Security Hub CSPM で複数のアカウントを管理するための推奨事項 - AWS Security Hub
メンバーアカウントの最大数管理者とメンバーの関係の作成サービス間の管理者アカウントの調整

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Security Hub CSPM で複数のアカウントを管理するための推奨事項

次のセクションでは、 AWS Security Hub CSPM でメンバーアカウントを管理する際に注意すべき制限と推奨事項をまとめます。

メンバーアカウントの最大数

との統合を使用する場合 AWS Organizations、Security Hub CSPM は、各 の委任管理者アカウントあたり最大 10,000 のメンバーアカウントをサポートします AWS リージョン。Security Hub CSPM を手動で有効にして管理する場合、Security Hub CSPM は各リージョンの管理者アカウントごとに最大 1,000 個のメンバーアカウントの招待をサポートします。

管理者とメンバーの関係の作成

注記

Security Hub CSPM との統合を使用していて AWS Organizations、メンバーアカウントを手動で招待していない場合、このセクションは適用されません。

アカウントを、管理者アカウントとメンバーアカウントの両方のアカウントとして同時に設定することはできません。

メンバーアカウントは、一度に 1 つの管理者アカウントのみと関連付けることができます。組織アカウントが Security Hub CSPM 管理者アカウントによって有効になっている場合、そのアカウントは別のアカウントからの招待を受け入れることはできません。アカウントが招待を既に承諾している場合、組織の Security Hub CSPM 管理者アカウントでアカウントを有効にすることはできません。また、他のアカウントからの招待を受信することはできません。

手動の招待プロセスでは、メンバーシップの招待の承諾はオプションです。

によるメンバーシップ AWS Organizations

Security Hub CSPM を と統合する場合 AWS Organizations、Organizations 管理アカウントは Security Hub CSPM の委任管理者 (DA) アカウントを指定できます。Organizations 管理アカウントを組織の DA として設定することはできません。これは Security Hub CSPM で許可されていますが、Organizations 管理アカウントを DA にしないことをお勧めします。

すべてのリージョンで、同一の DA を選択することが推奨されます。中央設定を使用する場合、Security Hub CSPM は、組織の Security Hub CSPM を設定するすべてのリージョンで同じ DA アカウントを設定します。

また、 AWS セキュリティ関連の問題を 1 つの画面で管理できるように、セキュリティおよびコンプライアンスサービス全体で同じ DA アカウントを選択することをお勧めします。

招待によるメンバーシップ

招待によって作成されたメンバーアカウントの場合、管理者アカウントとメンバーのアカウントの関連付けは、招待の送信元の 1 つのリージョンでのみ作成されます。管理者アカウントは、使用する各リージョンで Security Hub CSPM を有効にする必要があります。次に、管理者アカウントは各アカウントをそのリージョンのメンバーアカウントに招待します。

注記

メンバーアカウントを管理するには、Security Hub CSPM の招待 AWS Organizations の代わりに を使用することをお勧めします。

サービス間の管理者アカウントの調整

Security Hub CSPM は、Amazon GuardDuty、Amazon Inspector、Amazon Macie などのさまざまな AWS サービスの結果を集約します。Security Hub CSPM では、GuardDuty の検出結果からピボットして Amazon Detective で調査を開始することもできます。

ただし、これらの他のサービスで設定した管理者とメンバーの関係は、Security Hub CSPM に自動的に適用されません。Security Hub CSPM では、これらのすべてのサービスの管理者アカウントと同じアカウントを使用することをお勧めします。この管理者アカウントは、セキュリティツールを担当するアカウントである必要があります。また、 AWS Configの集約アカウントもこのアカウントが担う必要があります。

例えば、GuardDuty 管理アカウント A のユーザーは、GuardDuty コンソールで GuardDuty メンバーアカウント B と C の結果を表示できます。アカウント A が Security Hub CSPM を有効にした場合、アカウント A のユーザーは、Security Hub CSPM のアカウント B とアカウント C の GuardDuty の検出結果を自動的には表示しません。これらのアカウントには、Security Hub CSPM 管理者とメンバーの関係も必要です。

これを行うには、アカウント A を Security Hub CSPM 管理者アカウントとし、アカウント B と C が Security Hub CSPM メンバーアカウントになるようにします。