翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Security Hub CSPM で管理者アカウントとメンバーアカウントが許可するアクション
管理者アカウントとメンバーアカウントは、次のテーブルに記載された AWS Security Hub CSPM アクションを使用できます。テーブルの値の意味は次のとおりです。
-
すべて - アカウントは、同じ管理者のすべてのメンバーアカウントに対してアクションを実行できます。
-
現在 — アカウントは、ユーザー自身 (現在サインインしているアカウント) に対してのみアクションを実行できます。
-
ダッシュ — アカウントがアクションを実行できないことを示します。
テーブルに記載されているように、許可されるアクションは、AWS Organizations と統合しているかどうかや、組織が使用している設定タイプによって異なります。中央設定とローカル設定の違いについては、「 を使用した アカウントの管理AWS Organizations」を参照してください。
Security Hub CSPM では、メンバーアカウントの検出結果を管理者アカウントにコピーすることはありません。Security Hub CSPM では、すべての検出結果が、特定のアカウントの特定のリージョンに取り込まれます。管理者アカウントは、各リージョンのメンバーアカウントの結果を表示および管理できます。
集約リージョンを設定する場合は、管理者アカウントで、集約リージョンにレプリケートされたリンク済みリージョンのメンバーアカウントの検出結果を表示および管理することができます。クロスリージョン集約の詳細については、「クロスリージョン集約」を参照してください。
次の表は、管理者およびメンバーアカウントのデフォルトの許可を示しています。カスタム IAM ポリシーを使用することで、Security Hub CSPM の機能へのアクセスをさらに制限できます。ガイダンスと例については、ブログ記事「Aligning IAM policies to user personas for AWS Security Hub CSPM
Organizations と統合して中央設定を使用する場合、管理者アカウントとメンバーアカウントは次のように Security Hub CSPM のアクションにアクセスできます。
|
アクション |
Security Hub CSPM 委任管理者アカウント |
一元管理型メンバーアカウント |
セルフマネージド型メンバーアカウント |
|---|---|---|---|
|
Security Hub CSPM 設定ポリシーを作成および管理する |
セルフマネージド型アカウントおよび一元管理型アカウント用 |
– |
– |
|
組織のアカウントを表示する |
いずれか |
– |
– |
|
メンバーアカウントの関連付けを解除する |
いずれか |
– |
– |
|
メンバーアカウントを削除する |
組織以外のアカウントすべて |
– |
– |
|
Security Hub CSPM を無効にする |
現在のアカウントおよび一元管理型アカウント用 |
– |
現在 (管理者アカウントから関連付けを解除する必要があります) |
|
検出結果と検索履歴を表示する |
いずれか |
Current |
Current |
|
検出結果を更新する |
いずれか |
Current |
Current |
|
インサイトの結果を表示する |
いずれか |
Current |
Current |
|
コントロールの詳細を表示する |
いずれか |
Current |
Current |
|
統合コントロール検出結果のオン/オフを切り替える |
いずれか |
– |
– |
|
標準を有効または無効にする |
現在のアカウントおよび一元管理型アカウント用 |
– |
Current |
|
コントロールを有効または無効にする |
現在のアカウントおよび一元管理型アカウント用 |
– |
Current |
|
統合を有効または無効にする |
Current |
Current |
Current |
|
クロスリージョン集約を設定する |
いずれか |
– |
– |
|
ホームリージョンとリンクされたリージョンを選択する |
すべて (ホームリージョンを変更するには、中央設定をいったん停止して再起動する必要があります) |
– |
– |
|
カスタムアクションを設定する |
Current |
Current |
Current |
|
自動化ルールを設定する |
いずれか |
– |
– |
|
カスタムインサイトを設定する |
Current |
Current |
Current |
Organizations と統合してローカル設定を使用する場合、管理者アカウントとメンバーアカウントは次のように Security Hub CSPM のアクションにアクセスできます。
|
アクション |
Security Hub CSPM 委任管理者アカウント |
メンバーアカウント |
|---|---|---|
|
Security Hub CSPM 設定ポリシーを作成および管理する |
– |
– |
|
組織のアカウントを表示する |
いずれか |
– |
|
メンバーアカウントの関連付けを解除する |
いずれか |
– |
|
メンバーアカウントを削除する |
– |
– |
|
Security Hub CSPM を無効にする |
– |
現在 (アカウントと委任された管理者との関連付けが解除されている場合) |
|
検出結果と検索履歴を表示する |
いずれか |
Current |
|
検出結果を更新する |
いずれか |
Current |
|
インサイトの結果を表示する |
いずれか |
Current |
|
コントロールの詳細を表示する |
いずれか |
Current |
|
統合コントロール検出結果のオン/オフを切り替える |
いずれか |
– |
|
標準を有効または無効にする |
Current |
Current |
|
新しい組織アカウントで Security Hub CSPM とデフォルトの標準を自動的に有効にする |
現在のアカウントと新しい組織アカウント用 |
– |
|
コントロールを有効または無効にする |
Current |
Current |
|
統合を有効または無効にする |
Current |
Current |
|
クロスリージョン集約を設定する |
いずれか |
– |
|
カスタムアクションを設定する |
Current |
Current |
|
自動化ルールを設定する |
いずれか |
– |
|
カスタムインサイトを設定する |
Current |
Current |
AWS Organizations との統合ではなく招待ベースの方法を使用して手動でアカウントを管理する場合、管理者アカウントとメンバーアカウントは次のように Security Hub CSPM のアクションにアクセスできます。
|
アクション |
Security Hub CSPM 管理者アカウント |
メンバーアカウント |
|---|---|---|
|
Security Hub CSPM 設定ポリシーを作成および管理する |
– |
– |
|
組織のアカウントを表示する |
いずれか |
– |
|
メンバーアカウントの関連付けを解除する |
いずれか |
Current |
|
メンバーアカウントを削除する |
いずれか |
– |
|
Security Hub CSPM を無効にする |
現在 (有効なメンバーアカウントがない場合) |
現在 (アカウントと管理者アカウントの関連付けが解除されている場合) |
|
検出結果と検索履歴を表示する |
いずれか |
Current |
|
検出結果を更新する |
いずれか |
Current |
|
インサイトの結果を表示する |
いずれか |
Current |
|
コントロールの詳細を表示する |
いずれか |
Current |
|
統合コントロール検出結果のオン/オフを切り替える |
いずれか |
– |
|
標準を有効または無効にする |
Current |
Current |
|
新しい組織アカウントで Security Hub CSPM とデフォルトの標準を自動的に有効にする |
– |
– |
|
コントロールを有効または無効にする |
Current |
Current |
|
統合を有効または無効にする |
Current |
Current |
|
クロスリージョン集約を設定する |
いずれか |
– |
|
カスタムアクションを設定する |
Current |
Current |
|
自動化ルールを設定する |
いずれか |
– |
|
カスタムインサイトを設定する |
Current |
Current |
