はじめに
今回はSecurityHubでアカウント間の委任関係を設定したので備忘録として残したいと思います。
※AWS Organizationsを利用していないアカウントで設定しています。
注意事項
各設定値に関しては状況によって適切な値をご設定いただくようにお願いいたします。
前提
AWS Configを各アカウントで事前に設定済みの状態です。
SecurityHubとは
AWSのセキュリティベストプラクティスのチェックを実施し、アラートを集約したり、自動修復したりできるようにするサービスです。
イメージ図
SecurityHubの検知結果を集約することができます。
設定
1.各アカウントでSecurityHubを有効化
2.マスターアカウントでメンバーアカウントの追加
3.マスターアカウントからメンバーアカウントへ招待を送信
4.メンバーアカウントで招待を承諾
1.各アカウントでSecurityHubを有効化
1.[SecurityHubに移動]をクリックします。
2.セキュリティ基準を選択し、[SecurityHubの有効化]をクリックします。
今回は個人アカウントなのでAWS基礎セキュリティのベストプラクティスのみを選択しています。
2.マスターアカウントでメンバーアカウントの追加
1.[設定]をクリックします。
2.[Add accounts]をクリックします。
3.アカウントID、メールアドレスを入力して[Add]をクリックします。
4.[Next]をクリックします。
3.マスターアカウントからメンバーアカウントへ招待を送信
1.[Invite]をクリックします。
2.[Invite]をクリックします。
4.メンバーアカウントで招待を承諾
メンバーアカウントのSecurityHub にアクセスします。
1.[設定]からアカウントタブを開きます。
アカウントIDがマスターアカウントのIDであればAcceptをONに設定します。
2.[Accept Invitation]をクリックします。
確認
マスターアカウントでSecurityHubにアクセスすると、
"Enabled"と表示されていることを確認できます。
また、トップページから先ほど設定したメンバーアカウントの情報も閲覧できることを確認できます。
まとめ
今回はSecurityHubにおいてアカウント間の委任関係を設定しました。
次はGuard Dutyのアカウント間の委任関係を設定したいと思います。