AWS Security Hub のサービスにリンクされたロール - AWS Security Hub
Security Hub のサービスにリンクされたロールの許可Security Hub のサービスにリンクされたロールの作成Security Hub 向けのサービスにリンクされたロールの編集Security Hub 向けのサービスにリンクされたロールの削除

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Security Hub のサービスにリンクされたロール

AWS Security Hub は、 という名前の AWS Identity and Access Management (IAM) サービスにリンクされたロールを使用しますAWSServiceRoleForSecurityHubV2。このサービスリンクロールは、Security Hub に直接リンクされている IAM ロールです。これは Security Hub によって事前定義されており、Security Hub がユーザーに代わって他の を呼び出し AWS のサービス て AWS リソースをモニタリングするために必要なすべてのアクセス許可が含まれています。Security Hub は、Security Hub AWS リージョン が利用可能なすべての でこのサービスにリンクされたロールを使用します。

サービスにリンクされたロールを使用することで、必要な許可を手動で追加する必要がなくなるため、Security Hub の設定が簡単になります。Security Hub は、サービスにリンクされたロールの許可を定義します。また別段定義されていない限り、Security Hub のみがそのロールを引き受けることができます。定義される許可には、信頼ポリシーや許可ポリシーなどがあり、その許可ポリシーを他の IAM エンティティにアタッチすることはできません。

サービスにリンクされたロールの詳細を確認するには、Security Hub コンソールを使用できます。ナビゲーションペインの [設定] で、[全般設定] を選択します。次に、[サービスアクセス許可] セクションで、[サービスアクセス許可の表示] を選択します。

Security Hub のサービスリンクロールの削除は、そのロールが有効になっているすべてのリージョンで Security Hub を無効にした後でのみ行うことができます。これにより、アクセスに必要な許可を誤って削除してしまうことがなくなり、Security Hub リソースは保護されます。

サービスにリンクされたロールをサポートするその他のサービスについては、「IAM ユーザーガイド」の「IAM と連携するAWS サービス」を参照のうえで、[サービスにリンクされたロール] 列の値が [はい] になっているサービスを確認してください。サービスリンクロールに関するドキュメントをサービスで表示するには、[Yes] (はい) リンクを選択します。

Security Hub のサービスにリンクされたロールの許可

Security Hub では、AWSServiceRoleForSecurityHubV2 という名前のサービスにリンクされたロールを使用します。これは、 AWS Security Hub がリソースにアクセスするために必要なサービスにリンクされたロールです。このサービスにリンクされたロールにより、Security Hub は他の からの検出結果の受信 AWS のサービス や、コントロールのセキュリティチェックを実行するために必要な AWS Config インフラストラクチャの設定などのタスクを実行できます。AWSServiceRoleForSecurityHubV2 サービスにリンクされたロールは、ロールを継承するために securityhub.amazonaws.com のサービスを信頼します。

AWSServiceRoleForSecurityHubV2 サービスにリンクされたロールは、マネージドポリシーである AWSSecurityHubServiceRolePolicy を使用します。

IAM アイデンティティ (ロール、グループ、ユーザーなど) に、サービスにリンクされたロールの作成、編集、削除を許可する設定をする必要があります。AWSServiceRoleForSecurityHubV2 サービスにリンクされたロールを適切に作成するには、Security Hub を使用する IAM アイデンティティに、必要な許可が付与されている必要があります。必要な許可を付与するには、次のポリシーを IAM アイデンティティにアタッチします。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "securityhub:*",
            "Resource": "*"    
        },
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": "securityhub.amazonaws.com"
                }
            }
        }
    ]
}

Security Hub のサービスにリンクされたロールの作成

Security Hub を初めて有効にする場合や、過去に Security Hub を有効にしていなかったリージョンで Security Hub を有効にする場合は、AWSServiceRoleForSecurityHubV2 のサービスリンクロールが自動的に作成されます。あるいは、IAM コンソール、IAM CLI、もしくは IAM API を使って、AWSServiceRoleForSecurityHubV2 のサービスリンクロールを手動で作成することもできます。IAM ロールを手動で作成する方法の詳細は、「IAM ユーザーガイド」の「サービスにリンクされたロールを作成する」を参照してください。

重要

Security Hub 管理者アカウント用に作成されたサービスリンクロールは、関連する Security Hub メンバーアカウントには適用されません。

Security Hub 向けのサービスにリンクされたロールの編集

Security Hub では、AWSServiceRoleForSecurityHubV2 サービスにリンクされたロールの編集は許可されていません。サービスにリンクされたロールを作成すると、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用してロールの説明の編集はできます。詳細については、「IAM ユーザーガイド」の「サービスにリンクされたロールの編集」を参照してください。

Security Hub 向けのサービスにリンクされたロールの削除

サービスにリンクされたロールが必要な機能またはサービスが不要になった場合には、そのロールを削除することをお勧めします。これにより、使用していないエンティティがアクティブにモニタリングされたり、メンテナンスされたりすることがなくなります。

Security Hub を無効にしても、Security Hub は AWSServiceRoleForSecurityHubV2 のサービスリンクロールを自動的に削除しません。Security Hub を再度有効にすると、サービスは既存のサービスリンクロールの使用を再開します。Security Hub を使用する必要がなくなった場合は、サービスにリンクされたロールを手動で削除できます。

重要

AWSServiceRoleForSecurityHubV2 のサービスリンクロールを削除するには、まずそのロールが有効になっているすべてのリージョンで Security Hub を無効にしておく必要があります。詳細については、「Security Hub を無効にする」を参照してください。サービスにリンクされたロールを削除しようとしたときに、Security Hub が無効になっていない場合、削除することはできません。

AWSServiceRoleForSecurityHubV2 のサービスリンクロールは、IAM コンソール、IAM CLI、または IAM API を使用して削除することができます。詳細については、「IAM ユーザーガイド」の「サービスにリンクされたロールの削除」を参照してください。