AWS Security Hub の AWS マネージドポリシー - AWS Security Hub

AWS Security Hub の AWS マネージドポリシー

ユーザー、グループ、ロールに許可を追加するには、自分でポリシーを作成するよりも、AWS マネージドポリシーを使用する方が簡単です。チームに必要な許可のみを提供する IAM カスタマーマネージドポリシーを作成するには、時間と専門知識が必要です。すぐに使用を開始するために、AWS マネージドポリシーを使用できます。これらのポリシーは、一般的なユースケースをターゲット範囲に含めており、AWS アカウント で利用できます。AWS マネージドポリシーの詳細については、「IAM ユーザーガイド」の「AWS マネージドポリシー」を参照してください。

AWS のサービス は、AWS マネージドポリシーを維持し、更新します。AWS マネージドポリシーの許可を変更することはできません。サービスでは、新しい機能を利用できるようにするために、AWS マネージドポリシーに許可が追加されることがあります。この種類の更新は、ポリシーが添付されている、すべてのアイデンティティ (ユーザー、グループおよびロール)に影響を与えます。新しい機能が起動した場合や、新しいオペレーションが使用可能になった場合に、各サービスが AWS マネージドポリシーを更新する可能性が最も高くなります。サービスで、AWS マネージドポリシーから許可が削除されることはないため、ポリシーの更新によって既存の許可が破棄されることはありません。

加えて AWS では、複数のサービスにまたがるジョブ機能のためのマネージドポリシーもサポートしています。例えば、ViewOnlyAccess AWS マネージドポリシーでは、多くの AWS のサービス およびリソースへの読み取り専用アクセスが提供されます。サービスで新しい機能が起動される場合は、AWS で新たな操作とリソースに対する読み取り専用許可が追加されます。ジョブ機能ポリシーの一覧と説明については、「IAM ユーザーガイド」の「AWS ジョブ機能のマネージドポリシー」を参照してください。

AWS マネージドポリシー: AWSSecurityHubFullAccess

AWSSecurityHubFullAccess ポリシーは IAM アイデンティティに添付できます。

このポリシーにより、プリンシパルが Security Hub のすべてのアクションに完全にアクセスすることが許可される、管理者許可が付与されます。このポリシーは、アカウントの Security Hub を手動で有効にする前に、プリンシパルに添付する必要があります。例えば、これらの許可を持つプリンシパルは、結果のステータスを表示および更新できます。カスタムインサイトを設定し、統合を有効にできます。これにより、標準とコントロールを有効または無効にすることができます。管理者アカウントのプリンシパルは、メンバーアカウントを管理することもできます。

許可の詳細

このポリシーには、以下の許可が含まれています。

  • securityhub - すべての Security Hub アクションへの完全なアクセスをプリンシパルに許可します。

  • iam - サービスにリンクされたロールの作成をプリンシパルに許可します。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "securityhub:*", "Resource": "*" }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringLike": { "iam:AWSServiceName": "securityhub.amazonaws.com" } } } ] }

Security Hub マネージドポリシー: AWSSecurityHubReadOnlyAccess

AWSSecurityHubReadOnlyAccess ポリシーは IAM アイデンティティに添付できます。

このポリシーは、ユーザーが Security Hub の情報を確認できるようにするための読み取り専用の許可を付与します。このポリシーが添付されたプリンシパルは、Security Hub で更新を実行できません。例えば、これらの許可を持つプリンシパルは、アカウントに関連付けられた結果のリストを表示できますが、結果のステータスを変更することはできません。インサイトの結果を表示することはできますが、カスタムインサイトを作成したり設定したりすることはできません。コントロールや製品統合を設定することはできません。

許可の詳細

このポリシーには、以下の許可が含まれています。

  • securityhub - ユーザーは、アイテムのリストまたはアイテムに関する詳細を返すアクションを実行することができます。これには、GetList、または Describe で始まる API オペレーションが含まれます。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "securityhub:Get*", "securityhub:List*", "securityhub:Describe*" ], "Resource": "*" } ] }

AWS マネージドポリシー: AWSSecurityHubOrganizationsAccess

AWSSecurityHubOrganizationsAccess ポリシーは IAM アイデンティティに添付できます。

このポリシーは、AWS Organizations の管理者許可を付与します。この許可は Security Hub と Organizations との統合をサポートするために必要です。

これらの許可により、組織管理アカウントで Security Hub の委任された管理者アカウントを指定できます。また、委任された Security Hub 管理者アカウントで、組織アカウントをメンバーアカウントとして有効にすることもできます。

このポリシーでは、Organizations に対する許可のみが提供されます。組織管理アカウントと委任された Security Hub 管理者アカウントには、Security Hub の関連するアクションに対する許可も必要です。これらの許可は、AWSSecurityHubFullAccess マネージドポリシーを使用して付与することができます。

許可の詳細

このポリシーには、以下の許可が含まれています。

  • organizations:ListAccounts - 組織に属するアカウントリストの取得を、プリンシパルに許可します。

  • organizations:DescribeOrganization - 組織設定に関する情報の取得を、プリンシパルに許可します。

  • organizations:EnableAWSServiceAccess - Security Hub と Organizations の統合の有効化を、プリンシパルに許可します。

  • organizations:RegisterDelegatedAdministrator - Security Hub の委任された管理者アカウントを指定することを、プリンシパルに許可します。

  • organizations:DeregisterDelegatedAdministrator - Security Hub の委任された管理者アカウントを削除することを、プリンシパルに許可します。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "organizations:ListAccounts", "organizations:DescribeOrganization" ], "Resource": "*" }, { "Effect": "Allow", "Action": "organizations:EnableAWSServiceAccess", "Resource": "*", "Condition": { "StringEquals": { "organizations:ServicePrincipal": "securityhub.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "organizations:RegisterDelegatedAdministrator", "organizations:DeregisterDelegatedAdministrator" ], "Resource": "arn:aws:organizations::*:account/o-*/*", "Condition": { "StringEquals": { "organizations:ServicePrincipal": "securityhub.amazonaws.com" } } } ] }

AWS マネージドポリシー: AWSSecurityHubServiceRolePolicy

IAM エンティティに AWSSecurityHubServiceRolePolicy を添付することはできません。このポリシーは、ユーザーに代わって Security Hub がアクションを実行することを許可するサービスにリンクされたロールに添付されます。詳細については、「AWS Security Hub のサービスにリンクされたロールの使用」を参照してください。

このポリシーは、サービスにリンクされたロールに管理許可を付与し、Security Hub コントロールのセキュリティチェックを実行できるようにします。

許可の詳細

このポリシーには以下を実行するための許可が含まれています。

  • cloudtrail - CloudTrail 追跡に関する情報を取得します。

  • cloudwatch - 現在の CloudWatch アラームを取得します。

  • logs - CloudWatch logs のメトリクスフィルターを取得します。

  • sns - SNS トピックのサブスクリプションリストを取得します。

  • config - 設定レコーダー、リソース、および AWS Config ルールに関する情報を取得します。また、サービスにリンクされたロールに AWS Config ルールの作成と削除、およびルールに対する評価の実行も許可します。

  • iam - アカウントの認証情報レポートの取得と生成を実行します。

  • organizations - 組織のアカウント情報を取得します。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudtrail:DescribeTrails", "cloudtrail:GetTrailStatus", "cloudtrail:GetEventSelectors", "cloudwatch:DescribeAlarms", "logs:DescribeMetricFilters", "sns:ListSubscriptionsByTopic", "config:DescribeConfigurationRecorders", "config:DescribeConfigurationRecorderStatus", "config:DescribeConfigRules", "config:BatchGetResourceConfig", "config:PutEvaluations", "config:SelectResourceConfig", "iam:GenerateCredentialReport", "iam:GetCredentialReport", "organizations:ListAccounts", "organizations:DescribeAccount", "organizations:DescribeOrganization" ], "Resource": "*" } { "Effect": "Allow", "Action": [ "config:PutConfigRule", "config:DeleteConfigRule", "config:GetComplianceDetailsByConfigRule", "config:DescribeConfigRuleEvaluationStatus" ], "Resource": "arn:aws:config:*:*:config-rule/aws-service-rule/*securityhub*" } ] }

AWS マネージドポリシーに対する Security Hub の更新

このサービスがこれらの変更の追跡を開始してからの、Security Hub の AWS マネージドポリシーの更新に関する詳細を表示します。このページの変更に関する自動通知については、Security Hub の [Document history] (ドキュメントの履歴) ページの RSS フィードをサブスクライブしてください。

変更 説明 日付

AWSSecurityHubServiceRolePolicy - 既存のポリシーを更新する

Security Hub が既存の config:PutEvaluations 許可をポリシー内の別のステートメントに移動しました。

これにより、config:PutEvaluations 許可がすべてのリソースに適用されます。

2021 年 7 月 14 日

AWSSecurityHubServiceRolePolicy - 既存のポリシーを更新する

Security Hub は、サービスにリンクされたロールから評価結果を AWS Config に送信することを許可する新しい許可を追加しました。

2021 年 6 月 29 日

AWSSecurityHubServiceRolePolicy - マネージドポリシーのリストに追加しました

マネージドポリシー AWSSecurityHubServiceRolePolicy についての情報を追加しました。これは Security Hub のサービスにリンクされたロールで使用されます。

2021 年 6 月 11 日

AWSSecurityHubOrganizationsAccess - 新しいポリシー

Security Hub に、Security Hub と Organizations との統合に必要な許可を付与する新しいポリシーが追加されました。

2021 年 3 月 15 日

Security Hub で変更の追跡が開始されました

Security Hub で、AWS マネージドポリシーの変更の追跡が開始されました。

2021 年 3 月 15 日