管理アカウントからAWS Security Hubを一括有効化するとき、すでに有効化されていたアカウントの設定は変更されないので注意しよう

こんにちは。AWS事業本部トクヤマシュンです。

マルチアカウントでAWS Security Hubの管理を行いたいときは、AWS Security Hub管理者アカウントを設定してで中央管理が可能です。
今回は管理者アカウントからメンバーアカウントのAWS Security Hubを一括有効化する機会がありましたので、注意すべき点をお伝えします。

はじめにまとめ

• すでにAWS Security Hubが有効になっていたアカウントは、一括有効化によって設定変更されない
  • Security Hubのみ有効でセキュリティ標準がすべて無効だった場合、一括有効化後もセキュリティ標準はすべて無効のまま
  • いくつかのセキュリティ標準が有効化されていた場合、一括有効化後もセキュリティ標準はもともと設定されていたものから変化しない
• SecurityHubが無効だったアカウントのみ、一括有効化によって次の2つのセキュリティ標準が併せて有効化される
  • AWS Foundational Security Best Practices
  • CIS AWS Foundations Benchmark

公式ドキュメントだと次のエントリに記載があります。

以降はこれらの動きを詳しく見ていきます。

事前設定

今回はAWS Organizationsを用いて管理設定を行います。
次の画像のように、ou:test-security-hubの下にある5つのアカウントを用いて、挙動を確認します。　　

各アカウントは次の設定を行っておきます

一括有効化の実施

AWS Security Hub管理アカウントから一括有効化を行います。
test-securityhub-1〜5を選択、Auto-enable default standardsが有効になっている状態でActions→Add memberによりメンバー追加を行います。

一括有効化が完了すると、StatusがEnabledとなります。

各アカウントの設定確認

では各アカウント毎に設定をみていきます。

test-securityhub-1

このアカウントは元々AWS Security Hubが無効だったので、一括有効化により設定が行われています。
Auto-enable default standards設定によって、2つのセキュリティ標準が有効化されています。

test-securityhub-2

このアカウントでは元々AWS Security Hubは有効でしたが、有効なセキュリティ標準が設定されていませんでした。
そのため一括有効化実施後も状態は変わっていません。

この挙動を知らなければ、一括有効化設定をしたつもりでも実はセキュリティ標準は1つも設定されていなかったという不幸な事故を招きかねないのでとくに注意しましょう。

test-securityhub-3

以降はすべて一括有効化前後で状態変わらなかったので、画像だけ載せておきます。

test-securityhub-4

test-securityhub-5

本ブログでお伝えしたかったことは以上です。

趣味のスパイスカレー

私の趣味はスパイスカレー作りで、ブログに投稿していってます。
相変わらずAWSには全然関係ありませんが、カレー作りも技術が必要ということで、技術ブログの一環としてお付き合いいただけますと幸いです。

• 鶏と甘長の出汁キーマ
• 蛸と海老とシメジのココナッツカレー

和×スリランカ風のプレートになりました。
出汁の旨味、甘長の苦味、ココナッツの甘みが合わさって、とても美味しかったです！

最後に

すでにAWS Security Hubが運用されているアカウントに対して中央管理を行う時には、
既に有効化済みのアカウントの設定は変更されないのでご注意ください。

本ブログがどなたかのお役に立てば幸いです。