Security Hub CSPM でコントロールを設定するために必要なアクセス許可

セキュリティコントロールに関する情報を表示し、標準でセキュリティコントロールを有効または無効にするには、 AWS Security Hub CSPM にアクセスするために使用する AWS Identity and Access Management (IAM) ロールに、Security Hub CSPM API の次のオペレーションを呼び出すためのアクセス許可が必要です。

必要なアクセス許可を取得するには、Security Hub CSPM 管理ポリシーを使用できます。または、カスタム IAM ポリシーを更新してこれらのアクションの権限を含めることもできます。

• BatchGetSecurityControls – 現在のアカウントと のセキュリティコントロールのバッチに関する情報を返します AWS リージョン。

• ListSecurityControlDefinitions — 指定された標準に適用されるセキュリティコントロールについての情報を返します。

• ListStandardsControlAssociations — アカウントで有効になっている各標準で、セキュリティコントロールが現在有効か無効かを識別します。

• BatchGetStandardsControlAssociations — セキュリティコントロールのバッチについて、指定された標準の各コントロールが有効か無効かを識別します。

• BatchUpdateStandardsControlAssociations — コントロールを含む標準のセキュリティコントロールを有効化するか、標準のコントロールを無効化するために使用します。これは、既存の UpdateStandardsControl オペレーションのバッチ代替です。

• BatchUpdateStandardsControlAssociations — コントロールを含む標準のセキュリティコントロールのバッチを有効化するか、無効化するために使用します。これは、既存の UpdateStandardsControl オペレーションのバッチ代替です。

• UpdateStandardsControl — コントロールを含む標準の単一のセキュリティコントロールを有効化するか、無効化するために使用します。

• DescribeStandardsControl – 指定されたセキュリティコントロールに関する詳細を返します。

前述の API に加えて、IAM ロールに BatchGetControlEvaluations を呼び出す権限を追加する必要があります。このアクセス許可は、Security Hub CSPM コンソールでコントロールの有効化とコンプライアンスのステータス、コントロールの検出結果数、およびコントロールの全体的なセキュリティスコアを表示するために必要です。コンソールのみが を呼び出すためBatchGetControlEvaluations、このアクセス許可は公開されている Security Hub CSPM APIs または AWS CLI コマンドに直接対応していません。