Security Hub の中央設定で有効化しているコントロールにリージョンで差異がある理由

Security Hub の中央設定で有効化しているコントロールにリージョンで差異がある理由

Clock Icon2024.08.15

困っていた内容

Security Hub の中央設定経由で設定ポリシーを適用したにも関わらず、ホームリージョンと他のリージョンで有効になっているコントロールに差異があります。原因を教えてください。

どう対応すればいいの?

中央設定で無効化するように指定したコントロールに加えて、グローバルリソースに関係するコントロールが無効化された可能性があります。

中央設定の設定ポリシーは、ポリシーが適用されている関連アカウントのホームリージョンとリンクされた全てのリージョンで有効になります [1]

  • Configuration policies take effect in your home Region and all linked Regions – A configuration policy affects all associated accounts in the home Region and all linked Regions. You can't create a configuration policy that takes effect in only some of these Regions and not others.

しかし、例外として、グローバルリソースに関係するコントロールについては、ホームリージョン以外では自動的に無効化される仕様となっています [2]

If you use central configuration, Security Hub automatically disables controls that involve global resources in all Regions except the home Region. Other controls that you choose to enable though a configuration policy are enabled in all Regions where they are available.

グローバルリソースを使用するコントロールについては、以下ドキュメントに一覧が記載されていますのでご参照ください。

https://docs.aws.amazon.com/securityhub/latest/userguide/controls-to-disable.html#controls-to-disable-global-resources

参考情報

脚注
  1. How configuration policies work - AWS Security Hub ↩︎

  2. How configuration policies work - AWS Security Hub ↩︎

Share this article

facebook logohatena logotwitter logo

© Classmethod, Inc. All rights reserved.