Security Hub のサービスリンクロール - AWS Security Hub

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Security Hub のサービスリンクロール

AWS Security Hub は AWSServiceRoleForSecurityHub という名前の AWS Identity and Access Management (IAM) サービスリンクロールを使用します。このサービスリンクロールは、Security Hub に直接リンクされている IAM ロールです。これは Security Hub によって事前定義され、Security Hub がユーザーに代わって他の AWS のサービス を呼び出し、AWSリソースを監視するために必要とするすべてのアクセス許可を含みます。Security Hub は、Security Hub が利用可能なすべての AWS リージョン でこのサービスリンクロールを使用します。

サービスにリンクされたロールを使用することで、必要な許可を手動で追加する必要がなくなるため、Security Hub の設定が簡単になります。Security Hub は、サービスにリンクされたロールの許可を定義します。その許可が特別に定義されていない限り、Security Hub のみがそのロールを引き受けます。定義される許可には、信頼ポリシーや許可ポリシーなどがあり、その許可ポリシーを他の IAM エンティティにアタッチすることはできません。

サービスにリンクされたロールの詳細を表示するには、Security Hub コンソールの [設定] ページで [一般] を選択し、次に [サービス権限の表示] を選択します。

Security Hub のサービスにリンクされたロールの削除は、それが有効になっているすべてのリージョンで Security Hub を無効にした後でのみ行うことができます。これにより、アクセスに必要な許可を誤って削除してしまうことがなくなり、Security Hub リソースは保護されます。

サービスにリンクされたロールをサポートするその他のサービスについては、「IAM ユーザーガイド」の「IAM と連携する AWS のサービス」を参照の上、[Service-Linked Role] (サービスにリンクされたロール) 列が [Yes] (はい) になっているサービスを確認してください。サービスのサービスにリンクされたロールに関するドキュメントを表示するには、[YES] (はい) となっているリンクを選択します。

Security Hub のサービスにリンクされたロールの許可

Security Hub では、AWSServiceRoleForSecurityHub という名前のサービスにリンクされたロールを使用します。これは AWS Security Hub がリソースにアクセスする際に必要となる、サービスにリンクされたロールです。サービスにリンクされたロールにより、Security Hub が他の AWS のサービス から検出結果を受け取り、コントロールのセキュリティチェックを実行するために必要な AWS Config インフラストラクチャを構成できるようになります。

AWSServiceRoleForSecurityHub サービスにリンクされたロールは、ロールの引き受けについて以下のサービスを信頼します。

  • securityhub.amazonaws.com

AWSServiceRoleForSecurityHub サービスにリンクされたロールは、マネージドポリシーである AWSSecurityHubServiceRolePolicy を使用します。

IAM アイデンティティ (ロール、グループ、ユーザーなど) に、サービスにリンクされたロールの作成、編集、削除を許可する設定をする必要があります。AWSServiceRoleForSecurityHub サービスにリンクされたロールを適切に作成するには、Security Hub を使用する IAM アイデンティティに、必要な許可が付与されている必要があります。必要なアクセス許可を付与するには、次のポリシーをロール、グループ、またはユーザーにアタッチします。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "securityhub:*", "Resource": "*" }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringLike": { "iam:AWSServiceName": "securityhub.amazonaws.com" } } } ] }

Security Hub のサービスにリンクされたロールの作成

Security Hub を初めて有効にする場合や、過去に Security Hub を有効にしていなかったサポート対象リージョンで Security Hub を有効にする場合は、AWSServiceRoleForSecurityHub サービスにリンクされたロールが自動的に作成されます。IAM コンソール、IAM CLI、あるいは IAM API を使って、AWSServiceRoleForSecurityHub サービスにリンクされたロールを手動で作成することもできます。

重要

Security Hub 管理者アカウント用に作成されたサービスにリンクされたロールは、Security Hub メンバーアカウントには適用されません。

IAM ロールを手動で作成する方法の詳細は、「IAM ユーザーガイド」の「サービスにリンクされたロールを作成する」を参照してください。

Security Hub 向けのサービスにリンクされたロールの編集

Security Hub では、AWSServiceRoleForSecurityHub サービスにリンクされたロールの編集は許可されていません。サービスにリンクされたロールを作成すると、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用してロールの説明の編集はできます。詳細については、「IAM ユーザーガイド」の「サービスにリンクされたロールの編集」を参照してください。

Security Hub 向けのサービスにリンクされたロールの削除

サービスにリンクされたロールを必要とする機能またはサービスが不要になった場合には、そのロールを削除することをお勧めします。これにより、使用していないエンティティがアクティブにモニタリングされたり、メンテナンスされたりすることがなくなります。

重要

AWSServiceRoleForSecurityHub のサービスにリンクされたロールを削除するには、まずそれが有効になっているすべてのリージョンで Security Hub を無効にしておく必要があります。

サービスにリンクされたロールを削除しようとしたときに、Security Hub が無効になっていない場合、削除することはできません。詳細については、「Security Hub を無効にする」を参照してください。

Security Hub を無効にすると、AWSServiceRoleForSecurityHub のサービスにリンクされたロールは自動的に削除されません。Security Hub を再度有効にすると、既存の AWSServiceRoleForSecurityHub サービスにリンクされたロールが使用されるようになります。

IAM を使用してサービスにリンクされたロールを手動で削除するには

AWSServiceRoleForSecurityHub サービスにリンクされたロールを削除するには、IAM コンソール、IAM CLI、または IAM API を使用します。詳細については、「IAM ユーザーガイド」の「サービスにリンクされたロールの削除」を参照してください。