Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
AWS politiche gestite per AWS Security Hub
Una politica AWS gestita è una politica autonoma creata e amministrata da AWS. AWS le politiche gestite sono progettate per fornire autorizzazioni per molti casi d'uso comuni, in modo da poter iniziare ad assegnare autorizzazioni a utenti, gruppi e ruoli.
Tieni presente che le policy AWS gestite potrebbero non concedere le autorizzazioni con il privilegio minimo per i tuoi casi d'uso specifici, poiché sono disponibili per tutti i clienti. AWS Ti consigliamo pertanto di ridurre ulteriormente le autorizzazioni definendo policy gestite dal cliente specifiche per i tuoi casi d'uso.
Non è possibile modificare le autorizzazioni definite nelle politiche gestite. AWS Se AWS aggiorna le autorizzazioni definite in una politica AWS gestita, l'aggiornamento ha effetto su tutte le identità principali (utenti, gruppi e ruoli) a cui è associata la politica. AWS è più probabile che aggiorni una policy AWS gestita quando ne Servizio AWS viene lanciata una nuova o quando diventano disponibili nuove API operazioni per i servizi esistenti.
Per ulteriori informazioni, consulta le politiche AWS gestite nella Guida IAM per l'utente.
AWS politica gestita: AWSSecurityHubFullAccess
Puoi allegare la AWSSecurityHubFullAccess politica alle tue IAM identità.
Questa politica concede autorizzazioni amministrative che consentono l'accesso completo principale a tutte le azioni del Security Hub. Questa politica deve essere associata a un principale prima che quest'ultimo abiliti manualmente Security Hub per il proprio account. Ad esempio, i responsabili con queste autorizzazioni possono sia visualizzare che aggiornare lo stato dei risultati. Possono configurare approfondimenti personalizzati e abilitare integrazioni. Possono abilitare e disabilitare standard e controlli. I responsabili di un account amministratore possono anche gestire gli account dei membri.
Dettagli dell'autorizzazione
Questa policy include le seguenti autorizzazioni:
-
securityhub— Consente ai responsabili l'accesso completo a tutte le azioni del Security Hub. -
guardduty— Consente ai responsabili di ottenere informazioni sullo stato dell'account in Amazon GuardDuty. -
iam— Consente ai dirigenti di creare un ruolo collegato al servizio. -
inspector— Consente ai responsabili di ottenere informazioni sullo stato dell'account in Amazon Inspector. -
pricing— Consente ai committenti di ottenere un listino prezzi e prodotti. Servizi AWS
{ "Version": "2012-10-17", "Statement": [ { "Sid": "SecurityHubAllowAll", "Effect": "Allow", "Action": "securityhub:*", "Resource": "*" }, { "Sid": "SecurityHubServiceLinkedRole", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringLike": { "iam:AWSServiceName": "securityhub.amazonaws.com" } } }, { "Sid": "OtherServicePermission", "Effect": "Allow", "Action": [ "guardduty:GetDetector", "guardduty:ListDetectors", "inspector2:BatchGetAccountStatus", "pricing:GetProducts" ], "Resource": "*" } ] }
Politica gestita da Security Hub: AWSSecurityHubReadOnlyAccess
Puoi allegare la AWSSecurityHubReadOnlyAccess policy alle tue IAM identità.
Questa politica concede autorizzazioni di sola lettura che consentono agli utenti di visualizzare le informazioni in Security Hub. I responsabili a cui è allegata questa politica non possono effettuare aggiornamenti in Security Hub. Ad esempio, i responsabili con queste autorizzazioni possono visualizzare l'elenco dei risultati associati al proprio account, ma non possono modificare lo stato di un risultato. Possono visualizzare i risultati degli approfondimenti, ma non possono creare o configurare approfondimenti personalizzati. Non possono configurare controlli o integrazioni di prodotti.
Dettagli dell'autorizzazione
Questa policy include le seguenti autorizzazioni:
-
securityhub— Consente agli utenti di eseguire azioni che restituiscono un elenco di elementi o dettagli su un elemento. Sono incluse API le operazioni che iniziano conGetList, oDescribe.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSSecurityHubReadOnlyAccess", "Effect": "Allow", "Action": [ "securityhub:Get*", "securityhub:List*", "securityhub:BatchGet*", "securityhub:Describe*" ], "Resource": "*" } ] }
AWS politica gestita: AWSSecurityHubOrganizationsAccess
Puoi allegare la AWSSecurityHubOrganizationsAccess politica alle tue IAM identità.
Questa politica concede le autorizzazioni amministrative necessarie per supportare l'integrazione del Security Hub con Organizations. AWS Organizations
Queste autorizzazioni consentono all'account di gestione dell'organizzazione di designare l'account amministratore delegato per Security Hub. Consentono inoltre all'account amministratore delegato di Security Hub di abilitare gli account dell'organizzazione come account membro.
Questa politica fornisce solo le autorizzazioni per Organizations. L'account di gestione dell'organizzazione e l'account amministratore delegato di Security Hub richiedono anche le autorizzazioni per le azioni associate in Security Hub. Queste autorizzazioni possono essere concesse utilizzando la politica gestitaAWSSecurityHubFullAccess.
Dettagli dell'autorizzazione
Questa policy include le seguenti autorizzazioni:
-
organizations:ListAccounts— Consente ai responsabili di recuperare l'elenco degli account che fanno parte di un'organizzazione. -
organizations:DescribeOrganization— Consente ai dirigenti di recuperare informazioni sull'organizzazione. -
organizations:ListRoots— Consente ai dirigenti di elencare la radice di un'organizzazione. -
organizations:ListDelegatedAdministrators— Consente ai dirigenti di elencare l'amministratore delegato di un'organizzazione. -
organizations:ListAWSServiceAccessForOrganization— Consente ai dirigenti di elencare le informazioni utilizzate da un' Servizi AWS organizzazione. -
organizations:ListOrganizationalUnitsForParent— Consente ai responsabili di elencare le unità organizzative (OU) secondarie di un'unità organizzativa principale. -
organizations:ListAccountsForParent— Consente ai responsabili di elencare gli account secondari di un'unità organizzativa principale. -
organizations:DescribeAccount— Consente ai responsabili di recuperare informazioni su un account dell'organizzazione. -
organizations:DescribeOrganizationalUnit— Consente ai responsabili di recuperare informazioni su un'unità organizzativa all'interno dell'organizzazione. -
organizations:DescribeOrganization— Consente ai responsabili di recuperare informazioni sulla configurazione dell'organizzazione. -
organizations:EnableAWSServiceAccess— Consente ai responsabili di abilitare l'integrazione del Security Hub con Organizations. -
organizations:RegisterDelegatedAdministrator— Consente ai responsabili di designare l'account amministratore delegato per Security Hub. -
organizations:DeregisterDelegatedAdministrator— Consente ai responsabili di rimuovere l'account amministratore delegato per Security Hub.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "OrganizationPermissions", "Effect": "Allow", "Action": [ "organizations:ListAccounts", "organizations:DescribeOrganization", "organizations:ListRoots", "organizations:ListDelegatedAdministrators", "organizations:ListAWSServiceAccessForOrganization", "organizations:ListOrganizationalUnitsForParent", "organizations:ListAccountsForParent", "organizations:DescribeAccount", "organizations:DescribeOrganizationalUnit" ], "Resource": "*" }, { "Sid": "OrganizationPermissionsEnable", "Effect": "Allow", "Action": "organizations:EnableAWSServiceAccess", "Resource": "*", "Condition": { "StringEquals": { "organizations:ServicePrincipal": "securityhub.amazonaws.com" } } }, { "Sid": "OrganizationPermissionsDelegatedAdmin", "Effect": "Allow", "Action": [ "organizations:RegisterDelegatedAdministrator", "organizations:DeregisterDelegatedAdministrator" ], "Resource": "arn:aws:organizations::*:account/o-*/*", "Condition": { "StringEquals": { "organizations:ServicePrincipal": "securityhub.amazonaws.com" } } } ] }
AWS politica gestita: AWSSecurityHubServiceRolePolicy
Non puoi collegarti AWSSecurityHubServiceRolePolicy alle tue IAM entità. Questa policy è associata a un ruolo collegato al servizio che consente a Security Hub di eseguire azioni per conto dell'utente. Per ulteriori informazioni, consulta Ruoli collegati ai servizi per Security Hub.
Questa politica concede autorizzazioni amministrative che consentono al ruolo collegato al servizio di eseguire i controlli di sicurezza per i controlli del Security Hub.
Dettagli dell'autorizzazione
Questa policy include le autorizzazioni per eseguire le seguenti operazioni:
-
cloudtrail— Recupera informazioni sui sentieri. CloudTrail -
cloudwatch— Recupera gli allarmi correnti CloudWatch . -
logs— Recupera i filtri metrici per i log. CloudWatch -
sns— Recupera l'elenco delle sottoscrizioni a un argomento. SNS -
config— Recupera informazioni sui registratori di configurazione, sulle risorse e sulle regole. AWS Config Consente inoltre al ruolo collegato al servizio di creare ed eliminare AWS Config regole e di eseguire valutazioni in base alle regole. -
iam— Ottieni e genera report sulle credenziali per gli account. -
organizations— Recupera informazioni sull'account e sull'unità organizzativa (OU) di un'organizzazione. -
securityhub— Recupera informazioni sulla configurazione del servizio, degli standard e dei controlli del Security Hub. -
tag— Recupera informazioni sui tag delle risorse.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "SecurityHubServiceRolePermissions", "Effect": "Allow", "Action": [ "cloudtrail:DescribeTrails", "cloudtrail:GetTrailStatus", "cloudtrail:GetEventSelectors", "cloudwatch:DescribeAlarms", "cloudwatch:DescribeAlarmsForMetric", "logs:DescribeMetricFilters", "sns:ListSubscriptionsByTopic", "config:DescribeConfigurationRecorders", "config:DescribeConfigurationRecorderStatus", "config:DescribeConfigRules", "config:DescribeConfigRuleEvaluationStatus", "config:BatchGetResourceConfig", "config:SelectResourceConfig", "iam:GenerateCredentialReport", "organizations:ListAccounts", "config:PutEvaluations", "tag:GetResources", "iam:GetCredentialReport", "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:ListChildren", "organizations:ListAWSServiceAccessForOrganization", "organizations:DescribeOrganizationalUnit", "securityhub:BatchDisableStandards", "securityhub:BatchEnableStandards", "securityhub:BatchUpdateStandardsControlAssociations", "securityhub:BatchGetSecurityControls", "securityhub:BatchGetStandardsControlAssociations", "securityhub:CreateMembers", "securityhub:DeleteMembers", "securityhub:DescribeHub", "securityhub:DescribeOrganizationConfiguration", "securityhub:DescribeStandards", "securityhub:DescribeStandardsControls", "securityhub:DisassociateFromAdministratorAccount", "securityhub:DisassociateMembers", "securityhub:DisableSecurityHub", "securityhub:EnableSecurityHub", "securityhub:GetEnabledStandards", "securityhub:ListStandardsControlAssociations", "securityhub:ListSecurityControlDefinitions", "securityhub:UpdateOrganizationConfiguration", "securityhub:UpdateSecurityControl", "securityhub:UpdateSecurityHubConfiguration", "securityhub:UpdateStandardsControl", "tag:GetResources" ], "Resource": "*" }, { "Sid": "SecurityHubServiceRoleConfigPermissions", "Effect": "Allow", "Action": [ "config:PutConfigRule", "config:DeleteConfigRule", "config:GetComplianceDetailsByConfigRule" ], "Resource": "arn:aws:config:*:*:config-rule/aws-service-rule/*securityhub*" }, { "Sid": "SecurityHubServiceRoleOrganizationsPermissions", "Effect": "Allow", "Action": [ "organizations:ListDelegatedAdministrators" ], "Resource": "*", "Condition": { "StringEquals": { "organizations:ServicePrincipal": [ "securityhub.amazonaws.com" ] } } } ] }
Aggiornamenti del Security Hub alle policy AWS gestite
Visualizza i dettagli sugli aggiornamenti delle politiche AWS gestite per Security Hub da quando questo servizio ha iniziato a tenere traccia di queste modifiche. Per ricevere avvisi automatici sulle modifiche a questa pagina, iscriviti al RSS feed nella pagina della cronologia dei documenti di Security Hub.
| Modifica | Descrizione | Data |
|---|---|---|
| AWSSecurityHubFullAccess— Aggiornamento a una politica esistente | Security Hub ha aggiornato la politica per ottenere dettagli sui prezzi Servizi AWS e sui prodotti. | 24 aprile 2024 |
| AWSSecurityHubReadOnlyAccess— Aggiornamento a una politica esistente | Security Hub ha aggiornato questa politica gestita aggiungendo un Sid campo. |
22 febbraio 2024 |
| AWSSecurityHubFullAccess— Aggiornamento a una politica esistente | Security Hub ha aggiornato la policy in modo da determinare se Amazon GuardDuty e Amazon Inspector sono abilitati in un account. Questo aiuta i clienti a riunire più informazioni relative alla sicurezza. Servizi AWS | 16 novembre 2023 |
| AWSSecurityHubOrganizationsAccess— Aggiornamento a una politica esistente | Security Hub ha aggiornato la politica per concedere autorizzazioni aggiuntive per consentire l'accesso in sola lettura alle funzionalità di amministratore AWS Organizations delegato. Ciò include dettagli come la radice, le unità organizzative (OUs), gli account, la struttura organizzativa e l'accesso al servizio. | 16 novembre 2023 |
| AWSSecurityHubServiceRolePolicy: aggiornamento a una policy esistente | Security Hub ha aggiunto BatchGetSecurityControls le DisassociateFromAdministratorAccount autorizzazioni e UpdateSecurityControl le autorizzazioni per leggere e aggiornare le proprietà di controllo di sicurezza personalizzabili. |
26 novembre 2023 |
| AWSSecurityHubServiceRolePolicy: aggiornamento a una policy esistente | Security Hub ha aggiunto l'tag:GetResourcesautorizzazione a leggere i tag delle risorse relativi ai risultati. |
7 novembre 2023 |
| AWSSecurityHubServiceRolePolicy: aggiornamento a una policy esistente | Security Hub ha aggiunto l'BatchGetStandardsControlAssociationsautorizzazione per ottenere informazioni sullo stato di attivazione di un controllo in uno standard. |
27 settembre 2023 |
| AWSSecurityHubServiceRolePolicy: aggiornamento a una policy esistente | Security Hub ha aggiunto nuove autorizzazioni per ottenere AWS Organizations dati e leggere e aggiornare le configurazioni del Security Hub, inclusi standard e controlli. | 20 settembre 2023 |
| AWSSecurityHubServiceRolePolicy: aggiornamento a una policy esistente | Security Hub ha spostato l'config:DescribeConfigRuleEvaluationStatusautorizzazione esistente in una dichiarazione diversa all'interno della policy. L'config:DescribeConfigRuleEvaluationStatusautorizzazione è ora applicata a tutte le risorse. |
17 marzo 2023 |
| AWSSecurityHubServiceRolePolicy: aggiornamento a una policy esistente | Security Hub ha spostato l'config:PutEvaluationsautorizzazione esistente in una dichiarazione diversa all'interno della policy. L'config:PutEvaluationsautorizzazione è ora applicata a tutte le risorse. |
14 luglio 2021 |
| AWSSecurityHubServiceRolePolicy: aggiornamento a una policy esistente | Security Hub ha aggiunto una nuova autorizzazione per consentire al ruolo collegato al servizio di fornire risultati di valutazione. AWS Config | 29 giugno 2021 |
| AWSSecurityHubServiceRolePolicy— Aggiunto all'elenco delle politiche gestite | Sono state aggiunte informazioni sulla politica gestita AWSSecurityHubServiceRolePolicy, utilizzata dal ruolo collegato al servizio Security Hub. | 11 giugno 2021 |
| AWSSecurityHubOrganizationsAccess— Nuova politica | Security Hub ha aggiunto una nuova politica che concede le autorizzazioni necessarie per l'integrazione del Security Hub con Organizations. | 15 marzo 2021 |
| Security Hub ha iniziato a tracciare le modifiche | Security Hub ha iniziato a tracciare le modifiche per le sue politiche AWS gestite. | 15 marzo 2021 |
