管理アカウントからAWS Security Hubを一括有効化するとき、すでに有効化されていたアカウントの設定は変更されないので注意しよう

管理アカウントからAWS Security Hubを一括有効化するとき、すでに有効化されていたアカウントの設定は変更されないので注意しよう

ある程度運用されている複数のアカウントに対してAWS Security Hubを中央管理化する時は要注意です!
#AWS Security Hub
#AWS Organizations
#AWS
トクヤマシュン

トクヤマシュン

facebook logohatena logotwitter logo
Clock Icon2022.09.27

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは。AWS事業本部トクヤマシュンです。

マルチアカウントでAWS Security Hubの管理を行いたいときは、AWS Security Hub管理者アカウントを設定してで中央管理が可能です。
今回は管理者アカウントからメンバーアカウントのAWS Security Hubを一括有効化する機会がありましたので、注意すべき点をお伝えします。

はじめにまとめ

  • すでにAWS Security Hubが有効になっていたアカウントは、一括有効化によって設定変更されない
    • Security Hubのみ有効でセキュリティ標準がすべて無効だった場合、一括有効化後もセキュリティ標準はすべて無効のまま
    • いくつかのセキュリティ標準が有効化されていた場合、一括有効化後もセキュリティ標準はもともと設定されていたものから変化しない
  • SecurityHubが無効だったアカウントのみ、一括有効化によって次の2つのセキュリティ標準が併せて有効化される
    • AWS Foundational Security Best Practices
    • CIS AWS Foundations Benchmark

公式ドキュメントだと次のエントリに記載があります。

以降はこれらの動きを詳しく見ていきます。

事前設定

今回はAWS Organizationsを用いて管理設定を行います。
次の画像のように、ou:test-security-hubの下にある5つのアカウントを用いて、挙動を確認します。  

各アカウントは次の設定を行っておきます

アカウント Security Hub 有効セキュリティ標準
test-securityhub-1 無効 -
test-securityhub-2 有効 -
test-securityhub-3 有効 ・AWS Foundational Security Best Practices
test-securityhub-4 有効 ・AWS Foundational Security Best Practices
・CIS AWS Foundations Benchmark
test-securityhub-5 有効 ・AWS Foundational Security Best Practices
・CIS AWS Foundations Benchmark
・Payment Card Industry Data Security Standard (PCI DSS)

一括有効化の実施

AWS Security Hub管理アカウントから一括有効化を行います。
test-securityhub-1〜5を選択、Auto-enable default standardsが有効になっている状態でActions→Add memberによりメンバー追加を行います。

一括有効化が完了すると、StatusがEnabledとなります。

各アカウントの設定確認

では各アカウント毎に設定をみていきます。

test-securityhub-1

このアカウントは元々AWS Security Hubが無効だったので、一括有効化により設定が行われています。
Auto-enable default standards設定によって、2つのセキュリティ標準が有効化されています。

test-securityhub-2

このアカウントでは元々AWS Security Hubは有効でしたが、有効なセキュリティ標準が設定されていませんでした。
そのため一括有効化実施後も状態は変わっていません。

この挙動を知らなければ、一括有効化設定をしたつもりでも実はセキュリティ標準は1つも設定されていなかったという不幸な事故を招きかねないのでとくに注意しましょう。

test-securityhub-3

以降はすべて一括有効化前後で状態変わらなかったので、画像だけ載せておきます。

test-securityhub-4

test-securityhub-5

本ブログでお伝えしたかったことは以上です。

趣味のスパイスカレー

私の趣味はスパイスカレー作りで、ブログに投稿していってます。
相変わらずAWSには全然関係ありませんが、カレー作りも技術が必要ということで、技術ブログの一環としてお付き合いいただけますと幸いです。

  • 鶏と甘長の出汁キーマ
  • 蛸と海老とシメジのココナッツカレー

和×スリランカ風のプレートになりました。
出汁の旨味、甘長の苦味、ココナッツの甘みが合わさって、とても美味しかったです!

最後に

すでにAWS Security Hubが運用されているアカウントに対して中央管理を行う時には、
既に有効化済みのアカウントの設定は変更されないのでご注意ください。

本ブログがどなたかのお役に立てば幸いです。

Share this article

facebook logohatena logotwitter logo

関連記事

[アップデート]Security Hub のセキュリティ標準に新たに5個のチェック項目が追加されました(2024/11/15)

[アップデート]Security Hub のセキュリティ標準に新たに5個のチェック項目が追加されました(2024/11/15)

User avatar
吉田 岳史
2024.11.22
Amazon Inspectorで単一リソースのスキャン結果の作成日時にずれがあるかを確認してみた

Amazon Inspectorで単一リソースのスキャン結果の作成日時にずれがあるかを確認してみた

User avatar
平井裕二
2024.11.22
Amazon Inspectorの検出結果をリソース単位でまとめてメール通知する方法

Amazon Inspectorの検出結果をリソース単位でまとめてメール通知する方法

User avatar
平井裕二
2024.11.21
【Security Hub修復手順】[KMS.5] KMSキーはパブリックに公開すべきではありません

【Security Hub修復手順】[KMS.5] KMSキーはパブリックに公開すべきではありません

User avatar
吉田 岳史
2024.11.14
Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.