Serviceverknüpfte Rollen für Security Hub - AWS Security Hub

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Serviceverknüpfte Rollen für Security Hub

AWS Security Hub verwendet eine AWS Identity and Access Management (IAM) serviceverknüpfte Rolle mit dem Namen AWSServiceRoleForSecurityHub. Diese serviceverknüpfte Rolle ist eine IAM-Rolle, die direkt mit Security Hub verknüpft ist. Sie wird von Security Hub vordefiniert und umfasst alle Berechtigungen, die Security Hub zum Aufrufen anderer AWS-Services und zur Überwachung von -AWSRessourcen in Ihrem Namen benötigt. Security Hub verwendet diese serviceverknüpfte Rolle in allen , in AWS-Regionen denen Security Hub verfügbar ist.

Eine serviceverknüpfte Rolle vereinfacht das Einrichten von Security Hub, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. Security Hub definiert die Berechtigungen seiner serviceverknüpften Rolle. Sofern keine andere Konfiguration festgelegt wurde, kann nur Security Hub die Rolle übernehmen. Die definierten Berechtigungen umfassen die Vertrauensrichtlinie und die Berechtigungsrichtlinie. Sie können diese Berechtigungsrichtlinie keiner anderen IAM-Entität anfügen.

Um die Details der serviceverknüpften Rolle anzuzeigen, wählen Sie auf der Seite Einstellungen der Security Hub-Konsole Allgemein und dann Serviceberechtigungen anzeigen aus.

Sie können die serviceverknüpfte Security Hub-Rolle erst löschen, nachdem Sie Security Hub zum ersten Mal in allen Regionen deaktiviert haben, in denen sie aktiviert ist. Dies schützt Ihre Security Hub-Ressourcen, da Sie nicht versehentlich Berechtigungen für den Zugriff auf sie entfernen können.

Informationen zu anderen Services, die serviceverknüpfte Rollen unterstützen, finden Sie unter -AWSServices, die mit IAM funktionieren im IAM-Benutzerhandbuch und suchen Sie die Services, für die Ja in der Spalte Serviceverknüpfte Rolle angegeben ist. Wählen Sie über einen Link Ja aus, um die Dokumentation zu einer serviceverknüpften Rolle für diesen Service anzuzeigen.

Berechtigungen von serviceverknüpften Rollen für Security Hub

Security Hub verwendet die serviceverknüpfte Rolle namens AWSServiceRoleForSecurityHub. Es handelt sich AWS Security Hub um eine serviceverknüpfte Rolle, die für den Zugriff auf Ihre -Ressourcen erforderlich ist. Mit der serviceverknüpften Rolle kann Security Hub Ergebnisse von anderen empfangen AWS-Services und die erforderliche AWS Config Infrastruktur konfigurieren, um Sicherheitsprüfungen für Kontrollen durchzuführen.

Die serviceverknüpfte Rolle AWSServiceRoleForSecurityHub vertraut darauf, dass die folgenden Services die Rolle annehmen:

  • securityhub.amazonaws.com

Die serviceverknüpfte Rolle AWSServiceRoleForSecurityHub verwendet die verwaltete Richtlinie AWSSecurityHubServiceRolePolicy.

Sie müssen Berechtigungen erteilen, damit eine IAM-Identität (z. B. eine Rolle, Gruppe oder ein Benutzer) eine serviceverknüpfte Rolle erstellen, bearbeiten oder löschen kann. Damit die AWSServiceRoleForSecurityHub serviceverknüpfte Rolle erfolgreich erstellt werden kann, muss die IAM-Identität, die Sie für den Zugriff auf Security Hub verwenden, über die erforderlichen Berechtigungen verfügen. Um die erforderlichen Berechtigungen zu erteilen, fügen Sie die folgende Richtlinie an die Rolle, Gruppe oder den Benutzer an.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "securityhub:*", "Resource": "*" }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringLike": { "iam:AWSServiceName": "securityhub.amazonaws.com" } } } ] }

Erstellen einer serviceverknüpften Rolle für Security Hub

Die AWSServiceRoleForSecurityHub serviceverknüpfte Rolle wird automatisch erstellt, wenn Sie Security Hub zum ersten Mal aktivieren oder Security Hub in einer unterstützten Region aktivieren, in der Sie sie zuvor nicht aktiviert haben. Sie können die serviceverknüpfte Rolle namens AWSServiceRoleForSecurityHub auch manuell erstellen, indem Sie die IAM-Konsole, die CLI oder die IAM-API verwenden.

Wichtig

Die serviceverknüpfte Rolle, die für das Security Hub-Administratorkonto erstellt wird, gilt nicht für die Security Hub-Mitgliedskonten.

Weitere Informationen zum Erstellen von IAM-Rollen finden Sie unter Erstellen einer serviceverknüpften Rolle im IAM-Benutzerhandbuch.

Bearbeiten einer serviceverknüpften Rolle für Security Hub

Security Hub erlaubt es Ihnen nicht, die AWSServiceRoleForSecurityHub serviceverknüpfte Rolle zu bearbeiten. Nachdem Sie eine serviceverknüpfte Rolle erstellt haben, können Sie den Namen der Rolle nicht mehr ändern, da verschiedene Entitäten auf die Rolle verweisen könnten. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter Bearbeiten einer serviceverknüpften Rolle im IAM-Benutzerhandbuch.

Löschen einer serviceverknüpften Rolle für Security Hub

Wenn Sie ein Feature oder einen Service, die bzw. der eine serviceverknüpfte Rolle erfordert, nicht mehr benötigen, sollten Sie diese Rolle löschen. Auf diese Weise ist keine ungenutzte Entität vorhanden, die nicht aktiv überwacht oder verwaltet wird.

Wichtig

Um die AWSServiceRoleForSecurityHub serviceverknüpfte Rolle zu löschen, müssen Sie zuerst Security Hub in allen Regionen deaktivieren, in denen es aktiviert ist.

Wenn Security Hub nicht deaktiviert ist, wenn Sie versuchen, die serviceverknüpfte Rolle zu löschen, schlägt das Löschen fehl. Weitere Informationen finden Sie unter Security Hub deaktivieren.

Wenn Sie Security Hub deaktivieren, wird die AWSServiceRoleForSecurityHub serviceverknüpfte Rolle nicht automatisch gelöscht. Wenn Sie Security Hub erneut aktivieren, wird die vorhandene AWSServiceRoleForSecurityHub serviceverknüpfte Rolle verwendet.

So löschen Sie die serviceverknüpfte Rolle mit IAM

Sie können die IAM-Konsole, die IAM-CLI oder die IAM-API verwenden, um die AWSServiceRoleForSecurityHub-serviceverknüpfte Rolle zu löschen. Weitere Informationen finden Sie unter Löschen einer serviceverknüpften Rolle im IAM-Benutzerhandbuch.