Security Hub チケット統合の KMS キーポリシー - AWS Security Hub
Security Hub アクセス許可ポリシーSecurity Hub オペレーションの IAM プリンシパルアクセス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Security Hub チケット統合の KMS キーポリシー

Security Hub チケット統合でカスタマーマネージド KMS キーを使用する場合、Security Hub がキーとやり取りできるようにするには、KMS キーにポリシーを追加する必要があります。さらに、Security Hub コネクタにキーを追加するプリンシパルがキーにアクセスできるようにするポリシーを追加する必要があります。

Security Hub アクセス許可ポリシー

次のポリシーは、Security Hub が Jira および ServiceNow コネクタに関連付けられている KMS キーにアクセスして使用するために必要なアクセス許可の概要を示しています。このポリシーは、Security Hub コネクタに関連付けられている各 KMS キーに追加する必要があります。

ポリシーには、次のアクセス許可が含まれています。

  • キーを使用して、Security Hub がチケット発行統合との通信に使用されるトークンを保護、一時アクセス、または更新できるようにします。アクセス許可は、ソース ARN と暗号化コンテキストをチェックする条件ブロックにより、特定の Security Hub コネクタに関連するオペレーションに制限されます。

  • DescribeKey オペレーションを許可することで、Security Hub が KMS キーに関するメタデータを読み取ることを許可します。このアクセス許可は、Security Hub がキーのステータスと設定を検証するために必要です。アクセスは、ソース ARN 条件により特定の Security Hub コネクタに制限されます。


{
    "Sid": "Allow Security Hub access to the customer managed key",
    "Effect": "Allow",
    "Principal": {
        "Service": "connector.securityhub.amazonaws.com"
    },
    "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt",
        "kms:ReEncrypt*"
    ],
    "Resource": "*",
    "Condition": {
        "ArnLike": {
            "aws:SourceArn": "arn:aws:securityhub:Region:AccountId:connectorv2/*"
        },
        "StringLike": {
            "kms:EncryptionContext:aws:securityhub:connectorV2Arn": "arn:aws:securityhub:Region:AccountId:connectorv2/*",
            "kms:EncryptionContext:aws:securityhub:providerName": "CloudProviderName"
        }
    }
},
{
    "Sid": "Allow Security Hub read access to the customer managed key",
    "Effect": "Allow",
    "Principal": {
        "Service": "connector.securityhub.amazonaws.com"
    },
    "Action": [
        "kms:DescribeKey"
    ],
    "Resource": "*",
    "Condition": {
        "ArnLike": {
            "aws:SourceArn": "arn:aws:securityhub:Region:AccountId:connectorv2/*"
        }
    }
}

ポリシーの例で次の値を置き換えて、ポリシーを編集します。

  • CloudProviderNameJIRA_CLOUDまたは に置き換える SERVICENOW

  • AccountId を Security Hub コネクタを作成するアカウント ID に置き換えます。

  • Region を AWS 自分のリージョンに置き換えます (例: us-east-1)。

Security Hub オペレーションの IAM プリンシパルアクセス

Security Hub コネクタにカスタマーマネージド KMS キーを割り当てるプリンシパルには、コネクタに追加するキーのキーオペレーション (エイリアスの説明、生成、復号、再暗号化、一覧表示) を実行するアクセス許可が必要です。これは、 CreateConnectorV2および CreateTicketV2 APIsに適用されます。次のポリシーステートメントは、これらの APIs とやり取りするプリンシパルのポリシーの一部として含める必要があります。


{
    "Sid": "Allow permissions to access key through Security Hub",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::AccountId:role/RoleName"
    },
    "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt",
        "kms:ReEncrypt*"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "kms:ViaService": [
                "securityhub.Region.amazonaws.com"
            ]
        },
        "StringLike": {
            "kms:EncryptionContext:aws:securityhub:providerName": "CloudProviderName"
        }
    }
},
{
    "Sid": "Allow read permissions to access key through Security Hub",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::AccountId:role/RoleName"
    },
    "Action": [
        "kms:DescribeKey"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "kms:ViaService": [
                "securityhub.Region.amazonaws.com"
            ]
        }
    }
}

ポリシーの例で次の値を置き換えて、ポリシーを編集します。

  • RoleName を、Security Hub を呼び出す IAM ロールの名前に置き換えます。

  • CloudProviderNameJIRA_CLOUDまたは に置き換えますSERVICENOW

  • AccountId を Security Hub コネクタを作成するアカウント ID に置き換えます。

  • Region を AWS 自分のリージョンに置き換えます (例: us-east-1)。