Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
AWS politiques gérées pour AWS Security Hub
Une politique AWS gérée est une politique autonome créée et administrée par AWS. AWS les politiques gérées sont conçues pour fournir des autorisations pour de nombreux cas d'utilisation courants afin que vous puissiez commencer à attribuer des autorisations aux utilisateurs, aux groupes et aux rôles.
N'oubliez pas que les politiques AWS gérées peuvent ne pas accorder d'autorisations de moindre privilège pour vos cas d'utilisation spécifiques, car elles sont accessibles à tous les AWS clients. Nous vous recommandons de réduire encore les autorisations en définissant des politiques gérées par le client qui sont propres à vos cas d’utilisation.
Vous ne pouvez pas modifier les autorisations définies dans les politiques AWS gérées. Si les autorisations définies dans une politique AWS gérée sont AWS mises à jour, la mise à jour affecte toutes les identités principales (utilisateurs, groupes et rôles) auxquelles la politique est attachée. AWS est le plus susceptible de mettre à jour une politique AWS gérée lorsqu'une nouvelle Service AWS est lancée ou que de nouvelles API opérations sont disponibles pour les services existants.
Pour plus d’informations, consultez la rubrique AWS Politiques gérées dans le IAMGuide de l’utilisateur.
AWS politique gérée : AWSSecurityHubFullAccess
Vous pouvez attacher la politique AWSSecurityHubFullAccess à vos identités IAM.
Cette politique accorde des autorisations administratives qui permettent un accès complet principal à toutes les actions du Security Hub. Cette politique doit être attachée à un mandant avant qu'il n'active Security Hub manuellement pour son compte. Par exemple, les responsables disposant de ces autorisations peuvent à la fois consulter et mettre à jour l'état des résultats. Ils peuvent configurer des informations personnalisées et activer des intégrations. Ils peuvent activer et désactiver les normes et les contrôles. Les titulaires d'un compte administrateur peuvent également gérer les comptes des membres.
Détails de l’autorisation
Cette politique inclut les autorisations suivantes.
-
securityhub— Permet aux principaux un accès complet à toutes les actions du Security Hub. -
guardduty— Permet aux principaux d'obtenir des informations sur l'état du compte sur Amazon GuardDuty. -
iam— Permet aux principaux de créer un rôle lié à un service. -
inspector— Permet aux principaux d'obtenir des informations sur l'état du compte dans Amazon Inspector. -
pricing— Permet aux donneurs d'ordre d'obtenir une liste de prix Services AWS et de produits.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "SecurityHubAllowAll", "Effect": "Allow", "Action": "securityhub:*", "Resource": "*" }, { "Sid": "SecurityHubServiceLinkedRole", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringLike": { "iam:AWSServiceName": "securityhub.amazonaws.com" } } }, { "Sid": "OtherServicePermission", "Effect": "Allow", "Action": [ "guardduty:GetDetector", "guardduty:ListDetectors", "inspector2:BatchGetAccountStatus", "pricing:GetProducts" ], "Resource": "*" } ] }
Politique gérée par Security Hub : AWSSecurityHubReadOnlyAccess
Vous pouvez attacher la politique AWSSecurityHubReadOnlyAccess à vos identités IAM.
Cette politique accorde des autorisations en lecture seule qui permettent aux utilisateurs de consulter les informations dans Security Hub. Les responsables auxquels cette politique est attachée ne peuvent effectuer aucune mise à jour dans Security Hub. Par exemple, les directeurs disposant de ces autorisations peuvent consulter la liste des résultats associés à leur compte, mais ne peuvent pas modifier le statut d'un résultat. Ils peuvent consulter les résultats des informations, mais ne peuvent pas créer ou configurer des informations personnalisées. Ils ne peuvent pas configurer les contrôles ou les intégrations de produits.
Détails de l’autorisation
Cette politique inclut les autorisations suivantes.
-
securityhub— Permet aux utilisateurs d'effectuer des actions qui renvoient soit une liste d'éléments, soit des détails sur un élément. Cela inclut API les opérations qui commencent parGetList, ouDescribe.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSSecurityHubReadOnlyAccess", "Effect": "Allow", "Action": [ "securityhub:Get*", "securityhub:List*", "securityhub:BatchGet*", "securityhub:Describe*" ], "Resource": "*" } ] }
AWS politique gérée : AWSSecurityHubOrganizationsAccess
Vous pouvez attacher la politique AWSSecurityHubOrganizationsAccess à vos identités IAM.
Cette politique accorde les autorisations administratives requises pour prendre en AWS Organizations charge l'intégration de Security Hub avec Organizations.
Ces autorisations permettent au compte de gestion de l'organisation de désigner le compte d'administrateur délégué pour Security Hub. Ils permettent également au compte administrateur délégué du Security Hub d'activer les comptes de l'organisation en tant que comptes de membres.
Cette politique fournit uniquement les autorisations aux Organizations. Le compte de gestion de l'organisation et le compte administrateur délégué du Security Hub nécessitent également des autorisations pour les actions associées dans Security Hub. Ces autorisations peuvent être accordées à l'aide de la politique AWSSecurityHubFullAccess gérée.
Détails de l’autorisation
Cette politique inclut les autorisations suivantes.
-
organizations:ListAccounts— Permet aux principaux de récupérer la liste des comptes faisant partie d'une organisation. -
organizations:DescribeOrganization— Permet aux directeurs de récupérer des informations sur l'organisation. -
organizations:ListRoots— Permet aux directeurs de répertorier la racine d'une organisation. -
organizations:ListDelegatedAdministrators— Permet aux principaux de répertorier l'administrateur délégué d'une organisation. -
organizations:ListAWSServiceAccessForOrganization— Permet aux directeurs de répertorier les informations Services AWS utilisées par une organisation. -
organizations:ListOrganizationalUnitsForParent— Permet aux directeurs de répertorier les unités organisationnelles (UO) enfants d'une UO parent. -
organizations:ListAccountsForParent— Permet aux directeurs de répertorier les comptes enfants d'une unité d'organisation parent. -
organizations:DescribeAccount: autorise les principaux à extraire des informations sur un compte dans l’organisation. -
organizations:DescribeOrganizationalUnit— Permet aux directeurs de récupérer des informations sur une unité organisationnelle de l'organisation. -
organizations:DescribeOrganization: autorise les principaux à extraire des informations sur la configuration de l’organisation. -
organizations:EnableAWSServiceAccess— Permet aux responsables d'activer l'intégration de Security Hub avec Organizations. -
organizations:RegisterDelegatedAdministrator— Permet aux principaux de désigner le compte d'administrateur délégué pour Security Hub. -
organizations:DeregisterDelegatedAdministrator— Permet aux principaux de supprimer le compte d'administrateur délégué pour Security Hub.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "OrganizationPermissions", "Effect": "Allow", "Action": [ "organizations:ListAccounts", "organizations:DescribeOrganization", "organizations:ListRoots", "organizations:ListDelegatedAdministrators", "organizations:ListAWSServiceAccessForOrganization", "organizations:ListOrganizationalUnitsForParent", "organizations:ListAccountsForParent", "organizations:DescribeAccount", "organizations:DescribeOrganizationalUnit" ], "Resource": "*" }, { "Sid": "OrganizationPermissionsEnable", "Effect": "Allow", "Action": "organizations:EnableAWSServiceAccess", "Resource": "*", "Condition": { "StringEquals": { "organizations:ServicePrincipal": "securityhub.amazonaws.com" } } }, { "Sid": "OrganizationPermissionsDelegatedAdmin", "Effect": "Allow", "Action": [ "organizations:RegisterDelegatedAdministrator", "organizations:DeregisterDelegatedAdministrator" ], "Resource": "arn:aws:organizations::*:account/o-*/*", "Condition": { "StringEquals": { "organizations:ServicePrincipal": "securityhub.amazonaws.com" } } } ] }
AWS politique gérée : AWSSecurityHubServiceRolePolicy
Vous ne pouvez pas joindre de AWSSecurityHubServiceRolePolicy à vos entités IAM. Cette politique est associée à un rôle lié à un service qui permet à Security Hub d'effectuer des actions en votre nom. Pour de plus amples informations, veuillez consulter Rôles liés à un service pour Security Hub.
Cette politique accorde des autorisations administratives qui permettent au rôle lié au service d'effectuer les contrôles de sécurité pour les contrôles du Security Hub.
Détails de l’autorisation
Cette politique inclut les autorisations pour effectuer les opérations suivantes :
-
cloudtrail— Récupérez des informations sur CloudTrail les sentiers. -
cloudwatch— Récupère les CloudWatch alarmes en cours. -
logs— Récupère les filtres métriques pour les CloudWatch journaux. -
sns— Récupère la liste des abonnements à un SNS sujet. -
config— Récupérez des informations sur les enregistreurs de configuration, les ressources et AWS Config les règles. Permet également au rôle lié au service de créer et de supprimer des AWS Config règles, et d'exécuter des évaluations par rapport aux règles. -
iam— Obtenez et générez des rapports d'identification pour les comptes. -
organizations— Récupérez les informations relatives au compte et à l'unité organisationnelle (UO) d'une organisation. -
securityhub— Récupérez des informations sur la manière dont le service, les normes et les contrôles Security Hub sont configurés. -
tag— Récupère des informations sur les balises de ressources.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "SecurityHubServiceRolePermissions", "Effect": "Allow", "Action": [ "cloudtrail:DescribeTrails", "cloudtrail:GetTrailStatus", "cloudtrail:GetEventSelectors", "cloudwatch:DescribeAlarms", "cloudwatch:DescribeAlarmsForMetric", "logs:DescribeMetricFilters", "sns:ListSubscriptionsByTopic", "config:DescribeConfigurationRecorders", "config:DescribeConfigurationRecorderStatus", "config:DescribeConfigRules", "config:DescribeConfigRuleEvaluationStatus", "config:BatchGetResourceConfig", "config:SelectResourceConfig", "iam:GenerateCredentialReport", "organizations:ListAccounts", "config:PutEvaluations", "tag:GetResources", "iam:GetCredentialReport", "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:ListChildren", "organizations:ListAWSServiceAccessForOrganization", "organizations:DescribeOrganizationalUnit", "securityhub:BatchDisableStandards", "securityhub:BatchEnableStandards", "securityhub:BatchUpdateStandardsControlAssociations", "securityhub:BatchGetSecurityControls", "securityhub:BatchGetStandardsControlAssociations", "securityhub:CreateMembers", "securityhub:DeleteMembers", "securityhub:DescribeHub", "securityhub:DescribeOrganizationConfiguration", "securityhub:DescribeStandards", "securityhub:DescribeStandardsControls", "securityhub:DisassociateFromAdministratorAccount", "securityhub:DisassociateMembers", "securityhub:DisableSecurityHub", "securityhub:EnableSecurityHub", "securityhub:GetEnabledStandards", "securityhub:ListStandardsControlAssociations", "securityhub:ListSecurityControlDefinitions", "securityhub:UpdateOrganizationConfiguration", "securityhub:UpdateSecurityControl", "securityhub:UpdateSecurityHubConfiguration", "securityhub:UpdateStandardsControl", "tag:GetResources" ], "Resource": "*" }, { "Sid": "SecurityHubServiceRoleConfigPermissions", "Effect": "Allow", "Action": [ "config:PutConfigRule", "config:DeleteConfigRule", "config:GetComplianceDetailsByConfigRule" ], "Resource": "arn:aws:config:*:*:config-rule/aws-service-rule/*securityhub*" }, { "Sid": "SecurityHubServiceRoleOrganizationsPermissions", "Effect": "Allow", "Action": [ "organizations:ListDelegatedAdministrators" ], "Resource": "*", "Condition": { "StringEquals": { "organizations:ServicePrincipal": [ "securityhub.amazonaws.com" ] } } } ] }
Mises à jour des politiques AWS gérées par Security Hub
Consultez les informations relatives aux mises à jour des politiques AWS gérées pour Security Hub depuis que ce service a commencé à suivre ces modifications. Pour recevoir des alertes automatiques concernant les modifications apportées à cette page, abonnez-vous au RSS fil d'actualité sur la page d'historique des documents du Security Hub.
| Modification | Description | Date |
|---|---|---|
| AWSSecurityHubFullAccess— Mise à jour d'une politique existante | Security Hub a mis à jour la politique afin d'obtenir des informations sur les prix Services AWS et les produits. | 24 avril 2024 |
| AWSSecurityHubReadOnlyAccess— Mise à jour d'une politique existante | Security Hub a mis à jour cette politique gérée en ajoutant un Sid champ. |
22 février 2024 |
| AWSSecurityHubFullAccess— Mise à jour d'une politique existante | Security Hub a mis à jour la politique afin de déterminer si Amazon GuardDuty et Amazon Inspector sont activés dans un compte. Cela permet aux clients de rassembler des informations relatives à la sécurité provenant de plusieurs sources. Services AWS | 16 novembre 2023 |
| AWSSecurityHubOrganizationsAccess— Mise à jour d'une politique existante | Security Hub a mis à jour la politique afin d'accorder des autorisations supplémentaires afin de permettre un accès en lecture seule aux fonctionnalités d'administrateur AWS Organizations délégué. Cela inclut des détails tels que la racine, les unités organisationnelles (OUs), les comptes, la structure organisationnelle et l'accès aux services. | 16 novembre 2023 |
| AWSSecurityHubServiceRolePolicy – Mise à jour d’une politique existante | Security Hub a ajouté les UpdateSecurityControl autorisations BatchGetSecurityControlsDisassociateFromAdministratorAccount, et pour lire et mettre à jour les propriétés de contrôle de sécurité personnalisables. |
26 novembre 2023 |
| AWSSecurityHubServiceRolePolicy – Mise à jour d’une politique existante | Security Hub a ajouté l'tag:GetResourcesautorisation de lire les balises de ressources associées aux résultats. |
7 novembre 2023 |
| AWSSecurityHubServiceRolePolicy – Mise à jour d’une politique existante | Security Hub a ajouté l'BatchGetStandardsControlAssociationsautorisation d'obtenir des informations sur l'état d'activation d'un contrôle dans une norme. |
27 septembre 2023 |
| AWSSecurityHubServiceRolePolicy – Mise à jour d’une politique existante | Security Hub a ajouté de nouvelles autorisations pour obtenir AWS Organizations des données, lire et mettre à jour les configurations du Security Hub, y compris les normes et les contrôles. | 20 septembre 2023 |
| AWSSecurityHubServiceRolePolicy – Mise à jour d’une politique existante | Security Hub a déplacé l'config:DescribeConfigRuleEvaluationStatusautorisation existante vers une autre déclaration au sein de la politique. L'config:DescribeConfigRuleEvaluationStatusautorisation est désormais appliquée à toutes les ressources. |
17 mars 2023 |
| AWSSecurityHubServiceRolePolicy – Mise à jour d’une politique existante | Security Hub a déplacé l'config:PutEvaluationsautorisation existante vers une autre déclaration au sein de la politique. L'config:PutEvaluationsautorisation est désormais appliquée à toutes les ressources. |
14 juillet 2021 |
| AWSSecurityHubServiceRolePolicy – Mise à jour d’une politique existante | Security Hub a ajouté une nouvelle autorisation pour permettre au rôle lié au service de fournir des résultats d'évaluation à. AWS Config | 29 juin 2021 |
| AWSSecurityHubServiceRolePolicy— Ajouté à la liste des politiques gérées | Ajout d'informations sur la politique gérée AWSSecurityHubServiceRolePolicy, qui est utilisée par le rôle lié au service Security Hub. | 11 juin 2021 |
| AWSSecurityHubOrganizationsAccess— Nouvelle politique | Security Hub a ajouté une nouvelle politique qui accorde les autorisations nécessaires à l'intégration de Security Hub avec Organizations. | 15 mars 2021 |
| Security Hub a commencé à suivre les modifications | Security Hub a commencé à suivre les modifications apportées AWS à ses politiques gérées. | 15 mars 2021 |
