AWS Security Hub の マネージドポリシー - AWS Security Hub
AWSSecurityHubFullAccessAWSSecurityHubReadOnlyAccess AWSSecurityHubOrganizationsAccess AWSSecurityHubServiceRolePolicyAWSSecurityHubV2ServiceRolePolicyポリシーの更新

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Security Hub の マネージドポリシー

AWS 管理ポリシーは、 によって作成および管理されるスタンドアロンポリシーです AWS。 AWS 管理ポリシーは、多くの一般的なユースケースにアクセス許可を付与するように設計されているため、ユーザー、グループ、ロールにアクセス許可の割り当てを開始できます。

AWS 管理ポリシーは、すべての AWS お客様が使用できるため、特定のユースケースに対して最小特権のアクセス許可を付与しない場合があることに注意してください。ユースケースに固有のカスタマー管理ポリシーを定義して、アクセス許可を絞り込むことをお勧めします。

AWS 管理ポリシーで定義されているアクセス許可は変更できません。が AWS 管理ポリシーで定義されたアクセス許可 AWS を更新すると、ポリシーがアタッチされているすべてのプリンシパル ID (ユーザー、グループ、ロール) に影響します。 AWS は、新しい が起動されるか、新しい API オペレーション AWS のサービス が既存のサービスで使用できるようになったときに、 AWS 管理ポリシーを更新する可能性が最も高くなります。

詳細については「IAM ユーザーガイド」の「AWS マネージドポリシー」を参照してください。

AWS 管理ポリシー: AWSSecurityHubFullAccess

AWSSecurityHubFullAccess ポリシーを IAM アイデンティティにアタッチできます。

このポリシーは、すべての Security Hub CSPM アクションへのフルアクセスをプリンシパルに許可する管理アクセス許可を付与します。このポリシーは、アカウントで Security Hub CSPM を手動で有効にする前に、プリンシパルにアタッチする必要があります。例えば、これらの許可を持つプリンシパルは、結果のステータスを表示および更新できます。また、カスタムインサイトの設定、統合の有効化、標準とコントロールの有効化と無効化を行うこともできます。管理者アカウントのプリンシパルは、メンバーアカウントを管理することもできます。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

  • securityhub – プリンシパルにすべての Security Hub CSPM アクションへのフルアクセスを許可します。

  • guardduty – Amazon GuardDuty のアカウントステータスに関する情報の取得をプリンシパルに許可します。

  • iam – プリンシパルが Security Hub CSPM と Security Hub のサービスにリンクされたロールを作成できるようにします。

  • inspector – Amazon Inspector のアカウントステータスに関する情報の取得をプリンシパルに許可します。

  • pricing – プリンシパルが AWS のサービス および 製品の料金表を取得できるようにします。

このポリシーのアクセス許可を確認するには、AWS 「 マネージドポリシーリファレンスガイドAWSSecurityHubFullAccess」の「」を参照してください。

AWS 管理ポリシー: AWSSecurityHubReadOnlyAccess

AWSSecurityHubReadOnlyAccess ポリシーを IAM アイデンティティにアタッチできます。

このポリシーは、ユーザーが Security Hub CSPM で情報を表示できるようにする読み取り専用アクセス許可を付与します。このポリシーがアタッチされているプリンシパルは、Security Hub CSPM で更新を行うことはできません。例えば、これらの許可を持つプリンシパルは、アカウントに関連付けられた結果のリストを表示できますが、結果のステータスを変更することはできません。インサイトの結果を表示することはできますが、カスタムインサイトを作成したり設定したりすることはできません。コントロールや製品統合を設定することはできません。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

  • securityhub – ユーザーが項目のリストまたは項目の詳細を返すアクションを実行できるようにします。これには、GetList、または Describe で始まる API オペレーションが含まれます。

このポリシーのアクセス許可を確認するには、AWS 「 マネージドポリシーリファレンスガイドAWSSecurityHubReadOnlyAccess」の「」を参照してください。

AWS 管理ポリシー: AWSSecurityHubOrganizationsAccess

AWSSecurityHubOrganizationsAccess ポリシーを IAM アイデンティティにアタッチできます。

このポリシーは、 の組織の Security Hub と Security Hub CSPM を有効化および管理するための管理アクセス許可を付与します AWS Organizations。このポリシーのアクセス許可により、組織管理アカウントは Security Hub と Security Hub CSPM の委任管理者アカウントを指定できます。また、委任管理者アカウントが組織アカウントをメンバーアカウントとして有効にすることもできます。

このポリシーは、 のアクセス許可のみを提供します AWS Organizations。組織管理アカウントと委任管理者アカウントには、関連するアクションに対するアクセス許可も必要です。これらの許可は、AWSSecurityHubFullAccess マネージドポリシーを使用して付与することができます。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

  • organizations:ListAccounts - 組織に属するアカウントリストの取得をプリンシパルに許可します。

  • organizations:DescribeOrganization - 組織に関する情報の取得をプリンシパルに許可します。

  • organizations:ListRoots - 組織ルートの一覧表示をプリンシパルに許可します。

  • organizations:ListDelegatedAdministrators - 組織の委任管理者の一覧表示をプリンシパルに許可します。

  • organizations:ListAWSServiceAccessForOrganization – プリンシパル AWS のサービス が、組織が使用する を一覧表示できるようにします。

  • organizations:ListOrganizationalUnitsForParent - 親 OU の子組織単位 (OU) の一覧表示をプリンシパルに許可します。

  • organizations:ListAccountsForParent - 親 OU の子アカウントの一覧表示をプリンシパルに許可します。

  • organizations:ListParents – 指定された子 OUs) を一覧表示します。

  • organizations:DescribeAccount - 組織内のアカウントに関する情報の取得をプリンシパルに許可します。

  • organizations:DescribeOrganizationalUnit - 組織内の OU に関する情報の取得をプリンシパルに許可します。

  • organizations:ListPolicies – 指定されたタイプの組織内のすべてのポリシーのリストを取得します。

  • organizations:ListPoliciesForTarget – 指定されたターゲットルート、組織単位 (OU)、またはアカウントに直接アタッチされているポリシーを一覧表示します。

  • organizations:ListTargetsForPolicy – 指定されたポリシーがアタッチされているすべてのルート、組織単位 (OUs)、およびアカウントを一覧表示します。

  • organizations:EnableAWSServiceAccess – プリンシパルが Organizations との統合を有効にすることを許可します。

  • organizations:RegisterDelegatedAdministrator – プリンシパルが委任管理者アカウントを指定できるようにします。

  • organizations:DeregisterDelegatedAdministrator – プリンシパルが委任管理者アカウントを削除できるようにします。

  • organizations:DescribePolicy – ポリシーに関する情報を取得します。

  • organizations:DescribeEffectivePolicy – 指定されたポリシータイプとアカウントの有効なポリシーの内容を返します。

  • organizations:CreatePolicy – ルート、組織単位 (OU)、または個々の AWS アカウントにアタッチできる、指定されたタイプのポリシーを作成します。

  • organizations:UpdatePolicy – 既存のポリシーを新しい名前、説明、またはコンテンツで更新します。

  • organizations:DeletePolicy – 指定されたポリシーを組織から削除します。

  • organizations:AttachPolicy – ルート、組織単位 (OU)、または個々のアカウントにポリシーをアタッチします。

  • organizations:DetachPolicy – ターゲットルート、組織単位 (OU)、またはアカウントからポリシーをデタッチします。

  • organizations:EnablePolicyType – ルート内のポリシータイプを有効にします。

  • organizations:DisablePolicyType – ルート内の組織ポリシータイプを無効にします。

  • organizations:TagResource – 指定されたリソースに 1 つ以上のタグを追加します。

  • organizations:UntagResource – 指定されたリソースから指定されたキーを持つタグを削除します。

  • organizations:ListTagsForResource – 指定されたリソースにアタッチされているタグを一覧表示します。

このポリシーのアクセス許可を確認するには、AWS 「 マネージドポリシーリファレンスガイドAWSSecurityHubOrganizationsAccess」の「」を参照してください。

AWS 管理ポリシー: AWSSecurityHubServiceRolePolicy

IAM エンティティに AWSSecurityHubServiceRolePolicy をアタッチすることはできません。このポリシーは、Security Hub CSPM がユーザーに代わってアクションを実行できるようにするサービスにリンクされたロールにアタッチされます。詳細については、「のサービスにリンクされたロール AWS Security Hub」を参照してください。

このポリシーは、サービスにリンクされたロールが Security Hub CSPM コントロールのセキュリティチェックの実行などのタスクを実行できるようにする管理アクセス許可を付与します。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

  • cloudtrail - CloudTrail 追跡に関する情報を取得します。

  • cloudwatch – 現在の CloudWatch アラームを取得します。

  • logs – CloudWatch ログのメトリクスフィルターを取得します。

  • sns - SNS トピックのサブスクリプションリストを取得します。

  • config – 設定レコーダー、リソース、および AWS Config ルールに関する情報を取得します。また、サービスにリンクされたロールに AWS Config ルールの作成と削除、およびルールに対する評価の実行も許可します。

  • iam – アカウントの認証情報レポートを取得して生成します。

  • organizations — 組織のアカウントおよび組織単位 (OU) 情報を取得します。

  • securityhub – Security Hub CSPM サービス、標準、コントロールの設定方法に関する情報を取得します。

  • tag— リソースタグに関する情報を取得します。

このポリシーのアクセス許可を確認するには、AWS 「 マネージドポリシーリファレンスガイドAWSSecurityHubServiceRolePolicy」の「」を参照してください。

AWS 管理ポリシー: AWSSecurityHubV2ServiceRolePolicy

注記

Security Hub はプレビューリリースであり、変更される可能性があります。

このポリシーにより、Security Hub は組織およびユーザーに代わって AWS Config ルールと Security Hub リソースを管理できます。このポリシーは、ユーザーに代わってサービスがアクションを実行することを許可する、サービスリンクロールにアタッチされます。このポリシーは IAM アイデンティティにはアタッチできません。詳細については、「のサービスにリンクされたロール AWS Security Hub」を参照してください。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

  • config – Security Hub リソースのサービスにリンクされた設定レコーダーを管理します。

  • iam – のサービスにリンクされたロールを作成します AWS Config。

  • organizations — 組織のアカウントおよび組織単位 (OU) 情報を取得します。

  • securityhub – Security Hub の設定を管理します。

  • tag— リソースタグに関する情報を取得します。

このポリシーのアクセス許可を確認するには、AWS 「 マネージドポリシーリファレンスガイドAWSSecurityHubV2ServiceRolePolicy」の「」を参照してください。

AWS マネージドポリシーに対する Security Hub の更新

次の表は、このサービスがこれらの変更の追跡を開始してからの AWS Security Hub および Security Hub CSPM の AWS マネージドポリシーの更新に関する詳細を示しています。ポリシーの更新に関する自動アラートについては、Security Hub ドキュメント履歴ページの RSS フィードにサブスクライブしてください。

変更 説明 日付
AWSSecurityHubOrganizationsAccess – 既存のポリシーの更新 Security Hub がポリシーに新しいアクセス許可を追加しました。アクセス許可により、組織管理者は組織の Security Hub と Security Hub CSPM を有効化および管理できます。 2025 年 6 月 17 日

AWSSecurityHubFullAccess – 既存のポリシーの更新

Security Hub CSPM に、プリンシパルが Security Hub のサービスにリンクされたロールを作成できるようにする新しいアクセス許可が追加されました。

 2025 年 6 月 17 日

AWSSecurityHubV2ServiceRolePolicy – 新しいポリシー

Security Hub は、Security Hub が顧客の組織および顧客に代わって AWS Config ルールと Security Hub リソースを管理できるようにする新しいポリシーを追加しました。Security Hub はプレビューリリースであり、変更される可能性があります。

 2025 年 6 月 17 日
AWSSecurityHubFullAccess — 既存のポリシーの更新 Security Hub CSPM は、 AWS のサービス および 製品の料金詳細を取得するようにポリシーを更新しました。 2024 年 4 月 24 日
AWSSecurityHubReadOnlyAccess – 既存のポリシーの更新 Security Hub CSPM は、 Sidフィールドを追加してこの管理ポリシーを更新しました。 2024 年 2 月 22 日
AWSSecurityHubFullAccess — 既存のポリシーの更新 Security Hub CSPM は、Amazon GuardDuty と Amazon Inspector がアカウントで有効になっているかどうかを判断できるようにポリシーを更新しました。これにより、お客様は複数の からセキュリティ関連情報をまとめることができます AWS のサービス。 2023 年 11 月 16 日
AWSSecurityHubOrganizationsAccess — 既存のポリシーの更新 Security Hub CSPM は、委任された管理者機能への読み取り専用アクセスを許可する追加のアクセス許可を付与するように AWS Organizations ポリシーを更新しました。これには、ルート、組織単位 (OU)、アカウント、組織構造、およびサービスアクセスなどの詳細が含まれます。 2023 年 11 月 16 日
AWSSecurityHubServiceRolePolicy — 既存のポリシーに対する更新 Security Hub CSPM はBatchGetSecurityControls、カスタマイズ可能なセキュリティコントロールプロパティを読み取って更新するための 、DisassociateFromAdministratorAccount、および アクセスUpdateSecurityControl許可を追加しました。 2023 年 11 月 26 日
AWSSecurityHubServiceRolePolicy — 既存のポリシーに対する更新 Security Hub CSPM は、検出結果に関連するリソースタグを読み取るアクセスtag:GetResources許可を追加しました。 2023 年 11 月 7 日
AWSSecurityHubServiceRolePolicy — 既存のポリシーに対する更新 Security Hub CSPM は、標準のコントロールの有効化ステータスに関する情報を取得するBatchGetStandardsControlAssociationsアクセス許可を追加しました。 2023 年 9 月 27 日
AWSSecurityHubServiceRolePolicy — 既存のポリシーに対する更新 Security Hub CSPM は、標準やコントロールなど、 AWS Organizations データを取得し、Security Hub CSPM 設定の読み取りと更新を行うための新しいアクセス許可を追加しました。 2023 年 9 月 20 日
AWSSecurityHubServiceRolePolicy — 既存のポリシーに対する更新 Security Hub CSPM は、既存のconfig:DescribeConfigRuleEvaluationStatusアクセス許可をポリシー内の別のステートメントに移動しました。これにより、config:DescribeConfigRuleEvaluationStatus 許可がすべてのリソースに適用されます。 2023 年 3 月 17 日
AWSSecurityHubServiceRolePolicy — 既存のポリシーに対する更新 Security Hub CSPM は、既存のconfig:PutEvaluationsアクセス許可をポリシー内の別のステートメントに移動しました。これにより、config:PutEvaluations 許可がすべてのリソースに適用されます。 2021 年 7 月 14 日
AWSSecurityHubServiceRolePolicy — 既存のポリシーに対する更新 Security Hub CSPM に、サービスにリンクされたロールが評価結果を配信できるようにする新しいアクセス許可が追加されました AWS Config。 2021 年 6 月 29 日
AWSSecurityHubServiceRolePolicy — マネージドポリシーのリストに追加 Security Hub CSPM サービスにリンクされたロールで使用される管理ポリシー AWSSecurityHubServiceRolePolicy に関する情報を追加しました。 2021 年 6 月 11 日
AWSSecurityHubOrganizationsAccess — 新しいポリシー Security Hub CSPM に、Security Hub CSPM と Organizations の統合に必要なアクセス許可を付与する新しいポリシーが追加されました。 2021 年 3 月 15 日
Security Hub CSPM が変更の追跡を開始しました Security Hub CSPM は、 AWS 管理ポリシーの変更の追跡を開始しました。 2021 年 3 月 15 日