ソリューションの一部を有効または無効にする
ソリューションの管理者は、ソリューションのどの機能を有効にするかを次のようにコントロールできます。
メンバーとメンバーロールのスタックがデプロイされる場所:
-
管理者スタックは、パラメーター値として指定された管理者アカウント番号を使用して、メンバーとメンバーロールのスタックがデプロイされているアカウントでのみ、(カスタムアクションまたは完全に自動化された EventBridge ルールを通じて) 修復を開始できます。
-
アカウントまたはリージョンをソリューションの制御から完全に除外するには、メンバーまたはメンバーロールのスタックをそれらのアカウントまたはリージョンにデプロイしないでください。
Security Hub でのアカウントとリージョンの検出結果の集約設定:
-
管理者スタックは、管理者アカウントとリージョンに届いた検出結果に対してのみ (カスタムアクションまたは完全に自動化された EventBridge ルールを通じて) 修復を開始できます。
-
アカウントまたはリージョンをソリューションの制御から完全に除外するには、管理者スタックがデプロイされているのと同じ管理者アカウントとリージョンに検出結果を送信するアカウントまたはリージョンを含めないでください。
どの規格のネストされたスタックがデプロイされているか:
-
管理者スタックは、対象となるメンバーアカウントとリージョンにコントロールランブックがデプロイされているコントロールに対してのみ、(カスタムアクションまたは完全に自動化された EventBridge ルールを通じて) 修復を開始できます。これらは各規格のメンバースタックによってデプロイされます。
-
管理者スタックで完全に自動化された修復を開始できるのは、管理者スタックによってその規格のルールが適用されているコントロールの EventBridge ルールのみとなります。これらは管理者アカウントにデプロイされます。
-
わかりやすくするために、管理者アカウントとメンバーアカウント全体で一貫して規格をデプロイすることをおすすめします。AWS FSBP と CIS v1.2.0 を取り扱う場合は、これら 2 つのネストされた管理者スタックを管理者アカウントにデプロイして、これら 2 つのネストされたメンバースタックを各メンバーアカウントとリージョンにデプロイします。
どのコントロールランブックが各ネストされたメンバースタックにデプロイされているか:
-
管理者スタックは、各規格のメンバースタックによって対象となるメンバーアカウントとリージョンにコントロールランブックがデプロイされているコントロールに対してのみ、(カスタムアクションまたは完全に自動化された EventBridge ルールを通じて) 修復を開始できます。
-
特定の規格でどのコントロールを有効にするかをよりきめ細かくコントロールするために、規格の各ネストされたスタックには、コントロールランブックがデプロイされるパラメーターがあります。コントロールのパラメーターを「NOT Available」の値に設定して、そのコントロールランブックをアンデプロイします。
規格を有効または無効にするための SSM パラメータ:
-
管理者スタックは、規格の管理者スタックによってデプロイされた SSM パラメータを通じて有効化された規格の修復のみを (カスタムアクションまたは完全に自動化された EventBridge ルールを通じて) 開始できます。
-
規格を無効にするには、/Solutions/SO0111/<standard_name>/<standard_version>/status パスの SSM パラメータの値を No に設定します。
