翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# のサービスにリンクされたロール AWS Security Hub CSPM
AWS Security Hub CSPM は、 という名前の AWS Identity and Access Management (IAM) [サービスにリンクされたロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)を使用します`AWSServiceRoleForSecurityHub`。このサービスにリンクされたロールは、Security Hub CSPM に直接リンクされた IAM ロールです。これは Security Hub CSPM によって事前定義されており、Security Hub CSPM がユーザーに代わって他の を呼び出し AWS のサービス て AWS リソースをモニタリングするために必要なすべてのアクセス許可が含まれています。Security Hub CSPM は、Security Hub CSPM AWS リージョン が利用可能なすべての で、このサービスにリンクされたロールを使用します。
サービスにリンクされたロールを使用すると、必要なアクセス許可を手動で追加する必要がなくなるため、Security Hub CSPM の設定が簡単になります。Security Hub CSPM は、サービスにリンクされたロールのアクセス許可を定義します。特に定義されている場合を除き、Security Hub CSPM のみがロールを引き受けることができます。定義される許可には、信頼ポリシーや許可ポリシーなどがあり、その許可ポリシーを他の IAM エンティティにアタッチすることはできません。
サービスにリンクされたロールの詳細を確認するには、Security Hub CSPM コンソールを使用できます。ナビゲーションペインの **[設定]** で、**[全般設定]** を選択します。次に、**[サービスアクセス許可]** セクションで、**[サービスアクセス許可の表示]** を選択します。
Security Hub のサービスにリンクされたロールを削除できるのは、Security Hub CSPM が有効になっているすべてのリージョンで Security Hub CSPM を無効にした後のみです。これにより、Security Hub CSPM リソースへのアクセス許可が誤って削除されないため、リソースが保護されます。
サービスにリンクされたロールをサポートするその他のサービスについては、「*IAM ユーザーガイド*」の「[IAM と連携するAWS サービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照のうえで、**[サービスにリンクされたロール]** 列の値が **[はい]** になっているサービスを確認してください。サービスリンクロールに関するドキュメントをサービスで表示するには、**[Yes]** (はい) リンクを選択します。
**Topics**
+ [Security Hub CSPM のサービスにリンクされたロールのアクセス許可](#slr-permissions)
+ [Security Hub CSPM のサービスにリンクされたロールの作成](#create-slr)
+ [Security Hub CSPM のサービスにリンクされたロールの編集](#edit-slr)
+ [Security Hub CSPM のサービスにリンクされたロールの削除](#delete-slr)
+ [AWS Security Hub V2 のサービスにリンクされたロール](#slr-permissions-v2)
## Security Hub CSPM のサービスにリンクされたロールのアクセス許可
Security Hub CSPM は、 という名前のサービスにリンクされたロールを使用します`AWSServiceRoleForSecurityHub`。これは、 が リソースにアクセス AWS Security Hub CSPM するために必要なサービスにリンクされたロールです。このサービスにリンクされたロールにより、Security Hub CSPM は他の からの検出結果の受信 AWS のサービス や、コントロールのセキュリティチェックを実行するために必要な AWS Config インフラストラクチャの設定などのタスクを実行できます。`AWSServiceRoleForSecurityHub` サービスにリンクされたロールは、ロールを継承するために `securityhub.amazonaws.com` のサービスを信頼します。
`AWSServiceRoleForSecurityHub` サービスにリンクされたロールは、マネージドポリシーである [`AWSSecurityHubServiceRolePolicy`](security-iam-awsmanpol.md#security-iam-awsmanpol-awssecurityhubservicerolepolicy) を使用します。
IAM アイデンティティ (ロール、グループ、ユーザーなど) に、サービスにリンクされたロールの作成、編集、削除を許可する設定をする必要があります。`AWSServiceRoleForSecurityHub` サービスにリンクされたロールを正常に作成するには、Security Hub CSPM へのアクセスに使用する IAM ID に必要なアクセス許可が必要です。必要な許可を付与するには、次のポリシーを IAM アイデンティティにアタッチします。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "securityhub:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "securityhub.amazonaws.com"
}
}
}
]
}
```
------
## Security Hub CSPM のサービスにリンクされたロールの作成
`AWSServiceRoleForSecurityHub` サービスにリンクされたロールは、Security Hub CSPM を初めて有効にするか、以前に有効にしていなかったリージョンで Security Hub CSPM を有効にすると、自動的に作成されます。あるいは、IAM コンソール、IAM CLI、もしくは IAM API を使って、`AWSServiceRoleForSecurityHub` のサービスリンクロールを手動で作成することもできます。IAM ロールを手動で作成する方法の詳細は、「IAM ユーザーガイド」の「[サービスにリンクされたロールを作成する](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role)」を参照してください。
**重要**
Security Hub CSPM 管理者アカウント用に作成されたサービスにリンクされたロールは、関連する Security Hub CSPM メンバーアカウントには適用されません。
## Security Hub CSPM のサービスにリンクされたロールの編集
Security Hub CSPM では、`AWSServiceRoleForSecurityHub`サービスにリンクされたロールを編集することはできません。サービスリンクロールを作成すると、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用してロールの説明の編集はできます。詳細については、「*IAM ユーザーガイド*」の「[サービスリンクロールの編集](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)」を参照してください。
## Security Hub CSPM のサービスにリンクされたロールの削除
サービスにリンクされたロールが必要な機能またはサービスが不要になった場合には、そのロールを削除することをお勧めします。これにより、使用していないエンティティがアクティブにモニタリングされたり、メンテナンスされたりすることがなくなります。
Security Hub CSPM を無効にすると、Security Hub CSPM は`AWSServiceRoleForSecurityHub`サービスにリンクされたロールを自動的に削除しません。Security Hub CSPM を再度有効にすると、サービスは既存のサービスにリンクされたロールの使用を再開できます。Security Hub CSPM を使用する必要がなくなった場合は、サービスにリンクされたロールを手動で削除できます。
**重要**
`AWSServiceRoleForSecurityHub` サービスにリンクされたロールを削除する前に、そのロールが有効になっているすべてのリージョンで Security Hub CSPM を無効にする必要があります。詳細については、「[Security Hub CSPM の無効化](securityhub-disable.md)」を参照してください。サービスにリンクされたロールを削除しようとしたときに Security Hub CSPM が無効になっていない場合、削除は失敗します。
`AWSServiceRoleForSecurityHub` のサービスリンクロールは、IAM コンソール、IAM CLI、または IAM API を使用して削除することができます。詳細については、「*IAM ユーザーガイド*」の「[サービスにリンクされたロールの削除](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)」を参照してください。
## AWS Security Hub V2 のサービスにリンクされたロール
は、 という名前のサービスにリンクされたロールを使用します`AWSServiceRoleForSecurityHubV2`。このサービスにリンクされたロールにより、 は組織およびユーザーに代わって の AWS Config ルールとリソースを管理できます。`AWSServiceRoleForSecurityHubV2` サービスにリンクされたロールは、ロールを継承するために `securityhub.amazonaws.com` のサービスを信頼します。
`AWSServiceRoleForSecurityHubV2` サービスにリンクされたロールは、マネージドポリシーである [`AWSSecurityHubV2ServiceRolePolicy`](security-iam-awsmanpol.md#security-iam-awsmanpol-awssecurityhubv2servicerolepolicy) を使用します。
**アクセス許可の詳細**
このポリシーには、以下のアクセス許可が含まれています。
+ `cloudwatch` – ロールがメトリクスデータを取得して、 リソースの計測機能をサポートできるようにします。
+ `config` – グローバルレコーダーのサポートなど、 リソースのサービスにリンクされた設定 AWS Config レコーダーを管理できるようにします。
+ `ecr` – ロールが Amazon Elastic Container Registry イメージとリポジトリに関する情報を取得して、計測機能をサポートできるようにします。
+ `iam` – 計測機能をサポートするために、ロールが のサービスにリンクされたロールを作成し AWS Config 、アカウント情報を取得できるようにします。
+ `lambda` – ロールが計測機能をサポートする AWS Lambda 関数情報を取得できるようにします。
+ `organizations` – ロールが組織のアカウントおよび組織単位 (OU) 情報を取得できるようにします。
+ `securityhub` – ロールが設定を管理できるようにします。
+ `tag` – ロールがリソースタグに関する情報を取得できるようにします。
IAM アイデンティティ (ロール、グループ、ユーザーなど) に、サービスにリンクされたロールの作成、編集、削除を許可する設定をする必要があります。`AWSServiceRoleForSecurityHubV2` サービスにリンクされたロールを正常に作成するには、アクセスに使用する IAM ID に必要なアクセス許可が必要です。必要な許可を付与するには、次のポリシーを IAM アイデンティティにアタッチします。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "securityhub:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "securityhub.amazonaws.com"
}
}
}
]
}
```
------
### AWS Security Hub V2 のサービスにリンクされたロールの作成
`AWSServiceRoleForSecurityHubV2` サービスにリンクされたロールは、 を初めて有効にするか、以前に有効にしていなかったリージョンで を有効にしたときに自動的に作成されます。あるいは、IAM コンソール、IAM CLI、もしくは IAM API を使って、`AWSServiceRoleForSecurityHubV2` のサービスリンクロールを手動で作成することもできます。IAM ロールを手動で作成する方法の詳細は、「IAM ユーザーガイド」の「[サービスにリンクされたロールを作成する](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role)」を参照してください。
**重要**
管理者アカウント用に作成されたサービスにリンクされたロールは、関連付けられたメンバーアカウントには適用されません。
### AWS Security Hub V2 のサービスにリンクされたロールの編集
では、`AWSServiceRoleForSecurityHubV2`サービスにリンクされたロールを編集することはできません。サービスリンクロールを作成すると、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用してロールの説明の編集はできます。詳細については、「*IAM ユーザーガイド*」の「[サービスリンクロールの編集](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)」を参照してください。
### AWS Security Hub V2 のサービスにリンクされたロールの削除
サービスにリンクされたロールが必要な機能またはサービスが不要になった場合には、そのロールを削除することをお勧めします。これにより、使用していないエンティティがアクティブにモニタリングされたり、メンテナンスされたりすることがなくなります。
を無効にすると、 は`AWSServiceRoleForSecurityHubV2`サービスにリンクされたロールを自動的に削除しません。を再度有効にすると、サービスは既存のサービスにリンクされたロールの使用を再開できます。を使用する必要がなくなった場合は、サービスにリンクされたロールを手動で削除できます。
**重要**
`AWSServiceRoleForSecurityHubV2` サービスにリンクされたロールを削除する前に、そのロールが有効になっているすべてのリージョンで を無効にする必要があります。詳細については、「[Security Hub CSPM の無効化](securityhub-disable.md)」を参照してください。サービスにリンクされたロールを削除しようとしたときに、 が無効になっていない場合、削除は失敗します。
`AWSServiceRoleForSecurityHubV2` のサービスリンクロールは、IAM コンソール、IAM CLI、または IAM API を使用して削除することができます。詳細については、「*IAM ユーザーガイド*」の「[サービスにリンクされたロールの削除](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)」を参照してください。