設定ポリシーの更新 - AWS Security Hub

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

設定ポリシーの更新

設定ポリシーを作成すると、委任 AWS Security Hub 管理者アカウントはポリシーの詳細とポリシーの関連付けを更新できます。ポリシーの詳細が更新されると、設定ポリシーに関連付けられているアカウントは、更新されたポリシーを使用して自動的に開始されます。

中央設定の利点とその仕組みに関する背景情報については、「」を参照してくださいSecurity Hub の中央設定について

委任管理者は、次のポリシー設定を更新できます。

  • Security Hub を有効または無効にします。

  • 1 つ以上のセキュリティ標準を有効にします。

  • 有効な標準でどのセキュリティコントロールが有効になっているかを示します。そのためには、有効にすべき特定のコントロールのリストを指定します。Security Hub は、リリース時に新しいコントロールを含め、他のすべてのコントロールを無効にします。または、無効にすべき特定のコントロールのリストを指定して、Security Hub がリリースされた時点の新しいコントロールを含め、他のすべてのコントロールを有効化することもできます。

  • オプションで、有効な標準全体で有効になっているコントロールを選択してパラメータをカスタマイズできます。

任意の方法を選択し、その手順に従って設定ポリシーを更新します。

注記

中央設定を使用する場合、Security Hub は、ホームリージョンを除くすべてのリージョンでグローバルリソースを含むコントロールを自動的に無効にします。設定ポリシーを使用して有効にするその他のコントロールは、使用可能なすべてのリージョンで有効になります。これらのコントロールの検出結果を 1 つのリージョンのみに制限するには、 AWS Config レコーダーの設定を更新し、ホームリージョンを除くすべてのリージョンでグローバルリソースの記録をオフにします。中央設定を使用する場合、ホームリージョンまたはリンクされたリージョンで利用できないコントロールのカバレッジがありません。グローバルリソースに関連するコントロールのリストについては、「」を参照してくださいグローバルリソースを使用するコントロール

Console
設定ポリシーを更新するには

  1. で AWS Security Hub コンソールを開きますhttps://console.aws.amazon.com/securityhub/

    ホームリージョンの Security Hub 委任管理者アカウントの認証情報を使用してサインインします。

  2. ナビゲーションペインで、[設定][設定] の順に選択します。

  3. [Policies] タブを選択します。

  4. 編集する設定ポリシーを選択したら、[編集] を選択します。必要に応じて、ポリシーの設定を編集します。ポリシーの設定を変更せずにそのまま維持する場合は、このセクションはそのままにします。

  5. [次へ] を選択します。必要に応じて、ポリシーの関連付けを編集します。ポリシーの関連付けを変更せずにそのまま維持する場合は、このセクションはそのままにします。ポリシーの更新時に、最大 15 個のターゲット (アカウント、、またはルート) にポリシーを関連付けたりOUs関連付けを解除したりできます。

  6. [Next (次へ)] を選択します。

  7. 更新内容を確認して [保存] を選択して適用します。ホームリージョンとリンクされたリージョンでは、このアクションは、この設定ポリシーに関連付けられているアカウントの既存の設定よりも優先されます。アカウントは、アプリケーションを通じて設定ポリシーに関連付けることも、親ノードから継承することもできます。

API
設定ポリシーを更新するには

  1. 設定ポリシーの設定を更新するには、ホームリージョンの Security Hub 委任管理者アカウントUpdateConfigurationPolicyAPIから を呼び出します。

  2. 更新する設定ポリシーの Amazon リソースネーム (ARN) または ID を指定します。

  3. ConfigurationPolicy の下のフィールドに、更新された値を入力します。オプションで、更新の理由も指定できます。

  4. この設定ポリシーに新しい関連付けを追加するには、ホームリージョンの Security Hub 委任管理者アカウントStartConfigurationPolicyAssociationAPIから を呼び出します。1 つ以上の現在の関連付けを削除するには、ホームリージョンの Security Hub 委任管理者アカウントStartConfigurationPolicyDisassociationAPIから を呼び出します。

  5. ConfigurationPolicyIdentifier フィールドに、関連付けを更新する設定ポリシーの ARNまたは ID を指定します。

  6. Target フィールドに、関連付けまたは関連付け解除するアカウントOUs、、またはルート ID を指定します。このアクションは、指定された OUsまたは アカウントの以前のポリシーの関連付けを上書きします。

注記

を呼び出すとUpdateConfigurationPolicyAPI、Security Hub は EnabledStandardIdentifiers、、EnabledSecurityControlIdentifiersDisabledSecurityControlIdentifiersおよび SecurityControlCustomParametersフィールドの完全なリスト置換を実行します。この を呼び出すたびにAPI、有効にする標準の完全なリストと、パラメータを有効または無効にしてカスタマイズするコントロールの完全なリストを指定します。

設定ポリシーを更新するAPIリクエストの例:

{
    "Identifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "Description": "Updated configuration policy",
    "UpdatedReason": "Disabling CloudWatch.1",
    "ConfigurationPolicy": {
        "SecurityHub": {
             "ServiceEnabled": true,
             "EnabledStandardIdentifiers": [
                    "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0",
                    "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0" 
                ],
            "SecurityControlsConfiguration": {
                "DisabledSecurityControlIdentifiers": [
                    "CloudTrail.2",
                    "CloudWatch.1"
                ],
                "SecurityControlCustomParameters": [
                    {
                        "SecurityControlId": "ACM.1",
                        "Parameters": {
                            "daysToExpiration": {
                                "ValueType": "CUSTOM",
                                "Value": {
                                    "Integer": 15
                                }
                            }
                        }
                    }
                ]
            }
        }
    }
}
AWS CLI
設定ポリシーを更新するには

  1. 設定ポリシーの設定を更新するには、ホームリージョンの Security Hub 委任管理者アカウントから update-configuration-policy コマンドを実行します。

  2. 更新する設定ポリシーの Amazon リソースネーム (ARN) または ID を指定します。

  3. configuration-policy の下のフィールドに、更新された値を入力します。オプションで、更新の理由も指定できます。

  4. この設定ポリシーに新しい関連付けを追加するには、ホームリージョンの Security Hub 委任管理者アカウントから start-configuration-policy-association コマンドを実行します。1 つ以上の現在の関連付けを削除するには、ホームリージョンの Security Hub 委任管理者アカウントから start-configuration-policy-disassociation コマンドを実行します。

  5. configuration-policy-identifier フィールドに、関連付けを更新する設定ポリシーの ARNまたは ID を指定します。

  6. target フィールドに、関連付けまたは関連付け解除するアカウントOUs、、またはルート ID を指定します。このアクションは、指定された OUsまたは アカウントの以前のポリシーの関連付けを上書きします。

注記

update-configuration-policy コマンドを実行すると、Security Hub は、EnabledStandardIdentifiersEnabledSecurityControlIdentifiersDisabledSecurityControlIdentifiersSecurityControlCustomParameters のフィールドの完全なリスト置換を実行します。このコマンドを実行するたびに、有効にする標準の全リストと、有効または無効にしてパラメータをカスタマイズするコントロールの全リストを指定します。

設定ポリシーを更新するコマンドの例:

aws securityhub update-configuration-policy \
--region us-east-1 \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--description "Updated configuration policy" \
--updated-reason "Disabling CloudWatch.1" \
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2","CloudWatch.1"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}}]}}}'

は、 というフィールドStartConfigurationPolicyAssociationAPIを返しますAssociationStatus。このフィールドは、ポリシーの関連付けが保留中か、成功または失敗の状態かを示します。ステータスが PENDING から SUCCESS または FAILURE に変わるまで、最大 24 時間かかることがあります。関連付けのステータスの詳細については、「設定ポリシーの関連付けステータスの確認」を参照してください。