管理者アカウントおよびメンバーアカウントの管理 - AWS Security Hub
AWS Organizations を使用したアカウントの管理招待によるアカウントの手動での管理

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

管理者アカウントおよびメンバーアカウントの管理

AWS 環境に複数のアカウントがある場合は、AWS Security Hub を使用するアカウントをメンバーアカウントとして扱い、単一の管理者アカウントに関連付けることができます。管理者は全体的なセキュリティ状況を監視し、メンバーアカウントに対して許可されたアクションを実行できます。管理者は、推定使用コストのモニタリングやアカウントクォータの評価など、さまざまなアカウント管理および管理タスクも大規模に実行できます。

メンバーアカウントを管理者と関連付けるには、Security Hub を AWS Organizations と統合する方法と、Security Hub でメンバーシップの招待を手動で送信して受け入れる方法の 2 つがあります。

AWS Organizations を使用したアカウントの管理

AWS Organizations はグローバルアカウント管理サービスであり、AWS 管理者は複数の AWS アカウントを統合して管理できます。予算、セキュリティ、コンプライアンスのニーズをサポートするように設計されたアカウント管理および一括請求 (コンソリデーティッドビリング) 機能が備わっています。追加料金なしで提供され、AWS Security Hub や Amazon Macie、Amazon GuardDuty を含む、複数の AWS のサービスと統合されています。詳細については、「AWS Organizations ユーザーガイド」を参照してください。

Security Hub と AWS Organizations を統合する場合は、Organizations 管理アカウントで Security Hub 委任管理者を指定します。Security Hub は、指定された AWS リージョン委任管理者アカウントで自動的に有効になります。

委任された管理者を指定した後は、中央設定を使用して Security Hub でアカウントを管理することをお勧めします。これは、Security Hub をカスタマイズし、組織の適切なセキュリティカバレッジを確保するための最も効率的な方法です。

中央設定により、委任された管理者は Security Hub をリージョンごとに設定するのではなく、複数の組織アカウントとリージョンにわたってカスタマイズできます。組織全体の設定ポリシーを作成することも、アカウントや OU ごとに異なる設定ポリシーを作成することもできます。ポリシーでは、関連するアカウントで Security Hub を有効にするか無効にするか、およびどのセキュリティ標準とコントロールを有効にするかを指定します。

委任された管理者は、アカウントを一元管理型またはセルフマネージド型として指定できます。一元管理型アカウントは、委任された管理者のみが設定できます。セルフマネージド型アカウントは、独自の設定を指定できます。

中央設定にオプトインしない場合、委任された管理者が Security Hub を設定できる権限は、ローカル設定と呼ばれるより限定的な権限に制限されます。ローカル設定では、委任された管理者は、現在のリージョンの新しい組織アカウントで Security Hub とデフォルトのセキュリティ標準を自動的に有効にできます。ただし、既存のアカウントではこれらの設定を使用しないため、アカウントを組織に追加した後に設定のずれが生じる可能性があります。

これらの新しいアカウント設定に加え、ローカル設定もアカウントおよびリージョンに固有です。各組織のアカウントで、Security Hub のサービス、標準、コントロールをリージョンごとに個別に設定する必要があります。また、ローカル設定では設定ポリシーの使用もサポートされていません。

招待によるアカウントの手動での管理

スタンドアロンアカウントをお持ちの場合、または Organizations と統合していない場合は、Security Hub で招待によってメンバーアカウントを手動で管理する必要があります。スタンドアロンアカウントは Organizations と統合できないため、手動で管理する必要があります。今後アカウントを追加する場合は、中央設定を使用して AWS Organizations と統合することをお勧めします。

手動によるアカウント管理を使用する場合は、アカウントを Security Hub 管理者として指定します。管理者アカウントは、メンバーアカウントのデータを表示したり、メンバーアカウントの検出結果に基づいて特定のアクションを実行したりできます。メンバー候補アカウントが招待を承諾すると、Security Hub 管理者は他のアカウントをメンバーアカウントに招待し、管理者とメンバーの関係が確立されます。

手動によるアカウント管理では、設定ポリシーの使用がサポートされていません。設定ポリシーがない場合、管理者はアカウントごとに変数設定を行うことになり Security Hub を一元的にカスタマイズすることができません。代わりに、各組織アカウントが各リージョンで個別に Security Hub を有効にして設定する必要があります。これにより、Security Hub を使用するすべてのアカウントとリージョンで適切なセキュリティカバレッジを確保することがより困難になり、時間もかかります。また、メンバーアカウントが管理者の入力なしに独自の設定を指定できるため、設定のずれが生じる可能性もあります。

招待によってアカウントを管理する方法については、「招待によるアカウントの管理」を参照してください。