Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Sicherheit in AWS Security Hub CSPM
Cloud-Sicherheit hat AWS höchste Priorität. Als AWS Kunde profitieren Sie von einer Rechenzentrums- und Netzwerkarchitektur, die darauf ausgelegt sind, die Anforderungen der sicherheitssensibelsten Unternehmen zu erfüllen.
Sicherheit ist eine gemeinsame Verantwortung von Ihnen AWS und Ihnen. Das [Modell der geteilten Verantwortung](https://aws.amazon.com/compliance/shared-responsibility-model/) beschreibt dies als Sicherheit *der* Cloud und Sicherheit *in* der Cloud:
+ **Sicherheit der Cloud** — AWS ist verantwortlich für den Schutz der Infrastruktur, die AWS Dienste in der AWS Cloud ausführt. AWS bietet Ihnen auch Dienste, die Sie sicher nutzen können. Auditoren von Drittanbietern testen und überprüfen die Effektivität unserer Sicherheitsmaßnahmen im Rahmen der [AWS -Compliance-Programme](https://aws.amazon.com/compliance/programs/) regelmäßig. Weitere Informationen zu den Compliance-Programmen für AWS Security Hub CSPM finden Sie unter [Durch das Compliance-Programm abgedeckte AWS -Services](https://aws.amazon.com/compliance/services-in-scope/).
+ **Sicherheit in der Cloud** — Ihre Verantwortung richtet sich nach dem AWS Dienst, den Sie nutzen. Sie sind auch für andere Faktoren verantwortlich, etwa für die Vertraulichkeit Ihrer Daten, für die Anforderungen Ihres Unternehmens und für die geltenden Gesetze und Vorschriften.
Diese Dokumentation hilft Ihnen zu verstehen, wie Sie das Modell der gemeinsamen Verantwortung bei der Verwendung von Security Hub CSPM anwenden können. In den folgenden Themen erfahren Sie, wie Sie Security Hub CSPM konfigurieren, um Ihre Sicherheits- und Compliance-Ziele zu erreichen. Sie erfahren auch, wie Sie andere AWS Dienste nutzen können, die Ihnen helfen, Ihre Security Hub CSPM-Ressourcen zu überwachen und zu sichern.
**Topics**
+ [Datenschutz in AWS Security Hub CSPM](data-protection.md)
+ [AWS Identity and Access Management für Security Hub CSPM](security-iam.md)
+ [Überprüfung der Einhaltung der Vorschriften für AWS Security Hub CSPM](securityhub-compliance.md)
+ [Resilienz im AWS Security Hub](disaster-recovery-resiliency.md)
+ [Sicherheit der Infrastruktur in AWS Security Hub CSPM](infrastructure-security.md)
+ [AWS Security Hub CSPM und Schnittstellen-VPC-Endpunkte ()AWS PrivateLink](security-vpc-endpoints.md)
# Datenschutz in AWS Security Hub CSPM
Das [Modell der AWS gemeinsamen Verantwortung](https://aws.amazon.com/compliance/shared-responsibility-model/) gilt für den Datenschutz in. AWS Security Hub CSPM Wie in diesem Modell beschrieben, AWS ist verantwortlich für den Schutz der globalen Infrastruktur, auf der alle Systeme laufen AWS Cloud. Sie sind dafür verantwortlich, die Kontrolle über Ihre in dieser Infrastruktur gehosteten Inhalte zu behalten. Sie sind auch für die Sicherheitskonfiguration und die Verwaltungsaufgaben für die von Ihnen verwendeten AWS-Services verantwortlich. Weitere Informationen zum Datenschutz finden Sie unter [Häufig gestellte Fragen zum Datenschutz](https://aws.amazon.com/compliance/data-privacy-faq/). Informationen zum Datenschutz in Europa finden Sie im Blog-Beitrag [AWS -Modell der geteilten Verantwortung und in der DSGVO](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) im *AWS -Sicherheitsblog*.
Aus Datenschutzgründen empfehlen wir, dass Sie AWS-Konto Anmeldeinformationen schützen und einzelne Benutzer mit AWS IAM Identity Center oder AWS Identity and Access Management (IAM) einrichten. So erhält jeder Benutzer nur die Berechtigungen, die zum Durchführen seiner Aufgaben erforderlich sind. Außerdem empfehlen wir, die Daten mit folgenden Methoden schützen:
+ Verwenden Sie für jedes Konto die Multi-Faktor-Authentifizierung (MFA).
+ Wird verwendet SSL/TLS , um mit AWS Ressourcen zu kommunizieren. Wir benötigen TLS 1.2 und empfehlen TLS 1.3.
+ Richten Sie die API und die Protokollierung von Benutzeraktivitäten mit ein AWS CloudTrail. Informationen zur Verwendung von CloudTrail Pfaden zur Erfassung von AWS Aktivitäten finden Sie unter [Arbeiten mit CloudTrail Pfaden](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) im *AWS CloudTrail Benutzerhandbuch*.
+ Verwenden Sie AWS Verschlüsselungslösungen zusammen mit allen darin enthaltenen Standardsicherheitskontrollen AWS-Services.
+ Verwenden Sie erweiterte verwaltete Sicherheitsservices wie Amazon Macie, die dabei helfen, in Amazon S3 gespeicherte persönliche Daten zu erkennen und zu schützen.
+ Wenn Sie für den Zugriff AWS über eine Befehlszeilenschnittstelle oder eine API FIPS 140-3-validierte kryptografische Module benötigen, verwenden Sie einen FIPS-Endpunkt. Weitere Informationen über verfügbare FIPS-Endpunkte finden Sie unter [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Wir empfehlen dringend, in Freitextfeldern, z. B. im Feld **Name**, keine vertraulichen oder sensiblen Informationen wie die E-Mail-Adressen Ihrer Kunden einzugeben. Dies gilt auch, wenn Sie mit Security Hub CSPM oder anderen AWS-Services über die Konsole AWS CLI, API oder arbeiten. AWS SDKs Alle Daten, die Sie in Tags oder Freitextfelder eingeben, die für Namen verwendet werden, können für Abrechnungs- oder Diagnoseprotokolle verwendet werden. Wenn Sie eine URL für einen externen Server bereitstellen, empfehlen wir dringend, keine Anmeldeinformationen zur Validierung Ihrer Anforderung an den betreffenden Server in die URL einzuschließen.
Security Hub CSPM ist ein Serviceangebot für mehrere Mandanten. Um den Datenschutz zu gewährleisten, verschlüsselt Security Hub CSPM ruhende Daten und Daten, die zwischen Komponentendiensten übertragen werden.
# AWS Identity and Access Management für Security Hub CSPM
AWS Identity and Access Management (IAM) hilft einem Administrator AWS-Service , den Zugriff auf Ressourcen sicher zu kontrollieren. AWS IAM-Administratoren kontrollieren, wer *authentifiziert* (angemeldet) und *autorisiert* werden kann (über Berechtigungen verfügt), um Security Hub Hub-Ressourcen zu verwenden. IAM ist ein Programm AWS-Service , das Sie ohne zusätzliche Kosten nutzen können.
**Topics**
+ [Zielgruppe](#security_iam_audience)
+ [Authentifizierung mit Identitäten](#security_iam_authentication)
+ [Verwalten des Zugriffs mit Richtlinien](#security_iam_access-manage)
+ [So funktioniert Security Hub mit IAM](security_iam_service-with-iam.md)
+ [Beispiele für identitätsbasierte Richtlinien für AWS Security Hub CSPM](security_iam_id-based-policy-examples.md)
+ [Mit Diensten verknüpfte Rollen für AWS Security Hub CSPM](using-service-linked-roles.md)
+ [AWS verwaltete Richtlinien für Security Hub](security-iam-awsmanpol.md)
+ [Fehlerbehebung bei AWS Security Hub CSPM Identität und Zugriff](security_iam_troubleshoot.md)
## Zielgruppe
Wie Sie AWS Identity and Access Management (IAM) verwenden, hängt von Ihrer Rolle ab:
+ **Servicebenutzer** – Fordern Sie von Ihrem Administrator Berechtigungen an, wenn Sie nicht auf Features zugreifen können (siehe [Fehlerbehebung bei AWS Security Hub CSPM Identität und Zugriff](security_iam_troubleshoot.md)).
+ **Serviceadministrator** – Bestimmen Sie den Benutzerzugriff und stellen Sie Berechtigungsanfragen (siehe [So funktioniert Security Hub mit IAM](security_iam_service-with-iam.md)).
+ **IAM-Administrator** – Schreiben Sie Richtlinien zur Zugriffsverwaltung (siehe [Beispiele für identitätsbasierte Richtlinien für AWS Security Hub CSPM](security_iam_id-based-policy-examples.md)).
## Authentifizierung mit Identitäten
Authentifizierung ist die Art und Weise, wie Sie sich AWS mit Ihren Identitätsdaten anmelden. Sie müssen sich als IAM-Benutzer authentifizieren oder eine IAM-Rolle annehmen. Root-Benutzer des AWS-Kontos
Sie können sich als föderierte Identität anmelden, indem Sie Anmeldeinformationen aus einer Identitätsquelle wie AWS IAM Identity Center (IAM Identity Center), Single Sign-On-Authentifizierung oder Anmeldeinformationen verwenden. Google/Facebook Weitere Informationen zum Anmelden finden Sie unter [So melden Sie sich bei Ihrem AWS-Konto an](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) im *Benutzerhandbuch für AWS-Anmeldung *.
AWS Bietet für den programmatischen Zugriff ein SDK und eine CLI zum kryptografischen Signieren von Anfragen. Weitere Informationen finden Sie unter [AWS Signature Version 4 for API requests](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) im *IAM-Benutzerhandbuch*.
### AWS-Konto Root-Benutzer
Wenn Sie einen erstellen AWS-Konto, beginnen Sie mit einer Anmeldeidentität, dem sogenannten AWS-Konto *Root-Benutzer*, der vollständigen Zugriff auf alle AWS-Services Ressourcen hat. Wir raten ausdrücklich davon ab, den Root-Benutzer für Alltagsaufgaben zu verwenden. Eine Liste der Aufgaben, für die Sie sich als Root-Benutzer anmelden müssen, finden Sie unter [Tasks that require root user credentials](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) im *IAM-Benutzerhandbuch*.
### Verbundidentität
Es hat sich bewährt, dass menschliche Benutzer für den Zugriff AWS-Services mithilfe temporärer Anmeldeinformationen einen Verbund mit einem Identitätsanbieter verwenden müssen.
Eine *föderierte Identität* ist ein Benutzer aus Ihrem Unternehmensverzeichnis, Ihrem Directory Service Web-Identitätsanbieter oder der AWS-Services mithilfe von Anmeldeinformationen aus einer Identitätsquelle zugreift. Verbundene Identitäten übernehmen Rollen, die temporäre Anmeldeinformationen bereitstellen.
Für die zentrale Zugriffsverwaltung empfehlen wir AWS IAM Identity Center. Weitere Informationen finden Sie unter [Was ist IAM Identity Center?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) im *AWS IAM Identity Center -Benutzerhandbuch*.
### IAM-Benutzer und -Gruppen
Ein *[IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* ist eine Identität mit bestimmten Berechtigungen für eine einzelne Person oder Anwendung. Wir empfehlen die Verwendung temporärer Anmeldeinformationen anstelle von IAM-Benutzern mit langfristigen Anmeldeinformationen. Weitere Informationen finden Sie im *IAM-Benutzerhandbuch* unter [Erfordern, dass menschliche Benutzer den Verbund mit einem Identitätsanbieter verwenden müssen, um AWS mithilfe temporärer Anmeldeinformationen darauf zugreifen zu](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) können.
Eine [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) spezifiziert eine Sammlung von IAM-Benutzern und erleichtert die Verwaltung von Berechtigungen für große Gruppen von Benutzern. Weitere Informationen finden Sie unter [Anwendungsfälle für IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) im *IAM-Benutzerhandbuch*.
### IAM-Rollen
Eine *[IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* ist eine Identität mit spezifischen Berechtigungen, die temporäre Anmeldeinformationen bereitstellt. Sie können eine Rolle übernehmen, indem Sie [von einer Benutzer- zu einer IAM-Rolle (Konsole) wechseln](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) AWS CLI oder einen AWS API-Vorgang aufrufen. Weitere Informationen finden Sie unter [Methoden, um eine Rolle zu übernehmen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) im *IAM-Benutzerhandbuch*.
IAM-Rollen sind nützlich für den Verbundbenutzer-Zugriff, temporäre IAM-Benutzerberechtigungen, kontoübergreifenden Zugriff, serviceübergreifenden Zugriff und Anwendungen, die auf Amazon EC2 laufen. Weitere Informationen finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.
## Verwalten des Zugriffs mit Richtlinien
Sie kontrollieren den Zugriff, AWS indem Sie Richtlinien erstellen und diese an AWS Identitäten oder Ressourcen anhängen. Eine Richtlinie definiert Berechtigungen, wenn sie mit einer Identität oder Ressource verknüpft sind. AWS bewertet diese Richtlinien, wenn ein Principal eine Anfrage stellt. Die meisten Richtlinien werden AWS als JSON-Dokumente gespeichert. Weitere Informationen zu JSON-Richtliniendokumenten finden Sie unter [Übersicht über JSON-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) im *IAM-Benutzerhandbuch*.
Mit Hilfe von Richtlinien legen Administratoren fest, wer Zugriff auf was hat, indem sie definieren, welches **Prinzipal** welche **Aktionen** auf welchen **Ressourcen**und unter welchen **Bedingungen**durchführen darf.
Standardmäßig haben Benutzer, Gruppen und Rollen keine Berechtigungen. Ein IAM-Administrator erstellt IAM-Richtlinien und fügt sie zu Rollen hinzu, die die Benutzer dann übernehmen können. IAM-Richtlinien definieren Berechtigungen unabhängig von der Methode, die zur Ausführung der Operation verwendet wird.
### Identitätsbasierte Richtlinien
Identitätsbasierte Richtlinien sind JSON-Berechtigungsrichtliniendokumente, die Sie einer Identität (Benutzer, Gruppe oder Rolle) anfügen können. Diese Richtlinien steuern, welche Aktionen Identitäten für welche Ressourcen und unter welchen Bedingungen ausführen können. Informationen zum Erstellen identitätsbasierter Richtlinien finden Sie unter [Definieren benutzerdefinierter IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) im *IAM-Benutzerhandbuch*.
Identitätsbasierte Richtlinien können *Inline-Richtlinien* (direkt in eine einzelne Identität eingebettet) oder *verwaltete Richtlinien* (eigenständige Richtlinien, die mit mehreren Identitäten verbunden sind) sein. Informationen dazu, wie Sie zwischen verwalteten und Inline-Richtlinien wählen, finden Sie unter [Choose between managed policies and inline policies](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) im *IAM-Benutzerhandbuch*.
### Ressourcenbasierte Richtlinien
Ressourcenbasierte Richtlinien sind JSON-Richtliniendokumente, die Sie an eine Ressource anfügen. Beispiele hierfür sind *Vertrauensrichtlinien für IAM-Rollen* und Amazon S3*-Bucket-Richtlinien*. In Services, die ressourcenbasierte Richtlinien unterstützen, können Service-Administratoren sie verwenden, um den Zugriff auf eine bestimmte Ressource zu steuern. Sie müssen in einer ressourcenbasierten Richtlinie [einen Prinzipal angeben](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html).
Ressourcenbasierte Richtlinien sind Richtlinien innerhalb dieses Diensts. Sie können AWS verwaltete Richtlinien von IAM nicht in einer ressourcenbasierten Richtlinie verwenden.
### Weitere Richtlinientypen
AWS unterstützt zusätzliche Richtlinientypen, mit denen die maximalen Berechtigungen festgelegt werden können, die durch gängigere Richtlinientypen gewährt werden:
+ **Berechtigungsgrenzen** – Eine Berechtigungsgrenze legt die maximalen Berechtigungen fest, die eine identitätsbasierte Richtlinie einer IAM-Entität erteilen kann. Weitere Informationen finden Sie unter [Berechtigungsgrenzen für IAM-Entitäten](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) im *-IAM-Benutzerhandbuch*.
+ **Richtlinien zur Dienstkontrolle (SCPs)** — Geben Sie die maximalen Berechtigungen für eine Organisation oder Organisationseinheit in an AWS Organizations. Weitere Informationen finden Sie unter [Service-Kontrollrichtlinien](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) im *AWS Organizations -Benutzerhandbuch*.
+ **Richtlinien zur Ressourcenkontrolle (RCPs)** — Legen Sie die maximal verfügbaren Berechtigungen für Ressourcen in Ihren Konten fest. Weitere Informationen finden Sie im *AWS Organizations Benutzerhandbuch* unter [Richtlinien zur Ressourcenkontrolle (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html).
+ **Sitzungsrichtlinien** – Sitzungsrichtlinien sind erweiterte Richtlinien, die als Parameter übergeben werden, wenn Sie eine temporäre Sitzung für eine Rolle oder einen Verbundbenutzer erstellen. Weitere Informationen finden Sie unter [Sitzungsrichtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) im *IAM-Benutzerhandbuch*.
### Mehrere Richtlinientypen
Wenn für eine Anfrage mehrere Arten von Richtlinien gelten, sind die daraus resultierenden Berechtigungen schwieriger zu verstehen. Informationen darüber, wie AWS bestimmt wird, ob eine Anfrage zulässig ist, wenn mehrere Richtlinientypen betroffen sind, finden Sie unter [Bewertungslogik für Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) im *IAM-Benutzerhandbuch*.
# So funktioniert Security Hub mit IAM
Bevor Sie AWS Identity and Access Management (IAM) zur Verwaltung des Zugriffs auf verwenden, sollten Sie sich darüber informieren AWS Security Hub CSPM, welche IAM-Funktionen für die Verwendung mit Security Hub CSPM verfügbar sind.
**IAM-Funktionen, die Sie mit verwenden können AWS Security Hub CSPM**
| IAM-Feature | Security Hub CSPM-Unterstützung |
| --- | --- |
| [Identitätsbasierte Richtlinien](#security_iam_service-with-iam-id-based-policies) | Ja |
| [Ressourcenbasierte Richtlinien](#security_iam_service-with-iam-resource-based-policies) | Nein |
| [Richtlinienaktionen](#security_iam_service-with-iam-id-based-policies-actions) | Ja |
| [Richtlinienressourcen](#security_iam_service-with-iam-id-based-policies-resources) | Nein |
| [Bedingungsschlüssel für die Richtlinie](#security_iam_service-with-iam-id-based-policies-conditionkeys) | Ja |
| [Zugriffskontrolllisten () ACLs](#security_iam_service-with-iam-acls) | Nein |
| [Attributbasierte Zugriffskontrolle (ABAC) — Tags in Richtlinien](#security_iam_service-with-iam-tags) | Ja |
| [Temporäre Anmeldeinformationen](#security_iam_service-with-iam-roles-tempcreds) | Ja |
| [Forward Access Sessions (FAS)](#security_iam_service-with-iam-principal-permissions) | Ja |
| [Servicerollen](#security_iam_service-with-iam-roles-service) | Nein |
| [Serviceverknüpfte Rollen](#security_iam_service-with-iam-roles-service-linked) | Ja |
*Einen allgemeinen Überblick darüber, wie Security Hub CSPM und andere mit den meisten IAM-Funktionen AWS-Services funktionieren [AWS-Services , finden Sie im IAM-Benutzerhandbuch unter Diese funktionieren mit IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html).*
## Identitätsbasierte Richtlinien für Security Hub CSPM
**Unterstützt Richtlinien auf Identitätsbasis:** Ja
Identitätsbasierte Richtlinien sind JSON-Berechtigungsrichtliniendokumente, die Sie einer Identität anfügen können, wie z. B. IAM-Benutzern, -Benutzergruppen oder -Rollen. Diese Richtlinien steuern, welche Aktionen die Benutzer und Rollen für welche Ressourcen und unter welchen Bedingungen ausführen können. Informationen zum Erstellen identitätsbasierter Richtlinien finden Sie unter [Definieren benutzerdefinierter IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) im *IAM-Benutzerhandbuch*.
Mit identitätsbasierten IAM-Richtlinien können Sie angeben, welche Aktionen und Ressourcen zugelassen oder abgelehnt werden. Darüber hinaus können Sie die Bedingungen festlegen, unter denen Aktionen zugelassen oder abgelehnt werden. Informationen zu sämtlichen Elementen, die Sie in einer JSON-Richtlinie verwenden, finden Sie in der [IAM-Referenz für JSON-Richtlinienelemente](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) im *IAM-Benutzerhandbuch*.
Security Hub CSPM unterstützt identitätsbasierte Richtlinien. Weitere Informationen finden Sie unter [Beispiele für identitätsbasierte Richtlinien für AWS Security Hub CSPM](security_iam_id-based-policy-examples.md).
## Ressourcenbasierte Richtlinien für Security Hub CSPM
**Unterstützt ressourcenbasierte Richtlinien:** Nein
Ressourcenbasierte Richtlinien sind JSON-Richtliniendokumente, die Sie an eine Ressource anfügen. Beispiele für ressourcenbasierte Richtlinien sind IAM-*Rollen-Vertrauensrichtlinien* und Amazon-S3-*Bucket-Richtlinien*. In Services, die ressourcenbasierte Richtlinien unterstützen, können Service-Administratoren sie verwenden, um den Zugriff auf eine bestimmte Ressource zu steuern. Für die Ressource, an welche die Richtlinie angehängt ist, legt die Richtlinie fest, welche Aktionen ein bestimmter Prinzipal unter welchen Bedingungen für diese Ressource ausführen kann. Sie müssen in einer ressourcenbasierten Richtlinie [einen Prinzipal angeben](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html). Zu den Prinzipalen können Konten, Benutzer, Rollen, Verbundbenutzer oder gehören. AWS-Services
Um kontoübergreifenden Zugriff zu ermöglichen, können Sie ein gesamtes Konto oder IAM-Entitäten in einem anderen Konto als Prinzipal in einer ressourcenbasierten Richtlinie angeben. Weitere Informationen finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.
Security Hub CSPM unterstützt keine ressourcenbasierten Richtlinien. Sie können eine IAM-Richtlinie nicht direkt an eine Security Hub-CSPM-Ressource anhängen.
## Richtlinienaktionen für Security Hub CSPM
**Unterstützt Richtlinienaktionen:** Ja
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer auf was Zugriff hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das Element `Action` einer JSON-Richtlinie beschreibt die Aktionen, mit denen Sie den Zugriff in einer Richtlinie zulassen oder verweigern können. Nehmen Sie Aktionen in eine Richtlinie auf, um Berechtigungen zur Ausführung des zugehörigen Vorgangs zu erteilen.
Richtlinienaktionen in Security Hub CSPM verwenden das folgende Präfix vor der Aktion:
```
securityhub:
```
Um einem Benutzer beispielsweise die Erlaubnis zu erteilen, Security Hub CSPM zu aktivieren, was eine Aktion ist, die dem `EnableSecurityHub` Betrieb der Security Hub CSPM-API entspricht, nehmen Sie die `securityhub:EnableSecurityHub` Aktion in ihre Richtlinie auf. Richtlinienanweisungen müssen entweder ein – `Action`oder ein `NotAction`-Element enthalten. Security Hub CSPM definiert eigene Aktionen, die Aufgaben beschreiben, die Sie mit diesem Dienst ausführen können.
```
"Action": "securityhub:EnableSecurityHub"
```
Um mehrere Aktionen in einer einzigen Anweisung anzugeben, trennen Sie sie mit Kommata: Beispiel:
```
"Action": [
"securityhub:EnableSecurityHub",
"securityhub:BatchEnableStandards"
```
Sie können auch mehrere Aktionen mithilfe von Platzhaltern (\$1) angeben. Beispielsweise können Sie alle Aktionen festlegen, die mit dem Wort `Get` beginnen, einschließlich der folgenden Aktion:
```
"Action": "securityhub:Get*"
```
Als bewährte Methode sollten Sie jedoch Richtlinien erstellen, die dem Prinzip der geringsten Rechte folgen. Mit anderen Worten, Sie sollten Richtlinien erstellen, die nur die Berechtigungen enthalten, die zum Ausführen einer bestimmten Aufgabe erforderlich sind.
Der Benutzer muss Zugriff auf den `DescribeStandardsControl` Vorgang haben, um auf `BatchGetSecurityControls``BatchGetStandardsControlAssociations`, und `ListStandardsControlAssociations` zugreifen zu können.
Der Benutzer muss Zugriff auf den `UpdateStandardsControls` Vorgang haben, um Zugriff auf`BatchUpdateStandardsControlAssociations`, und zu haben`UpdateSecurityControl`.
Eine Liste der Security Hub CSPM-Aktionen finden Sie unter [Actions defined by AWS Security Hub CSPM](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssecurityhub.html#awssecurityhub-actions-as-permissions) in der *Service Authorization* Reference. Beispiele für Richtlinien, die Security Hub CSPM-Aktionen spezifizieren, finden Sie unter. [Beispiele für identitätsbasierte Richtlinien für AWS Security Hub CSPM](security_iam_id-based-policy-examples.md)
## Richtlinienressourcen für Security Hub CSPM
**Unterstützt Richtlinienressourcen:** Nein
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer auf was Zugriff hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das JSON-Richtlinienelement `Resource` gibt die Objekte an, auf welche die Aktion angewendet wird. Als Best Practice geben Sie eine Ressource mit dem zugehörigen [Amazon-Ressourcennamen (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) an. Verwenden Sie für Aktionen, die keine Berechtigungen auf Ressourcenebene unterstützen, einen Platzhalter (\$1), um anzugeben, dass die Anweisung für alle Ressourcen gilt.
```
"Resource": "*"
```
Security Hub CSPM definiert die folgenden Ressourcentypen:
+ Hub (Hub)
+ Produkt
+ *Aggregator für die Suche, auch als regionsübergreifender Aggregator bezeichnet*
+ Automatisierungsregel
+ Konfigurationsrichtlinie
Sie können diese Ressourcentypen in Richtlinien angeben, indem Sie ARNs
Eine Liste der Security Hub CSPM-Ressourcentypen und die jeweilige ARN-Syntax finden Sie unter [Ressourcentypen definiert von AWS Security Hub CSPM](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssecurityhub.html#awssecurityhub-resources-for-iam-policies) in der *Service Authorization* Reference. Informationen darüber, welche Aktionen Sie für jeden Ressourcentyp angeben können, finden Sie unter [Aktionen definiert von AWS Security Hub CSPM](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssecurityhub.html#awssecurityhub-actions-as-permissions) in der *Service Authorization Reference*. Beispiele für Richtlinien, die Ressourcen spezifizieren, finden Sie unter[Beispiele für identitätsbasierte Richtlinien für AWS Security Hub CSPM](security_iam_id-based-policy-examples.md).
## Schlüssel für Richtlinienbedingungen für Security Hub CSPM
**Unterstützt servicespezifische Richtlinienbedingungsschlüssel:** Ja
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer auf was Zugriff hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das Element `Condition` gibt an, wann Anweisungen auf der Grundlage definierter Kriterien ausgeführt werden. Sie können bedingte Ausdrücke erstellen, die [Bedingungsoperatoren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) verwenden, z. B. ist gleich oder kleiner als, damit die Bedingung in der Richtlinie mit Werten in der Anforderung übereinstimmt. Eine Übersicht aller AWS globalen Bedingungsschlüssel finden Sie unter [Kontextschlüssel für AWS globale Bedingungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) im *IAM-Benutzerhandbuch*.
Eine Liste der Security Hub CSPM-Bedingungsschlüssel finden Sie unter [Bedingungsschlüssel für AWS Security Hub CSPM](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssecurityhub.html#awssecurityhub-policy-keys) in der *Service Authorization Reference*. Informationen zu den Aktionen und Ressourcen, mit denen Sie einen Bedingungsschlüssel verwenden können, finden Sie unter [Aktionen definiert](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssecurityhub.html#awssecurityhub-actions-as-permissions) von. AWS Security Hub CSPM Beispiele für Richtlinien, die Bedingungsschlüssel verwenden, finden Sie unter[Beispiele für identitätsbasierte Richtlinien für AWS Security Hub CSPM](security_iam_id-based-policy-examples.md).
## Zugriffskontrolllisten (ACLs) in Security Hub CSPM
**Unterstützt ACLs**: Nein
Zugriffskontrolllisten (ACLs) steuern, welche Principals (Kontomitglieder, Benutzer oder Rollen) über Zugriffsberechtigungen für eine Ressource verfügen. ACLs ähneln ressourcenbasierten Richtlinien, verwenden jedoch nicht das JSON-Richtliniendokumentformat.
Security Hub CSPM unterstützt nicht ACLs, was bedeutet, dass Sie einer Security Hub CSPM-Ressource keine ACL anhängen können.
## Attributbasierte Zugriffskontrolle (ABAC) mit Security Hub CSPM
**Unterstützt ABAC (Tags in Richtlinien):** Ja
Die attributbasierte Zugriffskontrolle (ABAC) ist eine Autorisierungsstrategie, bei der Berechtigungen basierend auf Attributen, auch als Tags bezeichnet, definiert werden. Sie können Tags an IAM-Entitäten und AWS -Ressourcen anhängen und dann ABAC-Richtlinien entwerfen, die Operationen zulassen, wenn das Tag des Prinzipals mit dem Tag auf der Ressource übereinstimmt.
Um den Zugriff auf der Grundlage von Tags zu steuern, geben Sie im Bedingungselement einer[ Richtlinie Tag-Informationen ](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)an, indem Sie die Schlüssel `aws:ResourceTag/key-name`, `aws:RequestTag/key-name`, oder Bedingung `aws:TagKeys` verwenden.
Wenn ein Service alle drei Bedingungsschlüssel für jeden Ressourcentyp unterstützt, lautet der Wert für den Service **Ja**. Wenn ein Service alle drei Bedingungsschlüssel für nur einige Ressourcentypen unterstützt, lautet der Wert **Teilweise**.
*Weitere Informationen zu ABAC finden Sie unter [Definieren von Berechtigungen mit ABAC-Autorisierung](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) im IAM-Benutzerhandbuch*. Um ein Tutorial mit Schritten zur Einstellung von ABAC anzuzeigen, siehe [Attributbasierte Zugriffskontrolle (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) verwenden im *IAM-Benutzerhandbuch*.
Sie können Tags an Security Hub CSPM-Ressourcen anhängen. Sie können den Zugriff auf Ressourcen auch kontrollieren, indem Sie Tag-Informationen im `Condition` Element einer Richtlinie angeben.
Informationen zum Taggen von Security Hub CSPM-Ressourcen finden Sie unter. [Kennzeichnen von Security Hub Hub-Ressourcen](tagging-resources.md) Ein Beispiel für eine identitätsbasierte Richtlinie, die den Zugriff auf eine Ressource anhand von Tags steuert, finden Sie unter. [Beispiele für identitätsbasierte Richtlinien für AWS Security Hub CSPM](security_iam_id-based-policy-examples.md)
## Temporäre Anmeldeinformationen mit Security Hub CSPM verwenden
**Unterstützt temporäre Anmeldeinformationen:** Ja
Temporäre Anmeldeinformationen ermöglichen kurzfristigen Zugriff auf AWS Ressourcen und werden automatisch erstellt, wenn Sie den Verbund verwenden oder die Rollen wechseln. AWS empfiehlt, temporäre Anmeldeinformationen dynamisch zu generieren, anstatt langfristige Zugriffsschlüssel zu verwenden. Weitere Informationen finden Sie unter [Temporäre Anmeldeinformationen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) und [AWS-Services , die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) im *IAM-Benutzerhandbuch*.
Sie können temporäre Anmeldeinformationen verwenden, um sich über einen Verbund anzumelden, eine IAM-Rolle anzunehmen oder eine kontenübergreifende Rolle anzunehmen. Sie erhalten temporäre Sicherheitsanmeldedaten, indem Sie AWS STS API-Operationen wie [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)oder aufrufen [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html).
Security Hub CSPM unterstützt die Verwendung temporärer Anmeldeinformationen.
## Zugriffssitzungen für Security Hub CSPM weiterleiten
**Unterstützt Forward Access Sessions (FAS):** Ja
Forward Access Sessions (FAS) verwenden die Berechtigungen des Principals, der einen aufruft AWS-Service, kombiniert mit der Anfrage, Anfragen an AWS-Service nachgelagerte Dienste zu stellen. Einzelheiten zu den Richtlinien für FAS-Anforderungen finden Sie unter [Zugriffssitzungen weiterleiten](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
Beispielsweise sendet Security Hub CSPM FAS-Anfragen an Downstream, AWS-Services wenn Sie Security Hub CSPM in Organizations integrieren AWS Organizations und wenn Sie das delegierte Security Hub CSPM-Administratorkonto für eine Organisation festlegen.
Für andere Aufgaben verwendet Security Hub CSPM eine dienstbezogene Rolle, um Aktionen in Ihrem Namen auszuführen. Einzelheiten zu dieser Rolle finden Sie unter. [Mit Diensten verknüpfte Rollen für AWS Security Hub CSPM](using-service-linked-roles.md)
## Servicerollen für Security Hub CSPM
Security Hub CSPM übernimmt oder verwendet keine Servicerollen. Um Aktionen in Ihrem Namen durchzuführen, verwendet Security Hub CSPM eine dienstbezogene Rolle. Einzelheiten zu dieser Rolle finden Sie unter. [Mit Diensten verknüpfte Rollen für AWS Security Hub CSPM](using-service-linked-roles.md)
**Warnung**
Das Ändern der Berechtigungen für eine Servicerolle kann zu Betriebsproblemen bei der Verwendung von Security Hub CSPM führen. Bearbeiten Sie Servicerollen nur, wenn Security Hub CSPM Sie dazu anleitet.
## Serviceverknüpfte Rollen für Security Hub CSPM
**Unterstützt serviceverknüpfte Rollen:** Ja
Eine dienstbezogene Rolle ist eine Art von Servicerolle, die mit einer verknüpft ist. AWS-Service Der Service kann die Rolle übernehmen, um eine Aktion in Ihrem Namen auszuführen. Dienstbezogene Rollen werden in Ihrem Dienst angezeigt AWS-Konto und gehören dem Dienst. Ein IAM-Administrator kann die Berechtigungen für Service-verknüpfte Rollen anzeigen, aber nicht bearbeiten.
Security Hub CSPM verwendet eine dienstbezogene Rolle, um Aktionen in Ihrem Namen durchzuführen. Einzelheiten zu dieser Rolle finden Sie unter. [Mit Diensten verknüpfte Rollen für AWS Security Hub CSPM](using-service-linked-roles.md)
# Beispiele für identitätsbasierte Richtlinien für AWS Security Hub CSPM
Standardmäßig sind Benutzer und Rollen nicht berechtigt, Security Hub CSPM-Ressourcen zu erstellen oder zu ändern. Sie können auch keine Aufgaben mit der AWS-Managementkonsole AWS CLI, oder AWS API ausführen. Ein Administrator muss IAM-Richtlinien erstellen, die Benutzern und Rollen die Berechtigung zum Ausführen bestimmter API-Operationen für die angegebenen Ressourcen gewähren, die diese benötigen. Der Administrator muss diese Richtlinien anschließend den -Benutzern oder -Gruppen anfügen, die diese Berechtigungen benötigen.
Informationen dazu, wie Sie unter Verwendung dieser beispielhaften JSON-Richtliniendokumente eine identitätsbasierte IAM-Richtlinie erstellen, finden Sie unter [Erstellen von Richtlinien auf der JSON-Registerkarte](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) im *IAM-Benutzerhandbuch*.
**Topics**
+ [Best Practices für Richtlinien](#security_iam_service-with-iam-policy-best-practices)
+ [Verwenden der Security Hub CSPM-Konsole](#security_iam_id-based-policy-examples-console)
+ [Beispiel: Erteilen der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Beispiel: Erlauben Sie Benutzern, eine Konfigurationsrichtlinie zu erstellen und zu verwalten](#security_iam_id-based-policy-examples-create-configuration-policy)
+ [Beispiel: Erlauben Sie Benutzern, Ergebnisse einzusehen](#security_iam_id-based-policy-examples-view-findings)
+ [Beispiel: Erlauben Sie Benutzern, Automatisierungsregeln zu erstellen und zu verwalten](#security_iam_id-based-policy-examples-create-automation-rule)
## Best Practices für Richtlinien
Identitätsbasierte Richtlinien legen fest, ob jemand Security Hub Hub-Ressourcen in Ihrem Konto erstellen, darauf zugreifen oder sie löschen kann. Dies kann zusätzliche Kosten für Ihr verursachen AWS-Konto. Wenn Sie identitätsbasierte Richtlinien erstellen oder bearbeiten, befolgen Sie diese Richtlinien und Empfehlungen:
+ **Erste Schritte mit AWS verwalteten Richtlinien und Umstellung auf Berechtigungen mit den geringsten Rechten** — Verwenden Sie die *AWS verwalteten Richtlinien*, die Berechtigungen für viele gängige Anwendungsfälle gewähren, um damit zu beginnen, Ihren Benutzern und Workloads Berechtigungen zu gewähren. Sie sind in Ihrem verfügbar. AWS-Konto Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie vom AWS Kunden verwaltete Richtlinien definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind. Weitere Informationen finden Sie unter [Von AWS verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) oder [Von AWS verwaltete Richtlinien für Auftragsfunktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) im *IAM-Benutzerhandbuch*.
+ **Anwendung von Berechtigungen mit den geringsten Rechten** – Wenn Sie mit IAM-Richtlinien Berechtigungen festlegen, gewähren Sie nur die Berechtigungen, die für die Durchführung einer Aufgabe erforderlich sind. Sie tun dies, indem Sie die Aktionen definieren, die für bestimmte Ressourcen unter bestimmten Bedingungen durchgeführt werden können, auch bekannt als *die geringsten Berechtigungen*. Weitere Informationen zur Verwendung von IAM zum Anwenden von Berechtigungen finden Sie unter [ Richtlinien und Berechtigungen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von Bedingungen in IAM-Richtlinien zur weiteren Einschränkung des Zugriffs** – Sie können Ihren Richtlinien eine Bedingung hinzufügen, um den Zugriff auf Aktionen und Ressourcen zu beschränken. Sie können beispielsweise eine Richtlinienbedingung schreiben, um festzulegen, dass alle Anforderungen mithilfe von SSL gesendet werden müssen. Sie können auch Bedingungen verwenden, um Zugriff auf Serviceaktionen zu gewähren, wenn diese für einen bestimmten Zweck verwendet werden AWS-Service, z. CloudFormation B. Weitere Informationen finden Sie unter [IAM-JSON-Richtlinienelemente: Bedingung](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von IAM Access Analyzer zur Validierung Ihrer IAM-Richtlinien, um sichere und funktionale Berechtigungen zu gewährleisten** – IAM Access Analyzer validiert neue und vorhandene Richtlinien, damit die Richtlinien der IAM-Richtliniensprache (JSON) und den bewährten IAM-Methoden entsprechen. IAM Access Analyzer stellt mehr als 100 Richtlinienprüfungen und umsetzbare Empfehlungen zur Verfügung, damit Sie sichere und funktionale Richtlinien erstellen können. Weitere Informationen finden Sie unter [Richtlinienvalidierung mit IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) im *IAM-Benutzerhandbuch*.
+ **Multi-Faktor-Authentifizierung (MFA) erforderlich** — Wenn Sie ein Szenario haben, das IAM-Benutzer oder einen Root-Benutzer in Ihrem System erfordert AWS-Konto, aktivieren Sie MFA für zusätzliche Sicherheit. Um MFA beim Aufrufen von API-Vorgängen anzufordern, fügen Sie Ihren Richtlinien MFA-Bedingungen hinzu. Weitere Informationen finden Sie unter [Sicherer API-Zugriff mit MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) im *IAM-Benutzerhandbuch*.
Weitere Informationen zu bewährten Methoden in IAM finden Sie unter [Best Practices für die Sicherheit in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) im *IAM-Benutzerhandbuch*.
## Verwenden der Security Hub CSPM-Konsole
Um auf die AWS Security Hub CSPM Konsole zugreifen zu können, benötigen Sie ein Mindestmaß an Berechtigungen. Diese Berechtigungen müssen es Ihnen ermöglichen, Details zu den Security Hub CSPM-Ressourcen in Ihrem aufzulisten und anzuzeigen. AWS-Konto Wenn Sie eine identitätsbasierte Richtlinie erstellen, die strenger ist als die mindestens erforderlichen Berechtigungen, funktioniert die Konsole nicht wie vorgesehen für Entitäten (Benutzer oder Rollen) mit dieser Richtlinie.
Sie müssen Benutzern, die nur die API AWS CLI oder die API aufrufen, keine Mindestberechtigungen für die Konsole gewähren. AWS Stattdessen sollten Sie nur Zugriff auf die Aktionen zulassen, die der API-Operation entsprechen, die die Benutzer ausführen möchten.
Um sicherzustellen, dass diese Benutzer und Rollen die Security Hub CSPM-Konsole verwenden können, fügen Sie der Entität auch die folgende AWS verwaltete Richtlinie hinzu. Weitere Informationen finden Sie unter [Hinzufügen von Berechtigungen zu einem Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) im*IAM-Benutzerhandbuch*:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "securityhub:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "securityhub.amazonaws.com"
}
}
}
]
}
```
------
## Beispiel: Erteilen der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer
In diesem Beispiel wird gezeigt, wie Sie eine Richtlinie erstellen, die IAM-Benutzern die Berechtigung zum Anzeigen der eingebundenen Richtlinien und verwalteten Richtlinien gewährt, die ihrer Benutzeridentität angefügt sind. Diese Richtlinie umfasst Berechtigungen zum Ausführen dieser Aktion auf der Konsole oder programmgesteuert mithilfe der API oder. AWS CLI AWS
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Beispiel: Erlauben Sie Benutzern, eine Konfigurationsrichtlinie zu erstellen und zu verwalten
Dieses Beispiel zeigt, wie Sie eine IAM-Richtlinie erstellen könnten, die es einem Benutzer ermöglicht, Konfigurationsrichtlinien zu erstellen, anzuzeigen, zu aktualisieren und zu löschen. Diese Beispielrichtlinie ermöglicht es dem Benutzer auch, Richtlinienzuordnungen zu starten, zu beenden und anzuzeigen. Damit diese IAM-Richtlinie funktioniert, muss der Benutzer der delegierte Security Hub CSPM-Administrator für eine Organisation sein.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateAndUpdateConfigurationPolicy",
"Effect": "Allow",
"Action": [
"securityhub:CreateConfigurationPolicy",
"securityhub:UpdateConfigurationPolicy"
],
"Resource": "*"
},
{
"Sid": "ViewConfigurationPolicy",
"Effect": "Allow",
"Action": [
"securityhub:GetConfigurationPolicy",
"securityhub:ListConfigurationPolicies"
],
"Resource": "*"
},
{
"Sid": "DeleteConfigurationPolicy",
"Effect": "Allow",
"Action": [
"securityhub:DeleteConfigurationPolicy"
],
"Resource": "*"
},
{
"Sid": "ViewConfigurationPolicyAssociation",
"Effect": "Allow",
"Action": [
"securityhub:BatchGetConfigurationPolicyAssociations",
"securityhub:GetConfigurationPolicyAssociation",
"securityhub:ListConfigurationPolicyAssociations"
],
"Resource": "*"
},
{
"Sid": "UpdateConfigurationPolicyAssociation",
"Effect": "Allow",
"Action": [
"securityhub:StartConfigurationPolicyAssociation",
"securityhub:StartConfigurationPolicyDisassociation"
],
"Resource": "*"
}
]
}
```
------
## Beispiel: Erlauben Sie Benutzern, Ergebnisse einzusehen
Dieses Beispiel zeigt, wie Sie eine IAM-Richtlinie erstellen könnten, die es einem Benutzer ermöglicht, die CSPM-Ergebnisse von Security Hub einzusehen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ReviewFindings",
"Effect": "Allow",
"Action": [
"securityhub:GetFindings"
],
"Resource": "*"
}
]
}
```
------
## Beispiel: Erlauben Sie Benutzern, Automatisierungsregeln zu erstellen und zu verwalten
Dieses Beispiel zeigt, wie Sie eine IAM-Richtlinie erstellen könnten, die es einem Benutzer ermöglicht, Security Hub CSPM-Automatisierungsregeln zu erstellen, anzuzeigen, zu aktualisieren und zu löschen. Damit diese IAM-Richtlinie funktioniert, muss der Benutzer ein Security Hub CSPM-Administrator sein. Um Berechtigungen einzuschränken — z. B. um einem Benutzer zu erlauben, nur Automatisierungsregeln einzusehen — können Sie die Berechtigungen zum Erstellen, Aktualisieren und Löschen entfernen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateAndUpdateAutomationRules",
"Effect": "Allow",
"Action": [
"securityhub:CreateAutomationRule",
"securityhub:BatchUpdateAutomationRules"
],
"Resource": "*"
},
{
"Sid": "ViewAutomationRules",
"Effect": "Allow",
"Action": [
"securityhub:BatchGetAutomationRules",
"securityhub:ListAutomationRules"
],
"Resource": "*"
},
{
"Sid": "DeleteAutomationRules",
"Effect": "Allow",
"Action": [
"securityhub:BatchDeleteAutomationRules"
],
"Resource": "*"
}
]
}
```
------
# Mit Diensten verknüpfte Rollen für AWS Security Hub CSPM
AWS Security Hub CSPM [verwendet eine dienstverknüpfte AWS Identity and Access Management (IAM) Rolle mit dem Namen.](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) `AWSServiceRoleForSecurityHub` Bei dieser serviceverknüpften Rolle handelt es sich um eine IAM-Rolle, die direkt mit Security Hub CSPM verknüpft ist. Es ist von Security Hub CSPM vordefiniert und beinhaltet alle Berechtigungen, die Security Hub CSPM benötigt, um andere anzurufen AWS-Services und AWS Ressourcen in Ihrem Namen zu überwachen. Security Hub CSPM verwendet diese dienstbezogene Rolle in allen Bereichen, in AWS-Regionen denen Security Hub CSPM verfügbar ist.
Eine serviceverknüpfte Rolle erleichtert die Einrichtung von Security Hub CSPM, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. Security Hub CSPM definiert die Berechtigungen seiner dienstbezogenen Rolle, und sofern nicht anders definiert, kann nur Security Hub CSPM die Rolle übernehmen. Zu den definierten Berechtigungen gehören die Vertrauensrichtlinie und die Berechtigungsrichtlinie, und Sie können diese Berechtigungsrichtlinie keiner anderen IAM-Entität zuordnen.
Um die Details der serviceverknüpften Rolle zu überprüfen, können Sie die Security Hub CSPM-Konsole verwenden. **Wählen Sie im Navigationsbereich unter Einstellungen die Option **Allgemein** aus.** Wählen Sie dann im Abschnitt **Dienstberechtigungen** die Option **Dienstberechtigungen anzeigen** aus.
Sie können die dienstverknüpfte Rolle Security Hub CSPM erst löschen, nachdem Sie Security Hub CSPM in allen Regionen deaktiviert haben, in denen sie aktiviert ist. Dadurch werden Ihre Security Hub CSPM-Ressourcen geschützt, da Sie nicht versehentlich Zugriffsberechtigungen entfernen können.
****Informationen zu anderen Diensten, die dienstverknüpfte Rollen unterstützen, finden Sie im *IAM-Benutzerhandbuch unter [AWS Dienste, die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Suchen Sie in der Spalte* Dienstverknüpfte Rollen nach den Diensten, für die Ja steht.**** Wählen Sie **Ja** mit einem Link aus, um die Dokumentation der dienstbezogenen Rollen für diesen Dienst zu lesen.
**Topics**
+ [Dienstbezogene Rollenberechtigungen für Security Hub CSPM](#slr-permissions)
+ [Eine serviceverknüpfte Rolle für Security Hub CSPM erstellen](#create-slr)
+ [Eine serviceverknüpfte Rolle für Security Hub CSPM bearbeiten](#edit-slr)
+ [Löschen einer serviceverknüpften Rolle für Security Hub CSPM](#delete-slr)
+ [Servicebezogene Rolle für AWS Security Hub V2](#slr-permissions-v2)
## Dienstbezogene Rollenberechtigungen für Security Hub CSPM
Security Hub CSPM verwendet die benannte dienstverknüpfte Rolle. `AWSServiceRoleForSecurityHub` Es handelt sich um eine dienstbezogene Rolle, die für den Zugriff AWS Security Hub CSPM auf Ihre Ressourcen erforderlich ist. Diese dienstbezogene Rolle ermöglicht es Security Hub CSPM, Aufgaben wie das Empfangen von Ergebnissen von anderen auszuführen AWS-Services und die erforderliche AWS Config Infrastruktur für die Durchführung von Sicherheitsprüfungen für Kontrollen zu konfigurieren. Die serviceverknüpfte Rolle `AWSServiceRoleForSecurityHub` vertraut dem Service `securityhub.amazonaws.com`, sodass dieser die Rolle annehmen kann.
Die serviceverknüpfte Rolle `AWSServiceRoleForSecurityHub` verwendet die verwaltete Richtlinie [`AWSSecurityHubServiceRolePolicy`](security-iam-awsmanpol.md#security-iam-awsmanpol-awssecurityhubservicerolepolicy).
Sie müssen einer IAM-Identität (z. B. einer Rolle, Gruppe oder einem Benutzer) Berechtigungen erteilen, um eine dienstverknüpfte Rolle zu erstellen, zu bearbeiten oder zu löschen. Damit die `AWSServiceRoleForSecurityHub` serviceverknüpfte Rolle erfolgreich erstellt werden kann, muss die IAM-Identität, die Sie für den Zugriff auf Security Hub CSPM verwenden, über die erforderlichen Berechtigungen verfügen. Um die erforderlichen Berechtigungen zu erteilen, fügen Sie die folgende Richtlinie an die IAM-Identität an.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "securityhub:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "securityhub.amazonaws.com"
}
}
}
]
}
```
------
## Eine serviceverknüpfte Rolle für Security Hub CSPM erstellen
Die `AWSServiceRoleForSecurityHub` serviceverknüpfte Rolle wird automatisch erstellt, wenn Sie Security Hub CSPM zum ersten Mal aktivieren oder wenn Sie Security Hub CSPM in einer Region aktivieren, in der Sie es zuvor nicht aktiviert haben. Sie können die `AWSServiceRoleForSecurityHub` serviceverknüpfte Rolle auch manuell mithilfe der IAM-Konsole, der IAM-CLI oder der IAM-API erstellen. Weitere Informationen zum Erstellen von IAM-Rollen finden Sie unter [Erstellen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) im *IAM-Benutzerhandbuch*.
**Wichtig**
Die dienstverknüpfte Rolle, die für ein Security Hub CSPM-Administratorkonto erstellt wurde, gilt nicht für zugehörige Security Hub CSPM-Mitgliedskonten.
## Eine serviceverknüpfte Rolle für Security Hub CSPM bearbeiten
Security Hub CSPM erlaubt es Ihnen nicht, die `AWSServiceRoleForSecurityHub` dienstverknüpfte Rolle zu bearbeiten. Nachdem Sie eine serviceverknüpfte Rolle erstellt haben, können Sie den Namen der Rolle nicht mehr ändern, da verschiedene Entitäten auf die Rolle verweisen könnten. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter [Bearbeiten einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) im *IAM-Benutzerhandbuch*.
## Löschen einer serviceverknüpften Rolle für Security Hub CSPM
Wenn Sie ein Feature oder einen Service nicht mehr benötigen, die bzw. der eine serviceverknüpfte Rolle erfordert, sollten Sie die Rolle löschen. Auf diese Weise ist keine ungenutzte Entität vorhanden, die nicht aktiv überwacht oder verwaltet wird.
Wenn Sie Security Hub CSPM deaktivieren, löscht Security Hub CSPM die `AWSServiceRoleForSecurityHub` dienstverknüpfte Rolle nicht automatisch für Sie. Wenn Sie Security Hub CSPM erneut aktivieren, kann der Dienst die bestehende dienstverknüpfte Rolle wieder verwenden. Wenn Sie Security Hub CSPM nicht mehr verwenden müssen, können Sie die serviceverknüpfte Rolle manuell löschen.
**Wichtig**
Bevor Sie die `AWSServiceRoleForSecurityHub` serviceverknüpfte Rolle löschen, müssen Sie zunächst Security Hub CSPM in allen Regionen deaktivieren, in denen sie aktiviert ist. Weitere Informationen finden Sie unter [Security Hub CSPM deaktivieren](securityhub-disable.md). Wenn Security Hub CSPM nicht deaktiviert ist, wenn Sie versuchen, die serviceverknüpfte Rolle zu löschen, schlägt der Löschvorgang fehl.
Um die `AWSServiceRoleForSecurityHub` serviceverknüpfte Rolle zu löschen, können Sie die IAM-Konsole, die IAM-CLI oder die IAM-API verwenden. Weitere Informationen finden Sie unter [Löschen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) im *IAM-Benutzerhandbuch*.
## Servicebezogene Rolle für AWS Security Hub V2
verwendet die benannte dienstverknüpfte Rolle. `AWSServiceRoleForSecurityHubV2` Diese dienstbezogene Rolle ermöglicht die Verwaltung von AWS Config Regeln und Ressourcen für Ihre Organisation und in Ihrem Namen. Die serviceverknüpfte Rolle `AWSServiceRoleForSecurityHubV2` vertraut dem Service `securityhub.amazonaws.com`, sodass dieser die Rolle annehmen kann.
Die serviceverknüpfte Rolle `AWSServiceRoleForSecurityHubV2` verwendet die verwaltete Richtlinie [`AWSSecurityHubV2ServiceRolePolicy`](security-iam-awsmanpol.md#security-iam-awsmanpol-awssecurityhubv2servicerolepolicy).
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen:
+ `cloudwatch`— Ermöglicht der Rolle, Metrikdaten abzurufen, um die Messfunktionen für Ressourcen zu unterstützen.
+ `config`— Ermöglicht der Rolle, serviceverknüpfte Konfigurationsrekorder für Ressourcen zu verwalten, einschließlich der Unterstützung für globale AWS Config Rekorder.
+ `ecr`— Ermöglicht der Rolle, Informationen über Amazon Elastic Container Registry-Images und Repositorys abzurufen, um Messfunktionen zu unterstützen.
+ `iam`— Ermöglicht der Rolle, die serviceverknüpfte Rolle für die Erfassung zu erstellen AWS Config und Kontoinformationen abzurufen, um Messfunktionen zu unterstützen.
+ `lambda`— Ermöglicht der Rolle das Abrufen von AWS Lambda Funktionsinformationen zur Unterstützung von Messfunktionen.
+ `organizations`— Ermöglicht der Rolle, Informationen zu Konten und Organisationseinheiten (OU) für eine Organisation abzurufen.
+ `securityhub`— Ermöglicht der Rolle, die Konfiguration zu verwalten.
+ `tag`— Ermöglicht der Rolle, Informationen über Ressourcen-Tags abzurufen.
Sie müssen einer IAM-Identität (z. B. einer Rolle, Gruppe oder einem Benutzer) Berechtigungen erteilen, um eine dienstbezogene Rolle zu erstellen, zu bearbeiten oder zu löschen. Damit die `AWSServiceRoleForSecurityHubV2` dienstverknüpfte Rolle erfolgreich erstellt werden kann, muss die IAM-Identität, die Sie für den Zugriff verwenden, über die erforderlichen Berechtigungen verfügen. Um die erforderlichen Berechtigungen zu erteilen, fügen Sie die folgende Richtlinie an die IAM-Identität an.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "securityhub:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "securityhub.amazonaws.com"
}
}
}
]
}
```
------
### Eine serviceverknüpfte Rolle für AWS Security Hub V2 erstellen
Die `AWSServiceRoleForSecurityHubV2` dienstverknüpfte Rolle wird automatisch erstellt, wenn Sie sie zum ersten Mal aktivieren oder wenn Sie sie in einer Region aktivieren, in der Sie sie zuvor nicht aktiviert haben. Sie können die `AWSServiceRoleForSecurityHubV2` serviceverknüpfte Rolle auch manuell mithilfe der IAM-Konsole, der IAM-CLI oder der IAM-API erstellen. Weitere Informationen zum Erstellen von IAM-Rollen finden Sie unter [Erstellen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) im *IAM-Benutzerhandbuch*.
**Wichtig**
Die dienstverknüpfte Rolle, die für ein Administratorkonto erstellt wurde, gilt nicht für zugehörige Mitgliedskonten.
### Eine serviceverknüpfte Rolle für AWS Security Hub V2 bearbeiten
erlaubt Ihnen nicht, die `AWSServiceRoleForSecurityHubV2` dienstverknüpfte Rolle zu bearbeiten. Nachdem Sie eine serviceverknüpfte Rolle erstellt haben, können Sie den Namen der Rolle nicht mehr ändern, da verschiedene Entitäten auf die Rolle verweisen könnten. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter [Bearbeiten einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) im *IAM-Benutzerhandbuch*.
### Löschen einer serviceverknüpften Rolle für AWS Security Hub V2
Wenn Sie ein Feature oder einen Service nicht mehr benötigen, die bzw. der eine serviceverknüpfte Rolle erfordert, sollten Sie die Rolle löschen. Auf diese Weise ist keine ungenutzte Entität vorhanden, die nicht aktiv überwacht oder verwaltet wird.
Wenn Sie sie deaktivieren, wird die `AWSServiceRoleForSecurityHubV2` dienstverknüpfte Rolle nicht automatisch für Sie gelöscht. Wenn Sie sie erneut aktivieren, kann der Dienst die vorhandene dienstverknüpfte Rolle wieder verwenden. Wenn Sie sie nicht mehr verwenden müssen, können Sie die dienstverknüpfte Rolle manuell löschen.
**Wichtig**
Bevor Sie die `AWSServiceRoleForSecurityHubV2` dienstverknüpfte Rolle löschen, müssen Sie sie zunächst in allen Regionen deaktivieren, in denen sie aktiviert ist. Weitere Informationen finden Sie unter [Security Hub CSPM deaktivieren](securityhub-disable.md). Wenn Sie versuchen, die serviceverknüpfte Rolle zu löschen und noch nicht deaktiviert wurde, schlägt das Löschen fehl.
Um die `AWSServiceRoleForSecurityHubV2` serviceverknüpfte Rolle zu löschen, können Sie die IAM-Konsole, die IAM-CLI oder die IAM-API verwenden. Weitere Informationen finden Sie unter [Löschen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) im *IAM-Benutzerhandbuch*.
# AWS verwaltete Richtlinien für Security Hub
Eine AWS verwaltete Richtlinie ist eine eigenständige Richtlinie, die von erstellt und verwaltet wird. AWS AWS Verwaltete Richtlinien sind so konzipiert, dass sie Berechtigungen für viele gängige Anwendungsfälle bereitstellen, sodass Sie damit beginnen können, Benutzern, Gruppen und Rollen Berechtigungen zuzuweisen.
Beachten Sie, dass AWS verwaltete Richtlinien für Ihre speziellen Anwendungsfälle möglicherweise keine Berechtigungen mit den geringsten Rechten gewähren, da sie allen AWS Kunden zur Verfügung stehen. Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie [vom Kunden verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind.
Sie können die in AWS verwalteten Richtlinien definierten Berechtigungen nicht ändern. Wenn die in einer AWS verwalteten Richtlinie definierten Berechtigungen AWS aktualisiert werden, wirkt sich das Update auf alle Prinzidentitäten (Benutzer, Gruppen und Rollen) aus, denen die Richtlinie zugeordnet ist. AWS aktualisiert eine AWS verwaltete Richtlinie höchstwahrscheinlich, wenn eine neue Richtlinie eingeführt AWS-Service wird oder neue API-Operationen für bestehende Dienste verfügbar werden.
Weitere Informationen finden Sie unter [Von AWS verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) im *IAM-Benutzerhandbuch*.
## AWS verwaltete Richtlinie: AWSSecurityHubFullAccess
Sie können die `AWSSecurityHubFullAccess`-Richtlinie an Ihre IAM-Identitäten anfügen.
Diese Richtlinie gewährt Administratorberechtigungen, die einem Principal vollen Zugriff auf alle Security Hub CSPM-Aktionen gewähren. Diese Richtlinie muss einem Prinzipal zugewiesen werden, bevor er Security Hub CSPM manuell für sein Konto aktiviert. Principals mit diesen Berechtigungen können beispielsweise den Status der Ergebnisse sowohl einsehen als auch aktualisieren. Sie können auch benutzerdefinierte Einblicke konfigurieren, Integrationen aktivieren sowie Standards und Kontrollen aktivieren und deaktivieren. Principals für ein Administratorkonto können auch Mitgliedskonten verwalten.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen:
+ `securityhub`— Ermöglicht Principals vollen Zugriff auf alle Security Hub CSPM-Aktionen.
+ `guardduty`— Ermöglicht Prinzipalen die vollständige Lebenszyklusverwaltung eines Melders, die Verwaltung der Organisation, die Verwaltung von Mitgliedskonten und die organisationsweite Konfiguration in Amazon. GuardDuty Dazu gehören API-Aktionen: GetDetector,,,, ListDetector, CreateDetector, UpdateDetector, DeleteDetector, EnableOrganizationAdminAccount. ListOrganizationAdminAccounts CreateMembers UpdateOrganizationConfiguration DescribeOrganizationConfiguration
+ `iam`— Ermöglicht Prinzipalen, eine dienstbezogene Rolle für Security Hub CSPM und Security Hub zu erstellen und Rollen, Richtlinien und Richtlinienversionen abzurufen.
+ `inspector`— Ermöglicht es Prinzipalen, Informationen über den Kontostatus abzurufen, sie zu aktivieren oder zu deaktivieren, die Administratorverwaltung zu delegieren und die Organisationskonfigurationsverwaltung in Amazon Inspector durchzuführen. Dazu gehören API-Aktionen: BatchGetAccountStatus, Aktivieren, Deaktivieren,,, EnableDelegatedAdminAccount, DisableDelegatedAdminAccount ListDelegatedAdminAccounts, UpdateOrganizationConfiguration. DescribeOrganizationConfiguration
+ `pricing`— Ermöglicht es Auftraggebern, eine Preisliste mit Produkten AWS-Services zu erhalten.
+ `account`— Ermöglicht Prinzipalen das Abrufen von Informationen zu Kontoregionen, um die Regionsverwaltung in Security Hub zu unterstützen.
Informationen zu den Berechtigungen für diese Richtlinie finden Sie [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubFullAccess.html)im *Referenzhandbuch für AWS verwaltete Richtlinien.*
## AWS verwaltete Richtlinie: AWSSecurityHubReadOnlyAccess
Sie können die `AWSSecurityHubReadOnlyAccess`-Richtlinie an Ihre IAM-Identitäten anfügen.
Diese Richtlinie gewährt nur Leseberechtigungen, die es Benutzern ermöglichen, Informationen in Security Hub CSPM einzusehen. Principals, denen diese Richtlinie beigefügt ist, können keine Updates in Security Hub CSPM vornehmen. Principals mit diesen Berechtigungen können beispielsweise die mit ihrem Konto verknüpfte Ergebnisliste einsehen, den Status eines Fundes jedoch nicht ändern. Sie können die Ergebnisse von Insights einsehen, aber keine benutzerdefinierten Insights erstellen oder konfigurieren. Sie können keine Steuerungen oder Produktintegrationen konfigurieren.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen:
+ `securityhub`— Ermöglicht Benutzern das Ausführen von Aktionen, bei denen eine Liste von Artikeln oder Details zu einem Artikel zurückgegeben wird. Dazu gehören API-Operationen, die mit `Get``List`, oder beginnen`Describe`.
Informationen zu den Berechtigungen für diese Richtlinie finden Sie [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubReadOnlyAccess.html)im *Referenzhandbuch für AWS verwaltete Richtlinien*.
## AWS verwaltete Richtlinie: AWSSecurityHubOrganizationsAccess
Sie können die `AWSSecurityHubOrganizationsAccess`-Richtlinie an Ihre IAM-Identitäten anfügen.
Diese Richtlinie gewährt Administratorberechtigungen zur Aktivierung und Verwaltung von Security Hub, Security Hub CSPM, Amazon GuardDuty und Amazon Inspector für eine Organisation in. AWS Organizations Die Berechtigungen für diese Richtlinie ermöglichen es dem Organisationsverwaltungskonto, das delegierte Administratorkonto für Security Hub, Security Hub CSPM, Amazon und Amazon GuardDuty Inspector zu bestimmen. Sie ermöglichen es dem delegierten Administratorkonto auch, Organisationskonten als Mitgliedskonten zu aktivieren.
Diese Richtlinie bietet nur Berechtigungen für AWS Organizations. Das Organisationsverwaltungskonto und das delegierte Administratorkonto erfordern ebenfalls Berechtigungen für zugehörige Aktionen. Diese Berechtigungen können mithilfe der `AWSSecurityHubFullAccess` verwalteten Richtlinie erteilt werden.
Für das Erstellen oder Aktualisieren einer delegierten Administratorrichtlinie in einem Verwaltungskonto sind zusätzliche Berechtigungen erforderlich, die in dieser Richtlinie nicht bereitgestellt werden. Um diese Aktionen durchzuführen, wird empfohlen, Berechtigungen für die AWSOrganizations FullAccess Richtlinie hinzuzufügen `organizations:PutResourcePolicy` oder sie anzuhängen.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen:
+ `organizations:ListAccounts`— Ermöglicht Prinzipalen das Abrufen der Liste der Konten, die Teil einer Organisation sind.
+ `organizations:DescribeOrganization`— Ermöglicht Prinzipalen das Abrufen von Informationen über die Organisation.
+ `organizations:ListRoots`— Ermöglicht Prinzipalen, das Stammverzeichnis einer Organisation aufzulisten.
+ `organizations:ListDelegatedAdministrators`— Ermöglicht Prinzipalen, den delegierten Administrator einer Organisation aufzulisten.
+ `organizations:ListAWSServiceAccessForOrganization`— Ermöglicht Prinzipalen, diejenigen aufzulisten AWS-Services , die eine Organisation verwendet.
+ `organizations:ListOrganizationalUnitsForParent`— Ermöglicht Prinzipalen, die untergeordneten Organisationseinheiten (OU) einer übergeordneten OU aufzulisten.
+ `organizations:ListAccountsForParent`— Ermöglicht Prinzipalen, die untergeordneten Konten einer übergeordneten Organisationseinheit aufzulisten.
+ `organizations:ListParents`— Führt die Stamm- oder Organisationseinheiten (OUs) auf, die der angegebenen untergeordneten Organisationseinheit oder dem angegebenen untergeordneten Konto als unmittelbare übergeordnete Einheit dienen.
+ `organizations:DescribeAccount` – Ermöglicht Prinzipalen den Abruf von Informationen über ein Konto in der Organisation.
+ `organizations:DescribeOrganizationalUnit`— Ermöglicht Prinzipalen das Abrufen von Informationen über eine Organisationseinheit in der Organisation.
+ `organizations:ListPolicies`— Ruft die Liste aller Richtlinien in einer Organisation eines bestimmten Typs ab.
+ `organizations:ListPoliciesForTarget`— Führt die Richtlinien auf, die direkt mit dem angegebenen Zielstamm, der Organisationseinheit (OU) oder dem angegebenen Konto verknüpft sind.
+ `organizations:ListTargetsForPolicy`— Führt alle Stammverzeichnisse, Organisationseinheiten (OUs) und Konten auf, denen die angegebene Richtlinie zugeordnet ist.
+ `organizations:EnableAWSServiceAccess`— Ermöglicht Prinzipalen, die Integration mit Organizations zu ermöglichen.
+ `organizations:RegisterDelegatedAdministrator`— Ermöglicht es den Prinzipalen, das delegierte Administratorkonto festzulegen.
+ `organizations:DeregisterDelegatedAdministrator`— Ermöglicht Prinzipalen, das delegierte Administratorkonto zu entfernen.
+ `organizations:DescribePolicy`— Ruft Informationen zu einer Richtlinie ab.
+ `organizations:DescribeEffectivePolicy`— Gibt den Inhalt der gültigen Richtlinie für den angegebenen Richtlinientyp und das angegebene Konto zurück.
+ `organizations:CreatePolicy`— Erstellt eine Richtlinie eines bestimmten Typs, die Sie einem Stammkonto, einer Organisationseinheit (OU) oder einem einzelnen AWS Konto zuordnen können.
+ `organizations:UpdatePolicy`— Aktualisiert eine bestehende Richtlinie mit einem neuen Namen, einer neuen Beschreibung oder einem neuen Inhalt.
+ `organizations:DeletePolicy`— Löscht die angegebene Richtlinie aus Ihrer Organisation.
+ `organizations:AttachPolicy`— Fügt eine Richtlinie einem Stammkonto, einer Organisationseinheit (OU) oder einem Einzelkonto hinzu.
+ `organizations:DetachPolicy`— Trennt eine Richtlinie von einem Zielstamm, einer Organisationseinheit (OU) oder einem Zielkonto.
+ `organizations:EnablePolicyType`— Aktiviert einen Richtlinientyp in einem Stamm.
+ `organizations:DisablePolicyType`— Deaktiviert einen Organisationsrichtlinientyp in einem Stamm.
+ `organizations:TagResource`— Fügt einer angegebenen Ressource ein oder mehrere Tags hinzu.
+ `organizations:UntagResource`— Entfernt alle Tags mit den angegebenen Schlüsseln aus einer angegebenen Ressource.
+ `organizations:ListTagsForResource`— Listet Tags auf, die an eine angegebene Ressource angehängt sind.
+ `organizations:DescribeResourcePolicy`— Ruft Informationen über eine Ressourcenrichtlinie ab.
Informationen zu den Berechtigungen für diese Richtlinie finden Sie [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubOrganizationsAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubOrganizationsAccess.html)im *Referenzhandbuch für AWS verwaltete Richtlinien.*
## AWS verwaltete Richtlinie: AWSSecurityHubServiceRolePolicy
Sie können `AWSSecurityHubServiceRolePolicy` nicht an Ihre IAM-Entitäten anhängen. Diese Richtlinie ist mit einer dienstbezogenen Rolle verknüpft, die es Security Hub CSPM ermöglicht, Aktionen in Ihrem Namen durchzuführen. Weitere Informationen finden Sie unter [Mit Diensten verknüpfte Rollen für AWS Security Hub CSPM](using-service-linked-roles.md).
Diese Richtlinie gewährt Administratorberechtigungen, die es der dienstbezogenen Rolle ermöglichen, Aufgaben wie die Ausführung von Sicherheitsprüfungen für Security Hub CSPM-Steuerelemente auszuführen.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen:
+ `cloudtrail`— Ruft Informationen über Wanderwege ab. CloudTrail
+ `cloudwatch`— Aktuelle CloudWatch Alarme abrufen.
+ `logs`— Rufen Sie metrische Filter für CloudWatch Protokolle ab.
+ `sns`— Ruft die Liste der Abonnements für ein SNS-Thema ab.
+ `config`— Ruft Informationen zu Konfigurationsrekordern, Ressourcen und AWS Config Regeln ab. Ermöglicht der Rolle, die mit dem Service verknüpft ist, außerdem das Erstellen und Löschen von AWS Config Regeln sowie das Ausführen von Evaluierungen anhand der Regeln.
+ `iam`— Abrufen und Generieren von Berichten über Anmeldeinformationen für Konten.
+ `organizations`— Rufen Sie Informationen zu Konten und Organisationseinheiten (OU) für eine Organisation ab.
+ `securityhub`— Rufen Sie Informationen darüber ab, wie der Security Hub CSPM-Dienst, die Standards und die Kontrollen konfiguriert sind.
+ `tag`— Ruft Informationen über Ressourcen-Tags ab.
Informationen zu den Berechtigungen für diese Richtlinie finden Sie [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubServiceRolePolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubServiceRolePolicy.html)im *Referenzhandbuch für AWS verwaltete Richtlinien*.
## AWS verwaltete Richtlinie: AWSSecurityHubV2ServiceRolePolicy
**Anmerkung**
Security Hub befindet sich in der Vorschauversion und kann sich ändern.
Diese Richtlinie ermöglicht es Security Hub, AWS Config Regeln und Security Hub Hub-Ressourcen für Ihre Organisation und in Ihrem Namen zu verwalten. Diese Richtlinie ist mit einer dienstbezogenen Rolle verknüpft, die es dem Dienst ermöglicht, Aktionen in Ihrem Namen durchzuführen. Sie können diese Richtlinie nicht an Ihre IAM-Identitäten anfügen. Weitere Informationen finden Sie unter [Mit Diensten verknüpfte Rollen für AWS Security Hub CSPM](using-service-linked-roles.md).
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen:
+ `cloudwatch`— Rufen Sie Metrikdaten ab, um Messfunktionen für Security Hub Hub-Ressourcen zu unterstützen.
+ `config`— Verwaltung von serviceverknüpften Konfigurationsrekordern für Security Hub Hub-Ressourcen, einschließlich Unterstützung für globale Config-Recorder.
+ `ecr`— Rufen Sie Informationen über Amazon Elastic Container Registry-Images und Repositorys ab, um Messfunktionen zu unterstützen.
+ `iam`— Erstellen Sie die serviceverknüpfte Rolle für AWS Config und rufen Sie Kontoinformationen ab, um Messfunktionen zu unterstützen.
+ `lambda`— Rufen Sie AWS Lambda Funktionsinformationen ab, um Messfunktionen zu unterstützen.
+ `organizations`— Rufen Sie Informationen zu Konten und Organisationseinheiten (OU) für eine Organisation ab.
+ `securityhub`— Verwaltet die Security Hub Hub-Konfiguration.
+ `tag`— Ruft Informationen über Ressourcen-Tags ab.
Informationen zu den Berechtigungen für diese Richtlinie finden Sie [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubV2ServiceRolePolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubV2ServiceRolePolicy.html)im *Referenzhandbuch für AWS verwaltete Richtlinien*.
## Security Hub Hub-Updates für AWS verwaltete Richtlinien
Die folgende Tabelle enthält Einzelheiten zu Aktualisierungen der AWS verwalteten Richtlinien für AWS Security Hub und Security Hub CSPM, seit dieser Dienst begonnen hat, diese Änderungen zu verfolgen. Abonnieren Sie den RSS-Feed auf der [Security Hub Hub-Dokumentverlaufsseite](doc-history.md), um automatische Benachrichtigungen über Aktualisierungen der Richtlinien zu erhalten.
| Änderungen | Beschreibung | Date |
| --- | --- | --- |
| [AWSSecurityHubOrganizationsAccess](#security-iam-awsmanpol-awssecurityhuborganizationsaccess) – Richtlinie aktualisieren | Security Hub hat die Richtlinie aktualisiert, um Berechtigungen zur Beschreibung von Ressourcenrichtlinien zur Unterstützung von Security Hub Hub-Funktionen hinzuzufügen. Security Hub befindet sich in der Vorschauversion und kann sich ändern. | 12. November 2025 |
| [AWSSecurityHubFullAccess](#security-iam-awsmanpol-awssecurityhubfullaccess) – Richtlinie aktualisieren | Security Hub hat die Richtlinie aktualisiert und Funktionen zur Verwaltung GuardDuty, Amazon Inspector und Kontoverwaltung hinzugefügt, um die Funktionen von Security Hub zu unterstützen. Security Hub befindet sich in der Vorschauversion und kann sich ändern. | 17. November 2025 |
| [AWSSecurityHubV2 ServiceRolePolicy — Aktualisierte](#security-iam-awsmanpol-awssecurityhubv2servicerolepolicy) Richtlinie | Security Hub hat die Richtlinie aktualisiert, um Messfunktionen für Amazon Elastic Container Registry und Amazon CloudWatch hinzuzufügen und Security Hub Hub-Funktionen AWS Identity and Access Management zu unterstützen. AWS Lambda Das Update fügte auch Unterstützung für globale AWS Config Rekorder hinzu. Security Hub befindet sich in der Vorschauversion und kann sich ändern. | 5. November 2025 |
| [AWSSecurityHubOrganizationsAccess](#security-iam-awsmanpol-awssecurityhuborganizationsaccess) – Aktualisierung auf eine bestehende Richtlinie | Security Hub hat der Richtlinie neue Berechtigungen hinzugefügt. Die Berechtigungen ermöglichen es der Organisationsleitung, Security Hub und Security Hub CSPM für eine Organisation zu aktivieren und zu verwalten. | 17. Juni 2025 |
| [AWSSecurityHubFullAccess](#security-iam-awsmanpol-awssecurityhubfullaccess) – Aktualisierung auf eine bestehende Richtlinie | Security Hub CSPM hat neue Berechtigungen hinzugefügt, die es Prinzipalen ermöglichen, eine dienstbezogene Rolle für Security Hub zu erstellen. | 17. Juni 2025 |
| [AWSSecurityHubFullAccess](#security-iam-awsmanpol-awssecurityhubfullaccess)— Aktualisierung einer bestehenden Richtlinie | Security Hub CSPM hat die Richtlinie aktualisiert, um Preisdetails für AWS-Services und Produkte zu erhalten. | 24. April 2024 |
| [AWSSecurityHubReadOnlyAccess](#security-iam-awsmanpol-awssecurityhubreadonlyaccess)— Aktualisierung einer bestehenden Richtlinie | Security Hub CSPM hat diese verwaltete Richtlinie aktualisiert, indem ein Sid Feld hinzugefügt wurde. | 22. Februar 2024 |
| [AWSSecurityHubFullAccess](#security-iam-awsmanpol-awssecurityhubfullaccess)— Aktualisierung einer bestehenden Richtlinie | Security Hub CSPM hat die Richtlinie aktualisiert, sodass festgestellt werden kann, ob Amazon GuardDuty und Amazon Inspector in einem Konto aktiviert sind. Dies hilft Kunden dabei, sicherheitsrelevante Informationen aus mehreren zusammenzuführen. AWS-Services | 16. November 2023 |
| [AWSSecurityHubOrganizationsAccess](#security-iam-awsmanpol-awssecurityhuborganizationsaccess)— Aktualisierung einer bestehenden Richtlinie | Security Hub CSPM hat die Richtlinie aktualisiert, um zusätzliche Berechtigungen für den schreibgeschützten Zugriff auf delegierte Administratorfunktionen zu AWS Organizations gewähren. Dazu gehören Details wie das Stammverzeichnis, die Organisationseinheiten (OUs), die Konten, die Organisationsstruktur und der Dienstzugriff. | 16. November 2023 |
| [AWSSecurityHubServiceRolePolicy](#security-iam-awsmanpol-awssecurityhubservicerolepolicy) – Aktualisierung auf eine bestehende Richtlinie | Security Hub CSPM hat die UpdateSecurityControl Berechtigungen BatchGetSecurityControlsDisassociateFromAdministratorAccount, und zum Lesen und Aktualisieren anpassbarer Sicherheitskontrolleigenschaften hinzugefügt. | 26. November 2023 |
| [AWSSecurityHubServiceRolePolicy](#security-iam-awsmanpol-awssecurityhubservicerolepolicy) – Aktualisierung auf eine bestehende Richtlinie | Security Hub CSPM hat die tag:GetResources Erlaubnis hinzugefügt, Ressourcen-Tags zu lesen, die sich auf Ergebnisse beziehen. | 7. November 2023 |
| [AWSSecurityHubServiceRolePolicy](#security-iam-awsmanpol-awssecurityhubservicerolepolicy) – Aktualisierung auf eine bestehende Richtlinie | Security Hub CSPM hat die BatchGetStandardsControlAssociations Erlaubnis hinzugefügt, Informationen über den Aktivierungsstatus einer Steuerung in einem Standard abzurufen. | 27. September 2023 |
| [AWSSecurityHubServiceRolePolicy](#security-iam-awsmanpol-awssecurityhubservicerolepolicy) – Aktualisierung auf eine bestehende Richtlinie | Security Hub CSPM hat neue Berechtigungen zum Abrufen von AWS Organizations Daten sowie zum Lesen und Aktualisieren von Security Hub CSPM-Konfigurationen, einschließlich Standards und Kontrollen, hinzugefügt. | 20. September 2023 |
| [AWSSecurityHubServiceRolePolicy](#security-iam-awsmanpol-awssecurityhubservicerolepolicy) – Aktualisierung auf eine bestehende Richtlinie | Security Hub CSPM hat die bestehende config:DescribeConfigRuleEvaluationStatus Berechtigung in eine andere Erklärung innerhalb der Richtlinie verschoben. Die config:DescribeConfigRuleEvaluationStatus Erlaubnis wird jetzt auf alle Ressourcen angewendet. | 17. März 2023 |
| [AWSSecurityHubServiceRolePolicy](#security-iam-awsmanpol-awssecurityhubservicerolepolicy) – Aktualisierung auf eine bestehende Richtlinie | Security Hub CSPM hat die bestehende config:PutEvaluations Berechtigung in eine andere Erklärung innerhalb der Richtlinie verschoben. Die config:PutEvaluations Erlaubnis wird jetzt auf alle Ressourcen angewendet. | 14. Juli 2021 |
| [AWSSecurityHubServiceRolePolicy](#security-iam-awsmanpol-awssecurityhubservicerolepolicy) – Aktualisierung auf eine bestehende Richtlinie | Security Hub CSPM hat eine neue Berechtigung hinzugefügt, die es der serviceverknüpften Rolle ermöglicht, Bewertungsergebnisse zu liefern. AWS Config | 29. Juni 2021 |
| [AWSSecurityHubServiceRolePolicy](#security-iam-awsmanpol-awssecurityhubservicerolepolicy)— Zur Liste der verwalteten Richtlinien hinzugefügt | Es wurden Informationen zur verwalteten Richtlinie hinzugefügt AWSSecurityHubServiceRolePolicy, die von der serviceverknüpften Rolle Security Hub CSPM verwendet wird. | 11. Juni 2021 |
| [AWSSecurityHubOrganizationsAccess](#security-iam-awsmanpol-awssecurityhuborganizationsaccess)— Neue Richtlinie | Security Hub CSPM hat eine neue Richtlinie hinzugefügt, die Berechtigungen gewährt, die für die Security Hub CSPM-Integration mit Organizations erforderlich sind. | 15. März 2021 |
| Security Hub CSPM hat begonnen, Änderungen zu verfolgen | Security Hub CSPM begann, Änderungen an seinen AWS verwalteten Richtlinien nachzuverfolgen. | 15. März 2021 |
# Fehlerbehebung bei AWS Security Hub CSPM Identität und Zugriff
Verwenden Sie die folgenden Informationen, um häufig auftretende Probleme zu diagnostizieren und zu beheben, die bei der Arbeit mit AWS Security Hub CSPM und IAM auftreten können.
**Topics**
+ [Ich bin nicht berechtigt, eine Aktion in Security Hub CSPM durchzuführen](#security_iam_troubleshoot-no-permissions)
+ [Ich bin nicht berechtigt, iam auszuführen: PassRole](#security_iam_troubleshoot-passrole)
+ [Ich möchte programmatischen Zugriff auf Security Hub CSPM](#security_iam_troubleshoot-access-keys)
+ [Ich bin Administrator und möchte anderen den Zugriff auf Security Hub CSPM ermöglichen](#security_iam_troubleshoot-admin-delegate)
+ [Ich möchte Personen außerhalb von mir den Zugriff AWS-Konto auf meine Security Hub CSPM-Ressourcen ermöglichen](#security_iam_troubleshoot-cross-account-access)
## Ich bin nicht berechtigt, eine Aktion in Security Hub CSPM durchzuführen
Wenn Ihnen AWS-Managementkonsole mitgeteilt wird, dass Sie nicht berechtigt sind, eine Aktion durchzuführen, müssen Sie sich an Ihren Administrator wenden, um Unterstützung zu erhalten. Ihr Administrator hat Ihnen Ihre Anmeldeinformationen zur Verfügung gestellt.
Der folgende Beispielfehler tritt auf, wenn der Benutzer `mateojackson` versucht, die Konsole zu verwenden, um Details zu einem anzuzeigen, *widget* aber nicht über die `securityhub:GetWidget` entsprechenden Berechtigungen verfügt.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: securityhub:GetWidget on resource: my-example-widget
```
In diesem Fall bittet Mateo seinen Administrator um die Aktualisierung seiner Richtlinien, um unter Verwendung der Aktion `my-example-widget` auf die Ressource `securityhub:GetWidget` zugreifen zu können.
## Ich bin nicht berechtigt, iam auszuführen: PassRole
Wenn Sie eine Fehlermeldung erhalten, dass Sie nicht berechtigt sind, die `iam:PassRole` Aktion durchzuführen, müssen Ihre Richtlinien aktualisiert werden, damit Sie eine Rolle an Security Hub übergeben können.
Einige AWS-Services ermöglichen es Ihnen, eine bestehende Rolle an diesen Dienst zu übergeben, anstatt eine neue Servicerolle oder eine dienstverknüpfte Rolle zu erstellen. Hierzu benötigen Sie Berechtigungen für die Übergabe der Rolle an den Dienst.
Der folgende Beispielfehler tritt auf, wenn ein IAM-Benutzer mit dem Namen `marymajor` versucht, die Konsole zu verwenden, um eine Aktion in Security Hub auszuführen. Die Aktion erfordert jedoch, dass der Service über Berechtigungen verfügt, die durch eine Servicerolle gewährt werden. Mary besitzt keine Berechtigungen für die Übergabe der Rolle an den Dienst.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
In diesem Fall müssen die Richtlinien von Mary aktualisiert werden, um die Aktion `iam:PassRole` ausführen zu können.
Wenn Sie Hilfe benötigen, wenden Sie sich an Ihren AWS Administrator. Ihr Administrator hat Ihnen Ihre Anmeldeinformationen zur Verfügung gestellt.
## Ich möchte programmatischen Zugriff auf Security Hub CSPM
Benutzer benötigen programmatischen Zugriff, wenn sie mit AWS außerhalb des interagieren möchten. AWS-Managementkonsole Die Art und Weise, wie programmatischer Zugriff gewährt wird, hängt von der Art des Benutzers ab, der zugreift. AWS
Um Benutzern programmgesteuerten Zugriff zu gewähren, wählen Sie eine der folgenden Optionen.
****
| Welcher Benutzer benötigt programmgesteuerten Zugriff? | Bis | Von |
| --- | --- | --- |
| IAM | (Empfohlen) Verwenden Sie Konsolenanmeldeinformationen als temporäre Anmeldeinformationen, um programmatische Anfragen an AWS CLI AWS SDKs, oder zu signieren. AWS APIs | Befolgen Sie die Anweisungen für die Schnittstelle, die Sie verwenden möchten. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/security_iam_troubleshoot.html) |
| Mitarbeiteridentität (Benutzer, die in IAM Identity Center verwaltet werden) | Verwenden Sie temporäre Anmeldeinformationen, um programmatische Anfragen an das AWS CLI AWS SDKs, oder AWS APIs zu signieren. | Befolgen Sie die Anweisungen für die Schnittstelle, die Sie verwenden möchten. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/security_iam_troubleshoot.html) |
| IAM | Verwenden Sie temporäre Anmeldeinformationen, um programmatische Anfragen an das AWS CLI AWS SDKs, oder zu signieren. AWS APIs | Folgen Sie den Anweisungen unter [Verwenden temporärer Anmeldeinformationen mit AWS Ressourcen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_use-resources.html) im IAM-Benutzerhandbuch. |
| IAM | (Nicht empfohlen)Verwenden Sie langfristige Anmeldeinformationen, um programmatische Anfragen an das AWS CLI AWS SDKs, oder zu signieren. AWS APIs | Befolgen Sie die Anweisungen für die Schnittstelle, die Sie verwenden möchten. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/security_iam_troubleshoot.html) |
## Ich bin Administrator und möchte anderen den Zugriff auf Security Hub CSPM ermöglichen
Um Zugriff zu gewähren, fügen Sie Ihren Benutzern, Gruppen oder Rollen Berechtigungen hinzu:
+ Benutzer und Gruppen in: AWS IAM Identity Center
Erstellen Sie einen Berechtigungssatz. Befolgen Sie die Anweisungen unter [Erstellen eines Berechtigungssatzes](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) im *AWS IAM Identity Center -Benutzerhandbuch*.
+ Benutzer, die in IAM über einen Identitätsanbieter verwaltet werden:
Erstellen Sie eine Rolle für den Identitätsverbund. Befolgen Sie die Anleitung unter [Eine Rolle für einen externen Identitätsanbieter (Verbund) erstellen](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) im *IAM-Benutzerhandbuch*.
+ IAM-Benutzer:
+ Erstellen Sie eine Rolle, die Ihr Benutzer annehmen kann. Befolgen Sie die Anleitung unter [Eine Rolle für einen IAM-Benutzer erstellen](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) im *IAM-Benutzerhandbuch*.
+ (Nicht empfohlen) Weisen Sie einem Benutzer eine Richtlinie direkt zu oder fügen Sie einen Benutzer zu einer Benutzergruppe hinzu. Befolgen Sie die Anweisungen unter [Hinzufügen von Berechtigungen zu einem Benutzer (Konsole)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) im *IAM-Benutzerhandbuch*.
## Ich möchte Personen außerhalb von mir den Zugriff AWS-Konto auf meine Security Hub CSPM-Ressourcen ermöglichen
Sie können eine Rolle erstellen, mit der Benutzer in anderen Konten oder Personen außerhalb Ihrer Organisation auf Ihre Ressourcen zugreifen können. Sie können festlegen, wem die Übernahme der Rolle anvertraut wird. Für Dienste, die ressourcenbasierte Richtlinien oder Zugriffskontrolllisten (ACLs) unterstützen, können Sie diese Richtlinien verwenden, um Personen Zugriff auf Ihre Ressourcen zu gewähren.
Weitere Informationen dazu finden Sie hier:
+ Informationen darüber, ob Security Hub diese Funktionen unterstützt, finden Sie unter[So funktioniert Security Hub mit IAM](security_iam_service-with-iam.md).
+ *Informationen dazu, wie Sie Zugriff auf Ihre Ressourcen gewähren können, AWS-Konten die Ihnen gehören, finden Sie im [IAM-Benutzerhandbuch unter Zugriff auf einen IAM-Benutzer in einem anderen AWS-Konto , den Sie besitzen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html).*
+ Informationen dazu, wie Sie Dritten Zugriff auf Ihre Ressourcen gewähren können AWS-Konten, finden Sie [AWS-Konten im *IAM-Benutzerhandbuch* unter Gewähren des Zugriffs für Dritte](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html).
+ Informationen dazu, wie Sie über einen Identitätsverbund Zugriff gewähren, finden Sie unter [Gewähren von Zugriff für extern authentifizierte Benutzer (Identitätsverbund)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) im *IAM-Benutzerhandbuch*.
+ Informationen zum Unterschied zwischen der Verwendung von Rollen und ressourcenbasierten Richtlinien für den kontoübergreifenden Zugriff finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.
# Überprüfung der Einhaltung der Vorschriften für AWS Security Hub CSPM
Informationen darüber, ob AWS-Service ein in den Geltungsbereich bestimmter Compliance-Programme fällt, finden Sie unter [AWS-Services Umfang nach Compliance-Programm unter Umfang nach Compliance-Programm AWS-Services](https://aws.amazon.com/compliance/services-in-scope/) das Compliance-Programm aus, an dem Sie interessiert sind. Allgemeine Informationen finden Sie unter [AWS Compliance-Programme AWS](https://aws.amazon.com/compliance/programs/) .
Sie können Prüfberichte von Drittanbietern unter herunterladen AWS Artifact. Weitere Informationen finden Sie unter [Berichte herunterladen unter ](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html).
Ihre Verantwortung für die Einhaltung der Vorschriften bei der Nutzung AWS-Services hängt von der Vertraulichkeit Ihrer Daten, den Compliance-Zielen Ihres Unternehmens und den geltenden Gesetzen und Vorschriften ab. Weitere Informationen zu Ihrer Verantwortung für die Einhaltung der Vorschriften bei der Nutzung AWS-Services finden Sie in der [AWS Sicherheitsdokumentation](https://docs.aws.amazon.com/security/).
# Resilienz im AWS Security Hub
Die AWS globale Infrastruktur basiert auf Availability AWS-Regionen Zones. Regionen stellen mehrere physisch getrennte und isolierte Availability Zones bereit, die über hoch redundante Netzwerke mit niedriger Latenz und hohen Durchsätzen verbunden sind. Mithilfe von Availability Zones können Sie Anwendungen und Datenbanken erstellen und ausführen, die automatisch Failover zwischen Zonen ausführen, ohne dass es zu Unterbrechungen kommt. Availability Zones sind besser verfügbar, fehlertoleranter und skalierbarer als herkömmliche Infrastrukturen mit einem oder mehreren Rechenzentren.
Weitere Informationen zu Availability Zones AWS-Regionen und Availability Zones finden Sie unter [AWS Globale Infrastruktur](https://aws.amazon.com/about-aws/global-infrastructure/).
# Sicherheit der Infrastruktur in AWS Security Hub CSPM
Als verwalteter Dienst AWS Security Hub CSPM ist er durch AWS globale Netzwerksicherheit geschützt. Informationen zu AWS Sicherheitsdiensten und zum AWS Schutz der Infrastruktur finden Sie unter [AWS Cloud-Sicherheit](https://aws.amazon.com/security/). Informationen zum Entwerfen Ihrer AWS Umgebung unter Verwendung der bewährten Methoden für die Infrastruktursicherheit finden Sie unter [Infrastructure Protection](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) in *Security Pillar AWS Well‐Architected Framework*.
Sie verwenden AWS veröffentlichte API-Aufrufe, um über das Netzwerk auf Security Hub CSPM zuzugreifen. Kunden müssen Folgendes unterstützen:
+ Transport Layer Security (TLS). Wir benötigen TLS 1.2 und empfehlen TLS 1.3.
+ Verschlüsselungs-Suiten mit Perfect Forward Secrecy (PFS) wie DHE (Ephemeral Diffie-Hellman) oder ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). Die meisten modernen Systeme wie Java 7 und höher unterstützen diese Modi.
# AWS Security Hub CSPM und Schnittstellen-VPC-Endpunkte ()AWS PrivateLink
Sie können eine private Verbindung zwischen Ihrer VPC herstellen und AWS Security Hub CSPM einen *VPC-Schnittstellen-Endpunkt* erstellen. Schnittstellenendpunkte werden mit einer Technologie betrieben [AWS PrivateLink](https://aws.amazon.com/privatelink), mit der Sie privat auf Security Hub CSPM zugreifen können, APIs ohne ein Internet-Gateway, ein NAT-Gerät, eine VPN-Verbindung oder eine AWS Direct Connect-Verbindung zu benötigen. Instances in Ihrer VPC benötigen keine öffentlichen IP-Adressen, um mit Security Hub APIs CSPM zu kommunizieren. Der Datenverkehr zwischen Ihrer VPC und Security Hub CSPM verlässt das Amazon-Netzwerk nicht.
Jeder Schnittstellenendpunkt wird durch eine oder mehrere [Elastic-Network-Schnittstellen](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) in Ihren Subnetzen dargestellt. Weitere Informationen finden Sie unter [Zugreifen und AWS-Service Verwenden eines VPC-Endpunkts mit einer Schnittstelle](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html) im *Amazon Virtual Private Cloud Guide*.
## Überlegungen zu Security Hub CSPM VPC-Endpunkten
Bevor Sie einen VPC-Schnittstellen-Endpunkt für Security Hub CSPM einrichten, stellen Sie sicher, dass Sie die Voraussetzungen und andere Informationen im [Amazon Virtual Private](https://docs.aws.amazon.com/vpc/latest/privatelink/what-is-privatelink.html) Cloud Guide lesen.
Security Hub CSPM unterstützt Aufrufe aller API-Aktionen von Ihrer VPC aus.
## Einen VPC-Schnittstellen-Endpunkt für Security Hub CSPM erstellen
Sie können einen VPC-Endpunkt für den Security Hub CSPM-Service entweder mit der Amazon VPC-Konsole oder mit () erstellen. AWS Command Line Interface AWS CLI Weitere Informationen finden Sie unter [Erstellen eines VPC-Endpunkts](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#create-interface-endpoint) im *Amazon Virtual Private Cloud Cloud-Handbuch*.
Erstellen Sie einen VPC-Endpunkt für Security Hub CSPM mit dem folgenden Dienstnamen:
`com.amazonaws.region.securityhub`
Wo *region* ist der Regionalcode für den zutreffenden. AWS-Region
Wenn Sie privates DNS für den Endpunkt aktivieren, können Sie API-Anfragen an Security Hub CSPM stellen, indem Sie dessen Standard-DNS-Namen für die Region verwenden, z. B. `securityhub.us-east-1.amazonaws.com` für die Region USA Ost (Nord-Virginia).
## Eine VPC-Endpunktrichtlinie für Security Hub CSPM erstellen
Sie können Ihrem VPC-Endpunkt eine Endpunktrichtlinie hinzufügen, die den Zugriff auf Security Hub CSPM steuert. Die Richtlinie gibt die folgenden Informationen an:
+ Prinzipal, der die Aktionen ausführen kann.
+ Aktionen, die ausgeführt werden können
+ Die Ressourcen, für die Aktionen ausgeführt werden können.
Weitere Informationen finden Sie unter [Steuern des Zugriffs auf VPC-Endpunkte mithilfe von Endpunktrichtlinien](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) im *Amazon Virtual Private Cloud Cloud-Handbuch*.
**Beispiel: VPC-Endpunktrichtlinie für Security Hub CSPM-Aktionen**
Im Folgenden finden Sie ein Beispiel für eine Endpunktrichtlinie für Security Hub CSPM. Wenn diese Richtlinie an einen Endpunkt angehängt ist, gewährt sie allen Prinzipalen auf allen Ressourcen Zugriff auf die aufgelisteten Security Hub CSPM-Aktionen.
```
{
"Statement":[
{
"Principal":"*",
"Effect":"Allow",
"Action":[
"securityhub:getFindings",
"securityhub:getEnabledStandards",
"securityhub:getInsights"
],
"Resource":"*"
}
]
}
```
## Gemeinsam genutzte Subnetze
Sie können VPC-Endpunkte in Subnetzen, die mit Ihnen geteilt werden, nicht erstellen, beschreiben, ändern oder löschen. Sie können die VPC-Endpunkte jedoch in Subnetzen verwenden, die mit Ihnen geteilt werden. Informationen zur VPC-Sharing finden Sie unter [Teilen Sie Ihre VPC-Subnetze mit anderen Konten](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-sharing.html) im *Amazon Virtual Private* Cloud Cloud-Leitfaden.