Security Hub CSPM の中央設定で me-south-1 を含めると設定ポリシーの適用が失敗する事象と対処方法について
はじめに
AWS Security Hub CSPM の中央設定を有効化し、組織全体へ設定ポリシーを適用したところ、ポリシーの関連付けが失敗しました。切り分けと対応方法を紹介します。
確認結果早見
事象
リンクリージョンに me-south-1(バーレーン)を含めた状態で中央設定を有効化すると、組織への設定ポリシーの適用が失敗します。
原因
事象当時、me-south-1 で大規模なサービス障害が発生しており、リージョンが正常に利用できない状態でした。これが適用失敗の原因と考えられます。
修正方法
設定タイプをローカル設定に戻したうえで、中央設定を再度有効化する際のリージョン選択時に me-south-1 を除外します。
Security Hub CSPM の中央設定とは
中央設定 は、委任管理者アカウントのホームリージョンから設定ポリシーを作成できる機能です。組織内の複数アカウント・複数リージョンの Security Hub CSPM 設定を一元管理できます。設定ポリシーはホームリージョンと全リンクリージョンに適用されます。中央設定を使わない場合は、各アカウントが個別にセルフマネージドで設定を管理します。
有効化ウィザードでは、ホームリージョンを選択した後に 1 つ以上のリンクリージョンを選択します。このリンクリージョン選択が、今回の問題の発生ポイントでした。
事象について
中央設定を有効化し、リンクリージョンに me-south-1 を含めた状態で組織全体に設定ポリシーを適用したところ、ポリシーの関連付けステータスが「失敗」になりました。
切り分け
原因はいろいろ考えられます。リージョン周りのトラブルは先日出くわしたのでリージョンから辺りをつけました。
どのリージョンが原因かを特定するため、リンクリージョンを 1 つずつ外して更新を試しました。まず ap-southeast-7(タイ)を除外した状態で更新します。
ポリシーの関連付けは正常に完了しました。ap-southeast-7 は今回の原因ではないと判断できます。
次に me-south-1(バーレーン)を除外した状態で更新を試みます。
me-south-1 を除外しようとしたところ、エラーが返り除外できませんでした。この結果から、me-south-1 が関係していると判断しました。
原因
切り分けの結果、me-south-1 が関係しているところまで分かりました。事象が起きた当時、me-south-1(バーレーン)リージョンでは大規模なサービス障害が発生しており、リージョンが正常に利用できない状態でした。設定ポリシーを適用できなかったのは、この障害が有力な原因と考えられます。
障害の状況は AWS Health Dashboard で確認できます。
修正方法
設定タイプをいったんローカル設定に戻し、中央設定を再有効化する際に me-south-1 を除外してリンクリージョンを選択し直します。手順は次のとおりです。
ポリシーの関連付けを解除する
ローカル設定に戻す前提として、既存の設定ポリシーの関連付けを解除します。マネジメントコンソールで対象ポリシーを選択し、関連付けを削除します。
関連付けが解除され、ポリシーの関連付けステータスが空欄になりました。
セルフマネージドを指定していた場合
セルフマネージドで管理しているアカウントがある場合は、管理タイプを「一元管理+自分の組織から継承」に変更して更新します。
ポリシーの関連付けステータスが空欄になれば、解除は完了です。
ローカル設定に戻す
委任管理者アカウントのホームリージョンで、以下の CLI コマンドを実行します。
aws securityhub update-organization-configuration \
--no-auto-enable \
--organization-configuration '{"ConfigurationType": "LOCAL"}'
空(成功)
ポリシーの関連付けが残っている場合、またはセルフマネージドで管理されているアカウントが残っている場合は、以下のエラーが返ります。
aws: [ERROR]: An error occurred (ResourceConflictException) when calling the UpdateOrganizationConfiguration operation: You can't disable central configuration while policies and associations exist. Disassociate each configuration policy and self-managed configuration, delete each policy, and try again.
マネジメントコンソールでも、設定タイプがローカル設定に切り替わっていることを確認します。
中央設定を再有効化する
マネジメントコンソールのウィザードで中央設定を再度有効化します。リンクリージョンの選択画面で me-south-1 を除いたリージョンを選択します。あわせて「将来のリージョンをリンク」のチェックも外しておきます。将来追加されるリージョンのチェックが入っていると、me-south-1を除外したリージョン選択に失敗しました。
ポリシー適用成功を確認する
マネジメントコンソールで設定ポリシーの一覧を開き、対象ポリシーの関連付けステータスを確認します。全アカウントが「成功」になっていれば、適用は完了です。時間がかかるので放置して後で確認してみてください。
まとめ
Security Hub CSPM の中央設定で me-south-1(バーレーン)をリンクリージョンに含めると、設定ポリシーの関連付けが失敗しました。事象当時 me-south-1 で大規模なサービス障害が発生していたことが原因と思われます。me-south-1 をリンクリージョンから除外することで回避できました。
対応手順は以下のとおりです。
- 既存の設定ポリシーの関連付けを解除し、設定タイプをローカル設定に戻す
me-south-1を除いて中央設定を再有効化する- 「将来のリージョンをリンク」のチェックも外しておくこと
ローカル設定に戻す際は、既存のポリシーと関連付けを削除する必要があります。事前に設定内容を控えておくことをおすすめします。
おわりに
バーレーンリージョンの障害は 2026 年 3 月から続いているので今さら感はあるのですが、直接リージョンを利用していなくてもこういった設定で影響があったのかとなりました。
