View a markdown version of this page

AWSSecurity Hub の マネージドポリシー - AWSSecurity Hub

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWSSecurity Hub の マネージドポリシー

AWS管理ポリシーは、 によって作成および管理されるスタンドアロンポリシーですAWS。 AWS管理ポリシーは、ユーザー、グループ、ロールにアクセス許可の割り当てを開始できるように、多くの一般的なユースケースにアクセス許可を付与するように設計されています。

AWS管理ポリシーは、すべてのAWSお客様が使用できるため、特定のユースケースに対して最小特権のアクセス許可を付与しない場合があることに注意してください。ユースケースに固有のカスタマー管理ポリシーを定義して、アクセス許可を絞り込むことをお勧めします。

AWS管理ポリシーで定義されているアクセス許可は変更できません。がAWS マネージドポリシーで定義されたアクセス許可AWSを更新すると、ポリシーがアタッチされているすべてのプリンシパル ID (ユーザー、グループ、ロール) に影響します。 AWSは、新しい が起動されるか、新しい API オペレーションAWS のサービスが既存のサービスで使用できるようになったときに、 AWSマネージドポリシーを更新する可能性が最も高くなります。

詳細については、「IAM ユーザーガイド」の「AWS マネージドポリシー」を参照してください。

AWS管理ポリシー: AWSSecurityHubFullAccess

AWSSecurityHubFullAccess ポリシーを IAM アイデンティティにアタッチできます。

このポリシーは、プリンシパルが Security Hub のすべてのアクションにフルアクセスすることを可能にする管理者許可を付与します。このポリシーは、アカウントの Security Hub CSPM を手動で有効にする前に、プリンシパルに添付しておく必要があります。例えば、これらの許可を持つプリンシパルは、検出結果のステータスを閲覧および更新できます。また、カスタムインサイトの設定、統合の有効化、標準とコントロールの有効化と無効化を行うこともできます。管理者アカウントのプリンシパルは、メンバーアカウントを管理することもできます。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

  • securityhub – すべての Security Hub CSPM アクションへのフルアクセスをプリンシパルに許可します。

  • guardduty – プリンシパルが Amazon GuardDuty でディテクターの完全なライフサイクル管理、組織の管理者管理、メンバーアカウントの管理、および組織全体の設定を実行できるようにします。これには、GetDetector、ListDetector、CreateDetector、UpdateDetector、DeleteDetector、EnableOrganizationAdminAccount、ListOrganizationAdminAccounts、CreateMembers、UpdateOrganizationConfiguration、DescribeOrganizationConfiguration などの API アクションが含まれます。

  • iam – プリンシパルが Security Hub CSPM と Security Hub のサービスにリンクされたロールを作成し、ロール、ポリシー、ポリシーバージョンを取得できるようにします。

  • inspector – プリンシパルが Amazon Inspector でアカウントステータスに関する情報の取得、有効化または無効化、管理者管理の委任、組織設定管理の実行を行うことができます。これには、API アクション BatchGetAccountStatus、Enable、Disable、EnableDelegatedAdminAccount、DisableDelegatedAdminAccount、ListDelegatedAdminAccounts、UpdateOrganizationConfiguration、DescribeOrganizationConfiguration が含まれます。

  • pricing – プリンシパルが AWS のサービスおよび 製品の料金表を取得できるようにします。

  • account – Security Hub でのリージョン管理をサポートするアカウントリージョンに関する情報の取得をプリンシパルに許可します。

このポリシーのアクセス許可を確認するには、「AWS マネージドポリシーリファレンスガイド」の「AWSSecurityHubFullAccess」を参照してください。

AWS管理ポリシー: AWSSecurityHubReadOnlyAccess

AWSSecurityHubReadOnlyAccess ポリシーを IAM IDにアタッチできます。

このポリシーは、ユーザーが Security Hub CSPM 内の情報を確認できるようにするための読み取り専用の許可を付与します。このポリシーが添付されているプリンシパルは、Security Hub で更新を実行できません。例えば、これらの許可を持つプリンシパルは、アカウントに関連付けられた結果のリストを表示できますが、結果のステータスを変更することはできません。インサイトの結果を表示することはできますが、カスタムインサイトを作成したり設定したりすることはできません。コントロールや製品統合を設定することはできません。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

  • securityhub – ユーザーは、アイテムのリストまたはアイテムに関する詳細を返すアクションを実行することができます。これには、GetList、または Describe で始まる API オペレーションが含まれます。

このポリシーのアクセス許可を確認するには、「AWS マネージドポリシーリファレンスガイド」の「AWSSecurityHubReadOnlyAccess」を参照してください。

AWS管理ポリシー: AWSSecurityHubOrganizationsAccess

AWSSecurityHubOrganizationsAccess ポリシーを IAM アイデンティティにアタッチできます。

このポリシーは、 の組織の Security Hub、Security Hub CSPM、Amazon GuardDuty、Amazon Inspector を有効化および管理するための管理アクセス許可を付与しますAWS Organizations。このポリシーのアクセス許可により、組織管理アカウントは Security Hub、Security Hub CSPM、Amazon GuardDuty、Amazon Inspector の委任管理者アカウントを指定できます。また、Security Hub 委任管理者アカウントで、組織アカウントをメンバーアカウントとして有効化することもできます。

このポリシーは、 のアクセス許可のみを提供しますAWS Organizations。組織管理アカウントおよび Security Hub 委任管理者アカウントは、関連する各種アクションに対する許可も必要とします。これらの許可は、AWSSecurityHubFullAccess マネージドポリシーを使用して付与することができます。

管理アカウントで委任管理者ポリシーを作成または更新するには、このポリシーで指定されていない追加のアクセス許可が必要です。これらのアクションを実行するには、AWSOrganizationsFullAccess ポリシーのアクセス許可を追加organizations:PutResourcePolicyまたはアタッチすることをお勧めします。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

  • organizations:ListAccounts - 組織に属するアカウントリストの取得をプリンシパルに許可します。

  • organizations:DescribeOrganization - 組織に関する情報の取得をプリンシパルに許可します。

  • organizations:ListRoots - 組織ルートの一覧表示をプリンシパルに許可します。

  • organizations:ListDelegatedAdministrators - 組織の委任管理者の一覧表示をプリンシパルに許可します。

  • organizations:ListAWSServiceAccessForOrganization – プリンシパルAWS のサービスが、組織が使用する を一覧表示できるようにします。

  • organizations:ListOrganizationalUnitsForParent - 親 OU の子組織単位 (OU) の一覧表示をプリンシパルに許可します。

  • organizations:ListAccountsForParent - 親 OU の子アカウントの一覧表示をプリンシパルに許可します。

  • organizations:ListParents – 指定された子 OU もしくはアカウントの直接の親として機能するルートまたは組織単位 (OU) を一覧表示します。

  • organizations:DescribeAccount - 組織内のアカウントに関する情報の取得をプリンシパルに許可します。

  • organizations:DescribeOrganizationalUnit - 組織内の OU に関する情報の取得をプリンシパルに許可します。

  • organizations:ListPolicies – 指定されたタイプの組織内のすべてのポリシーのリストを取得します。

  • organizations:ListPoliciesForTarget – 指定されたターゲットルート、組織単位 (OU)、またはアカウントに直接アタッチされているポリシーを一覧表示します。

  • organizations:ListTargetsForPolicy – 指定されたポリシーがアタッチされているすべてのルート、組織単位 (OU)、およびアカウントを一覧表示します。

  • organizations:EnableAWSServiceAccess – Organizations との統合の有効化を、プリンシパルに許可します。

  • organizations:RegisterDelegatedAdministrator – 委任管理者アカウントの指定を、プリンシパルに許可します。

  • organizations:DeregisterDelegatedAdministrator – 委任管理者アカウントの削除を、プリンシパルに許可します。

  • organizations:DescribePolicy – ポリシーに関する情報を取得します。

  • organizations:DescribeEffectivePolicy – 指定されたポリシータイプとアカウントについて有効なポリシーのコンテンツを返します。

  • organizations:CreatePolicy – ルート、組織単位 (OU)、または個々のAWSアカウントにアタッチできる、指定されたタイプのポリシーを作成します。

  • organizations:UpdatePolicy – 既存のポリシーを、新しい名前、説明、またはコンテンツで更新します。

  • organizations:DeletePolicy – 指定されたポリシーを組織から削除します。

  • organizations:AttachPolicy – ルート、組織単位 (OU)、または個々のアカウントにポリシーをアタッチします。

  • organizations:DetachPolicy – ターゲットのルート、組織単位 (OU)、またはアカウントからポリシーをデタッチします。

  • organizations:EnablePolicyType – ルート内の特定のポリシータイプを有効化します。

  • organizations:DisablePolicyType – ルート内の特定の組織ポリシータイプを無効化します。

  • organizations:TagResource – 指定されたリソースに 1 つまたは複数のタグを追加します。

  • organizations:UntagResource – 指定されたリソースから、指定されたキーを持つタグを削除します。

  • organizations:ListTagsForResource – 指定されたリソースにアタッチされているタグのリストを表示します。

  • organizations:DescribeResourcePolicy – リソースポリシーに関する情報を取得します。

このポリシーのアクセス許可を確認するには、「AWS マネージドポリシーリファレンスガイド」の「AWSSecurityHubOrganizationsAccess」を参照してください。

AWS管理ポリシー: AWSSecurityHubServiceRolePolicy

IAM エンティティに AWSSecurityHubServiceRolePolicy をアタッチすることはできません。このポリシーは、ユーザーに代わって Security Hub CSPM がアクションを実行することを許可する、サービスにリンクされたロールに添付されます。詳細については、「のサービスにリンクされたロールAWS Security Hub CSPM」を参照してください。

このポリシーは、サービスにリンクされたロールに管理許可を付与し、Security Hub CSPM コントロールのセキュリティチェックなどのタスクの実行を許可します。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

  • cloudtrail - CloudTrail 追跡に関する情報を取得します。

  • cloudwatch – 現在の CloudWatch アラームと Connector ヘルスメトリクスを取得します。

  • logs – CloudWatch logs のメトリクスフィルターを取得します。

  • sns - SNS トピックのサブスクリプションリストを取得します。

  • config – 設定レコーダー、リソース、およびAWS Configルールに関する情報を取得します。Security Hub CSPM サービスにリンクされた設定レコーダーとサードパーティーのサービスにリンクされた設定レコーダーを管理します。AWS Configルールを作成および削除し、ルールに対して評価を実行します。設定レコーダーを一覧表示し、サードパーティーのクラウド統合をサポートするコネクタ情報を取得します。

  • iam – アカウントの認証情報レポートを取得して生成し、サービスにリンクされたロールを作成しますAWS Config。

  • organizations — 組織のアカウントおよび組織単位 (OU) 情報を取得します。

  • securityhub – Security Hub CSPM のサービス、標準およびコントロールの設定方法に関する情報を取得します。

  • tag – リソースタグに関する情報を取得します。

このポリシーのアクセス許可を確認するには、「AWS マネージドポリシーリファレンスガイド」の「AWSSecurityHubServiceRolePolicy」を参照してください。

AWSマネージドポリシーに対する Security Hub の更新

次の表は、このサービスがこれらの変更の追跡を開始してからの AWSSecurity Hub および Security Hub CSPM の AWSマネージドポリシーの更新に関する詳細を示しています。このページの変更に関する自動通知を受信するには、「Security Hub ドキュメントの履歴」ページの RSS フィードをサブスクライブしてください。

変更 説明 日付

AWSSecurityHubServiceRolePolicy – 更新されたポリシー

Security Hub CSPM は、サードパーティーの統合をサポートするようにポリシーを更新しました。更新では、サードパーティーの設定レコーダーの管理、設定レコーダーのリスト、コネクタ情報の取得、コネクタのヘルスメトリクスの取得のアクセス許可が追加されました。

2026 年 6 月 30 日

AWSSecurityHubServiceRolePolicy – 更新されたポリシー

Security Hub CSPM は、Security Hub CSPM サービスにリンクされた設定レコーダーを管理し、AWS Configサービスにリンクされたロールを作成するアクセス許可を追加するようにポリシーを更新しました。

2026 年 4 月 29 日

AWSSecurityHubOrganizationsAccess – 更新されたポリシー

Security Hub は、Security Hub 機能をサポートするリソースポリシーを記述するアクセス許可を追加するようにポリシーを更新しました。Security Hub はプレビューリリース段階で、変更される可能性があります。

2025 年 11 月 12 日

AWSSecurityHubFullAccess – 更新されたポリシー

Security Hub は、ポリシーを更新して、GuardDuty、Amazon Inspector、アカウント管理の管理に関する機能を追加し、Security Hub の機能をサポートしました。Security Hub はプレビューリリース段階で、変更される可能性があります。

2025 年 11 月 17 日
AWSSecurityHubOrganizationsAccess – 既存のポリシーの更新 Security Hub は、いくつかの新しい許可をポリシーに追加しました。アクセス許可により、組織管理者は組織の Security Hub と Security Hub CSPM を有効化および管理できます。 2025 年 6 月 17 日

AWSSecurityHubFullAccess – 既存のポリシーの更新

Security Hub CSPM に、プリンシパルが Security Hub のサービスにリンクされたロールを作成できるようにする新しいアクセス許可が追加されました。

2025 年 6 月 17 日
AWSSecurityHubFullAccess — 既存のポリシーの更新 Security Hub CSPM は、 AWS のサービスおよび 製品の料金詳細を取得するようにポリシーを更新しました。 2024 年 4 月 24 日
AWSSecurityHubReadOnlyAccess – 既存のポリシーの更新 Security Hub CSPM は、Sid フィールドを追加してこのマネージドポリシーを更新しました。 2024 年 2 月 22 日
AWSSecurityHubFullAccess — 既存のポリシーの更新 Security Hub CSPM のポリシー更新により、アカウントで Amazon GuardDuty と Amazon Inspector が有効になっているかどうかを Security Hub CSPM で判別できるようになりました。これにより、お客様は複数の からセキュリティ関連情報をまとめることができますAWS のサービス。 2023 年 11 月 16 日
AWSSecurityHubOrganizationsAccess — 既存のポリシーの更新 Security Hub CSPM のポリシー更新により、AWS Organizations 委任管理者機能への読み取り専用アクセスを許可する追加のアクセス許可が付与されました。これには、ルート、組織単位 (OU)、アカウント、組織構造、およびサービスアクセスなどの詳細が含まれます。 2023 年 11 月 16 日
AWSSecurityHubServiceRolePolicy – 既存のポリシーに対する更新 Security Hub CSPM に BatchGetSecurityControlsDisassociateFromAdministratorAccountUpdateSecurityControl のアクセス許可が追加され、カスタマイズ可能なセキュリティコントロールプロパティの読み取りおよび更新が可能になりました。 2023 年 11 月 26 日
AWSSecurityHubServiceRolePolicy – 既存のポリシーに対する更新 Security Hub CSPM に、検出結果に関連するリソースタグを読み取る tag:GetResources アクセス許可が追加されました。 2023 年 11 月 7 日
AWSSecurityHubServiceRolePolicy – 既存のポリシーに対する更新 Security Hub CSPM の標準に、コントロールの有効化ステータスに関する情報を取得する BatchGetStandardsControlAssociations アクセス許可が追加されました。 2023 年 9 月 27 日
AWSSecurityHubServiceRolePolicy – 既存のポリシーに対する更新 Security Hub CSPM は、標準やコントロールなど、AWS Organizationsデータを取得し、Security Hub CSPM 設定の読み取りと更新を行うための新しいアクセス許可を追加しました。 2023 年 9 月 20 日
AWSSecurityHubServiceRolePolicy – 既存のポリシーに対する更新 Security Hub CSPM で、既存の config:DescribeConfigRuleEvaluationStatus 許可がポリシー内の別のステートメントに移動されました。これにより、config:DescribeConfigRuleEvaluationStatus 許可がすべてのリソースに適用されます。 2023 年 3 月 17 日
AWSSecurityHubServiceRolePolicy – 既存のポリシーに対する更新 Security Hub CSPM で、既存の config:PutEvaluations 許可がポリシー内の別のステートメントに移動されました。これにより、config:PutEvaluations 許可がすべてのリソースに適用されます。 2021 年 7 月 14 日
AWSSecurityHubServiceRolePolicy — 既存のポリシーに対する更新 Security Hub CSPM に、サービスにリンクされたロールが評価結果を AWS Config に送信することを許可する新しい許可が追加されました。 2021 年 6 月 29 日
AWSSecurityHubServiceRolePolicy — マネージドポリシーのリストに追加 マネージドポリシーである AWSSecurityHubServiceRolePolicy に関する情報を追加しました。このポリシーは Security Hub CSPM のサービスにリンクされたロールで使用されます。 2021 年 6 月 11 日
AWSSecurityHubOrganizationsAccess — 新しいポリシー Security Hub CSPM に、Security Hub CSPM と Organizations の統合に必要な許可を付与する新しいポリシーが追加されました。 2021 年 3 月 15 日
Security Hub CSPM で変更の追跡が開始されました Security Hub CSPM は、 AWS管理ポリシーの変更の追跡を開始しました。 2021 年 3 月 15 日