翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS Security Hub の マネージドポリシー
AWS 管理ポリシーは、 によって作成および管理されるスタンドアロンポリシーです AWS。 AWS 管理ポリシーは、ユーザー、グループ、ロールにアクセス許可の割り当てを開始できるように、多くの一般的なユースケースにアクセス許可を付与するように設計されています。
AWS 管理ポリシーは、すべての AWS お客様が使用できるため、特定のユースケースに対して最小特権のアクセス許可を付与しない場合があることに注意してください。ユースケースに固有のカスタマー管理ポリシーを定義して、アクセス許可を絞り込むことをお勧めします。
AWS 管理ポリシーで定義されているアクセス許可は変更できません。が AWS マネージドポリシーで定義されたアクセス許可 AWS を更新すると、ポリシーがアタッチされているすべてのプリンシパル ID (ユーザー、グループ、ロール) に影響します。 AWS は、新しい が起動されるか、新しい API オペレーション AWS のサービス が既存のサービスで使用できるようになったときに、 AWS マネージドポリシーを更新する可能性が高くなります。
詳細については「IAM ユーザーガイド」の「AWS マネージドポリシー」を参照してください。
AWS 管理ポリシー: AWSSecurityHubFullAccess
AWSSecurityHubFullAccess ポリシーを IAM アイデンティティにアタッチできます。
このポリシーは、すべての Security Hub CSPM アクションへのフルアクセスをプリンシパルに許可する管理アクセス許可を付与します。このポリシーは、アカウントで Security Hub CSPM を手動で有効にする前に、プリンシパルにアタッチする必要があります。例えば、これらの許可を持つプリンシパルは、結果のステータスを表示および更新できます。カスタムインサイトを設定し、統合を有効にできます。これにより、標準とコントロールを有効または無効にすることができます。管理者アカウントのプリンシパルは、メンバーアカウントを管理することもできます。
許可の詳細
このポリシーには、以下のアクセス許可が含まれています。
-
securityhub– プリンシパルにすべての Security Hub CSPM アクションへのフルアクセスを許可します。 -
guardduty– Amazon GuardDuty のアカウントステータスに関する情報の取得をプリンシパルに許可します。 -
iam– プリンシパルが Security Hub CSPM と Security Hub のサービスにリンクされたロールを作成できるようにします。 -
inspector– Amazon Inspector のアカウントステータスに関する情報の取得をプリンシパルに許可します。 -
pricing– プリンシパルが AWS のサービス および 製品の料金表を取得できるようにします。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "SecurityHubAllowAll", "Effect": "Allow", "Action": "securityhub:*", "Resource": "*" }, { "Sid": "SecurityHubServiceLinkedRole", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringLike": { "iam:AWSServiceName": [ "securityhub.amazonaws.com", "securityhubv2.amazonaws.com" ] } } }, { "Sid": "OtherServicePermission", "Effect": "Allow", "Action": [ "guardduty:GetDetector", "guardduty:ListDetectors", "inspector2:BatchGetAccountStatus", "pricing:GetProducts" ], "Resource": "*" } ] }
Security Hub CSPM 管理ポリシー: AWSSecurityHubReadOnlyAccess
AWSSecurityHubReadOnlyAccess ポリシーを IAM アイデンティティにアタッチできます。
このポリシーは、ユーザーが Security Hub CSPM で情報を表示できるようにする読み取り専用アクセス許可を付与します。このポリシーがアタッチされているプリンシパルは、Security Hub CSPM で更新を行うことはできません。例えば、これらの許可を持つプリンシパルは、アカウントに関連付けられた結果のリストを表示できますが、結果のステータスを変更することはできません。インサイトの結果を表示することはできますが、カスタムインサイトを作成したり設定したりすることはできません。コントロールや製品統合を設定することはできません。
許可の詳細
このポリシーには、以下の許可が含まれています。
-
securityhub- ユーザーは、アイテムのリストまたはアイテムに関する詳細を返すアクションを実行することができます。これには、Get、List、またはDescribeで始まる API オペレーションが含まれます。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSSecurityHubReadOnlyAccess", "Effect": "Allow", "Action": [ "securityhub:Get*", "securityhub:List*", "securityhub:BatchGet*", "securityhub:Describe*" ], "Resource": "*" } ] }
AWS 管理ポリシー: AWSSecurityHubOrganizationsAccess
AWSSecurityHubOrganizationsAccess ポリシーを IAM アイデンティティにアタッチできます。
このポリシーは、組織内の Security Hub と Security Hub CSPM を有効化および管理するための管理アクセス許可を付与します。
このポリシーのアクセス許可により、組織管理アカウントは Security Hub と Security Hub CSPM の委任管理者アカウントを指定できます。また、委任管理者アカウントが組織アカウントをメンバーアカウントとして有効にすることもできます。
このポリシーでは、Organizations に対する許可のみが提供されます。組織管理アカウントと委任管理者アカウントには、関連するアクションに対するアクセス許可も必要です。これらの許可は、AWSSecurityHubFullAccess マネージドポリシーを使用して付与することができます。
許可の詳細
このポリシーには、以下のアクセス許可が含まれています。
-
organizations:ListAccounts- 組織に属するアカウントリストの取得をプリンシパルに許可します。 -
organizations:DescribeOrganization- 組織に関する情報の取得をプリンシパルに許可します。 -
organizations:ListRoots- 組織ルートの一覧表示をプリンシパルに許可します。 -
organizations:ListDelegatedAdministrators- 組織の委任管理者の一覧表示をプリンシパルに許可します。 -
organizations:ListAWSServiceAccessForOrganization– プリンシパル AWS のサービス が、組織が使用する を一覧表示できるようにします。 -
organizations:ListOrganizationalUnitsForParent- 親 OU の子組織単位 (OU) の一覧表示をプリンシパルに許可します。 -
organizations:ListAccountsForParent- 親 OU の子アカウントの一覧表示をプリンシパルに許可します。 -
organizations:ListParents– 指定された子 OUs) を一覧表示します。 -
organizations:DescribeAccount- 組織内のアカウントに関する情報の取得をプリンシパルに許可します。 -
organizations:DescribeOrganizationalUnit- 組織内の OU に関する情報の取得をプリンシパルに許可します。 -
organizations:ListPolicies– 指定されたタイプの組織内のすべてのポリシーのリストを取得します。 -
organizations:ListPoliciesForTarget– 指定されたターゲットルート、組織単位 (OU)、またはアカウントに直接アタッチされているポリシーを一覧表示します。 -
organizations:ListTargetsForPolicy– 指定されたポリシーがアタッチされているすべてのルート、組織単位 (OUs)、およびアカウントを一覧表示します。 -
organizations:EnableAWSServiceAccess– プリンシパルが Organizations との統合を有効にすることを許可します。 -
organizations:RegisterDelegatedAdministrator– プリンシパルが委任管理者アカウントを指定できるようにします。 -
organizations:DeregisterDelegatedAdministrator– プリンシパルが委任管理者アカウントを削除できるようにします。 -
organizations:DescribePolicy– ポリシーに関する情報を取得します。 -
organizations:DescribeEffectivePolicy– 指定されたポリシータイプとアカウントの有効なポリシーの内容を返します。 -
organizations:CreatePolicy– ルート、組織単位 (OU)、または個々の AWS アカウントにアタッチできる、指定されたタイプのポリシーを作成します。 -
organizations:UpdatePolicy– 既存のポリシーを新しい名前、説明、またはコンテンツで更新します。 -
organizations:DeletePolicy– 指定されたポリシーを組織から削除します。 -
organizations:AttachPolicy– ルート、組織単位 (OU)、または個々のアカウントにポリシーをアタッチします。 -
organizations:DetachPolicy– ターゲットルート、組織単位 (OU)、またはアカウントからポリシーをデタッチします。 -
organizations:EnablePolicyType– ルート内のポリシータイプを有効にします。 -
organizations:DisablePolicyType– ルート内の組織ポリシータイプを無効にします。 -
organizations:TagResource– 指定されたリソースに 1 つ以上のタグを追加します。 -
organizations:UntagResource– 指定されたリソースから指定されたキーを持つタグを削除します。 -
organizations:ListTagsForResource– 指定されたリソースにアタッチされているタグを一覧表示します。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "OrganizationPermissions", "Effect": "Allow", "Action": [ "organizations:ListAccounts", "organizations:DescribeOrganization", "organizations:ListRoots", "organizations:ListDelegatedAdministrators", "organizations:ListAWSServiceAccessForOrganization", "organizations:ListOrganizationalUnitsForParent", "organizations:ListAccountsForParent", "organizations:ListParents", "organizations:DescribeAccount", "organizations:DescribeOrganizationalUnit", "organizations:ListPolicies", "organizations:ListPoliciesForTarget", "organizations:ListTargetsForPolicy" ], "Resource": "*" }, { "Sid": "OrganizationPermissionsEnable", "Effect": "Allow", "Action": "organizations:EnableAWSServiceAccess", "Resource": "*", "Condition": { "StringEquals": { "organizations:ServicePrincipal": "securityhub.amazonaws.com" } } }, { "Sid": "OrganizationPermissionsDelegatedAdmin", "Effect": "Allow", "Action": [ "organizations:RegisterDelegatedAdministrator", "organizations:DeregisterDelegatedAdministrator" ], "Resource": "arn:aws:organizations::*:account/o-*/*", "Condition": { "StringEquals": { "organizations:ServicePrincipal": "securityhub.amazonaws.com" } } }, { "Sid": "OrganizationPolicyPermissions", "Effect": "Allow", "Action": [ "organizations:DescribePolicy", "organizations:DescribeEffectivePolicy", "organizations:CreatePolicy", "organizations:UpdatePolicy", "organizations:DeletePolicy", "organizations:AttachPolicy", "organizations:DetachPolicy", "organizations:EnablePolicyType", "organizations:DisablePolicyType" ], "Resource": [ "arn:aws:organizations::*:root/o-*/*", "arn:aws:organizations::*:account/o-*/*", "arn:aws:organizations::*:ou/o-*/*", "arn:aws:organizations::*:policy/o-*/securityhub_policy/*" ], "Condition": { "StringLikeIfExists": { "organizations:PolicyType": "SECURITYHUB_POLICY" } } }, { "Sid": "OrganizationPolicyTaggingPermissions", "Effect": "Allow", "Action": [ "organizations:TagResource", "organizations:UntagResource", "organizations:ListTagsForResource" ], "Resource": [ "arn:aws:organizations::*:policy/o-*/securityhub_policy/*" ] } ] }
AWS 管理ポリシー: AWSSecurityHubServiceRolePolicy
IAM エンティティに AWSSecurityHubServiceRolePolicy をアタッチすることはできません。このポリシーは、Security Hub CSPM がユーザーに代わってアクションを実行できるようにするサービスにリンクされたロールにアタッチされます。詳細については、「のサービスにリンクされたロール AWS Security Hub」を参照してください。
このポリシーは、サービスにリンクされたロールが Security Hub CSPM コントロールのセキュリティチェックを実行できるようにする管理アクセス許可を付与します。
許可の詳細
このポリシーには以下を実行するための許可が含まれています。
-
cloudtrail- CloudTrail 追跡に関する情報を取得します。 -
cloudwatch- 現在の CloudWatch アラームを取得します。 -
logs- CloudWatch logs のメトリクスフィルターを取得します。 -
sns- SNS トピックのサブスクリプションリストを取得します。 -
config– 設定レコーダー、リソース、および AWS Config ルールに関する情報を取得します。また、サービスにリンクされたロールに AWS Config ルールの作成と削除、およびルールに対する評価の実行も許可します。 -
iam- アカウントの認証情報レポートの取得と生成を実行します。 -
organizations— 組織のアカウントおよび組織単位 (OU) 情報を取得します。 -
securityhub– Security Hub CSPM サービス、標準、コントロールの設定方法に関する情報を取得します。 -
tag— リソースタグに関する情報を取得します。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "SecurityHubServiceRolePermissions", "Effect": "Allow", "Action": [ "cloudtrail:DescribeTrails", "cloudtrail:GetTrailStatus", "cloudtrail:GetEventSelectors", "cloudwatch:DescribeAlarms", "cloudwatch:DescribeAlarmsForMetric", "logs:DescribeMetricFilters", "sns:ListSubscriptionsByTopic", "config:DescribeConfigurationRecorders", "config:DescribeConfigurationRecorderStatus", "config:DescribeConfigRules", "config:DescribeConfigRuleEvaluationStatus", "config:BatchGetResourceConfig", "config:SelectResourceConfig", "iam:GenerateCredentialReport", "organizations:ListAccounts", "config:PutEvaluations", "tag:GetResources", "iam:GetCredentialReport", "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:ListChildren", "organizations:ListAWSServiceAccessForOrganization", "organizations:DescribeOrganizationalUnit", "securityhub:BatchDisableStandards", "securityhub:BatchEnableStandards", "securityhub:BatchUpdateStandardsControlAssociations", "securityhub:BatchGetSecurityControls", "securityhub:BatchGetStandardsControlAssociations", "securityhub:CreateMembers", "securityhub:DeleteMembers", "securityhub:DescribeHub", "securityhub:DescribeOrganizationConfiguration", "securityhub:DescribeStandards", "securityhub:DescribeStandardsControls", "securityhub:DisassociateFromAdministratorAccount", "securityhub:DisassociateMembers", "securityhub:DisableSecurityHub", "securityhub:EnableSecurityHub", "securityhub:GetEnabledStandards", "securityhub:ListStandardsControlAssociations", "securityhub:ListSecurityControlDefinitions", "securityhub:UpdateOrganizationConfiguration", "securityhub:UpdateSecurityControl", "securityhub:UpdateSecurityHubConfiguration", "securityhub:UpdateStandardsControl", "tag:GetResources" ], "Resource": "*" }, { "Sid": "SecurityHubServiceRoleConfigPermissions", "Effect": "Allow", "Action": [ "config:PutConfigRule", "config:DeleteConfigRule", "config:GetComplianceDetailsByConfigRule" ], "Resource": "arn:aws:config:*:*:config-rule/aws-service-rule/*securityhub*" }, { "Sid": "SecurityHubServiceRoleOrganizationsPermissions", "Effect": "Allow", "Action": [ "organizations:ListDelegatedAdministrators" ], "Resource": "*", "Condition": { "StringEquals": { "organizations:ServicePrincipal": [ "securityhub.amazonaws.com" ] } } } ] }
AWS 管理ポリシー: AWSSecurityHubV2ServiceRolePolicy
注記
Security Hub はプレビューリリースであり、変更される可能性があります。
このポリシーにより、Security Hub は組織内およびユーザーに代わって AWS Config ルールと Security Hub リソースを管理できます。このポリシーは、ユーザーに代わってサービスがアクションを実行することを許可する、サービスリンクロールにアタッチされます。ユーザー、グループおよびロールにこのポリシーはアタッチできません。詳細については、「のサービスにリンクされたロール AWS Security Hub」を参照してください。
許可の詳細
このポリシーには以下を実行するための許可が含まれています。
-
config– Security Hub リソースのサービスにリンクされた設定レコーダーを管理します。 -
iam– のサービスにリンクされたロールを作成します AWS Config。 -
organizations– 組織のアカウントおよび組織単位 (OU) 情報を取得します。 -
securityhub– Security Hub の設定を管理します。 -
tag– リソースタグに関する情報を取得します。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "SecurityHubV2ServiceRoleAssetsConfig", "Effect": "Allow", "Action": [ "config:DeleteServiceLinkedConfigurationRecorder", "config:DescribeConfigurationRecorders", "config:DescribeConfigurationRecorderStatus", "config:PutServiceLinkedConfigurationRecorder" ], "Resource": "arn:aws:config:*:*:configuration-recorder/AWSConfigurationRecorderForSecurityHubAssets/*" }, { "Sid": "SecurityHubV2ServiceRoleAssetsIamPermissions", "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "arn:aws:iam::*:role/aws-service-role/config.amazonaws.com/AWSServiceRoleForConfig", "Condition": { "StringEquals": { "iam:AWSServiceName": "config.amazonaws.com" } } }, { "Sid": "SecurityHubV2ServiceRoleSecurityHubPermissions", "Effect": "Allow", "Action": [ "securityhub:DisableSecurityHubV2", "securityhub:EnableSecurityHubV2", "securityhub:DescribeSecurityHubV2" ], "Resource": "arn:aws:securityhub:*:*:hubv2/*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "SecurityHubV2ServiceRoleTagPermissions", "Effect": "Allow", "Action": [ "tag:GetResources" ], "Resource": "*" }, { "Sid": "SecurityHubV2ServiceRoleOrganizationsPermissionsOnResources", "Effect": "Allow", "Action": [ "organizations:DescribeAccount", "organizations:DescribeOrganizationalUnit" ], "Resource": "arn:aws:organizations::*:*" }, { "Sid": "SecurityHubV2ServiceRoleOrganizationsPermissionsWithoutResources", "Effect": "Allow", "Action": [ "organizations:DescribeOrganization", "organizations:ListAccounts", "organizations:ListAWSServiceAccessForOrganization", "organizations:ListChildren" ], "Resource": "*" }, { "Sid": "SecurityHubV2ServiceRoleDelegatedAdminPermissions", "Effect": "Allow", "Action": [ "organizations:ListDelegatedAdministrators" ], "Resource": "*", "Condition": { "StringEquals": { "organizations:ServicePrincipal": [ "securityhub.amazonaws.com" ] } } } ] }
AWS マネージドポリシーに対する Security Hub CSPM の更新
このサービスがこれらの変更の追跡を開始してからの Security Hub CSPM の AWS マネージドポリシーの更新に関する詳細を表示します。このページの変更に関する自動アラートについては、Security Hub CSPM ドキュメント履歴ページの RSS フィードにサブスクライブしてください。
| 変更 | 説明 | 日付 |
|---|---|---|
| AWSSecurityHubOrganizationsAccess – 既存のポリシーの更新 | Security Hub CSPM が に新しいアクセス許可を追加しましたAWSSecurityHubOrganizationsAccess。アクセス許可により、組織管理者は組織内で Security Hub と Security Hub CSPM を有効化および管理できます。 |
2025 年 6 月 17 日 |
|
AWSSecurityHubOrganizationsAccess – 既存のポリシーの更新 |
組織管理が組織内の Security Hub と Security Hub CSPM を有効化および管理できるようにする新しいアクセス許可を追加しました。 |
2025 年 6 月 17 日 |
|
AWSSecurityHubFullAccess – 既存のポリシーの更新 |
Security Hub CSPM に、プリンシパルが Security Hub のサービスにリンクされたロールを作成できるようにする新しいアクセス許可が追加されました。 |
2025 年 6 月 17 日 |
|
AWSSecurityHubV2ServiceRolePolicy – 新しいポリシー |
Security Hub は、Security Hub が顧客の組織内および顧客に代わって AWS Config ルールと Security Hub リソースを管理できるようにする新しいポリシーを追加しました。Security Hub はプレビューリリースであり、変更される可能性があります。 |
2025 年 6 月 17 日 |
| AWSSecurityHubFullAccess — 既存のポリシーの更新 | Security Hub CSPM は、 AWS のサービス および 製品の料金詳細を取得するようにポリシーを更新しました。 | 2024 年 4 月 24 日 |
| AWSSecurityHubReadOnlyAccess – 既存のポリシーの更新 | Security Hub CSPM は、 Sidフィールドを追加してこの管理ポリシーを更新しました。 |
2024 年 2 月 22 日 |
| AWSSecurityHubFullAccess — 既存のポリシーの更新 | Security Hub CSPM は、Amazon GuardDuty と Amazon Inspector がアカウントで有効になっているかどうかを判断できるようにポリシーを更新しました。これにより、お客様は複数の からセキュリティ関連情報をまとめることができます AWS のサービス。 | 2023 年 11 月 16 日 |
| AWSSecurityHubOrganizationsAccess — 既存のポリシーの更新 | Security Hub CSPM は、委任された管理者機能への読み取り専用アクセスを許可する追加のアクセス許可を付与するように AWS Organizations ポリシーを更新しました。これには、ルート、組織単位 (OU)、アカウント、組織構造、およびサービスアクセスなどの詳細が含まれます。 | 2023 年 11 月 16 日 |
| AWSSecurityHubServiceRolePolicy — 既存のポリシーに対する更新 | Security Hub CSPM はBatchGetSecurityControls、カスタマイズ可能なセキュリティコントロールプロパティを読み取って更新するための 、DisassociateFromAdministratorAccount、および アクセスUpdateSecurityControl許可を追加しました。 |
2023 年 11 月 26 日 |
| AWSSecurityHubServiceRolePolicy — 既存のポリシーに対する更新 | Security Hub CSPM は、検出結果に関連するリソースタグを読み取るアクセスtag:GetResources許可を追加しました。 |
2023 年 11 月 7 日 |
| AWSSecurityHubServiceRolePolicy — 既存のポリシーに対する更新 | Security Hub CSPM は、標準のコントロールの有効化ステータスに関する情報を取得するBatchGetStandardsControlAssociationsアクセス許可を追加しました。 |
2023 年 9 月 27 日 |
| AWSSecurityHubServiceRolePolicy — 既存のポリシーに対する更新 | Security Hub CSPM は、標準やコントロールなど、 AWS Organizations データを取得し、Security Hub CSPM 設定の読み取りと更新を行うための新しいアクセス許可を追加しました。 | 2023 年 9 月 20 日 |
| AWSSecurityHubServiceRolePolicy — 既存のポリシーに対する更新 | Security Hub CSPM は、既存のconfig:DescribeConfigRuleEvaluationStatusアクセス許可をポリシー内の別のステートメントに移動しました。これにより、config:DescribeConfigRuleEvaluationStatus 許可がすべてのリソースに適用されます。 |
2023 年 3 月 17 日 |
| AWSSecurityHubServiceRolePolicy — 既存のポリシーに対する更新 | Security Hub CSPM は、既存のconfig:PutEvaluationsアクセス許可をポリシー内の別のステートメントに移動しました。これにより、config:PutEvaluations 許可がすべてのリソースに適用されます。 |
2021 年 7 月 14 日 |
| AWSSecurityHubServiceRolePolicy — 既存のポリシーに対する更新 | Security Hub CSPM に、サービスにリンクされたロールが評価結果を配信できるようにする新しいアクセス許可が追加されました AWS Config。 | 2021 年 6 月 29 日 |
| AWSSecurityHubServiceRolePolicy — マネージドポリシーのリストに追加 | Security Hub CSPM サービスにリンクされたロールで使用される マネージドポリシー AWSSecurityHubServiceRolePolicy に関する情報を追加しました。 | 2021 年 6 月 11 日 |
| AWSSecurityHubOrganizationsAccess — 新しいポリシー | Security Hub CSPM に、Security Hub CSPM と Organizations の統合に必要なアクセス許可を付与する新しいポリシーが追加されました。 | 2021 年 3 月 15 日 |
| Security Hub CSPM が変更の追跡を開始しました | Security Hub CSPM は、 AWS 管理ポリシーの変更の追跡を開始しました。 | 2021 年 3 月 15 日 |
