カスタマーサクセス部の井出です。
AWS Organizations 環境で AWS Security Hub を一元管理するための「中央設定」を設定する手順を記載します。
中央設定とは
複数の AWS アカウント および AWS リージョンにわたって Security Hub を設定し、管理する際に役立つ Security Hub の機能です。
Security Hub の中央設定について - AWS Security Hub
中央設定を用いることで、Organizations 内のアカウントに対する SecurityHub の設定を一元で管理でき、検出結果も一つのダッシュボードで確認することができます。
設定手順
今回はマネジメントアカウントからセキュリティアカウントへ委任をして、セキュリティアカウントで Security Hub を管理する手順になります。
マネジメントアカウントでの作業
1. 統合
※ 手順2. に含まれているSecurity Hub の委任を実施することで、組織内の Security Hub への信頼できるアクセスを自動的に有効にできます。そのため、統合は明示的に実施しなくても問題ありません。
1-1. CloudShell を起動し、下記コマンドを実行して「信頼されたアクセスを有効」にします。
aws organizations enable-aws-service-access --service-principal=securityhub.amazonaws.com
1-2. 下記コマンドを実行して「信頼されたアクセスが有効」になったことを確認します。
aws organizations list-aws-service-access-for-organization --query "EnabledServicePrincipals[?ServicePrincipal=='securityhub.amazonaws.com']" --output json
問題なく有効化できている場合のコマンド結果
2. Security Hub 有効化と委任
委任を行うためにはマネジメントアカウントで Security Hub を有効化する必要があります。 すでに有効化されている場合は、2-4. を実施してください。
※ Security Hub を有効化したいすべてのリージョンで実施します。
2-1. Security Hub の画面から「Security Hub に移動」を押下します。
2-2. 「委任された管理者」にセキュリティアカウントのアカウント番号を入力し、「委任」を押下します。
委任が完了すると「アカウント ID」と「組織 ID」が表示されます。
2-3. 他の設定変更は特にせず「Security Hub の有効化」を押下します。
※ セキュリティ基準はデフォルトでチェックが入っていますが、チェックは外しても外さなくても問題ないです。
2-4. (すでにSecurity Hub が有効化されている場合)Security Hub 画面の左ペイン「一般」に移動し、委任された管理者を 2-3. と同様に登録します。
セキュリティアカウントでの作業
3. 中央設定
3-1. 複数リージョンで Security Hub を有効化している場合は、データを集約したいリージョンの Security Hub に移動します。
3-2. 左ペインの「設定」に移動し、概要欄の「中央設定を開始」を押下します。
3-3. リージョン設定にて「ホームリージョン」「リンクするリージョン」「将来のリージョンのリンク」を設定します。
3-4. 設定タイプにて設定する SecurityHub の内容を選択します。
設定タイプの種類は3種類あるため、要件にあったものを選択します。(下記ご参照ください)
- 組織全体で AWS が推奨する Security Hub の設定を使用(推奨)
- 「AWS 基礎セキュリティのベストプラクティス v1.0.0」が有効化され、この設定が組織内すべてのアカウントに適用される
- Security Hub の設定をカスタマイズ
- 有効にするセキュリティ基準やコントロールなどのカスタマイズができる
- まだ設定する準備ができていません
- 設定の内容が決まっていない場合に選択する。
今回は「Security Hub の設定をカスタマイズ」を選択し、設定をします。 設定例:
3-5. 確認して適用画面にて設定内容を確認し、「ポリシーを作成して適用」を押下します。
3-6. 「組織」タブにて、各アカウントに作成したポリシーが適用されます。
「ポリシーのステータス」が保留中
から成功
になっていれば設定完了です。
tips: 成功
になるまでに時間がかかります。
画像内の更新ボタンでステータスが変化しなくても、アカウントごとの○を選択するとステータスが変化することがありました。
まとめ
中央設定を使用して、Security Hub の概要画面から、すべてのアカウントの選択したリージョンの情報を閲覧できるようになりました。
中央設定を使用する方の参考になればと思います。
※ 本ブログには記載していませんが、Security Hub を有効化するには AWS Config を有効にする必要があるのでご注意ください。