Security Hub のアイデンティティとアクセスのトラブルシューティング

以下の情報は、Security Hub および の使用時に発生する可能性がある一般的な問題の診断と修正に役立ちますIAM。

Security Hub でアクションを実行することが認可されていない

からアクションを実行する権限がないと AWS Management Console 通知された場合は、管理者に連絡してサポートを依頼する必要があります。管理者とは、サインイン認証情報を提供した担当者です。

次の例のエラーは、ユーザーがコンソールを使用して mateojackson の詳細を表示しようとすると発生します。widget ただし、 にはsecurityhub:GetWidgetアクセス許可がありません。

User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: securityhub:GetWidget on resource: my-example-widget

この場合、Mateo は、securityhub:GetWidget アクションを使用して my-example-widget リソースへのアクセスが許可されるように、管理者にポリシーの更新を依頼します。

iam を実行する権限がありません。PassRole

iam:PassRole アクションを実行する権限がないというエラーが表示された場合は、ポリシーを更新して Security Hub にロールを渡すことができるようにする必要があります。

一部の AWS のサービス では、新しいサービスロールまたはサービスにリンクされたロールを作成する代わりに、そのサービスに既存のロールを渡すことができます。そのためには、サービスにロールを渡す権限が必要です。

次の例のエラーは、 というIAMユーザーがコンソールを使用して Security marymajor Hub でアクションを実行しようする場合に発生します。ただし、このアクションをサービスが実行するには、サービスロールから付与された権限が必要です。メアリーには、ロールをサービスに渡す許可がありません。

User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole

この場合、Mary のポリシーを更新してメアリーに iam:PassRole アクションの実行を許可する必要があります。

サポートが必要な場合は、 AWS 管理者にお問い合わせください。サインイン認証情報を提供した担当者が管理者です。

Security Hub にプログラム的にアクセスしたい

ユーザーが の AWS 外部で を操作する場合は、プログラムによるアクセスが必要です AWS Management Console。プログラムによるアクセスを許可する方法は、 にアクセスするユーザーのタイプによって異なります AWS。

ユーザーにプログラマチックアクセス権を付与するには、以下のいずれかのオプションを選択します。

プログラマチックアクセス権を必要とするユーザー	目的	方法
ワークフォースアイデンティティ （IAMIdentity Center で管理されるユーザー）	一時的な認証情報を使用して、 AWS CLI、 AWS SDKs、または へのプログラムによるリクエストに署名します AWS APIs。	使用するインターフェイス用の手引きに従ってください。 については AWS CLI、「 ユーザーガイド」の AWS CLI 「 を使用するための の設定 AWS IAM Identity CenterAWS Command Line Interface 」を参照してください。 AWS SDKs、ツール、および については AWS APIs、「 およびAWS SDKsツールリファレンスガイド」のIAM「 Identity Center 認証」を参照してください。
IAM	一時的な認証情報を使用して、 AWS CLI、 AWS SDKs、または へのプログラムによるリクエストに署名します AWS APIs。	「 ユーザーガイド」の「 AWS リソースでの一時的な認証情報の使用IAM」の手順に従います。
IAM	(非推奨) 長期認証情報を使用して、 AWS CLI、 AWS SDKs、または へのプログラムによるリクエストに署名します AWS APIs。	使用するインターフェイス用の手引きに従ってください。 については AWS CLI、「 AWS Command Line Interface ユーザーガイド」のIAM「ユーザー認証情報を使用した認証」を参照してください。 および ツールについては AWS SDKs、「 AWS SDKsおよびツールリファレンスガイド」の「長期認証情報を使用した認証」を参照してください。 については AWS APIs、「 ユーザーガイド」のIAM「ユーザーのアクセスキーの管理IAM」を参照してください。

管理者として Security Hub へのアクセスを他のユーザーに許可したい

アクセス権限を付与するには、ユーザー、グループ、またはロールにアクセス許可を追加します。

• のユーザーとグループ AWS IAM Identity Center：

  アクセス許可セットを作成します。「AWS IAM Identity Center ユーザーガイド」の「権限設定を作成する」の手順に従ってください。

• ID プロバイダーIAMを通じて で管理されるユーザー：

  ID フェデレーションのロールを作成します。「 IAMユーザーガイド」の「サードパーティー ID プロバイダーのロールの作成 (フェデレーション）」の手順に従います。

• IAM ユーザー：

  • ユーザーが担当できるロールを作成します。「 IAMユーザーガイド」のIAM「 ユーザーのロールの作成」の手順に従います。

  • (お奨めできない方法) ポリシーをユーザーに直接アタッチするか、ユーザーをユーザーグループに追加する。「 ユーザーガイド」の「ユーザーへのアクセス許可の追加 (コンソール）IAM」の指示に従います。

自分の 以外のユーザーに Security Hub リソース AWS アカウント へのアクセスを許可したい

他のアカウントのユーザーや組織外の人が、リソースにアクセスするために使用できるロールを作成できます。ロールの引き受けを委託するユーザーを指定できます。リソースベースのポリシーまたはアクセスコントロールリスト (ACLs) をサポートするサービスでは、これらのポリシーを使用して、ユーザーにリソースへのアクセスを許可できます。

詳細については、以下を参照してください。

• Security Hub でこれらの機能がサポートされるかどうかを確認するには、「と AWS Security Hub の仕組み IAM」を参照してください。

• 所有している のリソースへのアクセスを提供する方法については、 AWS アカウント 「 IAMユーザーガイド」の「所有 AWS アカウント している別の のIAMユーザーへのアクセスを提供する」を参照してください。

• リソースへのアクセスをサードパーティー に提供する方法については AWS アカウント、 IAMユーザーガイドの「サードパーティー AWS アカウント が所有する へのアクセスを提供する」を参照してください。

• ID フェデレーションを通じてアクセスを提供する方法については、 IAMユーザーガイドの「外部認証されたユーザーへのアクセスの提供 (ID フェデレーション）」を参照してください。

• クロスアカウントアクセスでのロールとリソースベースのポリシーの使用の違いについては、 ユーザーガイドの「 でのクロスアカウントリソースアクセスIAMIAM」を参照してください。