のサービスにリンクされたロール AWS Security Hub CSPM - AWS Security Hub
Security Hub のサービスにリンクされたロールの許可Security Hub のサービスにリンクされたロールの作成Security Hub 向けのサービスにリンクされたロールの編集Security Hub 向けのサービスにリンクされたロールの削除

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

のサービスにリンクされたロール AWS Security Hub CSPM

AWS Security Hub CSPM は、 という名前の AWS Identity and Access Management (IAM) サービスにリンクされたロールを使用しますAWSServiceRoleForSecurityHub。このサービスリンクロールは、Security Hub に直接リンクされている IAM ロールです。これは Security Hub によって事前定義されており、Security Hub がユーザーに代わって他の を呼び出し AWS のサービス て AWS リソースをモニタリングするために必要なすべてのアクセス許可が含まれています。Security Hub は、Security Hub AWS リージョン が利用可能なすべての でこのサービスにリンクされたロールを使用します。

サービスにリンクされたロールを使用することで、必要な許可を手動で追加する必要がなくなるため、Security Hub の設定が簡単になります。Security Hub は、サービスにリンクされたロールのアクセス許可を定義します。特に定義されている場合を除き、Security Hub のみがロールを引き受けることができます。定義される許可には、信頼ポリシーや許可ポリシーなどがあり、その許可ポリシーを他の IAM エンティティにアタッチすることはできません。

サービスにリンクされたロールの詳細を確認するには、Security Hub コンソールを使用できます。ナビゲーションペインで、「設定」の「全般」を選択します。次に、「サービスアクセス許可」セクションで「サービスアクセス許可の表示」を選択します。

Security Hub サービスにリンクされたロールを削除できるのは、Security Hub が有効になっているすべてのリージョンで Security Hub を無効にした後のみです。これにより、アクセスに必要な許可を誤って削除してしまうことがなくなり、Security Hub リソースは保護されます。

サービスにリンクされたロールをサポートする他のサービスの詳細については、AWS 「IAM ユーザーガイド」の「IAM と連携するサービス」を参照し、「サービスにリンクされたロール」列で「はい」を持つサービスを見つけます。 サービスリンクロールに関するドキュメントをサービスで表示するには、[Yes] (はい) リンクを選択します。

Security Hub のサービスにリンクされたロールの許可

Security Hub では、AWSServiceRoleForSecurityHub という名前のサービスにリンクされたロールを使用します。これは、 が リソースにアクセス AWS Security Hub CSPM するために必要なサービスにリンクされたロールです。このサービスにリンクされたロールにより、Security Hub は他の からの検出結果の受信 AWS のサービス や、コントロールのセキュリティチェックを実行するために必要な AWS Config インフラストラクチャの設定などのタスクを実行できます。AWSServiceRoleForSecurityHub サービスにリンクされたロールは、ロールを継承するために securityhub.amazonaws.com のサービスを信頼します。

AWSServiceRoleForSecurityHub サービスにリンクされたロールは、マネージドポリシーである AWSSecurityHubServiceRolePolicy を使用します。

IAM アイデンティティ (ロール、グループ、ユーザーなど) に、サービスにリンクされたロールの作成、編集、削除を許可する設定をする必要があります。AWSServiceRoleForSecurityHub サービスにリンクされたロールを適切に作成するには、Security Hub を使用する IAM アイデンティティに、必要な許可が付与されている必要があります。必要な許可を付与するには、次のポリシーを IAM アイデンティティにアタッチします。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "securityhub:*",
            "Resource": "*"    
        },
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": "securityhub.amazonaws.com"
                }
            }
        }
    ]
}

Security Hub のサービスにリンクされたロールの作成

AWSServiceRoleForSecurityHub サービスにリンクされたロールは、Security Hub を初めて有効にするか、以前に有効にしたことがないリージョンで Security Hub を有効にすると、自動的に作成されます。IAM コンソール、IAM CLI、または IAM API を使用して、AWSServiceRoleForSecurityHubサービスにリンクされたロールを手動で作成することもできます。IAM ロールを手動で作成する方法の詳細は、「IAM ユーザーガイド」の「サービスにリンクされたロールを作成する」を参照してください。

重要

Security Hub 管理者アカウント用に作成されたサービスにリンクされたロールは、関連する Security Hub メンバーアカウントには適用されません。

Security Hub 向けのサービスにリンクされたロールの編集

Security Hub では、AWSServiceRoleForSecurityHub サービスにリンクされたロールの編集は許可されていません。サービスにリンクされたロールを作成すると、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用してロールの説明の編集はできます。詳細については、「IAM ユーザーガイド」の「サービスにリンクされたロールの編集」を参照してください。

Security Hub 向けのサービスにリンクされたロールの削除

サービスにリンクされたロールが必要な機能またはサービスが不要になった場合には、そのロールを削除することをお勧めします。これにより、使用していないエンティティがアクティブにモニタリングされたり、メンテナンスされたりすることがなくなります。

Security Hub を無効にすると、Security Hub はAWSServiceRoleForSecurityHubサービスにリンクされたロールを自動的に削除しません。Security Hub を再度有効にすると、サービスは既存のサービスにリンクされたロールの使用を再開できます。Security Hub を使用する必要がなくなった場合は、サービスにリンクされたロールを手動で削除できます。

重要

AWSServiceRoleForSecurityHub サービスにリンクされたロールを削除する前に、そのロールが有効になっているすべてのリージョンで Security Hub を無効にする必要があります。詳細については、「Security Hub CSPM の無効化」を参照してください。サービスにリンクされたロールを削除しようとしたときに、Security Hub が無効になっていない場合、削除することはできません。

AWSServiceRoleForSecurityHub サービスにリンクされたロールを削除するには、IAM コンソール、IAM CLI、または IAM API を使用できます。詳細については、「IAM ユーザーガイド」の「サービスにリンクされたロールの削除」を参照してください。