Security Hub を手動で有効にする - AWS Security Hub

Security Hub を手動で有効にする

必要なポリシーを IAM アイデンティティに添付した後、そのアイデンティティを使用して Security Hub を有効にします。Security Hub は、AWS Management Console または API から有効にすることができます。

GitHub で、複数のリージョンで複数のアカウントの有効化が許可されるスクリプトを提供しています。

IAM アイデンティティに必要な IAM ポリシーを添付する

Security Hub を有効にするために使用する IAM アイデンティティ (ユーザー、ロール、またはグループ) には、必要な許可が付与されていなければなりません。

AWS Organizations との統合を有効にすると、組織内のアカウントで Security Hub が自動的に有効になります。必要な許可も自動的に処理されます。

Organizations を使用して管理されていないアカウントは、Security Hub を手動で有効にする必要があります。Security Hub を有効にするために使用する IAM アイデンティティ (ユーザー、ロール、またはグループ) には、必要な許可が付与されていなければなりません。

Security Hub を有効にするために必要な許可を付与するには、Security Hub マネージドポリシー AWSSecurityHubFullAccess をこの IAM ユーザー、グループ、またはロールに添付します。

Security Hub の有効化 (コンソール)

コンソールから Security Hub を有効にする場合は、サポートされているセキュリティ標準を有効にするオプションも提供されています。

Security Hub を有効化するには

  1. IAM アイデンティティの認証情報を使用して、Security Hub コンソールにサインインします。

  2. Security Hub コンソールを初めて開く場合は、[Enable AWS Security Hub] (AWS Security Hub の有効化) を選択します。

  3. ウェルカムページには、Security Hub がサポートするセキュリティ標準が [Security standards] (セキュリティ標準) に一覧表示されます。

    標準を有効にするには、そのチェックボックスを選択します。

    標準を無効にするには、そのチェックボックスをオフにします。

    標準またはその個々のコントロールは、いつでも有効または無効にできます。セキュリティ標準とその管理方法については、「AWS Security Hub のセキュリティ標準とコントロール」を参照してください。

  4. [Enable Security Hub] (Security Hub の有効化) を選択します。

Security Hub の有効化 (Security Hub API、AWS CLI)

Security Hub を有効にするには、API コールまたは AWS Command Line Interface を使用します。

Security Hub を有効にするには (Security Hub API、AWS CLI)

  • Security Hub API - EnableSecurityHub オペレーションを使用します。API から Security Hub を有効にすると、これらのセキュリティ標準が自動的に有効になります。

    • CIS AWS Foundations Benchmark

    • AWS Foundational Security Best Practices 標準

    これらの標準を有効にしない場合は、EnableDefaultStandardsfalse に設定します。

    また Tags パラメータを使用して、ハブリソースにタグ値を割り当てることもできます。

  • AWS CLI - コマンドラインで enable-security-hub コマンドを実行します。デフォルトの標準を有効にするには、--enable-default-standards を含めます。デフォルトの標準を有効にしない場合は、--no-enable-default-standards を含めます。

    aws securityhub enable-security-hub [--tags <tag values>] [--enable-default-standards | --no-enable-default-standards]

    aws securityhub enable-security-hub --enable-default-standards --tags '{"Department": "Security"}'

Security Hub を有効にすると、標準を有効または無効にできます。「セキュリティ標準の無効化または有効化」を参照してください。

Security Hub の有効化 (マルチアカウントスクリプト)

GitHub の Security Hub マルチアカウント有効化スクリプトでは、複数のアカウントやリージョンの Security Hub の有効化が許可されています。スクリプトを使用することで、メンバーアカウントへの招待の送信と AWS Config の有効化のプロセスも自動化されます。

このスクリプトは、グローバルリソースを含むすべてのリソースのリソースレコーディングを、すべてのリージョンで自動的に有効にします。グローバルリソースの記録を 1 つのリージョンに制限するものではありません。

複数のアカウントとリージョンで Security Hub を無効にするための、対応するスクリプトがあります。

readme ファイルは、スクリプトの使用方法の詳細を提供します。次の情報が含まれています。

  • 必要な IAM ポリシーをアカウントに追加する方法

  • 実行環境の設定方法

  • スクリプトの実行方法