View a markdown version of this page

のサービスにリンクされたロール AWS Security Hub CSPM - AWS Security Hub

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

のサービスにリンクされたロール AWS Security Hub CSPM

AWS Security Hub CSPM は、 という名前の AWS Identity and Access Management (IAM) サービスにリンクされたロールを使用しますAWSServiceRoleForSecurityHub。このサービスにリンクされたロールは、Security Hub CSPM に直接リンクされた IAM ロールです。これは Security Hub CSPM によって事前定義されており、Security Hub CSPM がユーザーに代わって他の を呼び出し AWS のサービス て AWS リソースをモニタリングするために必要なすべてのアクセス許可が含まれています。Security Hub CSPM は、Security Hub CSPM AWS リージョン が利用可能なすべての で、このサービスにリンクされたロールを使用します。

サービスにリンクされたロールを使用すると、必要なアクセス許可を手動で追加する必要がなくなるため、Security Hub CSPM の設定が簡単になります。Security Hub CSPM は、サービスにリンクされたロールのアクセス許可を定義します。特に定義されている場合を除き、Security Hub CSPM のみがロールを引き受けることができます。定義される許可には、信頼ポリシーや許可ポリシーなどがあり、その許可ポリシーを他の IAM エンティティにアタッチすることはできません。

サービスにリンクされたロールの詳細を確認するには、Security Hub CSPM コンソールを使用できます。ナビゲーションペインの [設定] で、[全般設定] を選択します。次に、[サービスアクセス許可] セクションで、[サービスアクセス許可の表示] を選択します。

Security Hub CSPM サービスにリンクされたロールを削除できるのは、Security Hub CSPM が有効になっているすべてのリージョンで Security Hub CSPM を無効にした後のみです。これにより、Security Hub CSPM リソースへのアクセス許可が誤って削除されないため、リソースが保護されます。

サービスにリンクされたロールをサポートするその他のサービスについては、「IAM ユーザーガイド」の「IAM と連携するAWS サービス」を参照のうえで、[サービスにリンクされたロール] 列の値が [はい] になっているサービスを確認してください。サービスリンクロールに関するドキュメントをサービスで表示するには、[Yes] (はい) リンクを選択します。

Security Hub CSPM のサービスにリンクされたロールのアクセス許可

Security Hub CSPM は、 という名前のサービスにリンクされたロールを使用しますAWSServiceRoleForSecurityHub。これは、 が リソースにアクセス AWS Security Hub CSPM するために必要なサービスにリンクされたロールです。このサービスにリンクされたロールにより、Security Hub CSPM は他の からの検出結果の受信 AWS のサービス や、コントロールのセキュリティチェックを実行するために必要な AWS Config インフラストラクチャの設定などのタスクを実行できます。AWSServiceRoleForSecurityHub サービスにリンクされたロールは、ロールを継承するために securityhub.amazonaws.com のサービスを信頼します。

AWSServiceRoleForSecurityHub サービスにリンクされたロールは、マネージドポリシーである AWSSecurityHubServiceRolePolicy を使用します。

IAM アイデンティティ (ロール、グループ、ユーザーなど) に、サービスにリンクされたロールの作成、編集、削除を許可する設定をする必要があります。AWSServiceRoleForSecurityHub サービスにリンクされたロールを正常に作成するには、Security Hub CSPM へのアクセスに使用する IAM ID に必要なアクセス許可が必要です。必要な許可を付与するには、次のポリシーを IAM アイデンティティにアタッチします。

JSON
{ "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "securityhub:*", "Resource": "*" }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringLike": { "iam:AWSServiceName": "securityhub.amazonaws.com" } } } ] }

Security Hub CSPM のサービスにリンクされたロールの作成

AWSServiceRoleForSecurityHub サービスにリンクされたロールは、Security Hub CSPM を初めて有効にするか、以前に有効にしていなかったリージョンで Security Hub CSPM を有効にしたときに自動的に作成されます。あるいは、IAM コンソール、IAM CLI、もしくは IAM API を使って、AWSServiceRoleForSecurityHub のサービスリンクロールを手動で作成することもできます。IAM ロールを手動で作成する方法の詳細は、「IAM ユーザーガイド」の「サービスにリンクされたロールを作成する」を参照してください。

重要

Security Hub CSPM 管理者アカウント用に作成されたサービスにリンクされたロールは、関連する Security Hub CSPM メンバーアカウントには適用されません。

Security Hub CSPM のサービスにリンクされたロールの編集

Security Hub CSPM では、AWSServiceRoleForSecurityHubサービスにリンクされたロールを編集することはできません。サービスリンクロールを作成すると、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用してロールの説明の編集はできます。詳細については、「IAM ユーザーガイド」の「サービスリンクロールの編集」を参照してください。

Security Hub CSPM のサービスにリンクされたロールの削除

サービスにリンクされたロールが必要な機能またはサービスが不要になった場合には、そのロールを削除することをお勧めします。これにより、使用していないエンティティがアクティブにモニタリングされたり、メンテナンスされたりすることがなくなります。

Security Hub CSPM を無効にすると、Security Hub CSPM はAWSServiceRoleForSecurityHubサービスにリンクされたロールを自動的に削除しません。Security Hub CSPM を再度有効にすると、サービスは既存のサービスにリンクされたロールの使用を再開できます。Security Hub CSPM を使用する必要がなくなった場合は、サービスにリンクされたロールを手動で削除できます。

重要

AWSServiceRoleForSecurityHub サービスにリンクされたロールを削除する前に、そのロールが有効になっているすべてのリージョンで Security Hub CSPM を無効にする必要があります。詳細については、「Security Hub CSPM の無効化」を参照してください。サービスにリンクされたロールを削除しようとしたときに Security Hub CSPM が無効になっていない場合、削除は失敗します。

AWSServiceRoleForSecurityHub のサービスリンクロールは、IAM コンソール、IAM CLI、または IAM API を使用して削除することができます。詳細については、「IAM ユーザーガイド」の「サービスにリンクされたロールの削除」を参照してください。