Security Hub の中央設定で有効化しているコントロールにリージョンで差異がある理由

困っていた内容

Security Hub の中央設定経由で設定ポリシーを適用したにも関わらず、ホームリージョンと他のリージョンで有効になっているコントロールに差異があります。原因を教えてください。

どう対応すればいいの？

中央設定で無効化するように指定したコントロールに加えて、グローバルリソースに関係するコントロールが無効化された可能性があります。

中央設定の設定ポリシーは、ポリシーが適用されている関連アカウントのホームリージョンとリンクされた全てのリージョンで有効になります ^[1]。

• Configuration policies take effect in your home Region and all linked Regions – A configuration policy affects all associated accounts in the home Region and all linked Regions. You can't create a configuration policy that takes effect in only some of these Regions and not others.

しかし、例外として、グローバルリソースに関係するコントロールについては、ホームリージョン以外では自動的に無効化される仕様となっています ^[2]。

If you use central configuration, Security Hub automatically disables controls that involve global resources in all Regions except the home Region. Other controls that you choose to enable though a configuration policy are enabled in all Regions where they are available.

グローバルリソースを使用するコントロールについては、以下ドキュメントに一覧が記載されていますのでご参照ください。

https://docs.aws.amazon.com/securityhub/latest/userguide/controls-to-disable.html#controls-to-disable-global-resources

参考情報

• How configuration policies work - AWS Security Hub
• Suggested controls to disable in Security Hub - AWS Security Hub

脚注

1. How configuration policies work - AWS Security Hub ↩︎

2. How configuration policies work - AWS Security Hub ↩︎