どうも駆け出し12冠エンジニアのアスカです、今日はControl TowerのでSecurity Hubの設定をしていきます。
※この投稿は連載の3本目になっています。
背景
Control Towerを設定してから、開発用アカウントを作成してこれから作業を行っていく訳ですが、自分でSecurityの脆弱性を確認出来るようにしたい!!
そのため今回はSecurity Hubを有効化していきます。
手順は以下の通りです。
- 管理アカウントでSecurity Hubを有効化
- 管理アカウントで権限の委譲を設定
- 監査アカウントで有効化
- ダッシュボードを確認
ちなみに現状のマルチアカウント環境はこんな感じ。発見的ガードレールに用いられるConfigの検知結果を確認出来る状態にしていきます。
管理アカウントでSecurity Hubを有効化
管理アカウントにログインしてOrganizationsのページでSecurity Hubを有効化します。他にも色々な統制機能があってドキドキしますね。
Security Hubの信頼されたアクセスを有効にします。
管理アカウントでSecurity Hub権限を監査アカウントに委任
管理アカウントでSecurity Hubにアクセスして有効にします。
委任された管理者に監査アカウントのIDを入力して有効化します。
監査アカウントでSecurity Hub組織の有効化
監査アカウントに移動すると、Security Hubが有効になっています。
しかし、設定を確認すると、まだ組織で有効になっていない事が分かります。組織で有効化していくために"ポリシーを作成"をクリックします。
ここで組織の一元化設定をしていきます。
次に組織全体に適用する設定を選択します。今回は簡単のためにAWSが推奨するSecurity Hubの設定を使用します。
最後に設定内容を確認し、"ポリシーを作成して適用"をクリックします。
これで組織内の全てのアカウントでSecurity Hubが有効化されました。
メンバーアカウントでも有効化されている事を確認
メンバーアカウントでも有効になっている事を念のため確認してみましょう。
まとめ
今回、組織内の組織内のセキュリティ脆弱性を一元管理出来るダッシュボードを作成しました。今後はGuardDutyの検知結果も統合していきたいですね。
参考
めちゃめちゃ参考にさせていただきました。ありがとうございます!