翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS Security Hub CSPMID とアクセスのトラブルシューティング
次の情報は、 および IAM の使用時に発生する可能性がある一般的な問題の診断AWS Security Hub CSPMと修復に役立ちます。
トピック
Security Hub CSPM でアクションを実行する権限がありません
にアクションを実行する権限がないとAWS マネジメントコンソール通知された場合は、管理者に連絡してサポートを依頼する必要があります。管理者は、サインイン認証情報を提供した担当者です。
以下の例のエラーは、mateojackson ユーザーがコンソールを使用して、ウィジェットの詳細を表示しようとしているが、 securityhub: アクセス許可がない場合に発生します。GetWidget
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: securityhub:GetWidgeton resource:my-example-widget
この場合、Mateo は、securityhub: アクションを使用して GetWidget リソースにアクセスできるように、管理者にポリシーの更新を依頼します。my-example-widget
iam:PassRole を実行する権限がない
iam:PassRole アクションを実行する権限がないというエラーが表示された場合は、ポリシーを更新して Security Hub にロールを渡すことができるようにする必要があります。
一部の AWS のサービスでは、新しいサービスロールまたはサービスにリンクされたロールを作成する代わりに、既存のロールをそのサービスに渡すことができます。そのためには、サービスにロールを渡すアクセス許可が必要です。
以下の例のエラーは、marymajor という IAM ユーザーがコンソールを使用して Security Hub でアクションを実行しようする場合に発生します。ただし、このアクションをサービスが実行するには、サービスロールから付与されたアクセス許可が必要です。Mary には、ロールをサービスに渡すアクセス許可がありません。
User: arn:aws:iam::123456789012:user/marymajoris not authorized to perform: iam:PassRole
この場合、Mary のポリシーを更新してメアリーに iam:PassRole アクションの実行を許可する必要があります。
サポートが必要な場合は、AWS管理者にお問い合わせください。サインイン資格情報を提供した担当者が管理者です。
Security Hub CSPM へのプログラムによるアクセスが欲しい
ユーザーが のAWS外部とやり取りする場合は、プログラムによるアクセスが必要ですAWS マネジメントコンソール。プログラムによるアクセスを許可する方法は、 がアクセスするユーザーのタイプによって異なりますAWS。
ユーザーにプログラムによるアクセス権を付与するには、以下のいずれかのオプションを選択します。
| プログラムによるアクセス権を必要とするユーザー | 目的 | 方法 |
|---|---|---|
| IAM | (推奨) コンソール認証情報を一時的な認証情報として使用してAWS CLI、、AWSSDKs、または AWSAPIs。 |
使用するインターフェイスの指示に従ってください。
|
|
ワークフォースアイデンティティ (IAM アイデンティティセンターで管理されているユーザー) |
一時的な認証情報を使用してAWS CLI、、AWSSDKs、または AWSAPIs。 |
使用するインターフェイスの指示に従ってください。
|
| IAM | 一時的な認証情報を使用してAWS CLI、、AWSSDKs、または AWSAPIs。 | 「IAM ユーザーガイド」の「 AWSリソースでの一時的な認証情報の使用」の手順に従います。 |
| IAM | (非推奨) 長期認証情報を使用して、AWS CLI、AWSSDKs、または AWSAPIs。 |
使用するインターフェイスの指示に従ってください。
|
管理者として Security Hub CSPM へのアクセスを他のユーザーに許可したい
アクセス許可を付与するにはユーザー、グループ、またはロールにアクセス許可を追加します。
-
のユーザーとグループAWS IAM アイデンティティセンター:
アクセス許可セットを作成します。「AWS IAM アイデンティティセンター ユーザーガイド」の「アクセス許可セットを作成する」の手順に従ってください。
-
IAM 内で、ID プロバイダーによって管理されているユーザー:
ID フェデレーションのロールを作成します。詳細については IAM ユーザーガイド の サードパーティー ID プロバイダー (フェデレーション) 用のロールを作成する を参照してください。
-
IAM ユーザー:
-
ユーザーが担当できるロールを作成します。手順については IAM ユーザーガイド の IAM ユーザーのロールの作成 を参照してください。
-
(お奨めできない方法) ポリシーをユーザーに直接アタッチするか、ユーザーをユーザーグループに追加します。「IAM ユーザーガイド」の「ユーザー (コンソール) へのアクセス許可の追加」の指示に従います。
-
自分の 以外のユーザーに Security Hub CSPM リソースAWS アカウントへのアクセスを許可したい
他のアカウントのユーザーや組織外の人が、リソースにアクセスするために使用できるロールを作成できます。ロールの引き受けを委託するユーザーを指定できます。リソースベースのポリシーまたはアクセスコントロールリスト (ACL) をサポートするサービスの場合、それらのポリシーを使用して、リソースへのアクセスを付与できます。
詳細については、以下を参照してください。
-
Security Hub でこれらの機能がサポートされるかどうかを確認するには、「Security Hub と IAM の連携方法」を参照してください。
-
所有AWS アカウントしている のリソースへのアクセスを提供する方法については、「IAM ユーザーガイド」の「所有AWS アカウントしている別の の IAM ユーザーへのアクセスを提供する」を参照してください。
-
リソースへのアクセスをサードパーティーに提供する方法についてはAWS アカウント、IAM ユーザーガイドの「サードパーティーAWS アカウントが所有する へのアクセスを提供する」を参照してください。
-
ID フェデレーションを介してアクセスを提供する方法については、IAM ユーザーガイド の 外部で認証されたユーザー (ID フェデレーション) へのアクセスの許可 を参照してください。
-
クロスアカウントアクセスにおけるロールとリソースベースのポリシーの使用方法の違いについては、IAM ユーザーガイド の IAM でのクロスアカウントのリソースへのアクセス を参照してください。