AWS Security Hub のアクション、リソース、および条件キー - サービス認可リファレンス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Security Hub のアクション、リソース、および条件キー

AWS Security Hub (サービスプレフィックス: securityhub) では、IAM アクセス許可ポリシーで使用できるように、以下のサービス固有のリソースやアクション、条件コンテキストキーが用意されています。

リファレンス:

AWS Security Hub で定義されるアクション

IAM ポリシーステートメントの Action要素で次のアクションを指定できます。ポリシーを使用して、 AWSでオペレーションを実行するアクセス許可を付与します。ポリシーでアクションを使用する場合、通常、同じ名前の API オペレーションまたは CLI コマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。

[アクション] テーブルの [リソースタイプ] 列は、各アクションがリソースレベルの許可をサポートしているかどうかを示します。この列に値がない場合は、ポリシーステートメントの Resource 要素で、ポリシーが適用されるすべてのリソース (「*」) を指定する必要があります。列にリソースタイプが含まれている場合は、そのアクションを含むステートメントでそのタイプの ARN を指定できます。アクションで 1 つ以上のリソースが必須となっている場合、呼び出し元には、それらのリソースを伴うアクションを使用するための許可が付与されている必要があります。必須リソースは、アスタリスク (*) でテーブルに示されています。IAM ポリシーの Resource要素でリソースアクセスを制限する場合は、必要なリソースタイプごとに ARN またはパターンを含める必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション (必須として示されていない) の場合、オプションのリソースタイプのいずれかを使用することを選択できます。

[アクション] テーブルの [条件キー] 列には、ポリシーステートメントの Condition 要素で指定できるキーが含まれます。サービスのリソースに関連付けられている条件キーの詳細については、[リソースタイプ] テーブルの [条件キー] 列を参照してください。

注記

リソース条件キーは、リソースタイプテーブルに一覧表示されています。アクションに適用されるリソースタイプへのリンクは、[アクション] テーブルの [リソースタイプ (* 必須)] 列にあります。[リソースタイプ] テーブルのリソースタイプには、[アクション] テーブルのアクションに適用されるリソース条件キーである、[条件キー] 列が含まれています。

以下の表の列の詳細については、「アクションテーブル」を参照してください。

アクション 説明 アクセスレベル リソースタイプ (* 必須) 条件キー 依存アクション
AcceptAdministratorInvitation メンバーアカウントになるための Security Hub の招待を受け入れるアクセス許可を付与 書き込み

hub

AcceptInvitation メンバーアカウントになるための Security Hub の招待を受け入れるアクセス許可を付与 書き込み

hub

BatchDeleteAutomationRules Security Hub で 1 つ以上の自動化ルールを削除する許可を付与 書き込み

automation-rule*

BatchDisableStandards Security Hub で標準を無効にする許可を付与 書き込み

hub

BatchEnableStandards Security Hub で標準を有効にする許可を付与 書き込み

hub

BatchGetAutomationRules ルール Amazon リソースネーム (ARNs) に基づいて Security Hub から自動化ルールの詳細のリストを取得するアクセス許可を付与します 読み取り

automation-rule*

BatchGetConfigurationPolicyAssociations 呼び出し元アカウントの組織のメンバーアカウントと組織単位の特定のリストに関連する設定ポリシーに関する情報を取得する許可を付与 読み取り
BatchGetControlEvaluations[アクセス許可のみ] Security Hub コンソールで、コントロールの有効化およびコンプライアンスステータス、コントロールの検出結果の数、ならびにコントロールの全体的なセキュリティスコアを取得する許可を付与 読み取り

hub

BatchGetSecurityControls ID または ARN で識別される特定のセキュリティコントロールに関する詳細を取得するアクセス許可を付与します 読み取り

securityhub:DescribeStandardsControls

BatchGetStandardsControlAssociations 標準のセキュリティコントロールのバッチの有効化ステータスを取得する許可を付与 読み取り

securityhub:DescribeStandardsControls

BatchImportFindings 統合製品から Security Hub に結果をインポートする許可を付与 書き込み

product*

securityhub:TargetAccount

BatchUpdateAutomationRules ルール Amazon リソースネーム (ARNs) と入力パラメータに基づいて、Security Hub から 1 つ以上のオートメーションルールを更新するアクセス許可を付与します 書き込み

automation-rule*

BatchUpdateFindings Security Hub の結果の選択したセットについて、お客様の制御によるフィールドを更新する許可を付与 書き込み

hub

securityhub:ASFFSyntaxPath/${ASFFSyntaxPath}

BatchUpdateStandardsControlAssociations 標準のセキュリティコントロールのバッチの有効化ステータスを更新する許可を付与 書き込み

securityhub:UpdateStandardsControl

CreateActionTarget Security Hub でカスタムアクションを作成する許可を付与 書き込み

hub

CreateAutomationRule 入力パラメータに基づいて自動化ルールを作成する許可を付与 書き込み

aws:RequestTag/${TagKey}

aws:TagKeys

CreateConfigurationPolicy セキュリティハブの組織メンバー設定を管理するための設定ポリシーを作成する許可を付与 書き込み

aws:RequestTag/${TagKey}

aws:TagKeys

CreateFindingAggregator クロスリージョン検索集計構成を含む、検索アグリゲータを作成するアクセス許可を付与 書き込み
CreateInsight Security Hub でインサイトを作成する許可を付与 インサイトは、関連する結果のコレクションです 書き込み

hub

CreateMembers Security Hub でメンバーアカウントを作成する許可を付与 書き込み

hub

DeclineInvitations メンバーアカウントになるための Security Hub の招待を却下する許可を付与 書き込み

hub

DeleteActionTarget Security Hub でカスタムアクションを削除する許可を付与 書き込み

hub

DeleteConfigurationPolicy 既存の設定ポリシーを削除する許可を付与 書き込み

configuration-policy*

DeleteFindingAggregator 検索アグリゲータを削除するアクセス許可を付与これにより、リージョン間の集約の検索が無効になります。 書き込み

finding-aggregator*

DeleteInsight Security Hub からインサイトを削除する許可を付与 書き込み

hub

DeleteInvitations メンバーアカウントになるための Security Hub の招待を削除する許可を付与 書き込み

hub

DeleteMembers Security Hub のメンバーアカウントを削除する許可を付与 書き込み

hub

DescribeActionTargets API を使用してカスタムアクションのリストを取得する許可を付与 読み取り

hub

DescribeHub アカウントのハブリソースに関する情報を取得する許可を付与 読み込み

hub

DescribeOrganizationConfiguration Security Hub の組織設定を説明する許可を付与 読み込み

hub

DescribeProducts 利用可能な Security Hub 製品統合に関する情報を取得する許可を付与 読み込み

hub

DescribeStandards Security Hub 標準に関する情報を取得する許可を付与 読み込み

hub

DescribeStandardsControls Security Hub 標準コントロールに関する情報を取得する許可を付与 読み込み

hub

DisableImportFindingsForProduct Security Hub 統合製品の結果のインポートを無効にする許可を付与 書き込み

hub

DisableOrganizationAdminAccount 組織の Security Hub 管理者アカウントを削除する許可を付与 書き込み

hub

organizations:DescribeOrganization

DisableSecurityHub Security Hub を無効にする許可を付与 書き込み

hub

DisassociateFromAdministratorAccount Security Hub メンバーアカウントに、関連付けられた管理者アカウントとの関連付けを解除する許可を付与 書き込み

hub

DisassociateFromMasterAccount Security Hub メンバーアカウントに、関連付けられたマスターアカウントとの関連付けを解除する許可を付与 書き込み

hub

DisassociateMembers 関連付けられた管理者アカウントから、Security Hub メンバーアカウントの関連付けを解除する許可を付与 書き込み

hub

EnableImportFindingsForProduct Security Hub 統合製品の結果のインポートを有効にする許可を付与 書き込み

hub

EnableOrganizationAdminAccount 組織の Security Hub 管理者アカウントを指定する許可を付与 書き込み

hub

organizations:DescribeOrganization

organizations:EnableAWSServiceAccess

organizations:RegisterDelegatedAdministrator

EnableSecurityHub Security Hub を有効にする許可を付与 書き込み

hub

aws:RequestTag/${TagKey}

aws:TagKeys

GetAdhocInsightResults[アクセス許可のみ] Insights ARN の代わりにフィルターセットを指定してインサイト結果を取得するアクセス許可を付与します 読み取り

hub

GetAdministratorAccount Security Hub 管理者アカウントに関する詳細を取得する許可を付与 読み取り

hub

GetConfigurationPolicy 呼び出し元アカウントが作成した 1 つの設定ポリシーの概要を把握する許可を付与 読み取り

configuration-policy*

GetConfigurationPolicyAssociation 呼び出し元アカウントの組織のメンバーアカウントまたは組織単位に関連する設定ポリシーに関する情報を取得する許可を付与 読み取り
GetControlFindingSummary[アクセス許可のみ] セキュリティ標準に対する、セキュリティスコアと検出数および制御ステータスのカウントを取得する許可を付与 読み込み

hub

GetEnabledStandards Security Hub で有効になっている標準のリストを取得する許可を付与 リスト

hub

GetFindingAggregator リージョン間の集計の検索を構成する、検索アグリゲータの詳細を取得するアクセス許可を付与 読み取り

finding-aggregator*

GetFindingHistory Security Hub から検出結果履歴のリストを取得する許可を付与 読み取り

hub

GetFindings Security Hub から結果のリストを取得する許可を付与 読み込み

hub

GetFreeTrialEndDate[アクセス許可のみ] アカウントで Security Hub 無料トライアルの終了日を確定する許可を付与 読み込み

hub

GetFreeTrialUsage[アクセス許可のみ] 無料試用期間中の Security Hub の使用状況に関する情報を取得する許可を付与 読み込み

hub

GetInsightFindingTrend[アクセス許可のみ] グラフを生成するために Security Hub からインサイト検索傾向を取得する許可を付与 読み込み

hub

GetInsightResults Security Hub からインサイト結果を取得する許可を付与 読み込み

hub

GetInsights Security Hub のインサイトを取得する許可を付与 リスト

hub

GetInvitationsCount アカウントに送信されたすべての Security Hub メンバーシップの招待の数を取得する許可を付与 読み込み

hub

GetMasterAccount Security Hub マスターアカウントに関する詳細を取得する許可を付与 読み込み

hub

GetMembers Security Hub メンバーアカウントの詳細を取得する許可を付与 読み取り

hub

GetSecurityControlDefinition ID で識別される特定のセキュリティコントロールに関する詳細を取得する許可を付与 読み取り

securityhub:DescribeStandardsControls

GetUsage[アクセス許可のみ] アカウント別の Security Hub の使用に関する情報を取得する許可を付与 読み取り

hub

InviteMembers 他の AWS アカウントを Security Hub メンバーアカウントに招待するアクセス許可を付与します 書き込み

hub

ListAutomationRules Security Hub から、呼び出し元アカウントの自動化ルールとメタデータのリストを取得する許可を付与 リスト
ListConfigurationPolicies 呼び出し元アカウントによって作成されたすべての設定ポリシーの概要を一覧表示する許可を付与 リスト
ListConfigurationPolicyAssociations 呼び出し元アカウントの組織のすべてのメンバーアカウントと組織単位に関連付けられているすべての設定ポリシーに関する情報を取得する許可を付与 リスト
ListControlEvaluationSummaries[アクセス許可のみ] コントロールIDs、ステータス、検出結果数など、標準のコントロールのリストを取得するアクセス許可を付与します 読み取り

hub

ListEnabledProductsForImport 現在有効になっている Security Hub 統合製品を取得する許可を付与 リスト

hub

ListFindingAggregators クロスリージョン検索集計設定を含む検索アグリゲータのリストを取得するアクセス許可を付与 リスト
ListInvitations アカウントに送信された Security Hub の招待を取得する許可を付与 リスト

hub

ListMembers 管理者アカウントに関連付けられている Security Hub メンバーアカウントに関する詳細を取得する許可を付与 リスト

hub

ListOrganizationAdminAccounts 組織の Security Hub 管理者アカウントを一覧表示する許可を付与 リスト

hub

organizations:DescribeOrganization

ListSecurityControlDefinitions セキュリティコントロール定義のリストを取得する許可を付与これには、現在のリージョンにおけるセキュリティコントロールの詳細が含まれます リスト
ListStandardsControlAssociations 標準のセキュリティコントロールの有効化ステータスを一覧表示する許可を付与 リスト

securityhub:DescribeStandardsControls

ListTagsForResource リソースに関連付けられているタグのリストにアクセス許可を付与 読み込み

automation-rule

configuration-policy

hub

SendFindingEvents[アクセス許可のみ] カスタムアクションを使用して Security Hub の検出結果を Amazon EventBridge に送信するアクセス許可を付与します 読み取り

hub

SendInsightEvents[アクセス許可のみ] カスタムアクションを使用して Security Hub インサイトを Amazon EventBridge に送信するアクセス許可を付与します 読み取り

hub

StartConfigurationPolicyAssociation 設定ポリシーを、呼び出し元アカウントの組織内のメンバーアカウントまたは組織単位に関連付ける許可を付与 書き込み

configuration-policy

StartConfigurationPolicyDisassociation 呼び出し元アカウントの組織内のメンバーアカウントまたは組織単位から設定ポリシーの関連付けを削除する許可を付与 書き込み

configuration-policy

TagResource Security Hub リソースにタグを追加する許可を付与 タグ付け

automation-rule

configuration-policy

hub

UntagResource Security Hub リソースからタグを削除する許可を付与 タグ付け

automation-rule

configuration-policy

hub

UpdateActionTarget Security Hub でカスタムアクションを更新する許可を付与 書き込み

hub

UpdateConfigurationPolicy 既存の設定ポリシーを更新する許可を付与 書き込み

configuration-policy*

UpdateFindingAggregator クロスリージョン検索集計構成を含む、検索アグリゲータを更新するアクセス許可を付与 書き込み

finding-aggregator*

UpdateFindings Security Hub の結果を更新する許可を付与 書き込み

hub

UpdateInsight Security Hub でインサイトを更新する許可を付与 書き込み

hub

UpdateOrganizationConfiguration Security Hub の組織設定を更新する許可を付与 書き込み

hub

UpdateSecurityControl ID または ARN によって識別される特定のセキュリティコントロールのプロパティを更新するアクセス許可を付与します 書き込み

securityhub:UpdateStandardsControl

UpdateSecurityHubConfiguration Security Hub の設定を更新する許可を付与 書き込み

hub

UpdateStandardsControl Security Hub 標準コントロールを更新する許可を付与 書き込み

hub

AWS Security Hub で定義されるリソースタイプ

次のリソースタイプは、このサービスによって定義され、IAM アクセス許可ポリシーステートメントの Resource要素で使用できます。アクションテーブルの各アクションは、そのアクションで指定できるリソースタイプを示しています。リソースタイプは、ポリシーに含めることができる条件キーを定義することもできます。これらのキーは、[リソースタイプ] テーブルの最後の列に表示されます。以下の表の列の詳細については、「リソースタイプテーブル」を参照してください。

リソースタイプ ARN 条件キー
hub arn:${Partition}:securityhub:${Region}:${Account}:hub/default

aws:ResourceTag/${TagKey}

product arn:${Partition}:securityhub:${Region}:${Account}:product/${Company}/${ProductId}
finding-aggregator arn:${Partition}:securityhub:${Region}:${Account}:finding-aggregator/${FindingAggregatorId}
automation-rule arn:${Partition}:securityhub:${Region}:${Account}:automation-rule/${AutomationRuleId}
configuration-policy arn:${Partition}:securityhub:${Region}:${Account}:configuration-policy/${ConfigurationPolicyId}

AWS Security Hub の条件キー

AWS Security Hub では、IAM ポリシーの Condition要素で使用できる以下の条件キーを定義します。これらのキーを使用して、ポリシーステートメントが適用される条件をさらに絞り込むことができます。以下の表の列の詳細については、「条件キーテーブル」を参照してください。

すべてのサービスで使用できるグローバル条件キーを確認するには、「使用できるグローバル条件キー」を参照してください。

条件キー 説明 [Type] (タイプ)
aws:RequestTag/${TagKey} リクエスト内のタグキーおよび値のペアのプレゼンスに基づいてアクセスをフィルタリングします 文字列
aws:ResourceTag/${TagKey} リソースにアタッチされているタグキーおよび値のペアに基づいてアクセスをフィルタリングします 文字列
aws:TagKeys リクエスト内のタグキーのプレゼンスに基づいたアクションでアクセスをフィルタリングします ArrayOfString
securityhub:ASFFSyntaxPath/${ASFFSyntaxPath} リクエスト内の特定のフィールドおよび値の存在に基づいてアクセスをフィルタリングします 文字列
securityhub:TargetAccount リクエストで指定された AwsAccountId フィールドでアクセスをフィルタリングします 文字列