AWSSecurity Hub とインターフェイス VPC エンドポイント (AWS PrivateLink) - AWSSecurity Hub
Security Hub VPC エンドポイントに関する考慮事項Security Hub 用のインターフェイス VPC エンドポイントの作成Security Hub 用の VPC エンドポイントポリシーの作成共有サブネット

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWSSecurity Hub とインターフェイス VPC エンドポイント (AWS PrivateLink)

インターフェイス VPC エンドポイントを作成することで、VPC と AWSSecurity Hub 間のプライベート接続を確立できます。インターフェイスエンドポイントは AWS PrivateLink テクノロジーを利用しています。このテクノロジーは Security Hub API にプライベートにアクセスでき、インターネットゲートウェイ、NAT デバイス、VPN 接続、AWS Direct Connect 接続のいずれも必要としません。VPC のインスタンスは、パブリック IP アドレスがなくても Security Hub API と通信できます。VPC と Security Hub との間のトラフィックは、Amazon ネットワークを離れません。

各インターフェイスエンドポイントは、サブネット内の 1 つ以上の Elastic Network Interface によって表されます。詳細については、Amazon Virtual Private Cloud ガイド」の「インターフェイス VPC エンドポイントAWS のサービスを使用して にアクセスする」を参照してください。

Security Hub VPC エンドポイントに関する考慮事項

Security Hub のインターフェイス VPC エンドポイントを設定する前に、「Amazon Virtual Private Cloud ユーザーガイド」に記載される前提条件とその他の情報を確認してください。

Security Hub では、VPC からのすべての API アクションの呼び出しをサポートしています。

Security Hub 用のインターフェイス VPC エンドポイントの作成

Security Hub サービスの VPC エンドポイントは、Amazon VPC コンソールまたは AWS Command Line Interface() を使用して作成できますAWS CLI。詳細については、「Amazon Virtual Private Cloud ユーザーガイド」の「VPC エンドポイントの作成」を参照してください。

Security Hub 用の VPC エンドポイントを作成するには、次のサービス名を使用します。

com.amazonaws.region.securityhub

ここで、リージョンは該当する AWS リージョン のリージョンコードです。

エンドポイントのプライベート DNS を有効にすると、リージョンのデフォルト DNS 名 (例: 米国東部 (バージニア北部)の securityhub.us-east-1.amazonaws.com) を使用して、Security Hub への API リクエストを実行できます。

Security Hub 用の VPC エンドポイントポリシーの作成

VPC エンドポイントに Security Hub へのアクセスをコントロールするエンドポイントポリシーをアタッチできます。このポリシーでは、以下の情報を指定します。

  • アクションを実行できるプリンシパル。

  • 実行可能なアクション。

  • アクションを実行できるリソース。

詳細については、「Amazon Virtual Private Cloud ユーザーガイド」の「Control access to VPC endpoints using endpoint policies」を参照してください。

例: Security Hub アクションの VPC エンドポイントポリシー

以下は、Security Hub のエンドポイントポリシーの例です。このポリシーは、エンドポイントに添付されると、すべてのリソースのすべてのプリンシパルに対して、登録されている Security Hub アクションへのアクセスが許可されます。

{
   "Statement":[
      {
         "Principal":"*",
         "Effect":"Allow",
         "Action":[
            "securityhub:getFindings",
            "securityhub:getEnabledStandards",
            "securityhub:getInsights"
         ],
         "Resource":"*"
      }
   ]
}

共有サブネット

自分と共有されているサブネットで VPC エンドポイントを作成、説明、変更、または削除することはできません。ただし、VPC エンドポイントを使用することはできます。VPC 共有の詳細については、「Amazon Virtual Private Cloud ユーザーガイド」の「VPC サブネットを他のアカウントと共有する」を参照してください。