自動的に無効化されるセキュリティ標準

組織は、中央設定を使用しない場合は、ローカル設定と呼ばれる設定タイプを使用します。ローカル設定を使用すると、AWS Security Hub CSPM は、新しいメンバーアカウントが組織に参加したときに、そのメンバーアカウントにデフォルトのセキュリティ標準を自動的に有効化することができます。これらのデフォルト標準に適用されるすべてのコントロールも、自動的に有効化されます。

現在、デフォルトのセキュリティ標準は、AWS Foundational Security Best Practices 標準と Center for Internet Security (CIS) AWS Foundations Benchmark v1.2.0 標準です。これらのスタンダードの詳細については、「Security Hub CSPM 標準リファレンス」を参照してください。

新しいメンバーアカウントのセキュリティ標準を手動で有効にする場合は、デフォルトの標準の自動有効化をオフにできます。これは、AWS Organizations と統合してローカル設定を使用する場合にのみ実行できます。中央設定を使用する場合は、代わりにデフォルトの標準を有効にする設定ポリシーを作成し、このポリシーをルートに関連付けることができます。その後、組織アカウントと OU は、別のポリシーに関連付けられている場合やセルフマネージドの場合を除き、すべてこの構成ポリシーを継承します。AWS Organizations と統合しない場合は、Security Hub CSPM 以降を最初に有効にするときに、デフォルトの標準を無効にすることができます。この方法の詳細は、「セキュリティ標準の無効化」を参照してください。

新しいメンバーアカウントのデフォルト標準の自動有効化を無効にするには、Security Hub CSPM コンソールまたは Security Hub CSPM API を使用できます。

Security Hub CSPM console

Security Hub CSPM コンソールを使用してデフォルトの標準の自動有効化を無効にするには、次の手順に従います。

デフォルト標準の自動有効化をオフにするには

AWS Security Hub CSPM コンソール (https://console.aws.amazon.com/securityhub/) を開きます。

管理者アカウントの認証情報を使用してサインインします。
ナビゲーションペインの [設定] で [設定] を選択します。
[概要] セクションで [編集] を選択します。
[新しいアカウント設定] で、[デフォルトのセキュリティ標準を有効にする] チェックボックスをオフにします。
[確認] を選択してください。

Security Hub CSPM API

デフォルトの標準の自動有効化をプログラムで無効にするには、Security Hub CSPM 管理者アカウントから、Security Hub CSPM API の UpdateOrganizationConfiguration オペレーションを使用します。リクエストで、AutoEnableStandards パラメータを NONE として指定します。

AWS CLI を使用している場合は、update-organization-configuration コマンドを実行して、デフォルトの標準の自動有効化をオフにします。auto-enable-standards パラメータでは、NONE を指定します。たとえば、次のコマンドは、新しいメンバーアカウントに対して Security Hub CSPM を自動的に有効にし、アカウントのデフォルト標準の自動有効化をオフにします。


$ aws securityhub update-organization-configuration --auto-enable --auto-enable-standards NONE

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

標準の詳細の確認

セキュリティ標準の無効化