AWS Security Hub のサービスにリンクされたロールの使用 - AWS Security Hub

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Security Hub のサービスにリンクされたロールの使用

AWS Security Hubが使用AWS Identity and Access Management(IAM)サービスにリンクされたロール。サービスにリンクされたロールは、Security Hub に直接リンクされた一意のタイプの IAM ロールです。サービスにリンクされたロールは、Security Hub による事前定義済みのロールであり、他のを呼び出すために必要なすべてのアクセス許可を持ちます。AWSサービスに、お客様に代わって適用されます。

サービスにリンクされたロールを使用すると、必要なアクセス許可を手動で追加する必要がなくなるため、Security Hub の設定が簡単になります。Security Hub は、サービスにリンクされたロールのアクセス権限を定義します。特にアクセス許可が定義されていない限り、Security Hub はそのロールのみを引き受けることができます。定義されるアクセス権限には、信頼ポリシーやアクセス権限ポリシーなどがあり、そのアクセス権限ポリシーを他の IAM エンティティにアタッチすることはできません。

Security Hub は、Security Hub が利用できるすべてのリージョンで、サービスにリンクされたロールの使用をサポートします。詳細については、「サポートされているリージョン」を参照してください。

Security Hub サービスにリンクされたロールは、それが有効になっているすべてのリージョンで Security Hub を無効にした後でのみ、行うことができます。これにより、アクセスに必要なアクセス許可を誤って削除してしまうことがなくなるため、Security Hub リソースは保護されます。

サービスにリンクされたロールをサポートしているその他のサービスの詳細については、」を参照してください。AWSIAM と連携するのサービス()IAM ユーザーガイド」をクリックし、はい()サービスにリンクされたロール列でロードバランサーの ID をクリックします。サービスリンクロールに関するドキュメントをサービスで表示するには、リンク付きのはいを選択します。

Security Hub サービスにリンクされたロールのアクセス許可

Security Hub は、と呼ばれるサービスにリンクされたロールを使用します。AWSServiceRoleForSecurityHub。これは、に必要なサービスにリンクされたロールです。AWS Security Hubからリソースにアクセスします。

AWSServiceRoleForSecurityHub サービスリンクロールは、ロールの引き受けについて以下のサービスを信頼します。

  • securityhub.amazonaws.com

-AWSServiceRoleForSecurityHubサービスにリンクされたロールは、管理ポリシーを使用しますAWSSecurityHubServiceRolePolicy

IAM エンティティ (ユーザー、グループ、ロールなど) がサービスリンクロールの作成、編集、削除を行うことを許可する許可を設定する必要があります。のAWSServiceRoleForSecurityHubサービスにリンクされたロールを適切に作成するには、Security Hub を使用する IAM アイデンティティに、必要なアクセス権限が付与されている必要があります。必要なアクセス権限を付与するには、次のポリシーをこの IAM ユーザー、グループ、またはロールにアタッチします。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "securityhub:*", "Resource": "*" }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringLike": { "iam:AWSServiceName": "securityhub.amazonaws.com" } } } ] }

Security Hub サービスにリンクされたロールの作成

-AWSServiceRoleForSecurityHubサービスにリンクされたロールは、を初めて有効にするか、以前に有効にしていなかったサポート対象リージョンで Security Hub を有効にすると、自動的に作成されます。また、作成することもできますAWSServiceRoleForSecurityHubサービスにリンクされたロールを手動で作成するには、IAM コンソール、IAM CLI、または IAM API を使用します。

重要

Security Hub管理者アカウント用に作成されたサービスにリンクされたロールは、Security Hubのメンバーアカウントには適用されません。

ロールの手動作成の詳細については、」を参照してください。サービスにリンクされたロールの作成()IAM ユーザーガイド

Security Hub サービスにリンクされたロールの編集

Security Hub では、AWSServiceRoleForSecurityHubサービスにリンクされたロール サービスリンクロールを作成した後は、さまざまなエンティティがロールを参照する可能性があることから、ロール名を変更することはできません。ただし、IAM を使用したロールの説明の編集はできます。詳細については、「」を参照してください。サービスにリンクされたロールの編集()IAM ユーザーガイド

Security Hub サービスにリンクされたロールの削除

サービスリンクロールを必要とする機能またはサービスが不要になった場合には、そのロールを削除することをお勧めします。そうすることで、使用していないエンティティがアクティブにモニタリングされたり、メンテナンスされたりすることがなくなります。

重要

を削除するにはAWSServiceRoleForSecurityHubサービスにリンクされたロールを使用するには、まずそれが有効になっているすべてのリージョンで Security Hub を無効にする必要があります。

サービスにリンクされたロールを削除しようとしたときに、Security Hub が無効になっていない場合、削除は失敗します。詳細については、「の無効化AWSセキュリティハブ」を参照してください。

Security Hub を無効にすると、AWSServiceRoleForSecurityHubサービスにリンクされたロールはない自動的に削除されます。Security Hub を再度有効にする場合、既存のAWSServiceRoleForSecurityHubサービスにリンクされたロール

IAM を使用してサービスリンクロールを手動で削除する

IAM コンソール、IAM CLI、または IAM API を使用して、AWSServiceRoleForSecurityHubサービスにリンクされたロール 詳細については、「」を参照してください。サービスにリンクされたロールの削除()IAM ユーザーガイド