドに DEFAULT を指定します。ValueTypeDEFAULT に設定すると、Value フィールドに値を指定する必要がなくなります。リクエストに値が含まれている場合、Security Hub CSPM はその値を無視します。コントロールがサポートするパラメータをリクエストで省略した場合、そのパラメータは現在の値を保持します。

警告

SecurityControlCustomParameters フィールドでコントロールオブジェクトを省略すると、Security Hub CSPM は、そのコントロールのすべてのカスタムパラメータをデフォルト値に戻します。SecurityControlCustomParameters のリストが完全に空の場合は、すべてのコントロールのカスタムパラメータがデフォルト値に戻ります。

例えば、次の AWS CLI コマンドは、ACM.1daysToExpiration コントロールパラメータを指定された設定ポリシーのデフォルト値に戻します。この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\) の行継続文字を使用しています。

$ aws securityhub create-configuration-policy \
--region us-east-1 \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--name "TestConfigurationPolicy" \
--description "Updated configuration policy" \
--updated-reason "Revert ACM.1 parameter to default value"
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "DEFAULT"}}}]}}}'

1 つのアカウントおよびリージョンでデフォルトのコントロールパラメータ値に戻す

中央設定を使用していない場合、またはセルフマネージドアカウントがある場合は、一度に 1 つのリージョンでアカウントのデフォルトパラメータ値を使用するように戻すことができます。

希望する方法を選択し、手順に従って 1 つのリージョンでアカウントのデフォルトのパラメータ値に戻します。別のリージョンでデフォルトのパラメータ値に戻すには、それぞれのリージョンでこれらの手順を繰り返します。

注記

Security Hub CSPM を無効にすると、カスタムコントロールパラメータがリセットされます。その後、Security Hub CSPM を再度有効にすると、すべてのコントロールがデフォルトのパラメータ値を使用して起動します。

Security Hub CSPM console
1 つのアカウントおよびリージョンでデフォルトのコントロールパラメータ値に戻すには (コンソール)

  1. AWS Security Hub CSPM コンソール (https://console.aws.amazon.com/securityhub/) を開きます。

  2. ナビゲーションペインで [コントロール] を選択します。デフォルトのパラメータ値に戻すコントロールを選択します。

  3. Parameters タブで、コントロールパラメータの横にある [カスタマイズ済み] を選択します。そして、[カスタマイズを削除] を選択します。これで、このパラメータはデフォルトの Security Hub CSPM 値を使用し、デフォルト値の今後の更新を追跡するようになります。

  4. 元に戻すパラメータ値ごとに、上記のステップを繰り返します。

Security Hub CSPM API
1 つのアカウントおよびリージョンでデフォルトのコントロールパラメータ値に戻すには (API)

  1. UpdateSecurityControl API を呼び出します。

  2. SecurityControlId には、パラメータを元に戻すコントロールの ARN または ID を指定します。

  3. Parameters オブジェクトでは、元に戻すパラメータごとに、ValueType フィールドに DEFAULT を指定します。ValueTypeDEFAULT に設定すると、Value フィールドに値を指定する必要がなくなります。リクエストに値が含まれている場合、Security Hub CSPM はその値を無視します。

  4. 必要に応じて、LastUpdateReason に、デフォルトのパラメータ値に戻す理由を入力します。

例えば、次の AWS CLI コマンドは ACM.1daysToExpiration コントロールパラメータをデフォルト値に戻します。この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\) の行継続文字を使用しています。

$ aws securityhub update-security-control \
--region us-east-1 \
--security-control-id ACM.1 \
--parameters '{"daysToExpiration": {"ValueType": "DEFAULT"}}' \
--last-update-reason "New internal requirement"