Security Hub アイデンティティとアクセスのトラブルシューティング

次の情報は、Security Hub と の使用時に発生する可能性がある一般的な問題の診断と修正に役立ちますIAM。

Security Hub でアクションを実行することが認可されていない

からアクションを実行する権限がないと AWS Management Console 通知された場合は、管理者に連絡してサポートを依頼する必要があります。管理者とは、サインイン認証情報を提供した担当者です。

次の例のエラーは、ユーザーがコンソールを使用して mateojackson の詳細を表示しようとしているwidgetが、 アクセスsecurityhub:GetWidget許可がない場合に発生します。

User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: securityhub:GetWidget on resource: my-example-widget

この場合、Mateo は、securityhub:GetWidget アクションを使用して my-example-widget リソースへのアクセスが許可されるように、管理者にポリシーの更新を依頼します。

iam を実行する権限がありません。PassRole

iam:PassRole アクションを実行する権限がないというエラーが表示された場合は、ポリシーを更新して Security Hub にロールを渡すことができるようにする必要があります。

一部の AWS のサービス では、新しいサービスロールまたはサービスにリンクされたロールを作成する代わりに、既存のロールをそのサービスに渡すことができます。そのためには、サービスにロールを渡す権限が必要です。

次の例のエラーは、 という名前のIAMユーザーがコンソールを使用して Security Hub marymajor でアクションを実行しようする場合に発生します。ただし、このアクションをサービスが実行するには、サービスロールから付与された権限が必要です。メアリーには、ロールをサービスに渡す許可がありません。

User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole

この場合、Mary のポリシーを更新してメアリーに iam:PassRole アクションの実行を許可する必要があります。

サポートが必要な場合は、 AWS 管理者にお問い合わせください。サインイン認証情報を提供した担当者が管理者です。

Security Hub にプログラム的にアクセスしたい

ユーザーが の AWS 外部で を操作する場合は、プログラムによるアクセスが必要です AWS Management Console。プログラムによるアクセスを許可する方法は、 がアクセスするユーザーのタイプによって異なります AWS。

ユーザーにプログラマチックアクセス権を付与するには、以下のいずれかのオプションを選択します。

プログラマチックアクセス権を必要とするユーザー	目的	方法
ワークフォースアイデンティティ （IAMIdentity Center で管理されるユーザー）	一時的な認証情報を使用して AWS CLI、、 AWS SDKs、または へのプログラムによるリクエストに署名します AWS APIs。	使用するインターフェイスの指示に従ってください。 については AWS CLI、「 AWS Command Line Interface ユーザーガイド」の「 を使用する AWS CLI ように を設定する AWS IAM Identity Center」を参照してください。 ツール AWS SDKs、および については、 AWS APIs「 AWS SDKsおよびツールリファレンスガイド」のIAM「アイデンティティセンター認証」を参照してください。
IAM	一時的な認証情報を使用して AWS CLI、、 AWS SDKs、または へのプログラムによるリクエストに署名します AWS APIs。	「 ユーザーガイド」の「 AWS リソースでの一時的な認証情報の使用」の手順に従います。 IAM
IAM	(非推奨) 長期認証情報を使用して、、 AWS SDKs AWS CLI、または AWS APIs へのプログラムによるリクエストに署名します。	使用するインターフェイスの指示に従ってください。 については AWS CLI、「 AWS Command Line Interface ユーザーガイド」のIAM「ユーザー認証情報を使用した認証」を参照してください。 および ツールについては AWS SDKs、「 AWS SDKsおよびツールリファレンスガイド」の「長期認証情報を使用した認証」を参照してください。 については AWS APIs、「 IAMユーザーガイド」のIAM「ユーザーのアクセスキーの管理」を参照してください。

管理者として Security Hub へのアクセスを他のユーザーに許可したい

アクセス権限を付与するには、ユーザー、グループ、またはロールにアクセス許可を追加します。

• 以下のユーザーとグループ AWS IAM Identity Center：

  アクセス許可セットを作成します。「AWS IAM Identity Center ユーザーガイド」の「権限設定を作成する」の手順に従ってください。

• ID プロバイダーIAMを介して で管理されるユーザー：

  ID フェデレーションのロールを作成します。「 IAMユーザーガイド」の「サードパーティー ID プロバイダー (フェデレーション) のロールを作成する」の手順に従います。

• IAM ユーザー：

  • ユーザーが担当できるロールを作成します。「 ユーザーガイド」の「 IAMユーザーのロールを作成する」の手順に従います。 IAM

  • (お奨めできない方法) ポリシーをユーザーに直接アタッチするか、ユーザーをユーザーグループに追加する。「 IAMユーザーガイド」の「ユーザーへのアクセス許可の追加 (コンソール）」の手順に従います。

自分の 以外のユーザーに Security Hub リソース AWS アカウント へのアクセスを許可したい

他のアカウントのユーザーや組織外の人が、リソースにアクセスするために使用できるロールを作成できます。ロールの引き受けを委託するユーザーを指定できます。リソースベースのポリシーまたはアクセスコントロールリスト (ACLs) をサポートするサービスでは、それらのポリシーを使用して、ユーザーにリソースへのアクセスを許可できます。

詳細については、以下を参照してください。

• Security Hub でこれらの機能がサポートされるかどうかを確認するには、「と AWS Security Hub の連携方法 IAM」を参照してください。

• 所有 AWS アカウント する 全体のリソースへのアクセスを提供する方法については、「 IAMユーザーガイド」の「所有 AWS アカウント する別の の IAM ユーザーへのアクセスを提供する」を参照してください。

• リソースへのアクセスをサードパーティーに提供する方法については AWS アカウント、「 IAMユーザーガイド」の「サードパーティーが所有する へのアクセスを提供する AWS アカウント」を参照してください。

• ID フェデレーションを介してアクセスを提供する方法については、「IAM ユーザーガイド」の「外部で認証されたユーザー (ID フェデレーション) へのアクセスの許可」を参照してください。

• クロスアカウントアクセスでのロールとリソースベースのポリシーの使用の違いについては、「 IAMユーザーガイド」の「 でのクロスアカウントリソースアクセスIAM」を参照してください。