標準の自動有効化をオフにする

中央設定を使用しない場合、組織はローカル設定と呼ばれる設定タイプを使用します。ローカル設定では、Security Hub は、新しいメンバーが組織に参加したときに、新しいメンバーアカウントのデフォルトのセキュリティ標準を自動的に有効にすることができます。デフォルトの標準に含まれるすべてのコントロールも自動的に有効になります。

現在、自動的に有効になるデフォルトのセキュリティ標準は、 AWS Foundational Security Best Practices v1.0.0 と Center for Internet Security (CIS) AWS Foundations Benchmark v1.2.0 です。新規アカウントの標準を手動で有効にしたい場合は、標準の自動有効化をオフにできます。

中央設定を使用する場合は、デフォルトの標準を有効にする設定ポリシーを作成し、このポリシーをルートに関連付けることができます。組織アカウントと OU は、別のポリシーに関連付けられている場合やセルフマネージドの場合を除き、すべてこの構成ポリシーを継承します。

以下の手順は、 と統合 AWS Organizations してローカル設定を使用する場合にのみ適用されます。Organizations 統合を使用しない場合は、Security Hub を最初に有効にするときにデフォルトの標準をオフにするか、1 つのアカウントおよびリージョンで標準を無効にする のステップを使用することができます。

Security Hub console

標準の自動有効化をオフにするには (コンソール)

1. https://console.aws.amazon.com/securityhub/ で AWS Security Hub コンソールを開きます。

   管理者アカウントの認証情報を使用してサインインします。

2. Security Hub のナビゲーションペインの [設定] で、[設定] を選択します。

3. [アカウント] セクションで、[デフォルトの標準を自動的に有効にする] をオフにします。

Security Hub API

標準の自動有効化をオフにするには (API)

Security Hub 管理者アカウントから Security Hub API の UpdateOrganizationConfiguration オぺレーションを使用します。を使用する場合は AWS CLI、 update-organization-configuration コマンドを実行します。

新規メンバーアカウントで、標準の自動有効化をオフにするには、AutoEnableStandards を NONE に等しい値に設定します。

例えば、次の AWS CLI コマンドは、自動的に有効になる標準をオフにします。この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\) の行継続文字を使用しています。

$ aws securityhub update-organization-configuration --auto-enable-standards NONE