[アップデート]Security Hubが AWS Organizations と統合！組織内セキュリティチェック環境を簡単にセットアップ/管理できるようになりました

はじめに

待ち望んでいたアップデートです。 Security Hubの Organizations 組織内 セットアップ/管理がより簡単になりました。

何が嬉しいか

今まで

Security Hub は(Organizations 関係なく) マルチアカウント利用が可能でした。 マスターアカウント/メンバーアカウントの関係を作ることで、 マスターアカウントの Security Hub 上で メンバーアカウント分のセキュリティチェック(検出結果)を確認・操作できます。

しかし、マスターアカウント/メンバーアカウントの関係を作るには

1. 事前にメンバーアカウントでも Security Hubを有効化しておく
2. マスターアカウントが各メンバーアカウントへ招待を送る
3. 各メンバーアカウントがその招待を受諾する

上記プロセスを経て実現していました。

AWS Organizations など利用しているような大規模なマルチアカウント環境では この "招待 → 受諾" の作業がとても大変でした 。

※この作業を楽にするためのスクリプト aws-securityhub-multiaccount-scripts | github は 提供されていました。

これから

Organizations統合されてからのセットアッププロセスを簡単に図示すると以下のようになります。

1. Organizations マネジメントアカウントから 特定アカウントへ委任
2. 【とても簡単に】 組織内アカウントの検出結果を集約

嬉しいこと

• 自動的に Security Hub メンバーアカウントを登録してくれるため、 メンバーアカウントへの "招待 → 受諾" のプロセスが不要になります
• 自動的に Security Hub/セキュリティチェックを有効化してくれるため、 メンバーアカウント上の 事前準備(Security Hub有効化)が不要になります
• 組織に追加された新規アカウントに上記対応を自動的にしてくれるため、 アカウントが増えたときの対応が不要になります

やってみる

[2021/09/08追記] 1からのセットアップブログを書きました

• Organizations 環境で AWS Security Hub を全リージョンへ簡単セットアップする | DevelopersIO

前提条件

「従来の方法でセットアップしていた Security Hub 環境」を 「Organizations統合された Security Hub 環境」へ移行することを想定します。

▼ Organizations マネジメントアカウントの作業

Security Hub のページの [設定]>[一般] に「委任された管理者」設定項目が出来ています。

ここに Security Hub の管理を委任するアカウント(監査アカウントなど)の AWSアカウントIDを入力します。

委任後の画面は以下のようになります。

▼ 委任されたアカウントの作業

特別な作業は必要ありません

以下のように Type: Via AWS organization となっていれば Organizations 統合への移行成功です。

新規に追加されるアカウントに対して自動的に Security Hub/セキュリティチェックを有効化させたい場合は、 以下の Auto-enable is ON を有効化させましょう。

注意事項など

Configの有効化は予め実施しておくこと

Security Hub はバックグラウンドで AWS Configを利用しています。 そのため予め AWS Config 記録を有効化しておくことが前提条件ですが、 今回の Organizations 統合はそこまでサポートしていません。 事前に Config 記録は有効化するようにしておきましょう。

おわりに

待ち望んでいた Organizations統合でした。 今までの "招待→受諾" のプロセスが不要になったこと、新規アカウント追加に対する自動対応など 嬉しいことばかりです。

Organizations 統合への移行も特に考慮点無く実施できます。 Organizations 利用の方は、ぜひとも実施下さい！

参考