AWS Security Hubで、アカウント集約の設定を簡単に行うスクリプトを作った

AWS Security Hubのアカウント集約を簡単に設定するスクリプトを作りました。

藤井元貴

2022.05.02

AWS Security Hubの管理機能として、アカウント集約とリージョン集約があります。

これらを組み合わせて使う場合には、リージョン毎にアカウント集約の設定を行う必要があるようです。 AWSアカウントが複数ある場合には、それぞれのアカウント・それぞれのリージョンで招待＆承認の操作が必要になり、とても手間です。というわけで、招待＆承認を行うスクリプトを作ってみました。

なお、定期チェックされるタイミングで集約先のリージョンや管理アカウントに反映されるようなので、設定結果の反映確認は、しばらく待つ必要があります。

セキュリティチェックの実行スケジュール - AWS Security Hub

それぞれのリージョンで招待＆承認する操作の例

手作業でポチポチするのは大変です……。

招待する側の操作

管理アカウントAのリージョン1で、メンバーアカウントXを招待する
管理アカウントAのリージョン1で、メンバーアカウントYを招待する
管理アカウントAのリージョン1で、メンバーアカウントZを招待する
管理アカウントAのリージョン2で、メンバーアカウントXを招待する
管理アカウントAのリージョン2で、メンバーアカウントYを招待する
管理アカウントAのリージョン2で、メンバーアカウントZを招待する
以下略

承認する側の操作

メンバーアカウントXのリージョン1で、招待を承認する
メンバーアカウントXのリージョン2で、招待を承認する
メンバーアカウントYのリージョン1で、招待を承認する
メンバーアカウントYのリージョン2で、招待を承認する
メンバーアカウントZのリージョン1で、招待を承認する
メンバーアカウントZのリージョン2で、招待を承認する
以下略

招待＆承認を行うスクリプト

招待する側

招待する側のAWSアカウントで、下記を実行します。 AWS_MEMBER_ACOUNT_IDSには、招待したいAWSアカウントIDを記載します。

invite.py

import boto3

AWS_MEMBER_ACOUNT_IDS = [
    '999999999999',
    '888888888888',
    '777777777777',
]

def main():
    ec2 = boto3.client('ec2')
    regions = ec2.describe_regions()['Regions']

    for region in regions:
        region_name = region['RegionName']
        print(region_name)

        securityhub = boto3.client('securityhub', region_name=region_name)

        # メンバーアカウントを追加する
        for account_id in AWS_MEMBER_ACOUNT_IDS:
            securityhub.create_members(
                AccountDetails=[{'AccountId': account_id}]
            )

        # メンバーアカウントを招待する
        securityhub.invite_members(
            AccountIds=AWS_MEMBER_ACOUNT_IDS
        )


if __name__=='__main__':
    main()

python invite.py

承認する側

承認する側のAWSアカウントそれぞれで、下記を実行します。 AWS_ADMIN_ACOUNT_IDは、さきほど招待した側のAWSアカウントIDを記載します。

accept.py

import boto3

AWS_ADMIN_ACOUNT_ID = '111111111111'

def main():
    ec2 = boto3.client('ec2')
    regions = ec2.describe_regions()['Regions']

    for region in regions:
        region_name = region['RegionName']
        print(region_name)

        securityhub = boto3.client('securityhub', region_name=region_name)

        # メンバーアカウントの招待を確認する
        resp = securityhub.list_invitations()

        # メンバーアカウントの招待を承認する
        securityhub.accept_administrator_invitation(
            AdministratorId=AWS_ADMIN_ACOUNT_ID,
            InvitationId=resp['Invitations'][0]['InvitationId']
        )


if __name__=='__main__':
    main()

python accept.py

さいごに

AWSアカウントの各リージョンで招待＆承認をするスクリプトを作って、自動化してみました。時間短縮の助けになれば幸いです。

AWS Security Hubで、アカウント集約の設定を簡単に行うスクリプトを作った

おすすめの方

それぞれのリージョンで招待＆承認する操作の例

招待する側の操作

承認する側の操作

招待＆承認を行うスクリプト

招待する側

承認する側

さいごに

参考

イベント

EVENT【4/14（金）】認証機能の開発工数削減をデモで体験！次世代認証基盤サービス『Auth0』導入実践ウェビナー

EVENT【4/19（水）】Snowflakeを触ってみよう！初めての方向けハンズオンセミナー

EVENT【4/13（木）リモート】クラスメソッドの会社説明会を開催します

EVENT【4/13（木）】クラウド利用の第一歩～Webサーバー構築の基礎知識～

EVENT【4/5（水）】組織的なクラウド統制を成功させるための勘所～CCoEの取組事例と最新サービス活用術をご紹介～

EVENT【4/14（金）東京】Classmethod + HashiCorp: Armon Dadgar in Tokyo! HashiCorp Japan Meetup

AWS Security Hubで、アカウント集約の設定を簡単に行うスクリプトを作った

おすすめの方

それぞれのリージョンで招待＆承認する操作の例

招待する側の操作

承認する側の操作

招待＆承認を行うスクリプト

招待する側

承認する側

さいごに

参考

イベント

EVENT【4/14（金）】認証機能の開発工数削減をデモで体験！次世代認証基盤サービス『Auth0』導入実践ウェビナー

EVENT【4/19（水）】Snowflakeを触ってみよう！初めての方向けハンズオンセミナー

EVENT【4/13（木）リモート】クラスメソッドの会社説明会を開催します

EVENT【4/13（木）】クラウド利用の第一歩 ～Webサーバー構築の基礎知識～

EVENT【4/5（水）】組織的なクラウド統制を成功させるための勘所 ～CCoEの取組事例と最新サービス活用術をご紹介～

EVENT【4/14（金）東京】Classmethod + HashiCorp: Armon Dadgar in Tokyo! HashiCorp Japan Meetup

関連記事

boto3でSecurity Hubを有効化する際に統合コントロール結果をオフにしてみた

【Security Hub修復手順】[RDS.11] Amazon RDS インスタンスでは、自動バックアップが有効になっている必要があります

【Security Hub修復手順】[WAF.3] WAF リージョンルールグループには、1 つ以上の条件が必要です

[アップデート] Security Hubのセキュリティ標準に『NIST Special Publication 800-53 Revision 5』が追加されました

EVENT【4/13（木）】クラウド利用の第一歩～Webサーバー構築の基礎知識～

EVENT【4/5（水）】組織的なクラウド統制を成功させるための勘所～CCoEの取組事例と最新サービス活用術をご紹介～