AWS Security Hub中央設定 セルフマネージドアカウントでもクロスリージョン集約は委任先アカウントの設定が反映される

佐藤雅樹

2024.06.14

AWS Security Hub中央設定でセルフマネージドにしたアカウントのクロスリージョン集約を個別に設定できるか気になりました。

結論、現時点(2024/6時点)では、できませんでした。

セルフマネージド設定のアカウントのクロスリージョン集約設定は委任アカウントと同様になります。

前提

クロスリージョン集約

Security Hubの検出結果を1つのリージョンに集約できる設定です。

詳しくは以下をご確認ください。

AWS Security Hub中央設定

Security Hub委任管理者アカウントで、複数のアカウントのSecurity Hubの標準、コントロールを設定できる機能です。

中央設定ではクロスリージョン集約の集約先リージョンがホームリージョンと呼ばれます。

ホームリージョンにて上記の設定を行います。

クロスリージョン集約を行ったリージョンに対して、中央設定で設定したポリシーが適用されます。

例えば、ap-northeast-1でクロスリージョン集約を行い、リンクされたリージョンにus-east-1 us-east-2を指定します。

ホームリージョンがap-northeast-1になり、このリージョンでポリシー適用等を行います。

us-east-1,us-east-2にはホームリージョンで設定したポリシーが自動的に適用されます。

ポリシーを適用せずにアカウント個別で管理(セキュリティ標準の有効化等)することもでき、このアカウントはセルフマネージド型アカウントと呼ばれます。

「セルフマネージド型アカウントでクロスリージョン集約を個別に設定できるのか」試してみた

冒頭でも書いた通り、出来ませんでした。

正確には設定自体は可能ですが、動作は委任先アカウントのクロスリージョン集約が優先されました。

中央設定の仕組み - AWS Security Hub

セルフマネージド型アカウントは、アカウント固有のオペレーションを使用して、各リージョンで個別に Security Hub を設定します。これとは対照的に、一元管理型アカウントは、設定ポリシーによって複数のリージョンにわたり委任された管理者のみが設定できます。

ドキュメントに記載があるとおり、セルフマネージド型アカウントは各リージョンで個別にSecurity Hubを設定する必要があります。

図にすると以下のようなイメージです。

Untitled(3) (1)

委任アカウント 中央設定の状況

Security Hub委任アカウントで中央設定を確認します。

中央設定は以下の状態で、masaki.satoアカウントはセルフマネージドです。

Cursor_と_設定___Security_Hub___ap-northeast-1

クロスリージョン集約は、集約リージョンap-northeast-1でリンクされたリージョンはap-northeast-3 us-east-1としました。

sec_cross_region

セルフマネージドアカウントのクロスリージョン設定

セルフマネージドアカウントのap-northeast-1のSecurity Hubクロスリージョン集約設定を見てみます。

クロスリージョン集約は、集約リージョンap-northeast-1でリンクされたリージョンはus-east-2となっています。

これは以前設定したもので、ホームリージョンは委任先アカウントの設定で上書きされては無いようです。

ad_cross_region_home2

ここだけ見ると、委任先アカウントとセルフマネージドアカウントで別のクロスリージョン設定ができそうです。

しかし、別のリージョンをみてみると委任先アカウントの設定が反映されていることが分かります。

ad_cross_region_us-east-1
us-east-1

ad_cross_region_us-east-2
us-east-2

ホームリージョンのクロスリージョン設定を編集できるが、その他のリージョンは委任先アカウントの設定が反映されるため、委任先アカウントと別のクロスリージョン集約が設定できません。

セルフマネージド型アカウントのリンクされたリージョンの検出結果は集約リージョンで確認できるか

委任先アカウントから引き継がれたクロスリージョン設定に従って、リージョン集約されました。

セルフマネージド型アカウントのリンクされたリージョンのus-east-2、委任先アカウントのリンクされたリージョンのus-east-1でそれぞれGuarDutyの検出結果を生成し(※)集約リージョンのap-northeast-1のSecurity Hubで確認してみました。

結果は以下のとおりです。

セルフマネージド型アカウントのでリージョン集約の動作

リンクされたリージョン/集約リージョン セルフマネージド型アカウント(ap-northeast-1) 委任先アカウント(ap-northeast-1)
委任先アカウントから継承されたリージョン(us-east-1)
セルフマネージド型アカウント内で設定したリージョン(us-east-2)

委任アカウントから承認されたリージョンの検出結果をセルフマネージド型アカウントの集約リージョンのSecurity Hubで確認できました。

ad_cross_region_sechub-tokyo

セルフマネージド型アカウントではクロスリージョン集約の設定は変更できないが、委任アカウントから引き継がれた設定でクロスリージョン集約されるます。

amazon-guardduty-testerを使ってFindingsを生成しました。

おわりに

セルフマネージド型アカウントでも、クロスリージョン集約設定は委任先アカウントから引き継がれます。

セルフマネージドで管理できるところと出来ないところを、考慮してSecurity Hub中央設定使っていきたいですね。

以上、AWS事業本部の佐藤(@chari7311)でした。

AWS

関連記事

[セッションレポート] プロンプトエンジニアリング入門(AWS-TC-04)#AWSSummit

荒平 祐次(arap)

2024.06.23

AWS IAM Identity Center のサインインログを CloudTrail と Athena で確認する方法

大村 保貴

2024.06.23

【セッションレポート】AWS コンテナサービスから考える安全なアプリケーションデリバリー(AWS-34) #AWSSummit

坂本勇人

2024.06.23

[アップデート] Amazon EC2 の macOS AMI ID を SSM パブリックパラメータから取得出来るようになりました

いわさ

2024.06.23