AWS Security Hub のアクション、リソース、および条件キー - サービス認証リファレンス

「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」

AWS Security Hub のアクション、リソース、および条件キー

AWS Security Hub (サービスプレフィックス: securityhub) では、IAM アクセス許可ポリシーで使用できるように、以下のサービス固有のリソースやアクション、条件コンテキストキーが用意されています。

参照:

AWS Security Hub で定義されるアクション

IAM ポリシーステートメントの Action 要素では、以下のアクションを指定できます。ポリシーを使用して、AWS でオペレーションを実行するアクセス許可を付与します。ポリシーでアクションを使用する場合は、通常、同じ名前の API オペレーションまたは CLI コマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。

[リソースタイプ] 列は、各アクションがリソースレベルのアクセス許可をサポートしているかどうかを示します。この列に値がない場合は、ポリシーステートメントの Resource 要素ですべてのリソース (「*」) を指定する必要があります。列にリソースタイプが含まれる場合、そのアクションを含むステートメントでそのタイプの ARN を指定できます。必須リソースは、アスタリスク (*) でテーブルに示されています。このアクションを使用してステートメントでリソースレベルのアクセス許可 ARN を指定する場合、このタイプである必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション (必須として示されていない) の場合、一方を使用することはできますが、他方を使用することはできません。

以下の表の列の詳細については、「アクションテーブル」を参照してください。

アクション 説明 アクセスレベル リソースタイプ (* 必須) 条件キー 依存アクション
AcceptAdministratorInvitation メンバーアカウントになるための Security Hub の招待を受け入れるアクセス許可を付与します 書き込み

hub

AcceptInvitation メンバーアカウントになるための Security Hub の招待を受け入れるアクセス許可を付与します 書き込み

hub

BatchDisableStandards Security Hub で標準を無効にするアクセス許可を付与します 書き込み

hub

BatchEnableStandards Security Hub で標準を有効にするアクセス許可を付与します 書き込み

hub

BatchImportFindings 統合製品から Security Hub に結果をインポートするアクセス許可を付与します 書き込み

product*

securityhub:TargetAccount

BatchUpdateFindings Security Hub の結果の選択したセットについて、お客様の制御によるフィールドを更新するアクセス許可を付与します 書き込み

hub

securityhub:ASFFSyntaxPath/${ASFFSyntaxPath}

CreateActionTarget Security Hub でカスタムアクションを作成するアクセス許可を付与します 書き込み

hub

CreateInsight Security Hub でインサイトを作成するアクセス許可を付与します。インサイトは、関連する結果のコレクションです 書き込み

hub

CreateMembers Security Hub でメンバーアカウントを作成するアクセス許可を付与します 書き込み

hub

DeclineInvitations メンバーアカウントになるための Security Hub の招待を却下するアクセス許可を付与します 書き込み

hub

DeleteActionTarget Security Hub でカスタムアクションを削除するアクセス許可を付与します 書き込み

hub

DeleteInsight Security Hub からインサイトを削除するアクセス許可を付与します 書き込み

hub

DeleteInvitations メンバーアカウントになるための Security Hub の招待を削除するアクセス許可を付与します 書き込み

hub

DeleteMembers Security Hub のメンバーアカウントを削除するアクセス許可を付与します 書き込み

hub

DescribeActionTargets API を使用してカスタムアクションのリストを取得するアクセス許可を付与します Read

hub

DescribeHub アカウントのハブリソースに関する情報を取得するアクセス許可を付与します Read

hub

DescribeOrganizationConfiguration Security Hub の組織設定を説明する許可を付与します Read

hub

DescribeProducts 利用可能な Security Hub 製品統合に関する情報を取得するアクセス許可を付与します Read

hub

DescribeStandards Security Hub 標準に関する情報を取得するアクセス許可を付与します Read

hub

DescribeStandardsControls Security Hub 標準コントロールに関する情報を取得するアクセス許可を付与します Read

hub

DisableImportFindingsForProduct Security Hub 統合製品の結果のインポートを無効にするアクセス許可を付与します 書き込み

hub

DisableOrganizationAdminAccount 組織の Security Hub 管理者アカウントを削除するアクセス許可を付与します 書き込み

hub

organizations:DescribeOrganization

DisableSecurityHub Security Hub を無効にするアクセス許可を付与します 書き込み

hub

DisassociateFromAdministratorAccount Security Hub メンバーアカウントに、関連付けられた管理者アカウントとの関連付けを解除するためのアクセス権限を付与します 書き込み

hub

DisassociateFromMasterAccount Security Hub メンバーアカウントに、関連付けられたマスターアカウントとの関連付けを解除するアクセス許可を付与します 書き込み

hub

DisassociateMembers 関連付けられた管理者アカウントから、Security Hub メンバーアカウントの関連付けを解除するためのアクセス権限を付与します 書き込み

hub

EnableImportFindingsForProduct Security Hub 統合製品の結果のインポートを有効にするアクセス許可を付与します 書き込み

hub

EnableOrganizationAdminAccount 組織の Security Hub 管理者アカウントを指定するアクセス許可を付与します 書き込み

hub

organizations:DescribeOrganization

organizations:EnableAWSServiceAccess

organizations:RegisterDelegatedAdministrator

EnableSecurityHub Security Hub を有効にするアクセス許可を付与します 書き込み

hub

aws:RequestTag/${TagKey}

aws:TagKeys

GetAdhocInsightResults [アクセス許可のみ] インサイト ARN の代わりに一連のフィルターを提供することにより、インサイト結果を取得するアクセス許可を付与する Read

hub

GetAdministratorAccount Security Hub 管理者アカウントに関する詳細を取得するためのアクセス権限を付与します Read

hub

GetEnabledStandards Security Hub で有効になっている標準のリストを取得するアクセス許可を付与します リスト

hub

GetFindings Security Hub から結果のリストを取得するアクセス許可を付与します Read

hub

GetFreeTrialEndDate [アクセス許可のみ] アカウントで Security Hub 無料トライアルの終了日を確定するアクセス許可を付与する Read

hub

GetFreeTrialUsage [アクセス許可のみ] 無料試用期間中の Security Hub の使用状況に関する情報を取得するアクセス許可を付与する Read

hub

GetInsightFindingTrend [アクセス許可のみ] グラフを生成するために Security Hub からインサイト検索傾向を取得するアクセス許可を付与する Read

hub

GetInsightResults Security Hub からインサイト結果を取得するアクセス許可を付与します Read

hub

GetInsights Security Hub のインサイトを取得するアクセス許可を付与します リスト

hub

GetInvitationsCount アカウントに送信されたすべての Security Hub メンバーシップの招待の数を取得するアクセス許可を付与します Read

hub

GetMasterAccount Security Hub マスターアカウントに関する詳細を取得するアクセス許可を付与します Read

hub

GetMembers Security Hub メンバーアカウントの詳細を取得するアクセス許可を付与します Read

hub

GetUsage [アクセス許可のみ] アカウント別の Security Hub の使用に関する情報を取得するアクセス許可を付与する Read

hub

InviteMembers 他の AWS アカウントを Security Hub メンバーアカウントに招待するアクセス許可を付与します 書き込み

hub

ListEnabledProductsForImport 現在有効になっている Security Hub 統合製品を取得するアクセス許可を付与します リスト

hub

ListInvitations アカウントに送信された Security Hub の招待を取得するアクセス許可を付与します リスト

hub

ListMembers 管理者アカウントに関連付けられている Security Hub メンバーアカウントに関する詳細を取得するためのアクセス権限を付与します リスト

hub

ListOrganizationAdminAccounts 組織の Security Hub 管理者アカウントを一覧表示するアクセス許可を付与します リスト

hub

organizations:DescribeOrganization

ListTagsForResource リソースに関連付けられているタグのリストにアクセス許可を付与します Read

hub*

SendFindingEvents [アクセス許可のみ] カスタムアクションを使用して、Security Hub の結果を Amazon EventBridge に送信するアクセス許可を付与する Read

hub

SendInsightEvents [アクセス許可のみ] カスタムアクションを使用して、Amazon EventBridge に Security Hub のインサイトを送信するアクセス許可を付与する Read

hub

TagResource Security Hub リソースにタグを追加するアクセス許可を付与します タグ付け

hub*

UntagResource Security Hub リソースからタグを削除するアクセス許可を付与します タグ付け

hub*

UpdateActionTarget Security Hub でカスタムアクションを更新するアクセス許可を付与します 書き込み

hub

UpdateFindings Security Hub の結果を更新するアクセス許可を付与します 書き込み

hub

UpdateInsight Security Hub でインサイトを更新するアクセス許可を付与します 書き込み

hub

UpdateOrganizationConfiguration セキュリティハブの組織設定を更新するアクセス許可を付与します 書き込み

hub

UpdateSecurityHubConfiguration Security Hub の設定を更新するアクセス許可を付与する 書き込み

hub

UpdateStandardsControl Security Hub 標準コントロールを更新するアクセス許可を付与します 書き込み

hub

AWS Security Hub で定義されるリソースタイプ

以下のリソースタイプは、このサービスによって定義され、IAM アクセス許可ポリシーステートメントの Resource 要素で使用できます。[Actions table] (アクションテーブル) の各アクションは、そのアクションで指定できるリソースタイプを示しています。リソースタイプは、ポリシーに含めることができる条件キーを定義することもできます。これらのキーは、テーブルの最後の列に表示されます。以下の表の列の詳細については、「リソースタイプテーブル」を参照してください。

リソースタイプ ARN 条件キー
hub arn:${Partition}:securityhub:${Region}:${Account}:hub/default

aws:ResourceTag/${TagKey}

product arn:${Partition}:securityhub:${Region}:${Account}:product/${Company}/${ProductId}

AWS Security Hub の条件キー

AWS Security Hub では、Condition ポリシーの IAM 要素で使用できる以下の条件キーを定義します。これらのキーを使用して、ポリシーステートメントが適用される条件をさらに絞り込むことができます。以下の表の列の詳細については、「条件キーテーブル」を参照してください。

すべてのサービスで使用できるグローバル条件キーを確認するには、使用できるグローバル条件キーを参照してください。

条件キー 説明 タイプ
aws:RequestTag/${TagKey} リクエスト内のタグキーと値のペアのプレゼンスに基づいてアクションをフィルタリングします 文字列
aws:ResourceTag/${TagKey} リソースにアタッチされているタグキーと値のペアに基づいてアクションをフィルタリングします 文字列
aws:TagKeys リクエスト内のタグキーのプレゼンスに基づいてアクションをフィルタリングします 文字列
securityhub:ASFFSyntaxPath/${ASFFSyntaxPath} リクエスト内の特定のフィールドと値の存在に基づいてアクセスをフィルタリングします。 文字列
securityhub:TargetAccount リクエスト内の AWSAccountId フィールドの存在に基づいてアクセスをフィルタリングします。 文字列