Security Hub を有効にする - AWS Security Hub
組織の Security Hub を有効にするスタンドアロンアカウントで Security Hub を有効にする

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Security Hub を有効にする

注記

Security Hub はプレビューリリースであり、変更される可能性があります。

任意の に対して Security Hub を有効にできます AWS アカウント。このトピックの手順では、 AWS 組織管理アカウント、委任管理者アカウント、スタンドアロンアカウントから Security Hub を有効にする方法について説明します。

組織の Security Hub を有効にする

このセクションでは、3 つのステップについて説明します。ステップ 1 では、 AWS 組織管理アカウントが Security Hub を有効にし、組織の委任管理者を指定して、委任管理者ポリシーを作成します。ステップ 2 では、組織の委任管理者が Security Hub を有効にします。ステップ 3 では、組織の委任管理者は、組織内のすべてのメンバーアカウントに対して Security Hub を有効にするポリシーを作成します。

ステップ 1. AWS 組織管理アカウントで Security Hub を有効にする

このステップには 2 つの手順が含まれています。最初の手順では、Security Hub CSPM を有効にし、Security Hub CSPM で委任管理者を指定した場合、Security Hub を有効にする方法について説明します。2 番目の手順では、Security Hub CSPM を有効にしておらず、Security Hub CSPM で委任管理者を指定していない場合に Security Hub を有効にする方法について説明します。どちらの手順でも、ステップをスキップして委任管理者を指定する場合は、ステップをスキップして委任管理者ポリシーを作成する必要があります。委任管理者ポリシーは、委任管理者を指定した後にのみ作成できます。Security Hub での委任管理者の指定については、「Security Hub での委任管理者アカウントの指定」を参照してください。Security Hub での委任管理者ポリシーの作成については、「Security Hub での委任管理者ポリシーの作成」を参照してください。

Enable Security Hub with Security Hub CSPM

この手順は、 AWS 組織管理アカウントが以前に Security Hub CSPM を有効にし、Security Hub CSPM で委任管理者を指定したことを前提としています。

Security Hub を有効にするには

  1. AWS 組織管理 AWS アカウントの認証情報を使用してアカウントにサインインします。https://console.aws.amazon.com/securityhub/v2/home で Security Hub コンソールを開きます。

  2. Security Hub ホームページから Security Hub を選択し、開始方法を選択します。

  3. (オプション) 委任管理者アカウントでは、指定されたオプションに基づいて管理者アカウントを選択します。ベストプラクティスとして、一貫したガバナンスのために、セキュリティサービス全体で同じ委任管理者を使用することをお勧めします。

  4. (オプション) アカウントを有効にするには、チェックボックスをオンにして AWS アカウントの Security Hub を有効にします。

  5. (オプション) 委任管理者ポリシーで、次のいずれかのオプションを選択してポリシーステートメントを追加します。

    1. (オプション 1) これを更新するを選択します。ポリシーステートメントの下にあるボックスを選択して、Security Hub が委任管理者に必要なすべてのアクセス許可を付与する委任ポリシーを自動的に作成することを確認します。

    2. (オプション 2) 手動でアタッチする を選択します。コピーしてアタッチを選択します。 AWS Organizations コンソールの の委任された管理者 AWS Organizations で、委任を選択し、委任ポリシーエディタにリソースポリシーを貼り付けます。[ポリシーを作成] を選択します。Security Hub コンソールにあるタブを開きます。

  6. [設定] を選択します。

Enable Security Hub without Security Hub CSPM

この手順は、 AWS 組織管理アカウントが以前に Security Hub CSPM を有効にしておらず、Security Hub CSPM で委任管理者を指定したことを前提としています。

Security Hub を有効にするには

  1. 組織管理 AWS アカウントの認証情報を使用してアカウントにサインインし、https://console.aws.amazon.com/securityhub/v2/home で Security Hub コンソールを開きます。

  2. Security Hub ホームページから Security Hub を選択し、開始方法を選択します。

  3. (オプション) 委任管理者の場合は、指定された のいずれかを選択する AWS アカウント か、アカウントを選択しますアカウントの選択を選択した場合は、Security Hub で委任管理者として AWS アカウント 指定する の 12 桁の番号を入力します。

  4. (オプション) アカウントを有効にするには、 の Security Hub を有効にするボックスを選択します AWS アカウント。

  5. (オプション) 委任管理者ポリシーで、次のいずれかのオプションを選択してポリシーステートメントを追加します。

    1. (オプション 1) これを更新するを選択します。ポリシーステートメントの下にあるボックスを選択して、Security Hub が委任管理者に必要なすべてのアクセス許可を付与する委任ポリシーを自動的に作成することを確認します。

    2. (オプション 2) 手動でアタッチする を選択します。コピーしてアタッチを選択します。 AWS Organizations コンソールの の委任された管理者 AWS Organizations で、委任を選択し、委任ポリシーエディタにリソースポリシーを貼り付けます。[ポリシーを作成] を選択します。Security Hub コンソールにあるタブを開きます。

  6. [設定] を選択します。

Security Hub を有効にすると、AWSServiceRoleForSecurityHubV2 というサービスリンクロールとサービスリンクレコーダーがアカウントに作成されます。サービスにリンクされたレコーダーは、 AWS サービス固有のリソースの設定データを記録できる サービスによって管理される AWS Config レコーダーの一種です。サービスにリンクされたレコーダーを使用すると、Security Hub は、公開分析カバレッジとリソースインベントリの報告に必要なリソース設定項目を取得するためのイベント駆動型のアプローチを可能にします。サービスにリンクされたレコーダーは、 AWS アカウント および ごとに設定されます AWS リージョン。詳細については、「サービスにリンクされた設定レコーダーに関する考慮事項」を参照してください。

ステップ 2. 委任管理者アカウントで Security Hub を有効にする

このステップは、委任された管理者が完了するためのものです。 AWS 組織管理アカウントが組織の委任管理者を指定した後、委任管理者は Security Hub を有効にする必要があります。

委任管理者アカウントで Security Hub を有効にするには

  1. 委任管理者認証情報を使用して AWS アカウントにサインインします。https://console.aws.amazon.com/securityhub/v2/home で Security Hub コンソールを開きます。

  2. Security Hub ホームページから Security Hub を選択し、開始方法を選択します。

  3. [有効化] を選択します。

  4. (オプション) タグでは、キーと値のペアをアカウント設定に追加するかどうかを決定します。

  5. [Go to Security Hub] (Security Hub に移動) を選択します。

Security Hub を有効にすると、AWSServiceRoleForSecurityHubV2 というサービスリンクロールとサービスリンクレコーダーがアカウントに作成されます。サービスにリンクされたレコーダーは、 AWS サービス固有のリソースの設定データを記録できる サービスによって管理される AWS Config レコーダーの一種です。サービスにリンクされたレコーダーを使用すると、Security Hub は、公開分析カバレッジとリソースインベントリの報告に必要なリソース設定項目を取得するためのイベント駆動型のアプローチを可能にします。サービスにリンクされたレコーダーは、 AWS アカウント および ごとに設定されます AWS リージョン。詳細については、「サービスにリンクされた設定レコーダーに関する考慮事項」を参照してください。

ステップ 3. すべてのメンバーアカウントで Security Hub を有効にするポリシーを作成する

このステップは、委任された管理者が完了するためのものです。組織の委任管理者が Security Hub を有効にしたら、組織内のどのメンバーアカウントを有効または無効にするかを定義できるポリシーを作成する必要があります。詳細については、「メンバーアカウントを管理する委任管理者としてのポリシーの作成」を参照してください。

スタンドアロンアカウントで Security Hub を有効にする

この手順では、スタンドアロンアカウントで Security Hub を有効にする方法について説明します。スタンドアロンアカウントは、 AWS 組織を有効に AWS アカウント していない です。

スタンドアロンアカウントで Security Hub を有効にするには

  1. スタンドアロン AWS アカウントの認証情報を使用してアカウントにサインインします。https://console.aws.amazon.com/securityhub/v2/home で Security Hub コンソールを開きます。

  2. Security Hub ホームページから Security Hub を選択し、開始方法を選択します。

  3. [有効化] を選択します。

Security Hub を有効にすると、AWSServiceRoleForSecurityHubV2 というサービスリンクロールとサービスリンクレコーダーがアカウントに作成されます。サービスにリンクされたレコーダーは、 AWS サービス固有のリソースの設定データを記録できる サービスによって管理される AWS Config レコーダーの一種です。サービスにリンクされたレコーダーを使用すると、Security Hub は、公開分析カバレッジとリソースインベントリの報告に必要なリソース設定項目を取得するためのイベント駆動型のアプローチを可能にします。サービスにリンクされたレコーダーは、 AWS アカウント および ごとに設定されます AWS リージョン。詳細については、「サービスにリンクされた設定レコーダーに関する考慮事項」を参照してください。