AWS Security Hub CSPM 中央設定の有効化が 1 時間経っても終わらないときに試したこと
はじめに
AWS Security Hub CSPM の中央設定は、Organizations 配下の複数アカウントを対象にセキュリティ設定を一括管理する機能です。その機能の有効化をしていると 1 時間以上経っても処理が進んでいるのかわからない状態になりました。
切り分けようにもマネージメントコンソールからのキャンセル操作がないため、AWS CLI からリカバリが必要でした。私が試した対処方法をまとめます。
対処方法早見
中央設定の有効化が長時間終わらないときに以下の方法を試してリカバリしました。
- AWS CLI の
update-organization-configurationでConfigurationType: LOCALに戻し、ペンディング状態を解除する - リンクリージョンを Home Region と
us-east-1に絞って再度有効化すれば数分で終わった
再有効化後に全リージョン追加・将来のリージョン追加する分には問題なかったです。どういうわけか最初から全リージョンを指定するとうまくいかなかったです。
今回の事象について
中央設定の処理が終わらない
以下の設定にチェックが入ってた状態で、中央設定の有効化を進めたところ 1 時間以上、以下の画面の状態のままうんともすんとも言わない。
- 使用可能なすべてのリージョンのリンクを設定
- 将来のリージョンのリンクを設定
マネージメントコンソールからキャンセルが効かなく、待つしかない状態でした。
AWS CLI で確認すると Status: PENDING になっている
AWS CLI から中央設定状態を確認します。
aws securityhub describe-organization-configuration --region ap-northeast-1
ConfigurationType: CENTRAL に切り替わっています。しかし Status: PENDING となっています。
{
"AutoEnable": false,
"MemberAccountLimitReached": false,
"AutoEnableStandards": "NONE",
"OrganizationConfiguration": {
+ "ConfigurationType": "CENTRAL",
+ "Status": "PENDING"
}
}
AWS ドキュメントにはなんと書いてあるのか
やたら長いと感じたとき、やることがないので公式ドキュメントを確認します。
OrganizationConfiguration.Status は PENDING | ENABLED | FAILED の 3 値あり、明示的なタイムアウト値が記載されていませんでした(2026 年 5 月時点)。
1 時間を超えた時点で原因切り分けるために、管理をローカルに戻すことにしました。
ペンディングの原因として考えられること
断定はできませんが、「すべてのリージョンのリンク」と「将来のリージョンのリンク」にチェックをついた状態で中央設定を有効化したことが有力です(デフォルトの状態なのですけど)。理由は後の切り分けでホームリージョン(ap-northeast-1)と us-east-1 に絞って有効化したところ数分で中央設定に切り替えができたためです。また、別アカウントで試してもこの状態を再現できました。
対処方法
事前確認
作業前にペンディング状態か今一度確認しましょう。
aws securityhub describe-organization-configuration --region ap-northeast-1
Status: PENDING が返ってきたことを確認します。
管理をローカル設定へ切り戻し
次のコマンドで管理をペンディング中の中央設定からローカル設定へ戻します。
aws securityhub update-organization-configuration \
--region ap-northeast-1 \
--no-auto-enable \
--organization-configuration '{"ConfigurationType":"LOCAL"}'
成功すると空のレスポンスが返ります。マネージメントコンソールの設定画面からローカル設定になっていることを確認します。あっさりと中央設定からローカル設定に戻りました。
リージョンを絞って中央設定を再実行
ペンディング状態が解除されたら、切り分けのためリンクリージョンを絞って中央設定を再度有効化してみました。また設定画面を開きます。
まずリージョンの設定を最小限で試してみます。
リージョン設定画面が表示されるので編集します。
Home Region(東京)と、us-east-1のみ選択し、将来のリージョンをリンクもチェックを外します。
内容を確認しておきましょう。ちなみにこのリージョン選択画面から中央設定の設定が再開できませんでした。
改めて中央設定を有効化するを進めます。
確認して続行を押します。
数分で処理が終わり、無事中央設定になりました。
AWS CLI からも確認しておきます。メッセージからして間違いなく成功しています。
aws securityhub describe-organization-configuration --region ap-northeast-1
{
"OrganizationConfiguration": {
+ "ConfigurationType": "CENTRAL",
+ "Status": "ENABLED",
+ "StatusMessage": "Central configuration has been enabled successfully."
}
}
対象リージョンを追加
リージョン設定を改めて開き、全リージョン追加・将来のリージョン有効化を設定します。
全リージョンを追加し、将来のリージョンにもチェックを入れて保存します。
最初から全リージョンを指定するとペンディングしましたが、後から追加した場合は問題なく設定できました。そのため、原因はここにあったのかなと推測しています。
切り分けと、中央設定の再有効化は以上です。必要になるポリシーの設定も問題ないか確認しておきます。
設定ポリシーを作成
ポリシー設定の動作も念のため確認しておきます。設定画面に戻って「設定ポリシーを作成」を選択します。ポリシー名などを入力して進めます。
設定内容を確認して作成します。
ポリシー作成はこれだけです。
ポリシーの適用を見守ればおしまいです。
まとめ
- マネージメントコンソールから中央設定の有効化をキャンセルできない。AWS CLI の
update-organization-configurationでConfigurationType: LOCALに戻すしかなかった OrganizationConfiguration.Status: PENDINGのタイムアウトは公式ドキュメントに記載なし。長時間返ってこなくても異常と断言はできず、今回は 1 時間で見切りをつけた- リンクリージョンを「使用可能なすべてのリージョンのリンク」と「将来のリージョンのリンク」(デフォルト)の状態で進めるとペンディングが解消しなかった。Home Region と
us-east-1に絞ったら数分で完了した
おわりに
お客様のトラブルシュートのために同事象を再現する環境を作れたので検証していました。他のアカウントでも起こりうる事象なのかなと思い私の試した対処方法を残しておきました。
