AWS Security Hub の マネージドポリシー

securityhub – すべての Security Hub CSPM アクションへのフルアクセスをプリンシパルに許可します。

guardduty – プリンシパルが Amazon GuardDuty でディテクターの完全なライフサイクル管理、組織の管理者管理、メンバーアカウントの管理、および組織全体の設定を実行できるようにします。これには、GetDetector、ListDetector、CreateDetector、UpdateDetector、DeleteDetector、EnableOrganizationAdminAccount、ListOrganizationAdminAccounts、CreateMembers、UpdateOrganizationConfiguration、DescribeOrganizationConfiguration などの API アクションが含まれます。

iam – プリンシパルが Security Hub CSPM と Security Hub のサービスにリンクされたロールを作成し、ロール、ポリシー、ポリシーバージョンを取得できるようにします。

inspector – プリンシパルが Amazon Inspector でアカウントステータスに関する情報の取得、有効化または無効化、管理者管理の委任、組織設定管理の実行を行うことができます。これには、API アクション BatchGetAccountStatus、Enable、Disable、EnableDelegatedAdminAccount、DisableDelegatedAdminAccount、ListDelegatedAdminAccounts、UpdateOrganizationConfiguration、DescribeOrganizationConfiguration が含まれます。

pricing – プリンシパルが AWS のサービス および 製品の料金表を取得できるようにします。

account – プリンシパルがアカウントリージョンに関する情報を取得して、Security Hub でのリージョン管理をサポートできるようにします。

securityhub – ユーザーは、アイテムのリストまたはアイテムに関する詳細を返すアクションを実行することができます。これには、Get、List、または Describe で始まる API オペレーションが含まれます。

organizations:ListAccounts - 組織に属するアカウントリストの取得をプリンシパルに許可します。

organizations:DescribeOrganization - 組織に関する情報の取得をプリンシパルに許可します。

organizations:ListRoots - 組織ルートの一覧表示をプリンシパルに許可します。

organizations:ListDelegatedAdministrators - 組織の委任管理者の一覧表示をプリンシパルに許可します。

organizations:ListAWSServiceAccessForOrganization – プリンシパル AWS のサービス が、組織が使用する を一覧表示できるようにします。

organizations:ListOrganizationalUnitsForParent - 親 OU の子組織単位 (OU) の一覧表示をプリンシパルに許可します。

organizations:ListAccountsForParent - 親 OU の子アカウントの一覧表示をプリンシパルに許可します。

organizations:ListParents – 指定された子 OU もしくはアカウントの直接の親として機能するルートまたは組織単位 (OU) を一覧表示します。

organizations:DescribeAccount - 組織内のアカウントに関する情報の取得をプリンシパルに許可します。

organizations:DescribeOrganizationalUnit - 組織内の OU に関する情報の取得をプリンシパルに許可します。

organizations:ListPolicies – 指定されたタイプの組織内のすべてのポリシーのリストを取得します。

organizations:ListPoliciesForTarget – 指定されたターゲットルート、組織単位 (OU)、またはアカウントに直接アタッチされているポリシーを一覧表示します。

organizations:ListTargetsForPolicy – 指定されたポリシーがアタッチされているすべてのルート、組織単位 (OU)、およびアカウントを一覧表示します。

organizations:EnableAWSServiceAccess – Organizations との統合の有効化を、プリンシパルに許可します。

organizations:RegisterDelegatedAdministrator – 委任管理者アカウントの指定を、プリンシパルに許可します。

organizations:DeregisterDelegatedAdministrator – 委任管理者アカウントの削除を、プリンシパルに許可します。

organizations:DescribePolicy – ポリシーに関する情報を取得します。

organizations:DescribeEffectivePolicy – 指定されたポリシータイプとアカウントについて有効なポリシーのコンテンツを返します。

organizations:CreatePolicy – ルート、組織単位 (OU)、または個々の AWS アカウントにアタッチできる、指定されたタイプのポリシーを作成します。

organizations:UpdatePolicy – 既存のポリシーを、新しい名前、説明、またはコンテンツで更新します。

organizations:DeletePolicy – 指定されたポリシーを組織から削除します。

organizations:AttachPolicy – ルート、組織単位 (OU)、または個々のアカウントにポリシーをアタッチします。

organizations:DetachPolicy – ターゲットのルート、組織単位 (OU)、またはアカウントからポリシーをデタッチします。

organizations:EnablePolicyType – ルート内の特定のポリシータイプを有効化します。

organizations:DisablePolicyType – ルート内の特定の組織ポリシータイプを無効化します。

organizations:TagResource – 指定されたリソースに 1 つまたは複数のタグを追加します。

organizations:UntagResource – 指定されたリソースから、指定されたキーを持つタグを削除します。

organizations:ListTagsForResource – 指定されたリソースにアタッチされているタグのリストを表示します。

organizations:DescribeResourcePolicy – リソースポリシーに関する情報を取得します。

cloudtrail - CloudTrail 追跡に関する情報を取得します。

cloudwatch – 現在の CloudWatch アラームを取得します。

logs – CloudWatch logs のメトリクスフィルターを取得します。

sns - SNS トピックのサブスクリプションリストを取得します。

config – 設定レコーダー、リソース、および AWS Config ルールに関する情報を取得します。また、サービスにリンクされたロールに AWS Config ルールの作成と削除、およびルールに対する評価の実行も許可します。

iam – アカウントの認証情報レポートの取得と生成を実行します。

organizations — 組織のアカウントおよび組織単位 (OU) 情報を取得します。

securityhub – Security Hub CSPM のサービス、標準およびコントロールの設定方法に関する情報を取得します。

tag – リソースタグに関する情報を取得します。

cloudwatch – Security Hub リソースの計測機能をサポートするメトリクスデータを取得します。

config – グローバル Config レコーダーのサポートなど、Security Hub リソースのサービスにリンクされた設定レコーダーを管理します。

ecr – 計測機能をサポートするために、Amazon Elastic Container Registry イメージとリポジトリに関する情報を取得します。

iam – のサービスにリンクされたロール AWS Config を作成し、アカウント情報を取得して計測機能をサポートします。

lambda – 計測機能をサポートする AWS Lambda 関数情報を取得します。

organizations — 組織のアカウントおよび組織単位 (OU) 情報を取得します。

securityhub – Security Hub の設定を管理します。

tag – リソースタグに関する情報を取得します。