# 各スタックをデプロイする場所を決定する
<a name="deciding-where-to-deploy-each-stack"></a>

3 つのテンプレートは次の名前で参照され、次のリソースが含まれます。
+ 管理者スタック: オーケストレーターステップ関数、イベントルール、Security Hub カスタムアクション。
+ メンバースタック: 修復 SSM オートメーションドキュメント
+ メンバーロールスタック: 修復用の IAM ロール。

管理者スタックは、1 つのアカウントと 1 つのリージョンに 1 回デプロイする必要があります。ご自分の組織の Security Hub 検出結果の集約先として設定したアカウントとリージョンにデプロイする必要があります。アクションログ機能を使用して管理イベントをモニタリングする場合は、組織の管理アカウントまたは委任された管理者アカウントに管理者スタックをデプロイする必要があります。

このソリューションは Security Hub の検出結果に基づいて動作するため、そのアカウントまたはリージョンが Security Hub の管理者アカウントとリージョンの検出結果を集約するように設定されていない場合、特定のアカウントとリージョンの検出結果を操作することはできません。

**重要**  
[AWS Security Hub (非 CSPM)](https://aws.amazon.com/security-hub/) を使用している場合は、[AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html) にオンボードされているメンバーアカウントが AWS Security Hub (非 CSPM) にもオンボードされていることを確認する責任があります。AWS Security Hub CSPM に集約されたリージョンは、AWS Security Hub (非 CSPM) に集約されたリージョンとも一致している必要があります。

例えば、ある組織に `us-east-1` と `us-west-2` のリージョンで運用されているアカウントがあり、アカウント `111111111111` が `us-east-1` リージョンの Security Hub 委任管理者になっているとします。`222222222222` と `333333333333` のアカウントは、委任管理者アカウント `111111111111` の Security Hub メンバーアカウントである必要があります。`us-west-2` から `us-east-1` までの検出結果を集約するには、3 つのアカウントすべてを設定する必要があります。管理者スタックは `us-east-1` のアカウント `111111111111` にデプロイする必要があります。

検出結果の集約の詳細については、Security Hub の「[委任管理者アカウント](https://docs.aws.amazon.com/securityhub/latest/userguide/designate-orgs-admin-account.html)」と「[クロスリージョン集約](https://docs.aws.amazon.com/securityhub/latest/userguide/finding-aggregation.html)」のドキュメントを参照してください。

管理者スタックは、メンバーアカウントからハブアカウントに信頼関係を作成できるように、メンバースタックをデプロイする前にデプロイを完了する必要があります。

メンバースタックは、検出結果を修復するすべてのアカウントとリージョンにデプロイする必要があります。これには、以前に ASR 管理者スタックをデプロイした Security Hub 委任管理者アカウントを含めることができます。SSM Automation の無料利用枠を使用するには、オートメーションドキュメントがメンバーアカウントで実行されている必要があります。

前の例を使用して、すべてのアカウントとリージョンの検出結果を修復する場合は、メンバースタックを 3 つのアカウントすべて (`111111111111`、`222222222222`、`333333333333`) と両方のリージョン (`us-east-1` および `us-west-2`) にデプロイする必要があります。

メンバーロールスタックはすべてのアカウントにデプロイする必要がありますが、アカウントごとに 1 回のみデプロイできるグローバルリソース (IAM ロール) が含まれています。メンバーロールスタックをデプロイするリージョンは関係ないため、わかりやすくするために、管理者スタックがデプロイされているのと同じリージョンにデプロイすることをお勧めします。

前の例を使用して、メンバーロールスタックを `us-east-1` の 3 つのアカウントすべて (`111111111111`、`222222222222`、および `333333333333`) にデプロイすることをお勧めします。

## 各スタックのデプロイ方法を決定する
<a name="deciding-how-to-deploy-each-stack"></a>

スタックをデプロイするためのオプションは次のとおりです。
+ CloudFormation StackSet (セルフマネージドのアクセス許可)
+ CloudFormation StackSet (サービスマネージドのアクセス許可)
+ CloudFormation スタック

サービスマネージドのアクセス許可を持つ StackSet は、独自のロールをデプロイする必要がなく、組織内の新しいアカウントに自動的にデプロイできるため、最も便利です。残念ながら、このメソッドは、管理者スタックとメンバースタックの両方で使用するネストされたスタックをサポートしていません。この方法でデプロイできるスタックは、メンバーロールスタックのみです。

組織全体にデプロイする場合、組織管理アカウントは含まれていないため、組織管理アカウントの検出結果を修復する場合は、このアカウントに個別にデプロイする必要があります。

メンバースタックはすべてのアカウントとリージョンにデプロイする必要がありますが、ネストされたスタックが含まれているため、サービスマネージドのアクセス許可を持つ StackSets を使用してデプロイすることはできません。そのため、このスタックはセルフマネージドのアクセス許可を持つ StackSets でデプロイすることをお勧めします。

管理者スタックは一度だけデプロイされるため、プレーンな CloudFormation スタックとして、または単一のアカウントとリージョンでセルフマネージドのアクセス許可を持つ StackSet としてデプロイできます。

## 統合されたコントロールの検出結果
<a name="consolidated-controls-findings"></a>

ご自分の組織のアカウントで、Security Hub の統合されたコントロールの検出結果機能をオンまたはオフに設定できます。「*AWS Security Hub ユーザーガイド*」の「[統合されたコントロールの検出結果](https://docs.aws.amazon.com/securityhub/latest/userguide/controls-findings-create-update.html#consolidated-control-findings)」を参照してください。

**重要**  
この機能を有効にする場合は、ソリューションバージョン 2.0.0 以降を使用し、管理者スタックとメンバースタックの両方で「SC」 (セキュリティコントロール) プレイブックを有効にする必要があります。これらのスタックは、統合されたコントロール ID を操作するために必要なオートメーションドキュメントをデプロイします。統合されたコントロールの検出結果を使用する場合、個々の標準 (AWS FSBP など) のスタックをデプロイする必要はありません。

## 中国でのデプロイ
<a name="china-deployment"></a>

このソリューションは中国リージョンでのデプロイをサポートしていますが、**中国リージョンでのワンクリックデプロイには、このガイドの他のセクションで提供されている起動ボタンではなく、次の起動ボタンを使用する必要があります。**このガイドの今後のセクションで提供されている [ソリューションを起動] ボタンを使用しても、中国リージョンにデプロイしている場合は機能しません。テンプレートを任意の S3 バケットリンクからダウンロードし、テンプレートファイルをアップロードしてスタックをデプロイすることもできます。
+  **automated-security-response-admin.template**

 [https://cn-north-1.console.amazonaws.cn/cloudformation/home?region=cn-north-1#/stacks/new?stackName=automated-security-response-on-aws-admin&templateURL=https:%2F%2Fs3---cn-north-1.amazonaws.com.rproxy.govskope.us.cn%2Fsolutions-reference-cn%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-admin.template&redirectId=ImplementationGuide](https://cn-north-1.console.amazonaws.cn/cloudformation/home?region=cn-north-1#/stacks/new?stackName=automated-security-response-on-aws-admin&templateURL=https:%2F%2Fs3---cn-north-1.amazonaws.com.rproxy.govskope.us.cn%2Fsolutions-reference-cn%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-admin.template&redirectId=ImplementationGuide) 
+  **automated-security-response-member-roles.template**:

 [https://cn-north-1.console.amazonaws.cn/cloudformation/home?region=cn-north-1#/stacks/new?stackName=automated-security-response-on-aws-member-roles&templateURL=https:%2F%2Fs3---cn-north-1.amazonaws.com.rproxy.govskope.us.cn%2Fsolutions-reference-cn%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member-roles.template&redirectId=ImplementationGuide](https://cn-north-1.console.amazonaws.cn/cloudformation/home?region=cn-north-1#/stacks/new?stackName=automated-security-response-on-aws-member-roles&templateURL=https:%2F%2Fs3---cn-north-1.amazonaws.com.rproxy.govskope.us.cn%2Fsolutions-reference-cn%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member-roles.template&redirectId=ImplementationGuide) 
+  **automated-security-response-member.template**

 [https://cn-north-1.console.amazonaws.cn/cloudformation/home?region=cn-north-1#/stacks/new?stackName=automated-security-response-on-aws-member&templateURL=https:%2F%2Fs3---cn-north-1.amazonaws.com.rproxy.govskope.us.cn%2Fsolutions-reference-cn%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member.template&redirectId=ImplementationGuide](https://cn-north-1.console.amazonaws.cn/cloudformation/home?region=cn-north-1#/stacks/new?stackName=automated-security-response-on-aws-member&templateURL=https:%2F%2Fs3---cn-north-1.amazonaws.com.rproxy.govskope.us.cn%2Fsolutions-reference-cn%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member.template&redirectId=ImplementationGuide) 

## GovCloud (米国) でのデプロイ
<a name="govcloud-deployment"></a>

このソリューションは GovCloud (米国) リージョンでのデプロイをサポートしていますが、**GovCloud (米国) リージョンでのワンクリックデプロイには、このガイドの他のセクションで提供されている起動ボタンではなく、次の起動ボタンを使用する必要があります。**このガイドの今後のセクションで提供されている [ソリューションを起動] ボタンを使用しても、GovCloud (米国) リージョンにデプロイしている場合は機能しません。テンプレートを任意の S3 バケットリンクからダウンロードし、テンプレートファイルをアップロードしてスタックをデプロイすることもできます。
+  **automated-security-response-admin.template**

 [https://console.amazonaws-us-gov.com/cloudformation/home?region=us-gov-west-1#/stacks/new?stackName=automated-security-response-on-aws-admin&templateURL=https:%2F%2Fs3.us-gov-west-1.amazonaws.com%2Fsolutions-reference-us-gov%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-admin.template&redirectId=ImplementationGuide](https://console.amazonaws-us-gov.com/cloudformation/home?region=us-gov-west-1#/stacks/new?stackName=automated-security-response-on-aws-admin&templateURL=https:%2F%2Fs3.us-gov-west-1.amazonaws.com%2Fsolutions-reference-us-gov%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-admin.template&redirectId=ImplementationGuide) 
+  **automated-security-response-member-roles.template**:

 [https://console.amazonaws-us-gov.com/cloudformation/home?region=us-gov-west-1#/stacks/new?stackName=automated-security-response-on-aws-member-roles&templateURL=https:%2F%2Fs3.us-gov-west-1.amazonaws.com%2Fsolutions-reference-us-gov%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member-roles.template&redirectId=ImplementationGuide](https://console.amazonaws-us-gov.com/cloudformation/home?region=us-gov-west-1#/stacks/new?stackName=automated-security-response-on-aws-member-roles&templateURL=https:%2F%2Fs3.us-gov-west-1.amazonaws.com%2Fsolutions-reference-us-gov%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member-roles.template&redirectId=ImplementationGuide) 
+  **automated-security-response-member.template**

 [https://console.amazonaws-us-gov.com/cloudformation/home?region=us-gov-west-1#/stacks/new?stackName=automated-security-response-on-aws-member&templateURL=https:%2F%2Fs3.us-gov-west-1.amazonaws.com%2Fsolutions-reference-us-gov%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member.template&redirectId=ImplementationGuide](https://console.amazonaws-us-gov.com/cloudformation/home?region=us-gov-west-1#/stacks/new?stackName=automated-security-response-on-aws-member&templateURL=https:%2F%2Fs3.us-gov-west-1.amazonaws.com%2Fsolutions-reference-us-gov%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member.template&redirectId=ImplementationGuide)