複数の AWS リージョンの Security Hub の検出結果とセキュリティスコアを集約する方法を教えてください。

簡単な説明

Security Hub CSPM を使用すると、セキュリティの状態を詳細に把握でき、セキュリティ標準やベストプラクティスに照らして環境を確認するのに役立ちます。クロスリージョン集約を使用して、複数の AWS リージョンの検出結果、インサイト、コントロールのコンプライアンスステータス、セキュリティスコアを単一の集約リージョンに集約できます。

解決策

注: AWS コマンドラインインターフェイス (AWS CLI) コマンドの実行中にエラーが発生した場合は、「AWS CLI のエラーのトラブルシューティング」を参照してください。また、AWS CLI の最新バージョンを使用していることを確認してください。

環境を準備する

次の手順を実行します。

1. Security Hub CSPM を有効にしたいすべてのリージョンで AWS Config 設定レコーダーを開始します。
2. 集約リージョンおよびリンクされたリージョンと同じ AWS リージョンで Security Hub CSPM を有効にします。

AWS Organizations を使用する場合は、次の点に注意してください。

• AWS Organizations の メンバーアカウントの検出結果を集約するには、メンバーアカウントと同じリンクされたリージョンで AWS Config と Security Hub CSPM を有効にしなければなりません。
• メンバーアカウントを、各 AWS リージョンの Security Hub CSPM 管理者として委任できます。

クロスリージョン集約を有効にする

クロスリージョン集約は、AWS マネジメントコンソールまたは AWS CLI のいずれかで有効にできます。

AWS コンソールを使用する場合は、次の手順を実行します。

1. 集約リージョンの Security Hub CSPM 管理者アカウントで Security Hub CSPM コンソールを開きます。
   注: リージョンが非アクティブになっている場合は、必ずリージョンを有効にしてください。
2. ナビゲーションペインで [設定] を選択し、次に [リージョン] を選択します。
3. [検出結果の集約を設定] を選択し、集約リージョンを選択します。
4. [利用可能なリージョン] で、検出結果を集約したい AWS リージョンを選択します。
5. [将来のリージョンのリンクを設定] を選択することで、新しい AWS リージョンの集約データが自動的にリンクされます。
6. [保存] を選択します。

AWS CLI を使用してクロスリージョン集約を有効にするには、次の create-finding-aggregator AWS CLI コマンドを実行します。

aws securityhub create-finding-aggregator --region your-aggregation-region --region-linking-mode ALL_REGIONS

注: your-aggregation-region を集約リージョンに置き換えます。--region-linking-mode では、次のオプションのいずれかを選択します。 ALL_REGIONS、ALL_REGIONS_EXCEPT_SPECIFIED、SPECIFIED_REGIONS。SPECIFIED_REGIONS を選択した場合は、--regions パラメータを使用してリージョンリストを指定します。

クロスリージョン集約を有効にすると、Security Hub CSPM はリンクされたリージョンの検出結果とセキュリティスコアの集約を開始します。

Security Hub CSPM 管理者アカウントを使用して、どのリージョンからでもクロスリージョン設定を表示できます。ただし、設定を更新できるのは集約リージョンからに限定されます。詳細については、「Enabling cross-Region aggregation」(クロスリージョン集約の有効化) を参照してください。

関連情報

Effect of account actions on Security Hub CSPM data (アカウントアクションが Security Hub CSPM データに与える影響)

Integrating Security Hub CSPM with AWS Organizations (Security Hub CSPM と AWS Organizations の統合)