翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# AWS Security Hub の マネージドポリシー
<a name="security-iam-awsmanpol"></a>

 AWS 管理ポリシーは、 によって作成および管理されるスタンドアロンポリシーです AWS。 AWS 管理ポリシーは、多くの一般的なユースケースにアクセス許可を付与するように設計されているため、ユーザー、グループ、ロールにアクセス許可の割り当てを開始できます。

 AWS 管理ポリシーは、すべての AWS お客様が使用できるため、特定のユースケースに対して最小特権のアクセス許可を付与しない場合があることに注意してください。ユースケースに固有の[カスタマー管理ポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)を定義して、アクセス許可を絞り込むことをお勧めします。

 AWS 管理ポリシーで定義されているアクセス許可は変更できません。が AWS マネージドポリシーで定義されたアクセス許可 AWS を更新すると、ポリシーがアタッチされているすべてのプリンシパル ID (ユーザー、グループ、ロール) に影響します。 AWS は、新しい が起動されるか、新しい API オペレーション AWS のサービス が既存のサービスで使用できるようになったときに、 AWS マネージドポリシーを更新する可能性が高くなります。

詳細については、「**IAM ユーザーガイド」の「[AWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)」を参照してください。



## AWS 管理ポリシー: AWSSecurityHubFullAccess
<a name="security-iam-awsmanpol-awssecurityhubfullaccess"></a>

`AWSSecurityHubFullAccess` ポリシーを IAM アイデンティティにアタッチできます。

このポリシーは、プリンシパルが Security Hub のすべてのアクションにフルアクセスすることを可能にする管理者許可を付与します。このポリシーは、アカウントの Security Hub CSPM を手動で有効にする前に、プリンシパルに添付しておく必要があります。例えば、これらの許可を持つプリンシパルは、検出結果のステータスを閲覧および更新できます。また、カスタムインサイトの設定、統合の有効化、標準とコントロールの有効化と無効化を行うこともできます。管理者アカウントのプリンシパルは、メンバーアカウントを管理することもできます。

**アクセス許可の詳細**

このポリシーには、以下のアクセス許可が含まれています。
+ `securityhub` – すべての Security Hub CSPM アクションへのフルアクセスをプリンシパルに許可します。
+ `guardduty` – プリンシパルが Amazon GuardDuty でディテクターの完全なライフサイクル管理、組織管理者管理、メンバーアカウント管理、および組織全体の設定を実行できるようにします。これには、GetDetector、ListDetector、CreateDetector、UpdateDetector、DeleteDetector、EnableOrganizationAdminAccount、ListOrganizationAdminAccounts、CreateMembers、UpdateOrganizationConfiguration、DescribeOrganizationConfiguration などの API アクションが含まれます。
+ `iam` – プリンシパルが Security Hub CSPM と Security Hub のサービスにリンクされたロールを作成し、ロール、ポリシー、ポリシーバージョンを取得できるようにします。
+ `inspector` – プリンシパルが Amazon Inspector でアカウントステータスに関する情報の取得、有効化または無効化、管理者管理の委任、組織設定管理の実行を行うことができます。これには、API アクション BatchGetAccountStatus、Enable、Disable、EnableDelegatedAdminAccount、DisableDelegatedAdminAccount、ListDelegatedAdminAccounts、UpdateOrganizationConfiguration、DescribeOrganizationConfiguration が含まれます。
+ `pricing` – プリンシパルが AWS のサービス および 製品の料金表を取得できるようにします。
+ `account` – Security Hub のリージョン管理をサポートするアカウントリージョンに関する情報の取得をプリンシパルに許可します。

このポリシーのアクセス許可を確認するには、「*AWS マネージドポリシーリファレンスガイド*」の「[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubFullAccess.html)」を参照してください。

## AWS 管理ポリシー: AWSSecurityHubReadOnlyAccess
<a name="security-iam-awsmanpol-awssecurityhubreadonlyaccess"></a>

`AWSSecurityHubReadOnlyAccess` ポリシーを IAM IDにアタッチできます。

このポリシーは、ユーザーが Security Hub CSPM 内の情報を確認できるようにするための読み取り専用の許可を付与します。このポリシーが添付されているプリンシパルは、Security Hub で更新を実行できません。例えば、これらの許可を持つプリンシパルは、アカウントに関連付けられた結果のリストを表示できますが、結果のステータスを変更することはできません。インサイトの結果を表示することはできますが、カスタムインサイトを作成したり設定したりすることはできません。コントロールや製品統合を設定することはできません。

**アクセス許可の詳細**

このポリシーには、以下のアクセス許可が含まれています。
+ `securityhub` – ユーザーは、アイテムのリストまたはアイテムに関する詳細を返すアクションを実行することができます。これには、`Get`、`List`、または `Describe` で始まる API オペレーションが含まれます。

このポリシーのアクセス許可を確認するには、「*AWS マネージドポリシーリファレンスガイド*」の「[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubReadOnlyAccess.html)」を参照してください。

## AWS 管理ポリシー: AWSSecurityHubOrganizationsAccess
<a name="security-iam-awsmanpol-awssecurityhuborganizationsaccess"></a>

 `AWSSecurityHubOrganizationsAccess` ポリシーを IAM アイデンティティにアタッチできます。

このポリシーは、 の組織の Security Hub、Security Hub CSPM、Amazon GuardDuty、Amazon Inspector を有効化および管理するための管理アクセス許可を付与します AWS Organizations。このポリシーのアクセス許可により、組織管理アカウントは Security Hub、Security Hub CSPM、Amazon GuardDuty、Amazon Inspector の委任管理者アカウントを指定できます。また、Security Hub 委任管理者アカウントで、組織アカウントをメンバーアカウントとして有効化することもできます。

このポリシーは、 のアクセス許可のみを提供します AWS Organizations。組織管理アカウントおよび Security Hub 委任管理者アカウントは、関連する各種アクションに対する許可も必要とします。これらの許可は、`AWSSecurityHubFullAccess` マネージドポリシーを使用して付与することができます。

管理アカウントで委任管理者ポリシーを作成または更新するには、このポリシーで指定されていない追加のアクセス許可が必要です。これらのアクションを実行するには、AWSOrganizationsFullAccess ポリシーのアクセス許可を追加`organizations:PutResourcePolicy`またはアタッチすることをお勧めします。

**アクセス許可の詳細**

このポリシーには、以下のアクセス許可が含まれています。
+ `organizations:ListAccounts` - 組織に属するアカウントリストの取得をプリンシパルに許可します。
+ `organizations:DescribeOrganization` - 組織に関する情報の取得をプリンシパルに許可します。
+ `organizations:ListRoots` - 組織ルートの一覧表示をプリンシパルに許可します。
+ `organizations:ListDelegatedAdministrators` - 組織の委任管理者の一覧表示をプリンシパルに許可します。
+ `organizations:ListAWSServiceAccessForOrganization` – プリンシパル AWS のサービス が、組織が使用する を一覧表示できるようにします。
+ `organizations:ListOrganizationalUnitsForParent` - 親 OU の子組織単位 (OU) の一覧表示をプリンシパルに許可します。
+ `organizations:ListAccountsForParent` - 親 OU の子アカウントの一覧表示をプリンシパルに許可します。
+  `organizations:ListParents` – 指定された子 OU もしくはアカウントの直接の親として機能するルートまたは組織単位 (OU) を一覧表示します。
+ `organizations:DescribeAccount` - 組織内のアカウントに関する情報の取得をプリンシパルに許可します。
+ `organizations:DescribeOrganizationalUnit` - 組織内の OU に関する情報の取得をプリンシパルに許可します。
+  `organizations:ListPolicies` – 指定されたタイプの組織内のすべてのポリシーのリストを取得します。
+  `organizations:ListPoliciesForTarget` – 指定されたターゲットルート、組織単位 (OU)、またはアカウントに直接アタッチされているポリシーを一覧表示します。
+  `organizations:ListTargetsForPolicy` – 指定されたポリシーがアタッチされているすべてのルート、組織単位 (OU)、およびアカウントを一覧表示します。
+ `organizations:EnableAWSServiceAccess` – Organizations との統合の有効化を、プリンシパルに許可します。
+ `organizations:RegisterDelegatedAdministrator` – 委任管理者アカウントの指定を、プリンシパルに許可します。
+ `organizations:DeregisterDelegatedAdministrator` – 委任管理者アカウントの削除を、プリンシパルに許可します。
+  `organizations:DescribePolicy` – ポリシーに関する情報を取得します。
+  `organizations:DescribeEffectivePolicy` – 指定されたポリシータイプとアカウントについて有効なポリシーのコンテンツを返します。
+  `organizations:CreatePolicy` – ルート、組織単位 (OU)、または個々の AWS アカウントにアタッチできる、指定されたタイプのポリシーを作成します。
+  `organizations:UpdatePolicy` – 既存のポリシーを、新しい名前、説明、またはコンテンツで更新します。
+  `organizations:DeletePolicy` – 指定されたポリシーを組織から削除します。
+  `organizations:AttachPolicy` – ルート、組織単位 (OU)、または個々のアカウントにポリシーをアタッチします。
+  `organizations:DetachPolicy` – ターゲットのルート、組織単位 (OU)、またはアカウントからポリシーをデタッチします。
+  `organizations:EnablePolicyType` – ルート内の特定のポリシータイプを有効化します。
+  `organizations:DisablePolicyType` – ルート内の特定の組織ポリシータイプを無効化します。
+  `organizations:TagResource` – 指定されたリソースに 1 つまたは複数のタグを追加します。
+  `organizations:UntagResource` – 指定されたリソースから、指定されたキーを持つタグを削除します。
+  `organizations:ListTagsForResource` – 指定されたリソースにアタッチされているタグのリストを表示します。
+  `organizations:DescribeResourcePolicy` – リソースポリシーに関する情報を取得します。

このポリシーのアクセス許可を確認するには、「*AWS マネージドポリシーリファレンスガイド*」の「[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubOrganizationsAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubOrganizationsAccess.html)」を参照してください。

## AWS 管理ポリシー: AWSSecurityHubServiceRolePolicy
<a name="security-iam-awsmanpol-awssecurityhubservicerolepolicy"></a>

IAM エンティティに `AWSSecurityHubServiceRolePolicy` をアタッチすることはできません。このポリシーは、ユーザーに代わって Security Hub CSPM がアクションを実行することを許可する、サービスにリンクされたロールに添付されます。詳細については、「[のサービスにリンクされたロール AWS Security Hub CSPM](using-service-linked-roles.md)」を参照してください。

このポリシーは、サービスにリンクされたロールに管理許可を付与し、Security Hub CSPM コントロールのセキュリティチェックなどのタスクの実行を許可します。

**アクセス許可の詳細**

このポリシーには、以下のアクセス許可が含まれています。
+ `cloudtrail` - CloudTrail 追跡に関する情報を取得します。
+ `cloudwatch` – 現在の CloudWatch アラームを取得します。
+ `logs` – CloudWatch logs のメトリクスフィルターを取得します。
+ `sns` - SNS トピックのサブスクリプションリストを取得します。
+ `config` – 設定レコーダー、リソース、および AWS Config ルールに関する情報を取得します。また、サービスにリンクされたロールに AWS Config ルールの作成と削除、およびルールに対する評価の実行も許可します。
+ `iam` – アカウントの認証情報レポートの取得と生成を実行します。
+ `organizations` — 組織のアカウントおよび組織単位 (OU) 情報を取得します。
+ `securityhub` – Security Hub CSPM のサービス、標準およびコントロールの設定方法に関する情報を取得します。
+ `tag` – リソースタグに関する情報を取得します。

このポリシーのアクセス許可を確認するには、「*AWS マネージドポリシーリファレンスガイド*」の「[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubServiceRolePolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubServiceRolePolicy.html)」を参照してください。

## AWS 管理ポリシー: AWSSecurityHubV2ServiceRolePolicy
<a name="security-iam-awsmanpol-awssecurityhubv2servicerolepolicy"></a>

**注記**  
 Security Hub はプレビューリリース段階で、変更される可能性があります。

このポリシーにより、Security Hub は組織およびユーザーに代わって AWS Config ルールと Security Hub リソースを管理できます。このポリシーは、ユーザーに代わってサービスがアクションを実行することを許可する、サービスリンクロールにアタッチされます。このポリシーは IAM アイデンティティにはアタッチできません。詳細については、「[のサービスにリンクされたロール AWS Security Hub CSPM](using-service-linked-roles.md)」を参照してください。

**アクセス許可の詳細**  
 このポリシーには、以下のアクセス許可が含まれています。
+  `cloudwatch` – Security Hub リソースの計測機能をサポートするメトリクスデータを取得します。
+  `config` – グローバル Config レコーダーのサポートなど、Security Hub リソースのサービスにリンクされた設定レコーダーを管理します。
+  `ecr` – 計測機能をサポートするために、Amazon Elastic Container Registry イメージとリポジトリに関する情報を取得します。
+  `iam` – のサービスにリンクされたロール AWS Config を作成し、アカウント情報を取得して計測機能をサポートします。
+  `lambda` – 計測機能をサポートする AWS Lambda 関数情報を取得します。
+  `organizations` — 組織のアカウントおよび組織単位 (OU) 情報を取得します。
+  `securityhub` – Security Hub の設定を管理します。
+  `tag` – リソースタグに関する情報を取得します。

このポリシーのアクセス許可を確認するには、「*AWS マネージドポリシーリファレンスガイド*」の「[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubV2ServiceRolePolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubV2ServiceRolePolicy.html)」を参照してください。

## AWS マネージドポリシーに対する Security Hub の更新
<a name="security-iam-awsmanpol-updates"></a>

次の表は、このサービスがこれらの変更の追跡を開始してからの AWS Security Hub および Security Hub CSPM の AWS マネージドポリシーの更新に関する詳細を示しています。このページの変更に関する自動通知を受信するには、「[Security Hub ドキュメントの履歴](doc-history.md)」ページの RSS フィードをサブスクライブしてください。








| 変更 | 説明 | 日付 | 
| --- | --- | --- | 
|   [AWSSecurityHubOrganizationsAccess](#security-iam-awsmanpol-awssecurityhuborganizationsaccess) – 更新されたポリシー   |  Security Hub は、Security Hub 機能をサポートするリソースポリシーを記述するアクセス許可を追加するようにポリシーを更新しました。Security Hub はプレビューリリース段階で、変更される可能性があります。  | 2025 年 11 月 12 日 | 
|   [AWSSecurityHubFullAccess](#security-iam-awsmanpol-awssecurityhubfullaccess) – 更新されたポリシー   |  Security Hub は、ポリシーを更新して、GuardDuty、Amazon Inspector、アカウント管理の管理に関する機能を追加し、Security Hub の機能をサポートしました。Security Hub はプレビューリリース段階で、変更される可能性があります。  | 2025 年 11 月 17 日 | 
|   [AWSSecurityHubV2ServiceRolePolicy](#security-iam-awsmanpol-awssecurityhubv2servicerolepolicy) – 更新されたポリシー   |  Security Hub は、ポリシーを更新して、Amazon Elastic Container Registry、 AWS Lambda、Amazon CloudWatch、および Security Hub 機能をサポートする計測機能を追加 AWS Identity and Access Management しました。この更新では、グローバル AWS Config レコーダーのサポートも追加されました。Security Hub はプレビューリリース段階で、変更される可能性があります。  | 2025 年 11 月 5 日 | 
|  [AWSSecurityHubOrganizationsAccess](#security-iam-awsmanpol-awssecurityhuborganizationsaccess) – 既存のポリシーの更新  | Security Hub は、いくつかの新しい許可をポリシーに追加しました。アクセス許可により、組織管理者は組織の Security Hub と Security Hub CSPM を有効化および管理できます。 | 2025 年 6 月 17 日 | 
|   [AWSSecurityHubFullAccess](#security-iam-awsmanpol-awssecurityhubfullaccess) – 既存のポリシーの更新  |  Security Hub CSPM に、プリンシパルが Security Hub のサービスにリンクされたロールを作成できるようにする新しいアクセス許可が追加されました。  | 2025 年 6 月 17 日 | 
| [AWSSecurityHubFullAccess](#security-iam-awsmanpol-awssecurityhubfullaccess) — 既存のポリシーの更新  | Security Hub CSPM は、 AWS のサービス および 製品の料金詳細を取得するようにポリシーを更新しました。 | 2024 年 4 月 24 日 | 
| [AWSSecurityHubReadOnlyAccess](#security-iam-awsmanpol-awssecurityhubreadonlyaccess) – 既存のポリシーの更新  | Security Hub CSPM は、Sid フィールドを追加してこのマネージドポリシーを更新しました。 | 2024 年 2 月 22 日 | 
| [AWSSecurityHubFullAccess](#security-iam-awsmanpol-awssecurityhubfullaccess) — 既存のポリシーの更新  | Security Hub CSPM のポリシー更新により、アカウントで Amazon GuardDuty と Amazon Inspector が有効になっているかどうかを Security Hub CSPM で判別できるようになりました。これにより、お客様は複数の からセキュリティ関連情報をまとめることができます AWS のサービス。 | 2023 年 11 月 16 日 | 
| [AWSSecurityHubOrganizationsAccess](#security-iam-awsmanpol-awssecurityhuborganizationsaccess) — 既存のポリシーの更新  | Security Hub CSPM のポリシー更新により、 AWS Organizations 委任管理者機能への読み取り専用アクセスを許可する追加のアクセス許可が付与されました。これには、ルート、組織単位 (OU)、アカウント、組織構造、およびサービスアクセスなどの詳細が含まれます。 | 2023 年 11 月 16 日 | 
| [AWSSecurityHubServiceRolePolicy](#security-iam-awsmanpol-awssecurityhubservicerolepolicy) – 既存のポリシーに対する更新  | Security Hub CSPM に BatchGetSecurityControls、DisassociateFromAdministratorAccount、UpdateSecurityControl のアクセス許可が追加され、カスタマイズ可能なセキュリティコントロールプロパティの読み取りおよび更新が可能になりました。 | 2023 年 11 月 26 日 | 
| [AWSSecurityHubServiceRolePolicy](#security-iam-awsmanpol-awssecurityhubservicerolepolicy) – 既存のポリシーに対する更新  | Security Hub CSPM に、検出結果に関連するリソースタグを読み取る tag:GetResources アクセス許可が追加されました。 | 2023 年 11 月 7 日 | 
| [AWSSecurityHubServiceRolePolicy](#security-iam-awsmanpol-awssecurityhubservicerolepolicy) – 既存のポリシーに対する更新  | Security Hub CSPM の標準に、コントロールの有効化ステータスに関する情報を取得する BatchGetStandardsControlAssociations アクセス許可が追加されました。 | 2023 年 9 月 27 日 | 
| [AWSSecurityHubServiceRolePolicy](#security-iam-awsmanpol-awssecurityhubservicerolepolicy) – 既存のポリシーに対する更新  | Security Hub CSPM は、標準やコントロールなど、 AWS Organizations データを取得し、Security Hub CSPM 設定の読み取りと更新を行うための新しいアクセス許可を追加しました。 | 2023 年 9 月 20 日 | 
| [AWSSecurityHubServiceRolePolicy](#security-iam-awsmanpol-awssecurityhubservicerolepolicy) – 既存のポリシーに対する更新  | Security Hub CSPM で、既存の config:DescribeConfigRuleEvaluationStatus 許可がポリシー内の別のステートメントに移動されました。これにより、config:DescribeConfigRuleEvaluationStatus 許可がすべてのリソースに適用されます。 | 2023 年 3 月 17 日 | 
| [AWSSecurityHubServiceRolePolicy](#security-iam-awsmanpol-awssecurityhubservicerolepolicy) – 既存のポリシーに対する更新  |  Security Hub CSPM で、既存の config:PutEvaluations 許可がポリシー内の別のステートメントに移動されました。これにより、config:PutEvaluations 許可がすべてのリソースに適用されます。 | 2021 年 7 月 14 日 | 
| [AWSSecurityHubServiceRolePolicy](#security-iam-awsmanpol-awssecurityhubservicerolepolicy) — 既存のポリシーに対する更新  | Security Hub CSPM に、サービスにリンクされたロールが評価結果を AWS Configに送信することを許可する新しい許可が追加されました。 | 2021 年 6 月 29 日 | 
| [AWSSecurityHubServiceRolePolicy](#security-iam-awsmanpol-awssecurityhubservicerolepolicy) — マネージドポリシーのリストに追加  | マネージドポリシーである AWSSecurityHubServiceRolePolicy に関する情報を追加しました。このポリシーは Security Hub CSPM のサービスにリンクされたロールで使用されます。 | 2021 年 6 月 11 日 | 
| [AWSSecurityHubOrganizationsAccess](#security-iam-awsmanpol-awssecurityhuborganizationsaccess) — 新しいポリシー  | Security Hub CSPM に、Security Hub CSPM と Organizations の統合に必要な許可を付与する新しいポリシーが追加されました。 | 2021 年 3 月 15 日 | 
| Security Hub CSPM で変更の追跡が開始されました  | Security Hub CSPM は、 AWS 管理ポリシーの変更の追跡を開始しました。 | 2021 年 3 月 15 日 |