Security Hub CSPM でコントロールを設定するために必要なアクセス許可
セキュリティコントロールに関する情報を表示し、標準でセキュリティコントロールを有効または無効にするため、AWS Security Hub CSPM へのアクセスに使用する AWS Identity and Access Management (IAM) ロールには、以下の Security Hub CSPM API のオペレーションを呼び出す権限が必要です。
必要な権限を取得するには、Security Hub CSPM のマネージドポリシーを使用します。または、カスタム IAM ポリシーを更新してこれらのアクションの権限を含めることもできます。
-
BatchGetSecurityControls — 現在のアカウントと AWS リージョン に対するセキュリティコントロールのバッチに関する情報を返します。
-
ListSecurityControlDefinitions — 指定された標準に適用されるセキュリティコントロールについての情報を返します。
-
ListStandardsControlAssociations — アカウントで有効になっている各標準で、セキュリティコントロールが現在有効か無効かを識別します。
-
BatchGetStandardsControlAssociations — セキュリティコントロールのバッチについて、指定された標準の各コントロールが有効か無効かを識別します。
-
BatchUpdateStandardsControlAssociations — コントロールを含む標準のセキュリティコントロールを有効化するか、標準のコントロールを無効化するために使用します。これは、既存の
UpdateStandardsControlオペレーションのバッチ代替です。 -
BatchUpdateStandardsControlAssociations — コントロールを含む標準のセキュリティコントロールのバッチを有効化するか、無効化するために使用します。これは、既存の
UpdateStandardsControlオペレーションのバッチ代替です。 -
UpdateStandardsControl — コントロールを含む標準の単一のセキュリティコントロールを有効化するか、無効化するために使用します。
-
DescribeStandardsControl – 指定されたセキュリティコントロールに関する詳細を返します。
前述の API に加えて、IAM ロールに BatchGetControlEvaluations を呼び出す権限を追加する必要があります。この権限は、コントロールの有効化およびコンプライアンスステータス、コントロールの検出結果の数、コントロールの全体的なセキュリティスコアを Security Hub CSPM コンソールに表示するために必要です。コンソールは BatchGetControlEvaluations を呼び出すのみであるため、この権限は公開されている Security Hub CSPM API や AWS CLI コマンドに直接対応していません。
