AWS Security Hub に関する IAM ポリシーのアクションを用途別にまとめてみた
AWS Security Hub に関する IAM ポリシーを検討する機会があり、機能または作業別に独自のカテゴリでアクションを整理したため、その時の内容を備忘録も兼ねてブログ化しました。
AWS Security Hub のアクション一覧
操作したい機能、または、作業ごとに独自のカテゴリに分けて掲載します。
アクション一覧は次のユーザーガイドのページに掲載されており、API へのリンクも掲載されていることから、併用して確認することをおすすめします。
AWS Security Hub のアクション、リソース、および条件キー - サービス認可リファレンス
以降のアクション一覧表において、アクション名がリンクになっていないアクションは対応する API が存在しないアクセス許可です。マネジメントコンソール上の操作に関連する権限となります。
Security Hub 全体(Hub)関連
| アクセスレベル | アクション | 概要 | 補足 |
|---|---|---|---|
| 読み取り | DescribeHub | Security Hub の設定を取得 | - |
| 書き込み | EnableSecurityHub | Security Hub の有効化 | - |
| 書き込み | UpdateSecurityHubConfiguration | Security Hub の設定を更新 | - |
| 書き込み | DisableSecurityHub | Security Hub の無効化 | - |
セキュリティ基準関連
| アクセスレベル | アクション | 概要 | 補足 |
|---|---|---|---|
| リスト | GetEnabledStandards | 有効なセキュリティ基準一覧を取得 | - |
| 読み取り | DescribeStandards | 利用できるセキュリティ基準一覧と詳細を取得 | - |
| 読み取り | GetControlFindingSummary | セキュリティスコアや検出結果数を取得する許可 | - |
| 書き込み | BatchEnableStandards | セキュリティ基準の有効化 | - |
| 書き込み | BatchDisableStandards | セキュリティ基準の無効化 | - |
GetControlFindingSummaryを Deny した場合のマネジメントコンソール上の見え方です。概要画面などでセキュリティスコアや成功・失敗数などが表示されなくなります。
コントロール関連
| アクセスレベル | アクション | 概要 | 補足 |
|---|---|---|---|
| 読み取り | ListControlEvaluationSummaries | セキュリティ基準のコントロール一覧、ステータスなどの情報を取得 | - |
| 読み取り | DescribeStandardsControls | 指定したセキュリティ基準のコントロール一覧と詳細を取得 | - |
| 書き込み | UpdateStandardsControl | 指定したコントロールの有効化・無効化 | - |
ListControlEvaluationSummariesを Deny した場合のマネジメントコンソール上の見え方です。セキュリティ基準内のコントロールが「データなし」となり、確認できなくなります。Allow の場合は成功数やコンプライアンスのステータスが表示されます。
統合コントロール関連
統合コントロール関連の API は 2023 年 2 月の統合コントロールのリリースに関連して追加されました。
| アクセスレベル | アクション | 概要 | 補足 |
|---|---|---|---|
| リスト | ListSecurityControlDefinitions | コントロールの一覧を取得 | - |
| リスト | ListStandardsControlAssociations | 指定したコントロールが有効なセキュリティ基準に関連付けられているかどうかを取得 | - |
| 読み取り | BatchGetSecurityControls | コントロールの詳細を取得 | - |
| 読み取り | BatchGetStandardsControlAssociations | コントロールが指定したセキュリティ基準に関連付けられているかを取得 | - |
| 読み取り | BatchGetControlEvaluations | セキュリティスコア、コントロールの結果などを取得 | - |
| 書き込み | BatchUpdateStandardsControlAssociations | コントロールを有効なセキュリティ基準に関連付け、関連付け解除 | - |
BatchGetControlEvaluationsを Deny した場合のマネジメントコンソール上の見え方です。統合コントロール画面でコントロールが「データなし」となり、確認できなくなります。Allow の場合は成功数やコンプライアンスのステータスが表示されます。
統合コントロールのアップデートを紹介したブログもアクションの理解の手助けになります。
オートメーション(Automation Rules)関連
オートメーション関連の API は 2023 年 6 月の Automation Rules のリリースに関連して追加されました。
| アクセスレベル | アクション | 概要 | 補足 |
|---|---|---|---|
| リスト | ListAutomationRules | オートメーションルールの一覧を取得 | - |
| 読み取り | BatchGetAutomationRules | オートメーションルールの設定の詳細を取得 | - |
| 書き込み | CreateAutomationRule | オートメーションルールを作成 | - |
| 書き込み | BatchUpdateAutomationRules | オートメーションルールを更新 | - |
| 書き込み | BatchDeleteAutomationRules | オートメーションルールを削除 | - |
Automation Rules のアップデートを紹介したブログもアクションの理解の手助けになります。
カスタムアクション関連
| アクセスレベル | アクション | 概要 | 補足 |
|---|---|---|---|
| 読み取り | DescribeActionTargets | カスタムアクションの一覧を取得 | - |
| 読み取り | SendFindingEvents | カスタムアクションを使用して検出結果(Findings)を EventBridge に送信 | - |
| 読み取り | SendInsightEvents | カスタムアクションを使用してインサイトの結果を EventBridge に送信 | - |
| 書き込み | CreateActionTarget | カスタムアクションを作成 | - |
| 書き込み | UpdateActionTarget | カスタムアクションを更新 | - |
| 書き込み | DeleteActionTarget | カスタムアクションを削除 | - |
クロスリージョン集約関連
| アクセスレベル | アクション | 概要 | 補足 |
|---|---|---|---|
| リスト | ListFindingAggregators | クロスリージョン集約の一覧を取得 | - |
| 読み取り | GetFindingAggregator | クロスリージョン集約の設定を取得 | - |
| 書き込み | CreateFindingAggregator | クロスリージョン集約を設定 | - |
| 書き込み | UpdateFindingAggregator | クロスリージョン集約の設定を更新 | - |
| 書き込み | DeleteFindingAggregator | クロスリージョン集約の設定を削除 | - |
検出結果(Findings)関連
以降は Findings 関連のアクションが続きます。
| アクセスレベル | アクション | 概要 | 補足 |
|---|---|---|---|
| 読み取り | GetFindings | 検出結果を取得 | - |
| 読み取り | GetFindingHistory | 検出結果の履歴を取得 | - |
| 書き込み | BatchUpdateFindings | 検出結果を更新 | - |
| 書き込み | UpdateFindings | 検出結果を更新 | 廃止 |
サービス統合関連
| アクセスレベル | アクション | 概要 | 補足 |
|---|---|---|---|
| リスト | ListEnabledProductsForImport | 検出結果を統合しているサービス一覧を取得 | - |
| 読み取り | DescribeProducts | 検出結果を統合できるサービスの情報を取得 | - |
| 書き込み | EnableImportFindingsForProduct | サービスの統合を有効化 | - |
| 書き込み | DisableImportFindingsForProduct | サービスの統合を無効化 | - |
| 書き込み | BatchImportFindings | 統合サービスから検出結果をインポート | - |
インサイト関連
| アクセスレベル | アクション | 概要 | 補足 |
|---|---|---|---|
| リスト | GetInsights | インサイトの一覧を取得 | - |
| 読み取り | GetInsightResults | インサイトの結果を取得 | - |
| 読み取り | GetInsightFindingTrend | グラフを作成するためのインサイト傾向の取得 | - |
| 読み取り | GetAdhocInsightResults | 作成済みのインサイトの結果を取得 | - |
| 書き込み | CreateInsight | インサイトを作成 | - |
| 書き込み | UpdateInsight | インサイトを更新 | - |
| 書き込み | DeleteInsight | インサイトを削除 | - |
GetInsightFindingTrendを Deny した場合のマネジメントコンソール上の見え方です。インサイト画面でインサイトの結果をグラフ化して表示する内容を確認できなくなります。
GetAdhocInsightResultsを Deny した場合のマネジメントコンソール上の見え方です。各インサイトの詳細画面で結果を確認できなくなります。
メンバーアカウント関連
このカテゴリだけ、管理者アカウント側の操作とメンバーアカウント側の操作を示す列(実行主体)を追加しています。廃止になっているアクションがあることに注意が必要です。
| アクセスレベル | アクション | 実行主体 | 概要 | 補足 |
|---|---|---|---|---|
| リスト | ListMembers | 管理者 | 関連付け済みのメンバーアカウントの一覧を取得 | - |
| リスト | ListInvitations | メンバー | 招待されている一覧を取得 | - |
| 読み取り | GetMembers | 管理者 | メンバーアカウントの情報を取得 | - |
| 読み取り | GetInvitationsCount | メンバー | 招待されている数を確認 | - |
| 読み取り | GetAdministratorAccount | メンバー | 関連付け済みの管理者アカウントの情報を取得 | - |
| 読み取り | GetMasterAccount | メンバー | 関連付け済みの管理者アカウントの情報を取得 | 廃止 |
| 書き込み | CreateMembers | 管理者 | メンバーアカウントを作成 | - |
| 書き込み | InviteMembers | 管理者 | メンバーアカウントを招待 | - |
| 書き込み | DisassociateMembers | 管理者 | メンバーアカウントの関連付けを解除 | - |
| 書き込み | DeleteMembers | 管理者 | メンバーアカウントを削除 | - |
| 書き込み | AcceptAdministratorInvitation | メンバー | 招待を承認 | - |
| 書き込み | DeclineInvitations | メンバー | 招待を拒否 | - |
| 書き込み | DeleteInvitations | メンバー | 招待を削除 | - |
| 書き込み | DisassociateFromAdministratorAccount | メンバー | 管理者カウントとの関連付けを解除 | - |
| 書き込み | AcceptInvitation | メンバー | 招待を承認 | 廃止 |
| 書き込み | DisassociateFromMasterAccount | メンバー | 管理者カウントとの関連付けを解除 | 廃止 |
委任関連
| アクセスレベル | アクション | 概要 | 補足 |
|---|---|---|---|
| リスト | ListOrganizationAdminAccounts | 委任の一覧を取得 | - |
| 書き込み | EnableOrganizationAdminAccount | 委任を有効 | - |
| 書き込み | DisableOrganizationAdminAccount | 委任を無効 | - |
AWS Organizations 連携の自動有効設定関連
| アクセスレベル | アクション | 概要 | 補足 |
|---|---|---|---|
| 読み取り | DescribeOrganizationConfiguration | 自動有効化設定を取得 | - |
| 書き込み | UpdateOrganizationConfiguration | 自動有効化設定を更新 | - |
料金関連
執筆時点では、Amazon GuardDuty には料金関連の API がありますが、AWS Security Hub には API はありません。
| アクセスレベル | アクション | 概要 | 補足 |
|---|---|---|---|
| 読み取り | GetFreeTrialEndDate | 無料トライアルの終了日を取得 | - |
| 読み取り | GetFreeTrialUsage | 無料トライアル中の使用状況情報を取得 | - |
| 読み取り | GetUsage | 使用状況情報を取得 | - |
タグ関連
| アクセスレベル | アクション | 概要 | 補足 |
|---|---|---|---|
| 読み取り | ListTagsForResource | タグの一覧を取得 | - |
| タグ付け | TagResource | タグを追加 | - |
| タグ付け | UntagResource | タグを削除 | - |
さいごに
Amazon GuardDuty に続き、AWS Security Hub についても IAM ポリシーを検討しやすいように機能または作業別に独自のカテゴリに整理してみました。
以上、このブログがどなたかのご参考になれば幸いです。
![【Security Hub修復手順】[KMS.5] KMSキーはパブリックに公開すべきではありません](https://images.ctfassets.net/ct0aopd36mqt/wp-refcat-img-cea52bc8a6ec5cad9021b38df4a08b9e/24c76ee7c1ae7aa7f9676a59c77f8702/aws-security-hub)
