Funciones vinculadas a servicios para Security Hub - AWS Security Hub

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Funciones vinculadas a servicios para Security Hub

AWS Security Hubutiliza un rol vinculado a un servicio AWS Identity and Access Management (IAM) denominado. AWSServiceRoleForSecurityHub Esta función vinculada a un servicio es una función de IAM que está vinculada directamente a Security Hub. Está predefinido por Security Hub e incluye todos los permisos que Security Hub necesita para llamar a otros AWS recursos Servicios de AWS y supervisarlos en su nombre. Security Hub utiliza esta función vinculada a un servicio en todos los lugares en los Regiones de AWS que Security Hub esté disponible.

Un rol vinculado a un servicio simplifica la configuración de Security Hub porque ya no tendrá que agregar de forma manual los permisos necesarios. Security Hub define los permisos de su rol vinculado un servicio y, a menos que esté definido de otra manera, solo Security Hub puede asumir el rol. Los permisos definidos incluyen las políticas de confianza y de permisos, y no puede asociar esa política de permisos a ninguna otra entidad de IAM.

Para ver los detalles del rol vinculado a un servicio, en la página Configuración de la consola de Security Hub, seleccione General y, a continuación, Ver permisos del servicio.

Puede eliminar el rol vinculado a un servicio de Security Hub solo después de deshabilitar en primer lugar Security Hub en todas las regiones en las que se ha habilitado. De esta forma se protegen los recursos de Security Hub, ya que evita que se puedan eliminar accidentalmente permisos de acceso a estos recursos.

Para obtener información acerca de otros servicios que admiten roles vinculados a servicios, consulte Servicios de AWS que funcionan con IAM en la Guía del usuario de IAM y busque los servicios que tengan en la columna Roles vinculados a servicios. Elija una opción con un enlace para ver la documentación acerca del rol vinculado a servicios en cuestión.

Permisos de roles vinculados a servicios de Security Hub

Security Hub usa el rol vinculado a un servicio denominado AWSServiceRoleForSecurityHub. Es un rol vinculado a un servicio necesario para que AWS Security Hub acceda a sus recursos. El rol vinculado a un servicio permite que Security Hub reciba resultados de otros Servicios de AWS y configure la infraestructura de AWS Config necesaria para ejecutar controles de seguridad para los controles.

El rol vinculado al servicio AWSServiceRoleForSecurityHub depende de los siguientes servicios para asumir el rol:

  • securityhub.amazonaws.com

El rol vinculado al servicio AWSServiceRoleForSecurityHub utiliza la política administrada de AWSSecurityHubServiceRolePolicy.

Debe conceder permisos para permitir a una identidad de IAM (como un rol, grupo o usuario) crear, editar o eliminar un rol vinculado a un servicio. Para que el rol vinculado al servicio AWSServiceRoleForSecurityHub se cree correctamente, la identidad de IAM que usa para acceder a Security Hub debe tener los permisos necesarios. Para conceder los permisos necesarios, adjunte la siguiente política a un rol, un grupo o un usuario.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "securityhub:*", "Resource": "*" }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringLike": { "iam:AWSServiceName": "securityhub.amazonaws.com" } } } ] }

Creación de un rol vinculado a un servicio de Security Hub

El rol vinculado al servicio AWSServiceRoleForSecurityHub se crea automáticamente cuando se habilita Security Hub por primera vez o al habilitar Security Hub en una región compatible en la que no estaba habilitado. También puede crear el rol vinculado al servicio AWSServiceRoleForSecurityHub manualmente con la consola de IAM, la CLI de IAM o la API de IAM.

importante

El rol vinculado al servicio creado para la cuenta de administrador de Security Hub no es aplicable a cuentas miembro de Security Hub.

Para obtener más información acerca de cómo crear un rol manualmente, consulte Crear un rol vinculado a un servicio en la Guía del usuario de IAM.

Edición de un rol vinculado a un servicio de Security Hub

Security Hub no le permite modificar el rol vinculado al servicio AWSServiceRoleForSecurityHub. Después de crear un rol vinculado a un servicio, no puede cambiarle el nombre, ya que varias entidades pueden hacer referencia a él. Sin embargo, puede editar la descripción del rol mediante IAM. Para obtener más información, consulte Edición de un rol vinculado a un servicio en la Guía del usuario de IAM.

Eliminación de un rol vinculado a un servicio de Security Hub

Si ya no necesita utilizar una característica o servicio que requiere un rol vinculado a un servicio, recomendamos que elimine dicho rol. De esta forma, no tendrá una entidad no utilizada cuya supervisión o mantenimiento no se realizan de forma activa.

importante

Para eliminar el rol vinculado al servicio AWSServiceRoleForSecurityHub, primero debe deshabilitar Security Hub en todas las regiones donde está habilitado.

Si Security Hub está habilitado cuando intenta eliminar el rol vinculado al servicio, el rol no se eliminará. Para obtener más información, consulte Deshabilitación de Security Hub.

Cuando se deshabilita Security Hub, el rol vinculado al servicio AWSServiceRoleForSecurityHub no se deshabilita automáticamente. Si habilita Security Hub de nuevo, comienza a utilizar el rol vinculada al servicio AWSServiceRoleForSecurityHub existente.

Cómo eliminar manualmente el rol vinculado a servicios mediante IAM

Utilice la consola de IAM, la CLI de IAM o la API de IAM para eliminar el rol vinculado a servicios AWSServiceRoleForSecurityHub. Para obtener más información, consulte Eliminación de un rol vinculado a un servicio en la Guía del usuario de IAM.