Security Hub でのクロスリージョン集約について - AWS Security Hub
集計されるデータのタイプ管理者アカウントとメンバーアカウントの集計自動化ルールとクロスリージョン集約

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Security Hub でのクロスリージョン集約について

クロスリージョン集約を使用すると、複数の AWS リージョンの検出結果、リソース、傾向を 1 つのホームリージョンに集約できます。その後、ホームリージョンからこのデータをすべて管理できます。

例えば、米国東部 (バージニア北部) をホームリージョンとして設定し、米国西部 (オレゴン) と米国西部 (北カリフォルニア) をリンクされたリージョンとして設定するとします。米国東部 (バージニア北部) の [Findings] (結果) ページを見ると、上記 3 つのリージョンすべての結果が表示されます。これらの結果に対する更新は、3 つのリージョンすべてに反映されています。

集計されるデータのタイプ

クロスリージョン集約が 1 つ以上のリンクされたリージョンで有効になっている場合、Security Hub はリンクされたリージョンからホームリージョンに次のデータをレプリケートします。これは、クロスリージョン集約が有効になっているすべてのアカウントで発生します。

  • 検出結果

  • リソース

  • トレンド

以前のリストの新しいデータだけでなく、Security Hub はリンクされたリージョンとホームリージョン間で、データの更新のレプリケートも行います。リンクされたリージョンで発生した更新は、ホームリージョンにレプリケートされます。ホームリージョンで発生した更新は、元のリンクされたリージョンにレプリケートされます。ホームリージョンとリンクされたリージョンに相反する更新がある場合は、最も新しい更新が使用されます。

リンクされたリージョンになった時点でリージョンに存在していた検出結果は、検出結果が更新されない限り、ホームリージョンにレプリケートされません。リージョンがホームリージョンにリンクされると、リンクされたリージョンの結果が更新されるか期限切れになるまで、ホームリージョンとリンクされたリージョンの結果に違いがあります。

リンクされたリージョンになった時点でリージョンに存在していたリソースは、通常、そのリージョンがホームリージョンにリンクされてから 24~48 時間以内に、ホームリージョンにレプリケートされます。

リンクされたリージョンを削除すると、そのリージョンの検出結果またはリソースは、検出結果またはリソースが期限切れになるまでホームリージョンに残ります。

傾向データは、傾向があるリージョン内に存在する結果とリソースに基づいています。ホームリージョンのトレンドデータは、ホームリージョンに同期された検出結果とリソースの現在の状態を反映します。

クロスリージョン集約が有効になっている場合、Security Hub CSPM はリンクされたリージョンとホームリージョン間で新しい検出結果と更新された検出結果をレプリケートします。

クロスリージョン集約によって、Security Hub のコストが増えることはありません。Security Hub が新しいデータや更新を複製しても、請求は発生しません。

ホームリージョンでは、概要ページには、リンクされたリージョン全体のアクティブな検出結果とリソースが表示されます。

Security Hub は、アカウントで Security Hub が有効になっているリージョンからのみ、データを集約します。Security Hub は、クロスリージョン集約の設定に基づいて自動的にアカウントで有効にされることはありません。

リンクされたリージョンを選択せずに、クロスリージョン集約を有効にできます。この場合、データレプリケーションは発生しません。

管理者アカウントとメンバーアカウントの集計

スタンドアロンアカウントと管理者アカウントは、クロスリージョン集約を設定できます。管理者が設定した場合、管理アカウントでクロスリージョン集約を使用するには、管理者アカウントの存在が不可欠です。管理者アカウントがメンバーアカウントから削除または関連付けが解除された場合、メンバーアカウントのクロスリージョン集約は停止するか、管理者に関連付けられる前にメンバーアカウントにクロスリージョン集約設定がある場合、その集約設定はアカウントに対して再び有効になります。

管理者アカウントがクロスリージョン集約を有効にすると、Security Hub は、管理者アカウントがすべてのリンクされたリージョンで生成するデータをホームリージョンにレプリケートします。さらに、Security Hub はその管理者に関連付けられているメンバーアカウントを識別し、各メンバーアカウントは管理者のクロスリージョン集約設定を継承します。Security Hub は、メンバーアカウントがすべてのリンクされたリージョンで生成するデータをホームリージョンにレプリケートします。

管理者は、管理対象リージョン内のすべてのメンバーアカウントからセキュリティ検出結果にアクセスして管理できます。さらに、管理者は管理対象リージョン内のすべてのメンバーアカウントのリソースインベントリを表示できます。

Security Hub メンバーアカウントとして、リンクされたすべてのリージョンのアカウントから集約されたデータを表示するには、ホームリージョンにサインインする必要があります。メンバーアカウントには、他のメンバーアカウントのデータを表示するアクセス許可がなくCreateAggregatorV2、、DeleteAggregatorV2、および GetAggregatorV2 APIs の呼び出しも許可されていません。

自動化ルールとクロスリージョン集約

クロスリージョン集約が有効になっている場合、オートメーションルールは定義されたホームリージョンでのみ作成できます。定義したルールは、ルール条件が特定のリージョンに適用されない限り、リンクされたすべてのリージョンに適用されます。リンクされたリージョンではないリージョンには、個別の自動化ルールを作成する必要があります。

クロスリージョン集約を有効にする前にホームリージョンで作成されたルールは、リンクされたリージョンに自動的に適用されます。リンクされたリージョンで以前に作成されたルールは、アグリゲータが作成されると適用されなくなります。リンクされたリージョンで定義されたルールは、アグリゲータが削除されるか、リージョンがリンクされなくなると、適用を再開します。