AWS Security Hub の マネージドポリシー - AWS Security Hub
AWSSecurityHubFullAccessAWSSecurityHubReadOnlyAccess AWSSecurityHubOrganizationsAccess AWSSecurityHubV2ServiceRolePolicyポリシーの更新

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Security Hub の マネージドポリシー

AWS 管理ポリシーは、 によって作成および管理されるスタンドアロンポリシーです AWS。 AWS 管理ポリシーは、ユーザー、グループ、ロールにアクセス許可の割り当てを開始できるように、多くの一般的なユースケースにアクセス許可を付与するように設計されています。

AWS 管理ポリシーは、すべての AWS お客様が使用できるため、特定のユースケースに対して最小特権のアクセス許可を付与しない場合があることに注意してください。ユースケースに固有のカスタマー管理ポリシーを定義して、アクセス許可を絞り込むことをお勧めします。

AWS 管理ポリシーで定義されているアクセス許可は変更できません。が AWS マネージドポリシーで定義されたアクセス許可 AWS を更新すると、ポリシーがアタッチされているすべてのプリンシパル ID (ユーザー、グループ、ロール) に影響します。 AWS は、新しい が起動されるか、新しい API オペレーション AWS のサービス が既存のサービスで使用できるようになったときに、 AWS マネージドポリシーを更新する可能性が高くなります。

詳細については、「IAM ユーザーガイド」の「AWS マネージドポリシー」を参照してください。

AWS 管理ポリシー: AWSSecurityHubFullAccess

AWSSecurityHubFullAccess ポリシーは IAM アイデンティティにアタッチできます。

このポリシーにより、プリンシパルが Security Hub のすべてのアクションに完全にアクセスすることが許可される、管理者許可が付与されます。このポリシーは、アカウントの Security Hub を手動で有効にする前に、プリンシパルに添付する必要があります。例えば、これらの許可を持つプリンシパルは、検出結果のステータスを閲覧および更新できます。また、カスタムインサイトの設定、統合の有効化、標準とコントロールの有効化と無効化を行うこともできます。管理者アカウントのプリンシパルは、メンバーアカウントを管理することもできます。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

  • securityhub - すべての Security Hub アクションへの完全なアクセスをプリンシパルに許可します。

  • guardduty – Amazon GuardDuty のアカウントステータスに関する情報の取得をプリンシパルに許可します。

  • iam – プリンシパルが Security Hub のサービスにリンクされたロールを作成できるようにします。

  • inspector – Amazon Inspector のアカウントステータスに関する情報の取得をプリンシパルに許可します。

  • pricing – プリンシパルが AWS のサービス および 製品の料金表を取得できるようにします。

このポリシーのアクセス許可を確認するには、「AWS マネージドポリシーリファレンスガイド」の「AWSSecurityHubFullAccess」を参照してください。

AWS 管理ポリシー: AWSSecurityHubReadOnlyAccess

AWSSecurityHubReadOnlyAccess ポリシーは IAM アイデンティティにアタッチできます。

このポリシーは、ユーザーが Security Hub の情報を確認できるようにするための読み取り専用の許可を付与します。このポリシーが添付されたプリンシパルは、Security Hub で更新を実行できません。例えば、これらの許可を持つプリンシパルは、アカウントに関連付けられた結果のリストを表示できますが、結果のステータスを変更することはできません。インサイトの結果を表示することはできますが、カスタムインサイトを作成したり設定したりすることはできません。コントロールや製品統合を設定することはできません。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

  • securityhub – ユーザーは、アイテムのリストまたはアイテムに関する詳細を返すアクションを実行することができます。これには、GetList、または Describe で始まる API オペレーションが含まれます。

このポリシーのアクセス許可を確認するには、「AWS マネージドポリシーリファレンスガイド」の「AWSSecurityHubReadOnlyAccess」を参照してください。

AWS 管理ポリシー: AWSSecurityHubOrganizationsAccess

AWSSecurityHubOrganizationsAccess ポリシーを IAM アイデンティティにアタッチできます。

このポリシーは、 の組織の Security Hub を有効化および管理するための管理アクセス許可を付与します AWS Organizations。このポリシーのアクセス許可により、組織管理アカウントは Security Hub の委任管理者アカウントを指定できます。また、Security Hub 委任管理者アカウントで、組織アカウントをメンバーアカウントとして有効化することもできます。

このポリシーは、 のアクセス許可のみを提供します AWS Organizations。組織管理アカウントおよび Security Hub 委任管理者アカウントは、関連する各種アクションに対する許可も必要とします。これらの許可は、AWSSecurityHubFullAccess マネージドポリシーを使用して付与することができます。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

  • organizations:ListAccounts - 組織に属するアカウントリストの取得をプリンシパルに許可します。

  • organizations:DescribeOrganization - 組織に関する情報の取得をプリンシパルに許可します。

  • organizations:ListRoots - 組織ルートの一覧表示をプリンシパルに許可します。

  • organizations:ListDelegatedAdministrators - 組織の委任管理者の一覧表示をプリンシパルに許可します。

  • organizations:ListAWSServiceAccessForOrganization – プリンシパル AWS のサービス が、組織が使用する を一覧表示できるようにします。

  • organizations:ListOrganizationalUnitsForParent - 親 OU の子組織単位 (OU) の一覧表示をプリンシパルに許可します。

  • organizations:ListAccountsForParent - 親 OU の子アカウントの一覧表示をプリンシパルに許可します。

  • organizations:ListParents – 指定された子 OU もしくはアカウントの直接の親として機能するルートまたは組織単位 (OU) を一覧表示します。

  • organizations:DescribeAccount - 組織内のアカウントに関する情報の取得をプリンシパルに許可します。

  • organizations:DescribeOrganizationalUnit - 組織内の OU に関する情報の取得をプリンシパルに許可します。

  • organizations:ListPolicies – 指定されたタイプの組織内のすべてのポリシーのリストを取得します。

  • organizations:ListPoliciesForTarget – 指定されたターゲットルート、組織単位 (OU)、またはアカウントに直接アタッチされているポリシーを一覧表示します。

  • organizations:ListTargetsForPolicy – 指定されたポリシーがアタッチされているすべてのルート、組織単位 (OU)、およびアカウントを一覧表示します。

  • organizations:EnableAWSServiceAccess – Organizations との統合の有効化を、プリンシパルに許可します。

  • organizations:RegisterDelegatedAdministrator – 委任管理者アカウントの指定を、プリンシパルに許可します。

  • organizations:DeregisterDelegatedAdministrator – 委任管理者アカウントの削除を、プリンシパルに許可します。

  • organizations:DescribePolicy – ポリシーに関する情報を取得します。

  • organizations:DescribeEffectivePolicy – 指定されたポリシータイプとアカウントについて有効なポリシーのコンテンツを返します。

  • organizations:CreatePolicy – ルート、組織単位 (OU)、または個々の AWS アカウントにアタッチできる、指定されたタイプのポリシーを作成します。

  • organizations:UpdatePolicy – 既存のポリシーを、新しい名前、説明、またはコンテンツで更新します。

  • organizations:DeletePolicy – 指定されたポリシーを組織から削除します。

  • organizations:AttachPolicy – ルート、組織単位 (OU)、または個々のアカウントにポリシーをアタッチします。

  • organizations:DetachPolicy – ターゲットのルート、組織単位 (OU)、またはアカウントからポリシーをデタッチします。

  • organizations:EnablePolicyType – ルート内の特定のポリシータイプを有効化します。

  • organizations:DisablePolicyType – ルート内の特定の組織ポリシータイプを無効化します。

  • organizations:TagResource – 指定されたリソースに 1 つまたは複数のタグを追加します。

  • organizations:UntagResource – 指定されたリソースから、指定されたキーを持つタグを削除します。

  • organizations:ListTagsForResource – 指定されたリソースにアタッチされているタグのリストを表示します。

このポリシーのアクセス許可を確認するには、「AWS マネージドポリシーリファレンスガイド」の「AWSSecurityHubOrganizationsAccess」を参照してください。

AWS 管理ポリシー: AWSSecurityHubV2ServiceRolePolicy

注記

Security Hub はプレビューリリース段階で、変更される可能性があります。

このポリシーにより、Security Hub は組織およびユーザーに代わって AWS Config ルールと Security Hub リソースを管理できます。このポリシーは、ユーザーに代わってサービスがアクションを実行することを許可する、サービスリンクロールにアタッチされます。このポリシーは IAM アイデンティティにはアタッチできません。詳細については、「AWS Security Hub のサービスにリンクされたロール」を参照してください。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

  • config – Security Hub リソースのサービスにリンクされた設定レコーダーを管理します。

  • iam – のサービスにリンクされたロールを作成します AWS Config。

  • organizations — 組織のアカウントおよび組織単位 (OU) 情報を取得します。

  • securityhub – Security Hub の設定を管理します。

  • tag – リソースタグに関する情報を取得します。

このポリシーのアクセス許可を確認するには、「AWS マネージドポリシーリファレンスガイド」の「AWSSecurityHubV2ServiceRolePolicy」を参照してください。

AWS マネージドポリシーに対する Security Hub の更新

次の表は、このサービスがこれらの変更の追跡を開始してからの AWS Security Hub の AWS マネージドポリシーの更新に関する詳細を示しています。このページの変更に関する自動通知を受信するには、「Security Hub ドキュメントの履歴」ページの RSS フィードをサブスクライブしてください。

変更 説明 日付

AWSSecurityHubOrganizationsAccess – 更新されたポリシー

Security Hub は、Security Hub 機能をサポートするリソースポリシーを記述するアクセス許可を追加するようにポリシーを更新しました。Security Hub はプレビューリリース段階で、変更される可能性があります。

 2025 年 11 月 12 日

AWSSecurityHubFullAccess – 更新されたポリシー

Security Hub は、ポリシーを更新して、GuardDuty、Amazon Inspector、アカウント管理の管理に関する機能を追加し、Security Hub の機能をサポートしました。Security Hub はプレビューリリース段階で、変更される可能性があります。

 2025 年 11 月 17 日

AWSSecurityHubV2ServiceRolePolicy – 更新されたポリシー

Security Hub は、ポリシーを更新して、Amazon Elastic Container Registry、 AWS Lambda、Amazon CloudWatch、および Security Hub 機能をサポートする計測機能を追加 AWS Identity and Access Management しました。この更新では、グローバル AWS Config レコーダーのサポートも追加されました。Security Hub はプレビューリリース段階で、変更される可能性があります。

 2025 年 11 月 5 日
AWSSecurityHubOrganizationsAccess – 既存のポリシーの更新 Security Hub は、いくつかの新しい許可をポリシーに追加しました。アクセス許可により、組織管理者は組織の Security Hub と Security Hub CSPM を有効化および管理できます。 2025 年 6 月 17 日

AWSSecurityHubFullAccess – 既存のポリシーの更新

Security Hub CSPM に、プリンシパルが Security Hub のサービスにリンクされたロールを作成できるようにする新しいアクセス許可が追加されました。

 2025 年 6 月 17 日

AWSSecurityHubV2ServiceRolePolicy – 新しいポリシー

Security Hub は、Security Hub が顧客の組織および顧客に代わって AWS Config ルールと Security Hub リソースを管理できるようにする新しいポリシーを追加しました。Security Hub はプレビューリリース段階で、変更される可能性があります。

 2025 年 6 月 17 日
AWSSecurityHubFullAccess — 既存のポリシーの更新 Security Hub CSPM は、 AWS のサービス および 製品の料金詳細を取得するようにポリシーを更新しました。 2024 年 4 月 24 日
AWSSecurityHubReadOnlyAccess – 既存のポリシーの更新 Security Hub CSPM は、Sid フィールドを追加してこのマネージドポリシーを更新しました。 2024 年 2 月 22 日
AWSSecurityHubFullAccess — 既存のポリシーの更新 Security Hub CSPM のポリシー更新により、アカウントで Amazon GuardDuty と Amazon Inspector が有効になっているかどうかを Security Hub CSPM で判別できるようになりました。これにより、お客様は複数の からセキュリティ関連情報をまとめることができます AWS のサービス。 2023 年 11 月 16 日
AWSSecurityHubOrganizationsAccess — 既存のポリシーの更新 Security Hub CSPM のポリシー更新により、 AWS Organizations 委任管理者機能への読み取り専用アクセスを許可する追加のアクセス許可が付与されました。これには、ルート、組織単位 (OU)、アカウント、組織構造、およびサービスアクセスなどの詳細が含まれます。 2023 年 11 月 16 日
AWSSecurityHubOrganizationsAccess — 新しいポリシー Security Hub CSPM に、Security Hub CSPM と Organizations の統合に必要な許可を付与する新しいポリシーが追加されました。 2021 年 3 月 15 日
Security Hub CSPM で変更の追跡が開始されました Security Hub CSPM は、 AWS 管理ポリシーの変更の追跡を開始しました。 2021 年 3 月 15 日