AWSAWS Security Hub の マネージドポリシー - AWS Security Hub
AWSSecurityHubFullAccessAWSSecurityHubReadOnlyAccess AWSSecurityHubOrganizationsAccess AWSSecurityHubServiceRolePolicyポリシーの更新

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWSAWS Security Hub の マネージドポリシー

AWS 管理ポリシーは、 によって作成および管理されるスタンドアロンポリシーです AWS。 AWS 管理ポリシーは、多くの一般的なユースケースにアクセス許可を付与するように設計されているため、ユーザー、グループ、ロールにアクセス許可の割り当てを開始できます。

AWS 管理ポリシーは、すべての AWS お客様が使用できるため、特定のユースケースに対して最小特権のアクセス許可を付与しない場合があることに注意してください。ユースケースに固有のカスタマー管理ポリシーを定義して、アクセス許可を絞り込むことをお勧めします。

AWS 管理ポリシーで定義されているアクセス許可は変更できません。が AWS 管理ポリシーで定義されたアクセス許可 AWS を更新すると、ポリシーがアタッチされているすべてのプリンシパル ID (ユーザー、グループ、ロール) に影響します。 AWS は、新しい AWS のサービス が起動されたとき、または既存のサービスで新しい API オペレーションが利用可能になったときに、 AWS 管理ポリシーを更新する可能性が最も高くなります。

詳細については「IAM ユーザーガイド」の「AWS マネージドポリシー」を参照してください。

AWS マネージドポリシー: AWSSecurityHubFullAccess

AWSSecurityHubFullAccess ポリシーは IAM アイデンティティにアタッチできます。

このポリシーにより、プリンシパルが Security Hub のすべてのアクションに完全にアクセスすることが許可される、管理者許可が付与されます。このポリシーは、アカウントの Security Hub を手動で有効にする前に、プリンシパルに添付する必要があります。例えば、これらの許可を持つプリンシパルは、結果のステータスを表示および更新できます。カスタムインサイトを設定し、統合を有効にできます。これにより、標準とコントロールを有効または無効にすることができます。管理者アカウントのプリンシパルは、メンバーアカウントを管理することもできます。

許可の詳細

このポリシーには、以下の許可が含まれています。

  • securityhub - すべての Security Hub アクションへの完全なアクセスをプリンシパルに許可します。

  • guardduty – Amazon GuardDuty のアカウントステータスに関する情報の取得をプリンシパルに許可します。

  • iam - サービスにリンクされたロールの作成をプリンシパルに許可します。

  • inspector – Amazon Inspector のアカウントステータスに関する情報の取得をプリンシパルに許可します。

  • pricing – プリンシパルが AWS のサービス および 製品の料金表を取得できるようにします。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "SecurityHubAllowAll",
            "Effect": "Allow",
            "Action": "securityhub:*",
            "Resource": "*" 
        },
        {
            "Sid": "SecurityHubServiceLinkedRole",
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": "securityhub.amazonaws.com"
                }
            }
        },
        {
            "Sid": "OtherServicePermission",
            "Effect": "Allow",
            "Action": [
                "guardduty:GetDetector",
                "guardduty:ListDetectors",
                "inspector2:BatchGetAccountStatus",
                "pricing:GetProducts"
            ],
            "Resource": "*"
        }
    ]
}

Security Hub マネージドポリシー: AWSSecurityHubReadOnlyAccess

AWSSecurityHubReadOnlyAccess ポリシーは IAM アイデンティティにアタッチできます。

このポリシーは、ユーザーが Security Hub の情報を確認できるようにするための読み取り専用の許可を付与します。このポリシーが添付されたプリンシパルは、Security Hub で更新を実行できません。例えば、これらの許可を持つプリンシパルは、アカウントに関連付けられた結果のリストを表示できますが、結果のステータスを変更することはできません。インサイトの結果を表示することはできますが、カスタムインサイトを作成したり設定したりすることはできません。コントロールや製品統合を設定することはできません。

許可の詳細

このポリシーには、以下の許可が含まれています。

  • securityhub - ユーザーは、アイテムのリストまたはアイテムに関する詳細を返すアクションを実行することができます。これには、GetList、または Describe で始まる API オペレーションが含まれます。

{
    "Version": "2012-10-17",
    "Statement": [ 
        {
            "Sid": "AWSSecurityHubReadOnlyAccess",
            "Effect": "Allow",
            "Action": [
                "securityhub:Get*",
                "securityhub:List*",
                "securityhub:BatchGet*",
                "securityhub:Describe*"
            ],
            "Resource": "*"
        }
    ]
}

AWS マネージドポリシー: AWSSecurityHubOrganizationsAccess

AWSSecurityHubOrganizationsAccess ポリシーを IAM アイデンティティにアタッチできます。

このポリシーは AWS Organizations 、Security Hub と Organizations の統合をサポートするために必要な の管理アクセス許可を付与します。

これらの許可により、組織管理アカウントで Security Hub の委任された管理者アカウントを指定できます。また、委任された Security Hub 管理者アカウントで、組織アカウントをメンバーアカウントとして有効にすることもできます。

このポリシーでは、Organizations に対する許可のみが提供されます。組織管理アカウントと委任された Security Hub 管理者アカウントには、Security Hub の関連するアクションに対する許可も必要です。これらの許可は、AWSSecurityHubFullAccess マネージドポリシーを使用して付与することができます。

許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

  • organizations:ListAccounts - 組織に属するアカウントリストの取得をプリンシパルに許可します。

  • organizations:DescribeOrganization - 組織に関する情報の取得をプリンシパルに許可します。

  • organizations:ListRoots - 組織ルートの一覧表示をプリンシパルに許可します。

  • organizations:ListDelegatedAdministrators - 組織の委任管理者の一覧表示をプリンシパルに許可します。

  • organizations:ListAWSServiceAccessForOrganization – プリンシパル AWS のサービス が、組織が使用する を一覧表示できるようにします。

  • organizations:ListOrganizationalUnitsForParent - 親 OU の子組織単位 (OU) の一覧表示をプリンシパルに許可します。

  • organizations:ListAccountsForParent - 親 OU の子アカウントの一覧表示をプリンシパルに許可します。

  • organizations:DescribeAccount - 組織内のアカウントに関する情報の取得をプリンシパルに許可します。

  • organizations:DescribeOrganizationalUnit - 組織内の OU に関する情報の取得をプリンシパルに許可します。

  • organizations:DescribeOrganization - 組織設定に関する情報の取得を、プリンシパルに許可します。

  • organizations:EnableAWSServiceAccess - Security Hub と Organizations の統合の有効化を、プリンシパルに許可します。

  • organizations:RegisterDelegatedAdministrator - Security Hub の委任された管理者アカウントを指定することを、プリンシパルに許可します。

  • organizations:DeregisterDelegatedAdministrator - Security Hub の委任された管理者アカウントを削除することを、プリンシパルに許可します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "OrganizationPermissions",
            "Effect": "Allow",
            "Action": [
                "organizations:ListAccounts",
                "organizations:DescribeOrganization",
                "organizations:ListRoots",
                "organizations:ListDelegatedAdministrators",
                "organizations:ListAWSServiceAccessForOrganization",
                "organizations:ListOrganizationalUnitsForParent",
                "organizations:ListAccountsForParent",
                "organizations:DescribeAccount",
                "organizations:DescribeOrganizationalUnit"
            ],
            "Resource": "*"
        },
        {
            "Sid": "OrganizationPermissionsEnable",
            "Effect": "Allow",
            "Action": "organizations:EnableAWSServiceAccess",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "organizations:ServicePrincipal": "securityhub.amazonaws.com"
                }
            }
        },
        {
            "Sid": "OrganizationPermissionsDelegatedAdmin",
            "Effect": "Allow",
            "Action": [
                "organizations:RegisterDelegatedAdministrator",
                "organizations:DeregisterDelegatedAdministrator"
            ],
            "Resource": "arn:aws:organizations::*:account/o-*/*",
            "Condition": {
            "StringEquals": {
                "organizations:ServicePrincipal": "securityhub.amazonaws.com"
                }
            }
        }
    ]
}

AWS マネージドポリシー: AWSSecurityHubServiceRolePolicy

IAM エンティティに AWSSecurityHubServiceRolePolicy をアタッチすることはできません。このポリシーは、ユーザーに代わって Security Hub がアクションを実行することを許可するサービスにリンクされたロールに添付されます。詳細については、「Security Hub のサービスリンクロール」を参照してください。

このポリシーは、サービスにリンクされたロールに管理許可を付与し、Security Hub コントロールのセキュリティチェックを実行できるようにします。

許可の詳細

このポリシーには以下を実行するための許可が含まれています。

  • cloudtrail - CloudTrail 追跡に関する情報を取得します。

  • cloudwatch - 現在の CloudWatch アラームを取得します。

  • logs - CloudWatch logs のメトリクスフィルターを取得します。

  • sns - SNS トピックのサブスクリプションリストを取得します。

  • config – 設定レコーダー、リソース、および AWS Config ルールに関する情報を取得します。また、サービスにリンクされたロールに AWS Config ルールの作成と削除、およびルールに対する評価の実行も許可します。

  • iam - アカウントの認証情報レポートの取得と生成を実行します。

  • organizations — 組織のアカウントおよび組織単位 (OU) 情報を取得します。

  • securityhub — Security Hub サービス、標準およびコントロールの設定方法に関する情報を取得します。

  • tag— リソースタグに関する情報を取得します。

{
    "Version": "2012-10-17",
    "Statement": [ 
        {
            "Sid": "SecurityHubServiceRolePermissions",
            "Effect": "Allow",
            "Action": [
                "cloudtrail:DescribeTrails",
                "cloudtrail:GetTrailStatus",
                "cloudtrail:GetEventSelectors",
                "cloudwatch:DescribeAlarms",
                "cloudwatch:DescribeAlarmsForMetric",
                "logs:DescribeMetricFilters",
                "sns:ListSubscriptionsByTopic",
                "config:DescribeConfigurationRecorders",
                "config:DescribeConfigurationRecorderStatus",
                "config:DescribeConfigRules",
                "config:DescribeConfigRuleEvaluationStatus",
                "config:BatchGetResourceConfig",
                "config:SelectResourceConfig",
                "iam:GenerateCredentialReport",
                "organizations:ListAccounts",
                "config:PutEvaluations",
                "tag:GetResources",
                "iam:GetCredentialReport",
                "organizations:DescribeAccount",
                "organizations:DescribeOrganization",
                "organizations:ListChildren",
                "organizations:ListAWSServiceAccessForOrganization",
                "organizations:DescribeOrganizationalUnit",
                "securityhub:BatchDisableStandards",
                "securityhub:BatchEnableStandards",
                "securityhub:BatchUpdateStandardsControlAssociations",
                "securityhub:BatchGetSecurityControls",
                "securityhub:BatchGetStandardsControlAssociations",
                "securityhub:CreateMembers",
                "securityhub:DeleteMembers",
                "securityhub:DescribeHub",
                "securityhub:DescribeOrganizationConfiguration",
                "securityhub:DescribeStandards",
                "securityhub:DescribeStandardsControls",
                "securityhub:DisassociateFromAdministratorAccount",
                "securityhub:DisassociateMembers",
                "securityhub:DisableSecurityHub",
                "securityhub:EnableSecurityHub",
                "securityhub:GetEnabledStandards",
                "securityhub:ListStandardsControlAssociations",
                "securityhub:ListSecurityControlDefinitions",
                "securityhub:UpdateOrganizationConfiguration",
                "securityhub:UpdateSecurityControl",
                "securityhub:UpdateSecurityHubConfiguration",
                "securityhub:UpdateStandardsControl",
                "tag:GetResources"
            ],
            "Resource": "*"
        },
        {
            "Sid": "SecurityHubServiceRoleConfigPermissions",
            "Effect": "Allow",
            "Action": [
                "config:PutConfigRule",
                "config:DeleteConfigRule",
                "config:GetComplianceDetailsByConfigRule"
            ],
            "Resource": "arn:aws:config:*:*:config-rule/aws-service-rule/*securityhub*"
        },
        {
            "Sid": "SecurityHubServiceRoleOrganizationsPermissions",
            "Effect": "Allow",
            "Action": [
                "organizations:ListDelegatedAdministrators"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "organizations:ServicePrincipal": [
                        "securityhub.amazonaws.com"
                    ]
                }
            }
        }
    ]
}

AWS マネージドポリシーに対する Security Hub の更新

Security Hub の AWS マネージドポリシーの更新に関する詳細を、このサービスがこれらの変更の追跡を開始した以降の分について表示します。このページの変更に関する自動通知については、Security Hub の [Document history] (ドキュメントの履歴) ページの RSS フィードをサブスクライブしてください。

変更 説明 日付
AWSSecurityHubFullAccess — 既存のポリシーの更新 Security Hub は、 AWS のサービス および 製品の料金詳細を取得するようにポリシーを更新しました。 2024 年 4 月 24 日
AWSSecurityHubReadOnlyAccess – 既存のポリシーの更新 Security Hub は、Sid フィールドを追加してこの管理ポリシーを更新しました。 2024 年 2 月 22 日
AWSSecurityHubFullAccess — 既存のポリシーの更新 Security Hub はポリシーを更新し、アカウントで Amazon GuardDuty と Amazon Inspector が有効になっているかどうかを判断できるようにしました。これにより、お客様は複数の からセキュリティ関連情報をまとめることができます AWS のサービス。 2023 年 11 月 16 日
AWSSecurityHubOrganizationsAccess — 既存のポリシーの更新 Security Hub は、 AWS Organizations 委任管理者機能への読み取り専用アクセスを許可する追加の権限を付与するようにポリシーを更新しました。これには、ルート、組織単位 (OU)、アカウント、組織構造、およびサービスアクセスなどの詳細が含まれます。 2023 年 11 月 16 日
AWSSecurityHubServiceRolePolicy — 既存のポリシーに対する更新 Security Hub で BatchGetSecurityControlsDisassociateFromAdministratorAccount、および UpdateSecurityControl アクセス許可が追加され、カスタマイズ可能なセキュリティコントロールプロパティの読み取りおよび更新を行うようになりました。 2023 年 11 月 26 日
AWSSecurityHubServiceRolePolicy — 既存のポリシーに対する更新 Security Hub は、tag:GetResources調査結果に関連するリソースタグを読み取る権限を追加しました。 2023 年 11 月 7 日
AWSSecurityHubServiceRolePolicy — 既存のポリシーに対する更新 Security Hub は、コントロールの有効化ステータスに関する情報を取得する BatchGetStandardsControlAssociations アクセス許可を標準に追加しました。 2023 年 9 月 27 日
AWSSecurityHubServiceRolePolicy — 既存のポリシーに対する更新 Security Hub は、標準やコントロールなど、 AWS Organizations データを取得し、Security Hub 設定を読み取って更新するための新しいアクセス許可を追加しました。 2023 年 9 月 20 日
AWSSecurityHubServiceRolePolicy — 既存のポリシーに対する更新 Security Hub が既存の config:DescribeConfigRuleEvaluationStatus 許可をポリシー内の別のステートメントに移動しました。これにより、config:DescribeConfigRuleEvaluationStatus 許可がすべてのリソースに適用されます。 2023 年 3 月 17 日
AWSSecurityHubServiceRolePolicy — 既存のポリシーに対する更新 Security Hub が既存の config:PutEvaluations 許可をポリシー内の別のステートメントに移動しました。これにより、config:PutEvaluations 許可がすべてのリソースに適用されます。 2021 年 7 月 14 日
AWSSecurityHubServiceRolePolicy — 既存のポリシーに対する更新 Security Hub は、サービスにリンクされたロールから評価結果を AWS Configに送信することを許可する新しい許可を追加しました。 2021 年 6 月 29 日
AWSSecurityHubServiceRolePolicy — マネージドポリシーのリストに追加 マネージドポリシーである AWSSecurityHubServiceRolePolicy に関する情報を追加しました。このポリシーは Security Hub のサービスにリンクされたロールで使用されます。 2021 年 6 月 11 日
AWSSecurityHubOrganizationsAccess — 新しいポリシー Security Hub に、Security Hub と Organizations との統合に必要な許可を付与する新しいポリシーが追加されました。 2021 年 3 月 15 日
Security Hub で変更の追跡が開始されました Security Hub が AWS マネージドポリシーの変更の追跡を開始しました。 2021 年 3 月 15 日