デフォルトのコントロールパラメータ値に戻す - AWS Security Hub
複数のアカウントおよびリージョンでデフォルトのパラメータに戻す1 つのアカウントおよびリージョンでデフォルトのコントロールパラメータ値に戻す

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

デフォルトのコントロールパラメータ値に戻す

コントロールパラメータには、 AWS Security Hub CSPM が定義するデフォルト値を含めることができます。Security Hub CSPM は、進化するセキュリティのベストプラクティスを反映するために、パラメータのデフォルト値を更新することがあります。コントロールパラメータにカスタム値を指定していない場合、コントロールは、これらの更新を自動的に追跡し、新しいデフォルト値を使用します。

コントロールのデフォルトパラメータ値を使用するように戻すことができます。元に戻す手順は、Security Hub CSPM で中央設定を使用するかどうかによって異なります。中央設定は、委任 Security Hub CSPM 管理者が AWS リージョン、、アカウント、組織単位 (OUs。

注記

すべてのコントロールパラメータにデフォルトの Security Hub CSPM 値があるわけではありません。このような場合、 ValueTypeを に設定するとDEFAULT、Security Hub CSPM が使用する特定のデフォルト値はありません。むしろ、カスタム値がない場合、Security Hub CSPM は パラメータを無視します。

複数のアカウントおよびリージョンでデフォルトのパラメータに戻す

中央設定を使用すると、ホームリージョンとリンクされたリージョン内の複数の一元管理されるアカウントや OU のコントロールパラメータを元に戻すことができます。

希望する方法を選択し、手順に従って、中央設定を使用して複数のアカウントおよびリージョンでデフォルトのパラメータ値に戻します。

Security Hub CSPM console
複数のアカウントおよびリージョンでデフォルトのコントロールパラメータ値に戻すには (コンソール)

  1. https://console.aws.amazon.com/securityhub/ で AWS Security Hub CSPM コンソールを開きます。

    ホームリージョンの委任 Security Hub CSPM 管理者アカウントの認証情報を使用してサインインします。

  2. ナビゲーションペインで、[設定][設定] の順に選択します。

  3. [Policies] タブを選択します。

  4. ポリシーを選択し、[編集] を選択します。

  5. [カスタムポリシー][コントロール] セクションに、カスタムパラメータを指定したコントロールのリストが表示されます。

  6. 元に戻すパラメータ値が 1 つ以上あるコントロールを見つけます。そして、[削除] を選択してデフォルト値に戻します。

  7. [アカウント] セクションで、ポリシーを適用するアカウントまたは OU を確認します。

  8. [次へ] を選択します。

  9. 変更内容を見直し、それらが正しいことを確認します。完了したら、[ポリシーを保存して適用] を選択します。ホームリージョンおよびリンクされているすべてのリージョンで、このアクションにより、この設定ポリシーに関連付けられているアカウントおよび OU の既存の構成設定がオーバーライドされます。アカウントと OU は、直接適用するか親から継承することによって、設定ポリシーに関連付けることができます。

Security Hub CSPM API
複数のアカウントおよびリージョンでデフォルトのコントロールパラメータ値に戻すには (API)

  1. ホームリージョンの委任管理者アカウントから UpdateConfigurationPolicy API を呼び出します。

  2. Identifier フィールドには、更新するポリシーの Amazon リソースネーム (ARN) または ID を指定します。

  3. SecurityControlCustomParameters オブジェクトには、1 つ以上のパラメータを元に戻す各コントロールの識別子を指定します。

  4. Parameters オブジェクトでは、元に戻すパラメータごとに、ValueType フィールドに DEFAULT を指定します。ValueTypeDEFAULT に設定すると、Value フィールドに値を指定する必要がなくなります。リクエストに値が含まれている場合、Security Hub CSPM はそれを無視します。コントロールがサポートするパラメータをリクエストで省略した場合、そのパラメータは現在の値を保持します。

警告

SecurityControlCustomParameters フィールドからコントロールオブジェクトを省略すると、Security Hub CSPM はコントロールのすべてのカスタムパラメータをデフォルト値に戻します。SecurityControlCustomParameters のリストが完全に空の場合は、すべてのコントロールのカスタムパラメータがデフォルト値に戻ります。

たとえば、次の AWS CLI コマンドは、 のdaysToExpirationコントロールパラメータACM.1を、指定された設定ポリシーのデフォルト値に戻します。この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\) の行継続文字を使用しています。

$ aws securityhub create-configuration-policy \
--region us-east-1 \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--name "TestConfigurationPolicy" \
--description "Updated configuration policy" \
--updated-reason "Revert ACM.1 parameter to default value"
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "DEFAULT"}}}]}}}'

1 つのアカウントおよびリージョンでデフォルトのコントロールパラメータ値に戻す

中央設定を使用していない場合、またはセルフマネージドアカウントがある場合は、一度に 1 つのリージョンでアカウントのデフォルトパラメータ値を使用するように戻すことができます。

希望する方法を選択し、手順に従って 1 つのリージョンでアカウントのデフォルトのパラメータ値に戻します。別のリージョンでデフォルトのパラメータ値に戻すには、それぞれのリージョンでこれらの手順を繰り返します。

注記

Security Hub CSPM を無効にすると、カスタムコントロールパラメータがリセットされます。今後 Security Hub CSPM を再度有効にすると、すべてのコントロールはデフォルトのパラメータ値を使用して開始します。

Security Hub CSPM console
1 つのアカウントおよびリージョンでデフォルトのコントロールパラメータ値に戻すには (コンソール)

  1. https://console.aws.amazon.com/securityhub/ で AWS Security Hub CSPM コンソールを開きます。

  2. ナビゲーションペインで [コントロール] を選択します。デフォルトのパラメータ値に戻すコントロールを選択します。

  3. Parameters タブで、コントロールパラメータの横にある [カスタマイズ済み] を選択します。そして、[カスタマイズを削除] を選択します。このパラメータは、デフォルトの Security Hub CSPM 値を使用し、デフォルト値への今後の更新を追跡するようになりました。

  4. 元に戻すパラメータ値ごとに、上記のステップを繰り返します。

Security Hub CSPM API
1 つのアカウントおよびリージョンでデフォルトのコントロールパラメータ値に戻すには (API)

  1. UpdateSecurityControl API を呼び出します。

  2. SecurityControlId には、パラメータを元に戻すコントロールの ARN または ID を指定します。

  3. Parameters オブジェクトでは、元に戻すパラメータごとに、ValueType フィールドに DEFAULT を指定します。ValueTypeDEFAULT に設定すると、Value フィールドに値を指定する必要がなくなります。リクエストに値が含まれている場合、Security Hub CSPM はそれを無視します。

  4. 必要に応じて、LastUpdateReason に、デフォルトのパラメータ値に戻す理由を入力します。

たとえば、次の AWS CLI コマンドは、 のdaysToExpirationコントロールパラメータACM.1をデフォルト値に戻します。この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\) の行継続文字を使用しています。

$ aws securityhub update-security-control \
--region us-east-1 \
--security-control-id ACM.1 \
--parameters '{"daysToExpiration": {"ValueType": "DEFAULT"}}' \
--last-update-reason "New internal requirement"