Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Sicurezza in AWS Security Hub CSPM
La sicurezza del cloud AWS è la massima priorità. In qualità di AWS cliente, puoi beneficiare di un data center e di un'architettura di rete progettati per soddisfare i requisiti delle organizzazioni più sensibili alla sicurezza.
La sicurezza è una responsabilità condivisa tra AWS te e te. Il [modello di responsabilità condivisa](https://aws.amazon.com/compliance/shared-responsibility-model/) descrive questo come sicurezza *del* cloud e sicurezza *nel* cloud:
+ **Sicurezza del cloud**: AWS è responsabile della protezione dell'infrastruttura che gestisce AWS i servizi nel AWS cloud. AWS ti fornisce anche servizi che puoi utilizzare in modo sicuro. I revisori di terze parti testano e verificano regolarmente l'efficacia della sicurezza come parte dei [programmi di conformitàAWS](https://aws.amazon.com/compliance/programs/). Per ulteriori informazioni sui programmi di conformità che si applicano a AWS Security Hub CSPM, consulta [Servizi coperti dal programma di conformitàAWS](https://aws.amazon.com/compliance/services-in-scope/).
+ **Sicurezza nel cloud**: la tua responsabilità è determinata dal AWS servizio che utilizzi. L’utente è anche responsabile di altri fattori, tra cui la riservatezza dei dati, i requisiti della propria azienda e le leggi e normative vigenti.
Questa documentazione aiuta a capire come applicare il modello di responsabilità condivisa quando si utilizza Security Hub CSPM. I seguenti argomenti mostrano come configurare Security Hub CSPM per soddisfare gli obiettivi di sicurezza e conformità. Scopri anche come utilizzare altri AWS servizi che ti aiutano a monitorare e proteggere le risorse CSPM del Security Hub.
**Topics**
+ [Protezione dei dati in AWS Security Hub CSPM](data-protection.md)
+ [AWS Identity and Access Management per Security Hub CSPM](security-iam.md)
+ [Convalida della conformità per AWS Security Hub CSPM](securityhub-compliance.md)
+ [Resilienza nel AWS Security Hub](disaster-recovery-resiliency.md)
+ [Sicurezza dell'infrastruttura in AWS Security Hub CSPM](infrastructure-security.md)
+ [AWS Security Hub CSPM e endpoint VPC di interfaccia ()AWS PrivateLink](security-vpc-endpoints.md)
# Protezione dei dati in AWS Security Hub CSPM
Il modello di [responsabilità AWS condivisa modello](https://aws.amazon.com/compliance/shared-responsibility-model/) si applica alla protezione dei dati in. AWS Security Hub CSPM Come descritto in questo modello, AWS è responsabile della protezione dell'infrastruttura globale che gestisce tutti i Cloud AWS. L’utente è responsabile del controllo dei contenuti ospitati su questa infrastruttura. L’utente è inoltre responsabile della configurazione della protezione e delle attività di gestione per i Servizi AWS utilizzati. Per maggiori informazioni sulla privacy dei dati, consulta le [Domande frequenti sulla privacy dei dati](https://aws.amazon.com/compliance/data-privacy-faq/). Per informazioni sulla protezione dei dati in Europa, consulta il post del blog relativo al [AWS Modello di responsabilità condivisa e GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) nel *AWS Blog sulla sicurezza*.
Ai fini della protezione dei dati, consigliamo di proteggere Account AWS le credenziali e configurare i singoli utenti con AWS IAM Identity Center or AWS Identity and Access Management (IAM). In tal modo, a ogni utente verranno assegnate solo le autorizzazioni necessarie per svolgere i suoi compiti. Suggeriamo, inoltre, di proteggere i dati nei seguenti modi:
+ Utilizza l’autenticazione a più fattori (MFA) con ogni account.
+ SSL/TLS Da utilizzare per comunicare con AWS le risorse. È richiesto TLS 1.2 ed è consigliato TLS 1.3.
+ Configura l'API e la registrazione delle attività degli utenti con AWS CloudTrail. Per informazioni sull'utilizzo dei CloudTrail percorsi per acquisire AWS le attività, consulta [Lavorare con i CloudTrail percorsi](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) nella *Guida per l'AWS CloudTrail utente*.
+ Utilizza soluzioni di AWS crittografia, insieme a tutti i controlli di sicurezza predefiniti all'interno Servizi AWS.
+ Utilizza i servizi di sicurezza gestiti avanzati, come Amazon Macie, che aiutano a individuare e proteggere i dati sensibili archiviati in Amazon S3.
+ Se hai bisogno di moduli crittografici convalidati FIPS 140-3 per accedere AWS tramite un'interfaccia a riga di comando o un'API, usa un endpoint FIPS. Per ulteriori informazioni sugli endpoint FIPS disponibili, consulta il [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Ti consigliamo di non inserire mai informazioni riservate o sensibili, ad esempio gli indirizzi e-mail dei clienti, nei tag o nei campi di testo in formato libero, ad esempio nel campo **Nome**. Ciò include quando lavori con Security Hub CSPM o altro Servizi AWS utilizzando la console, l'API o. AWS CLI AWS SDKs I dati inseriti nei tag o nei campi di testo in formato libero utilizzati per i nomi possono essere utilizzati per i la fatturazione o i log di diagnostica. Quando si fornisce un URL a un server esterno, suggeriamo vivamente di non includere informazioni sulle credenziali nell’URL per convalidare la richiesta al server.
Security Hub CSPM è un'offerta di servizi multi-tenant. Per garantire la protezione dei dati, Security Hub CSPM crittografa i dati inattivi e i dati in transito tra i servizi componenti.
# AWS Identity and Access Management per Security Hub CSPM
AWS Identity and Access Management (IAM) aiuta un Servizio AWS amministratore a controllare in modo sicuro l'accesso alle risorse. AWS Gli amministratori IAM controllano chi può essere *autenticato* (effettuato l'accesso) e *autorizzato* (disporre delle autorizzazioni) a utilizzare le risorse del Security Hub. IAM è uno Servizio AWS strumento che puoi utilizzare senza costi aggiuntivi.
**Topics**
+ [Destinatari](#security_iam_audience)
+ [Autenticazione con identità](#security_iam_authentication)
+ [Gestione dell’accesso tramite policy](#security_iam_access-manage)
+ [Come funziona Security Hub con IAM](security_iam_service-with-iam.md)
+ [Esempi di policy basate sull'identità per AWS Security Hub CSPM](security_iam_id-based-policy-examples.md)
+ [Ruoli collegati ai servizi per AWS Security Hub CSPM](using-service-linked-roles.md)
+ [AWS politiche gestite per Security Hub](security-iam-awsmanpol.md)
+ [Risoluzione dei problemi di AWS Security Hub CSPM identità e accesso](security_iam_troubleshoot.md)
## Destinatari
Il modo in cui utilizzi AWS Identity and Access Management (IAM) varia in base al tuo ruolo:
+ **Utente del servizio**: richiedi le autorizzazioni all’amministratore se non riesci ad accedere alle funzionalità (consulta [Risoluzione dei problemi di AWS Security Hub CSPM identità e accesso](security_iam_troubleshoot.md))
+ **Amministratore del servizio**: determina l’accesso degli utenti e invia le richieste di autorizzazione (consulta [Come funziona Security Hub con IAM](security_iam_service-with-iam.md))
+ **Amministratore IAM**: scrivi policy per gestire l’accesso (consulta [Esempi di policy basate sull'identità per AWS Security Hub CSPM](security_iam_id-based-policy-examples.md))
## Autenticazione con identità
L'autenticazione è il modo in cui accedi AWS utilizzando le tue credenziali di identità. Devi autenticarti come utente IAM o assumendo un ruolo IAM. Utente root dell'account AWS
Puoi accedere come identità federata utilizzando credenziali provenienti da una fonte di identità come AWS IAM Identity Center (IAM Identity Center), autenticazione Single Sign-On o credenziali. Google/Facebook Per ulteriori informazioni sull’accesso, consulta [Come accedere all’ Account AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) nella *Guida per l’utente di Accedi ad AWS *.
Per l'accesso programmatico, AWS fornisce un SDK e una CLI per firmare crittograficamente le richieste. Per ulteriori informazioni, consulta [AWS Signature Version 4 per le richieste API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) nella *Guida per l’utente di IAM*.
### Account AWS utente root
Quando si crea un Account AWS, si inizia con un'identità di accesso denominata *utente Account AWS root* che ha accesso completo a tutte Servizi AWS le risorse. Consigliamo vivamente di non utilizzare l’utente root per le attività quotidiane. Per le attività che richiedono le credenziali dell’utente root, consulta [Attività che richiedono le credenziali dell’utente root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) nella *Guida per l’utente IAM*.
### Identità federata
Come procedura ottimale, richiedi agli utenti umani di utilizzare la federazione con un provider di identità per accedere Servizi AWS utilizzando credenziali temporanee.
Un'*identità federata* è un utente della directory aziendale, del provider di identità Web o Directory Service che accede Servizi AWS utilizzando le credenziali di una fonte di identità. Le identità federate assumono ruoli che forniscono credenziali temporanee.
Per la gestione centralizzata degli accessi, si consiglia di utilizzare AWS IAM Identity Center. Per ulteriori informazioni, consulta [Che cos’è il Centro identità IAM?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) nella *Guida per l’utente di AWS IAM Identity Center *.
### Utenti e gruppi IAM
Un *[utente IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* è una identità che dispone di autorizzazioni specifiche per una singola persona o applicazione. Ti consigliamo di utilizzare credenziali temporanee invece di utenti IAM con credenziali a lungo termine. *Per ulteriori informazioni, consulta [Richiedere agli utenti umani di utilizzare la federazione con un provider di identità per accedere AWS utilizzando credenziali temporanee](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) nella Guida per l'utente IAM.*
Un [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) specifica una raccolta di utenti IAM e semplifica la gestione delle autorizzazioni per gestire gruppi di utenti di grandi dimensioni. Per ulteriori informazioni, consulta [Casi d’uso per utenti IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) nella *Guida per l’utente di IAM*.
### Ruoli IAM
Un *[ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* è un’identità con autorizzazioni specifiche che fornisce credenziali temporanee. Puoi assumere un ruolo [passando da un ruolo utente a un ruolo IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) o chiamando un'operazione AWS CLI o AWS API. Per ulteriori informazioni, consulta [Metodi per assumere un ruolo](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) nella *Guida per l’utente di IAM*.
I ruoli IAM sono utili per l’accesso degli utenti federati, le autorizzazioni utente IAM temporanee, l’accesso multi-account, l’accesso multi-servizio e le applicazioni in esecuzione su Amazon EC2. Per maggiori informazioni, consultare [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente IAM*.
## Gestione dell’accesso tramite policy
Puoi controllare l'accesso AWS creando policy e associandole a AWS identità o risorse. Una policy definisce le autorizzazioni quando è associata a un'identità o a una risorsa. AWS valuta queste politiche quando un preside effettua una richiesta. La maggior parte delle politiche viene archiviata AWS come documenti JSON. Per maggiori informazioni sui documenti delle policy JSON, consulta [Panoramica delle policy JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) nella *Guida per l’utente IAM*.
Utilizzando le policy, gli amministratori specificano chi ha accesso a cosa definendo quale **principale** può eseguire **azioni** su quali **risorse** e in quali **condizioni**.
Per impostazione predefinita, utenti e ruoli non dispongono di autorizzazioni. Un amministratore IAM crea le policy IAM e le aggiunge ai ruoli, che gli utenti possono quindi assumere. Le policy IAM definiscono le autorizzazioni indipendentemente dal metodo utilizzato per eseguirle.
### Policy basate sull’identità
Le policy basate su identità sono documenti di policy di autorizzazione JSON che è possibile collegare a un’identità (utente, gruppo o ruolo). Tali policy controllano le operazioni autorizzate per l’identità, nonché le risorse e le condizioni in cui possono essere eseguite. Per informazioni su come creare una policy basata su identità, consultare [Definizione di autorizzazioni personalizzate IAM con policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella *Guida per l’utente IAM*.
Le policy basate su identità possono essere *policy in linea* (con embedding direttamente in una singola identità) o *policy gestite* (policy autonome collegate a più identità). Per informazioni su come scegliere tra una policy gestita o una policy inline, consulta [Scegliere tra policy gestite e policy in linea](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) nella *Guida per l’utente di IAM*.
### Policy basate sulle risorse
Le policy basate su risorse sono documenti di policy JSON che è possibile collegare a una risorsa. Gli esempi includono le *policy di trust dei ruoli* IAM e le *policy dei bucket* di Amazon S3. Nei servizi che supportano policy basate sulle risorse, gli amministratori dei servizi possono utilizzarli per controllare l’accesso a una risorsa specifica. In una policy basata sulle risorse è obbligatorio [specificare un’entità principale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html).
Le policy basate sulle risorse sono policy inline che si trovano in tale servizio. Non è possibile utilizzare le policy AWS gestite di IAM in una policy basata sulle risorse.
### Altri tipi di policy
AWS supporta tipi di policy aggiuntivi che possono impostare le autorizzazioni massime concesse dai tipi di policy più comuni:
+ **Limiti delle autorizzazioni**: imposta il numero massimo di autorizzazioni che una policy basata su identità ha la possibilità di concedere a un’entità IAM. Per ulteriori informazioni, consulta [Limiti delle autorizzazioni per le entità IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) nella *Guida per l’utente di IAM*.
+ **Politiche di controllo del servizio (SCPs)**: specificano le autorizzazioni massime per un'organizzazione o un'unità organizzativa in. AWS Organizations Per ulteriori informazioni, consultare [Policy di controllo dei servizi](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) nella *Guida per l’utente di AWS Organizations *.
+ **Politiche di controllo delle risorse (RCPs)**: imposta le autorizzazioni massime disponibili per le risorse nei tuoi account. Per ulteriori informazioni, consulta [Politiche di controllo delle risorse (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) nella *Guida per l'AWS Organizations utente*.
+ **Policy di sessione**: policy avanzate passate come parametro quando si crea una sessione temporanea per un ruolo o un utente federato. Per maggiori informazioni, consultare [Policy di sessione](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) nella *Guida per l’utente IAM*.
### Più tipi di policy
Quando a una richiesta si applicano più tipi di policy, le autorizzazioni risultanti sono più complicate da comprendere. Per scoprire come si AWS determina se consentire o meno una richiesta quando sono coinvolti più tipi di policy, consulta [Logica di valutazione delle policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) nella *IAM User Guide*.
# Come funziona Security Hub con IAM
Prima di utilizzare AWS Identity and Access Management (IAM) per gestire l'accesso a AWS Security Hub CSPM, scopri quali funzionalità IAM sono disponibili per l'uso con Security Hub CSPM.
**Funzionalità IAM che puoi utilizzare con AWS Security Hub CSPM**
| Funzionalità IAM | Supporto CSPM Security Hub |
| --- | --- |
| [Policy basate sull’identità](#security_iam_service-with-iam-id-based-policies) | Sì |
| [Policy basate su risorse](#security_iam_service-with-iam-resource-based-policies) | No |
| [Operazioni di policy](#security_iam_service-with-iam-id-based-policies-actions) | Sì |
| [Risorse relative alle policy](#security_iam_service-with-iam-id-based-policies-resources) | No |
| [Chiavi di condizione delle policy](#security_iam_service-with-iam-id-based-policies-conditionkeys) | Sì |
| [Elenchi di controllo degli accessi () ACLs](#security_iam_service-with-iam-acls) | No |
| [Controllo degli accessi basato sugli attributi (ABAC): tag nelle politiche](#security_iam_service-with-iam-tags) | Sì |
| [Credenziali temporanee](#security_iam_service-with-iam-roles-tempcreds) | Sì |
| [Inoltro delle sessioni di accesso (FAS)](#security_iam_service-with-iam-principal-permissions) | Sì |
| [Ruoli di servizio](#security_iam_service-with-iam-roles-service) | No |
| [Ruoli collegati al servizio](#security_iam_service-with-iam-roles-service-linked) | Sì |
*Per una panoramica di alto livello su come Security Hub CSPM e altri Servizi AWS funzionano con la maggior parte delle funzionalità IAM, consulta Servizi AWS That [work with IAM nella IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) User Guide.*
## Politiche basate sull'identità per Security Hub CSPM
**Supporta le policy basate sull’identità:** sì
Le policy basate sull'identità sono documenti di policy di autorizzazione JSON che è possibile allegare a un'identità (utente, gruppo di utenti o ruolo IAM). Tali policy definiscono le operazioni che utenti e ruoli possono eseguire, su quali risorse e in quali condizioni. Per informazioni su come creare una policy basata su identità, consulta [Definizione di autorizzazioni personalizzate IAM con policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella *Guida per l’utente di IAM*.
Con le policy basate sull’identità di IAM, è possibile specificare quali operazioni e risorse sono consentite o respinte, nonché le condizioni in base alle quali le operazioni sono consentite o respinte. Per informazioni su tutti gli elementi utilizzabili in una policy JSON, consulta [Guida di riferimento agli elementi delle policy JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) nella *Guida per l’utente IAM*.
Security Hub CSPM supporta politiche basate sull'identità. Per ulteriori informazioni, consulta [Esempi di policy basate sull'identità per AWS Security Hub CSPM](security_iam_id-based-policy-examples.md).
## Politiche basate sulle risorse per Security Hub CSPM
**Supporta le policy basate su risorse:** no
Le policy basate su risorse sono documenti di policy JSON che è possibile collegare a una risorsa. Esempi di policy basate sulle risorse sono le *policy di attendibilità dei ruoli* IAM e le *policy di bucket* Amazon S3. Nei servizi che supportano policy basate sulle risorse, gli amministratori dei servizi possono utilizzarli per controllare l’accesso a una risorsa specifica. Quando è collegata a una risorsa, una policy definisce le operazioni che un principale può eseguire su tale risorsa e a quali condizioni. In una policy basata sulle risorse è obbligatorio [specificare un’entità principale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html). I principali possono includere account, utenti, ruoli, utenti federati o. Servizi AWS
Per consentire l’accesso multi-account, è possibile specificare un intero account o entità IAM in un altro account come entità principale in una policy basata sulle risorse. Per ulteriori informazioni, consulta [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente IAM*.
Security Hub CSPM non supporta politiche basate sulle risorse. Non è possibile collegare una policy IAM direttamente a una risorsa CSPM Security Hub.
## Azioni politiche per Security Hub CSPM
**Supporta le operazioni di policy:** si
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L'elemento `Action` di una policy JSON descrive le operazioni che è possibile utilizzare per consentire o negare l'accesso in una policy. Includere le operazioni in una policy per concedere le autorizzazioni a eseguire l’operazione associata.
Le azioni politiche in Security Hub CSPM utilizzano il seguente prefisso prima dell'azione:
```
securityhub:
```
Ad esempio, per concedere a un utente l'autorizzazione ad abilitare Security Hub CSPM, che è un'azione che corrisponde al `EnableSecurityHub` funzionamento dell'API CSPM di Security Hub, includi l'`securityhub:EnableSecurityHub`azione nella loro politica. Le istruzioni della policy devono includere un elemento `Action` o `NotAction`. Security Hub CSPM definisce il proprio set di azioni che descrivono le attività che è possibile eseguire con questo servizio.
```
"Action": "securityhub:EnableSecurityHub"
```
Per specificare più operazioni in una sola istruzione, occorre separarle con la virgola. Esempio:
```
"Action": [
"securityhub:EnableSecurityHub",
"securityhub:BatchEnableStandards"
```
È inoltre possibile specificare più azioni utilizzando caratteri jolly (\$1). Ad esempio, per specificare tutte le azioni che iniziano con la parola `Get`, includi la seguente azione:
```
"Action": "securityhub:Get*"
```
Tuttavia, è consigliabile definire policy in grado di seguire il principio del privilegio minimo. In altre parole, è necessario creare policy che includano solo le autorizzazioni necessarie per eseguire un'attività specifica.
L'utente deve avere accesso all'`DescribeStandardsControl`operazione per poter accedere a `BatchGetSecurityControls``BatchGetStandardsControlAssociations`, e`ListStandardsControlAssociations`.
L'utente deve avere accesso all'`UpdateStandardsControls`operazione per poter accedere a`BatchUpdateStandardsControlAssociations`, e`UpdateSecurityControl`.
Per un elenco delle azioni CSPM di Security Hub, vedere [Azioni definite da AWS Security Hub CSPM](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssecurityhub.html#awssecurityhub-actions-as-permissions) nel *Service Authorization* Reference. Per esempi di politiche che specificano le azioni CSPM di Security Hub, vedere. [Esempi di policy basate sull'identità per AWS Security Hub CSPM](security_iam_id-based-policy-examples.md)
## Risorse politiche per Security Hub CSPM
**Supporta le risorse di policy:** No
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento JSON `Resource` della policy specifica l’oggetto o gli oggetti ai quali si applica l’operazione. Come best practice, specifica una risorsa utilizzando il suo [nome della risorsa Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Per le azioni che non supportano le autorizzazioni a livello di risorsa, si utilizza un carattere jolly (\$1) per indicare che l’istruzione si applica a tutte le risorse.
```
"Resource": "*"
```
Security Hub CSPM definisce i seguenti tipi di risorse:
+ Hub
+ Prodotto
+ *Finding aggregator, noto anche come aggregatore interregionale*
+ Regola di automazione
+ Politica di configurazione
È possibile specificare questi tipi di risorse nelle politiche utilizzando ARNs.
*Per un elenco dei tipi di risorse CSPM di Security Hub e la sintassi ARN per ciascuno di essi, vedere [Tipi di risorse definiti da AWS Security Hub CSPM](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssecurityhub.html#awssecurityhub-resources-for-iam-policies) nel Service Authorization Reference.* *Per sapere quali azioni è possibile specificare per ogni tipo di risorsa, vedere [Azioni definite da AWS Security Hub CSPM](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssecurityhub.html#awssecurityhub-actions-as-permissions) nel Service Authorization Reference.* Per esempi di politiche che specificano le risorse, vedere[Esempi di policy basate sull'identità per AWS Security Hub CSPM](security_iam_id-based-policy-examples.md).
## Chiavi relative alle condizioni delle policy per Security Hub CSPM
**Supporta le chiavi di condizione delle policy specifiche del servizio:** sì
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento `Condition` specifica quando le istruzioni vengono eseguite in base a criteri definiti. È possibile compilare espressioni condizionali che utilizzano [operatori di condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), ad esempio uguale a o minore di, per soddisfare la condizione nella policy con i valori nella richiesta. Per visualizzare tutte le chiavi di condizione AWS globali, consulta le chiavi di [contesto delle condizioni AWS globali nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) per l'*utente IAM*.
Per un elenco delle chiavi di condizione CSPM di Security Hub, vedere [Chiavi di condizione AWS Security Hub CSPM nel Riferimento di](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssecurityhub.html#awssecurityhub-policy-keys) *autorizzazione del servizio*. Per sapere con quali azioni e risorse è possibile utilizzare una chiave di condizione, vedere [Azioni definite](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssecurityhub.html#awssecurityhub-actions-as-permissions) da. AWS Security Hub CSPM Per esempi di politiche che utilizzano chiavi condizionali, consulta[Esempi di policy basate sull'identità per AWS Security Hub CSPM](security_iam_id-based-policy-examples.md).
## Elenchi di controllo degli accessi (ACLs) in Security Hub CSPM
**Supporti ACLs**: no
Le liste di controllo degli accessi (ACLs) controllano quali principali (membri dell'account, utenti o ruoli) dispongono delle autorizzazioni per accedere a una risorsa. ACLs sono simili alle politiche basate sulle risorse, sebbene non utilizzino il formato del documento di policy JSON.
Security Hub CSPM non supporta ACLs, il che significa che non è possibile collegare un ACL a una risorsa CSPM di Security Hub.
## Controllo degli accessi basato sugli attributi (ABAC) con Security Hub CSPM
**Supporta ABAC (tag nelle policy):** sì
Il controllo degli accessi basato su attributi (ABAC) è una strategia di autorizzazione che definisce le autorizzazioni in base ad attributi chiamati tag. È possibile allegare tag a entità e AWS risorse IAM, quindi progettare politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag sulla risorsa.
Per controllare l’accesso basato su tag, fornire informazioni sui tag nell’[elemento condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) di una policy utilizzando le chiavi di condizione `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` o `aws:TagKeys`.
Se un servizio supporta tutte e tre le chiavi di condizione per ogni tipo di risorsa, il valore per il servizio è **Sì**. Se un servizio supporta tutte e tre le chiavi di condizione solo per alcuni tipi di risorsa, allora il valore sarà **Parziale**.
Per maggiori informazioni su ABAC, consulta [Definizione delle autorizzazioni con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella *Guida per l’utente di IAM*. Per visualizzare un tutorial con i passaggi per l’impostazione di ABAC, consulta [Utilizzo del controllo degli accessi basato su attributi (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) nella *Guida per l’utente di IAM*.
È possibile allegare tag alle risorse CSPM di Security Hub. È inoltre possibile controllare l'accesso alle risorse fornendo informazioni sui tag nell'`Condition`elemento di una policy.
Per informazioni sull'etichettatura delle risorse CSPM di Security Hub, vedere. [Taggare le risorse del Security Hub](tagging-resources.md) Per un esempio di politica basata sull'identità che controlla l'accesso a una risorsa in base ai tag, vedi. [Esempi di policy basate sull'identità per AWS Security Hub CSPM](security_iam_id-based-policy-examples.md)
## Utilizzo di credenziali temporanee con Security Hub CSPM
**Supporta le credenziali temporanee:** sì
Le credenziali temporanee forniscono l'accesso a breve termine alle AWS risorse e vengono create automaticamente quando si utilizza la federazione o si cambia ruolo. AWS consiglia di generare dinamicamente credenziali temporanee anziché utilizzare chiavi di accesso a lungo termine. Per ulteriori informazioni, consulta [Credenziali di sicurezza temporanee in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) e [Servizi AWS compatibili con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) nella *Guida per l’utente IAM*.
È possibile utilizzare credenziali temporanee per effettuare l'accesso con la federazione, assumere un ruolo IAM o un ruolo multi-account. È possibile ottenere credenziali di sicurezza temporanee chiamando operazioni AWS STS API come o. [AssumeRole[GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html)](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)
Security Hub CSPM supporta l'uso di credenziali temporanee.
## Sessioni di accesso diretto per Security Hub CSPM
**Supporta l’inoltro delle sessioni di accesso (FAS):** sì
Le sessioni di accesso inoltrato (FAS) utilizzano le autorizzazioni del principale chiamante an Servizio AWS, combinate con la richiesta Servizio AWS per effettuare richieste ai servizi downstream. Per i dettagli delle policy relative alle richieste FAS, consulta [Forward access sessions](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
Ad esempio, Security Hub CSPM invia le richieste FAS a valle Servizi AWS quando si integra Security Hub CSPM con AWS Organizations e quando si designa l'account amministratore CSPM di Security Hub delegato per un'organizzazione in Organizations.
Per altre attività, Security Hub CSPM utilizza un ruolo collegato al servizio per eseguire azioni per conto dell'utente. Per i dettagli su questo ruolo, consulta. [Ruoli collegati ai servizi per AWS Security Hub CSPM](using-service-linked-roles.md)
## Ruoli di servizio per Security Hub CSPM
Security Hub CSPM non assume né utilizza ruoli di servizio. Per eseguire azioni per conto dell'utente, Security Hub CSPM utilizza un ruolo collegato al servizio. Per i dettagli su questo ruolo, consulta. [Ruoli collegati ai servizi per AWS Security Hub CSPM](using-service-linked-roles.md)
**avvertimento**
La modifica delle autorizzazioni per un ruolo di servizio può creare problemi operativi con l'uso di Security Hub CSPM. Modifica i ruoli di servizio solo quando Security Hub CSPM fornisce indicazioni in tal senso.
## Ruoli collegati ai servizi per Security Hub CSPM
**Supporta i ruoli collegati ai servizi:** sì
Un ruolo collegato al servizio è un tipo di ruolo di servizio collegato a un. Servizio AWS Il servizio può assumere il ruolo per eseguire un’operazione per tuo conto. I ruoli collegati al servizio vengono visualizzati nel tuo account Account AWS e sono di proprietà del servizio. Un amministratore IAM può visualizzare le autorizzazioni per i ruoli collegati al servizio, ma non modificarle.
Security Hub CSPM utilizza un ruolo collegato al servizio per eseguire azioni per conto dell'utente. Per i dettagli su questo ruolo, consulta. [Ruoli collegati ai servizi per AWS Security Hub CSPM](using-service-linked-roles.md)
# Esempi di policy basate sull'identità per AWS Security Hub CSPM
Per impostazione predefinita, gli utenti e i ruoli non dispongono dell'autorizzazione per creare o modificare le risorse CSPM di Security Hub. Inoltre, non possono eseguire attività utilizzando l'API Console di gestione AWS AWS CLI, o AWS . Un amministratore deve creare le policy IAM che concedono a utenti e ruoli l'autorizzazione per eseguire operazioni API specifiche sulle risorse specificate di cui hanno bisogno. L'amministratore devi quindi collegare queste policy a utenti o gruppi che richiedono tali autorizzazioni.
Per informazioni su come creare una policy basata su identità IAM utilizzando questi documenti di policy JSON di esempio, consulta [Creazione di policy nella scheda JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) nella *Guida per l'utente IAM*.
**Topics**
+ [Best practice delle policy](#security_iam_service-with-iam-policy-best-practices)
+ [Utilizzo della console Security Hub CSPM](#security_iam_id-based-policy-examples-console)
+ [Esempio: consentire agli utenti di visualizzare le loro autorizzazioni](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Esempio: consentire agli utenti di creare e gestire una politica di configurazione](#security_iam_id-based-policy-examples-create-configuration-policy)
+ [Esempio: consenti agli utenti di visualizzare i risultati](#security_iam_id-based-policy-examples-view-findings)
+ [Esempio: consentire agli utenti di creare e gestire regole di automazione](#security_iam_id-based-policy-examples-create-automation-rule)
## Best practice delle policy
Le politiche basate sull'identità determinano se qualcuno può creare, accedere o eliminare le risorse del Security Hub nel tuo account. Queste azioni possono comportare costi aggiuntivi per l’ Account AWS. Quando si creano o modificano policy basate sull’identità, seguire queste linee guida e raccomandazioni:
+ **Inizia con le policy AWS gestite e passa alle autorizzazioni con privilegi minimi: per iniziare a concedere autorizzazioni** *a utenti e carichi di lavoro, utilizza le politiche gestite che concedono le autorizzazioni per molti casi d'uso comuni.AWS * Sono disponibili nel tuo. Account AWS Ti consigliamo di ridurre ulteriormente le autorizzazioni definendo politiche gestite dai AWS clienti specifiche per i tuoi casi d'uso. Per maggiori informazioni, consulta [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) o [Policy gestite da AWS per le funzioni dei processi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) nella *Guida per l’utente di IAM*.
+ **Applicazione delle autorizzazioni con privilegio minimo** - Quando si impostano le autorizzazioni con le policy IAM, concedere solo le autorizzazioni richieste per eseguire un’attività. È possibile farlo definendo le azioni che possono essere intraprese su risorse specifiche in condizioni specifiche, note anche come *autorizzazioni con privilegio minimo*. Per maggiori informazioni sull’utilizzo di IAM per applicare le autorizzazioni, consulta [Policy e autorizzazioni in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) nella *Guida per l’utente di IAM*.
+ **Condizioni d’uso nelle policy IAM per limitare ulteriormente l’accesso** - Per limitare l’accesso ad azioni e risorse è possibile aggiungere una condizione alle policy. Ad esempio, è possibile scrivere una condizione di policy per specificare che tutte le richieste devono essere inviate utilizzando SSL. Puoi anche utilizzare le condizioni per concedere l'accesso alle azioni del servizio se vengono utilizzate tramite uno specifico Servizio AWS, ad esempio CloudFormation. Per maggiori informazioni, consultare la sezione [Elementi delle policy JSON di IAM: condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) nella *Guida per l’utente di IAM*.
+ **Utilizzo dello strumento di analisi degli accessi IAM per convalidare le policy IAM e garantire autorizzazioni sicure e funzionali** - Lo strumento di analisi degli accessi IAM convalida le policy nuove ed esistenti in modo che aderiscano al linguaggio (JSON) della policy IAM e alle best practice di IAM. Lo strumento di analisi degli accessi IAM offre oltre 100 controlli delle policy e consigli utili per creare policy sicure e funzionali. Per maggiori informazioni, consultare [Convalida delle policy per il Sistema di analisi degli accessi IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) nella *Guida per l’utente di IAM*.
+ **Richiedi l'autenticazione a più fattori (MFA**): se hai uno scenario che richiede utenti IAM o un utente root nel Account AWS tuo, attiva l'MFA per una maggiore sicurezza. Per richiedere la MFA quando vengono chiamate le operazioni API, aggiungere le condizioni MFA alle policy. Per maggiori informazioni, consultare [Protezione dell’accesso API con MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) nella *Guida per l’utente di IAM*.
Per maggiori informazioni sulle best practice in IAM, consulta [Best practice di sicurezza in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) nella *Guida per l’utente di IAM*.
## Utilizzo della console Security Hub CSPM
Per accedere alla AWS Security Hub CSPM console, è necessario disporre di un set minimo di autorizzazioni. Queste autorizzazioni devono consentirti di elencare e visualizzare i dettagli sulle risorse CSPM di Security Hub presenti nel tuo. Account AWS Se crei una policy basata sull’identità più restrittiva rispetto alle autorizzazioni minime richieste, la console non funzionerà nel modo previsto per le entità (utenti o ruoli) associate a tale policy.
Non è necessario consentire autorizzazioni minime per la console per gli utenti che effettuano chiamate solo verso o l' AWS CLI API. AWS Al contrario, è opportuno concedere l’accesso solo alle azioni che corrispondono all’operazione API che stanno cercando di eseguire.
Per garantire che tali utenti e ruoli possano utilizzare la console CSPM di Security Hub, allega anche la seguente politica AWS gestita all'entità. Per ulteriori informazioni, consulta la sezione [Aggiunta di autorizzazioni a un utente](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) nella *Guida per l'utente di IAM*:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "securityhub:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "securityhub.amazonaws.com"
}
}
}
]
}
```
------
## Esempio: consentire agli utenti di visualizzare le loro autorizzazioni
Questo esempio mostra in che modo è possibile creare una policy che consente agli utenti IAM di visualizzare le policy inline e gestite che sono collegate alla relativa identità utente. Questa politica include le autorizzazioni per completare questa azione sulla console o utilizzando programmaticamente l'API o. AWS CLI AWS
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Esempio: consentire agli utenti di creare e gestire una politica di configurazione
Questo esempio mostra come è possibile creare una policy IAM che consenta a un utente di creare, visualizzare, aggiornare ed eliminare le politiche di configurazione. Questa policy di esempio consente inoltre all'utente di avviare, interrompere e visualizzare le associazioni di policy. Affinché questa policy IAM funzioni, l'utente deve essere l'amministratore CSPM di Security Hub delegato per un'organizzazione.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateAndUpdateConfigurationPolicy",
"Effect": "Allow",
"Action": [
"securityhub:CreateConfigurationPolicy",
"securityhub:UpdateConfigurationPolicy"
],
"Resource": "*"
},
{
"Sid": "ViewConfigurationPolicy",
"Effect": "Allow",
"Action": [
"securityhub:GetConfigurationPolicy",
"securityhub:ListConfigurationPolicies"
],
"Resource": "*"
},
{
"Sid": "DeleteConfigurationPolicy",
"Effect": "Allow",
"Action": [
"securityhub:DeleteConfigurationPolicy"
],
"Resource": "*"
},
{
"Sid": "ViewConfigurationPolicyAssociation",
"Effect": "Allow",
"Action": [
"securityhub:BatchGetConfigurationPolicyAssociations",
"securityhub:GetConfigurationPolicyAssociation",
"securityhub:ListConfigurationPolicyAssociations"
],
"Resource": "*"
},
{
"Sid": "UpdateConfigurationPolicyAssociation",
"Effect": "Allow",
"Action": [
"securityhub:StartConfigurationPolicyAssociation",
"securityhub:StartConfigurationPolicyDisassociation"
],
"Resource": "*"
}
]
}
```
------
## Esempio: consenti agli utenti di visualizzare i risultati
Questo esempio mostra come è possibile creare una policy IAM che consenta a un utente di visualizzare i risultati del Security Hub CSPM.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ReviewFindings",
"Effect": "Allow",
"Action": [
"securityhub:GetFindings"
],
"Resource": "*"
}
]
}
```
------
## Esempio: consentire agli utenti di creare e gestire regole di automazione
Questo esempio mostra come è possibile creare una policy IAM che consenta a un utente di creare, visualizzare, aggiornare ed eliminare le regole di automazione CSPM di Security Hub. Affinché questa policy IAM funzioni, l'utente deve essere un amministratore CSPM di Security Hub. Per limitare le autorizzazioni, ad esempio per consentire a un utente di visualizzare solo le regole di automazione, puoi rimuovere le autorizzazioni di creazione, aggiornamento ed eliminazione.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateAndUpdateAutomationRules",
"Effect": "Allow",
"Action": [
"securityhub:CreateAutomationRule",
"securityhub:BatchUpdateAutomationRules"
],
"Resource": "*"
},
{
"Sid": "ViewAutomationRules",
"Effect": "Allow",
"Action": [
"securityhub:BatchGetAutomationRules",
"securityhub:ListAutomationRules"
],
"Resource": "*"
},
{
"Sid": "DeleteAutomationRules",
"Effect": "Allow",
"Action": [
"securityhub:BatchDeleteAutomationRules"
],
"Resource": "*"
}
]
}
```
------
# Ruoli collegati ai servizi per AWS Security Hub CSPM
AWS Security Hub CSPM [utilizza un ruolo collegato al servizio AWS Identity and Access Management (IAM) denominato.](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) `AWSServiceRoleForSecurityHub` Questo ruolo collegato al servizio è un ruolo IAM collegato direttamente al Security Hub CSPM. È predefinito da Security Hub CSPM e include tutte le autorizzazioni richieste da Security Hub CSPM per chiamare altre persone Servizi AWS e monitorare le risorse per tuo conto. AWS Security Hub CSPM utilizza questo ruolo collegato al servizio in tutti i casi in cui Security Regioni AWS Hub CSPM è disponibile.
Un ruolo collegato al servizio semplifica la configurazione di Security Hub CSPM perché non è necessario aggiungere manualmente le autorizzazioni necessarie. Security Hub CSPM definisce le autorizzazioni del suo ruolo collegato al servizio e, se non diversamente definito, solo Security Hub CSPM può assumere il ruolo. Le autorizzazioni definite includono la politica di fiducia e la politica delle autorizzazioni e non è possibile collegare tale politica di autorizzazioni a nessun'altra entità IAM.
Per esaminare i dettagli del ruolo collegato al servizio, puoi utilizzare la console Security Hub CSPM. ****Nel riquadro di navigazione, scegli Generale in Impostazioni.**** Quindi, nella sezione **Autorizzazioni di servizio, scegli Visualizza le autorizzazioni** **del servizio**.
È possibile eliminare il ruolo collegato al servizio Security Hub CSPM solo dopo aver disabilitato Security Hub CSPM in tutte le regioni in cui è abilitato. Questo protegge le tue risorse CSPM di Security Hub perché non puoi rimuovere inavvertitamente le autorizzazioni per accedervi.
****Per informazioni su altri servizi che supportano i ruoli collegati ai servizi, consulta i [AWS servizi che funzionano con IAM nella *Guida per l'utente* di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e individua i servizi con Sì nella colonna Ruoli collegati ai servizi.**** Scegli un **Sì** con un link per consultare la documentazione del ruolo collegato al servizio per quel servizio.
**Topics**
+ [Autorizzazioni di ruolo collegate ai servizi per Security Hub CSPM](#slr-permissions)
+ [Creazione di un ruolo collegato al servizio per Security Hub CSPM](#create-slr)
+ [Modifica di un ruolo collegato al servizio per Security Hub CSPM](#edit-slr)
+ [Eliminazione di un ruolo collegato al servizio per Security Hub CSPM](#delete-slr)
+ [Ruolo collegato ai servizi per AWS Security Hub V2](#slr-permissions-v2)
## Autorizzazioni di ruolo collegate ai servizi per Security Hub CSPM
Security Hub CSPM utilizza il ruolo collegato al servizio denominato. `AWSServiceRoleForSecurityHub` È un ruolo collegato al servizio necessario per accedere alle risorse. AWS Security Hub CSPM Questo ruolo collegato al servizio consente a Security Hub CSPM di eseguire attività come ricevere risultati da altri Servizi AWS e configurare l' AWS Config infrastruttura necessaria per eseguire i controlli di sicurezza. Ai fini dell'assunzione del ruolo `AWSServiceRoleForSecurityHub`, il ruolo collegato ai servizi `securityhub.amazonaws.com`considera attendibile il servizio.
Il ruolo collegato ai servizi `AWSServiceRoleForSecurityHub` utilizza la policy gestita [`AWSSecurityHubServiceRolePolicy`](security-iam-awsmanpol.md#security-iam-awsmanpol-awssecurityhubservicerolepolicy).
È necessario concedere le autorizzazioni per consentire a un'identità IAM (come un ruolo, un gruppo o un utente) di creare, modificare o eliminare un ruolo collegato al servizio. `AWSServiceRoleForSecurityHub`Affinché il ruolo collegato al servizio venga creato correttamente, l'identità IAM utilizzata per accedere a Security Hub CSPM deve disporre delle autorizzazioni richieste. Per concedere le autorizzazioni richieste, collega la seguente policy all'identità IAM.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "securityhub:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "securityhub.amazonaws.com"
}
}
}
]
}
```
------
## Creazione di un ruolo collegato al servizio per Security Hub CSPM
Il ruolo `AWSServiceRoleForSecurityHub` collegato al servizio viene creato automaticamente quando abiliti Security Hub CSPM per la prima volta o quando abiliti Security Hub CSPM in una regione in cui non lo abilitavi in precedenza. Puoi anche creare il ruolo `AWSServiceRoleForSecurityHub` collegato al servizio manualmente utilizzando la console IAM, la CLI IAM o l'API IAM. Per ulteriori informazioni sulla creazione manuale del ruolo, consulta [Creazione di un ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) nella *Guida per l'utente IAM*.
**Importante**
Il ruolo collegato al servizio creato per un account amministratore CSPM di Security Hub non si applica agli account membri CSPM di Security Hub associati.
## Modifica di un ruolo collegato al servizio per Security Hub CSPM
Security Hub CSPM non consente di modificare il ruolo collegato al `AWSServiceRoleForSecurityHub` servizio. Dopo aver creato un ruolo collegato al servizio, non è possibile modificarne il nome, perché potrebbero farvi riferimento diverse entità. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta [Modifica di un ruolo collegato al servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) nella *Guida per l’utente di IAM*.
## Eliminazione di un ruolo collegato al servizio per Security Hub CSPM
Se non è più necessario utilizzare una caratteristica o un servizio che richiede un ruolo collegato ai servizi, ti consigliamo di eliminare il ruolo. In questo modo, non hai un'entità non utilizzata che non viene monitorata o gestita attivamente.
Quando disabiliti Security Hub CSPM, Security Hub CSPM non elimina automaticamente il ruolo collegato al `AWSServiceRoleForSecurityHub` servizio per te. Se abiliti nuovamente Security Hub CSPM, il servizio può ricominciare a utilizzare il ruolo esistente collegato al servizio. Se non è più necessario utilizzare Security Hub CSPM, è possibile eliminare manualmente il ruolo collegato al servizio.
**Importante**
Prima di eliminare il ruolo `AWSServiceRoleForSecurityHub` collegato al servizio, devi prima disabilitare Security Hub CSPM in tutte le regioni in cui è abilitato. Per ulteriori informazioni, consulta [Disattivazione del Security Hub CSPM](securityhub-disable.md). Se Security Hub CSPM non è disabilitato quando si tenta di eliminare il ruolo collegato al servizio, l'eliminazione non riesce.
Per eliminare il ruolo `AWSServiceRoleForSecurityHub` collegato al servizio, puoi utilizzare la console IAM, la CLI IAM o l'API IAM. Per ulteriori informazioni, consulta [Eliminazione del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) nella *Guida per l'utente IAM*.
## Ruolo collegato ai servizi per AWS Security Hub V2
utilizza il ruolo collegato al servizio denominato. `AWSServiceRoleForSecurityHubV2` Questo ruolo collegato al servizio consente di gestire AWS Config regole e risorse per l'organizzazione e per conto dell'utente. Ai fini dell'assunzione del ruolo `AWSServiceRoleForSecurityHubV2`, il ruolo collegato ai servizi `securityhub.amazonaws.com`considera attendibile il servizio.
Il ruolo collegato ai servizi `AWSServiceRoleForSecurityHubV2` utilizza la policy gestita [`AWSSecurityHubV2ServiceRolePolicy`](security-iam-awsmanpol.md#security-iam-awsmanpol-awssecurityhubv2servicerolepolicy).
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `cloudwatch`— Consente al ruolo di recuperare i dati delle metriche per supportare le funzionalità di misurazione delle risorse.
+ `config`— Consente al ruolo di gestire i registratori di configurazione collegati ai servizi per le risorse, incluso il supporto per i registratori globali. AWS Config
+ `ecr`— Consente al ruolo di recuperare informazioni sulle immagini e sugli archivi di Amazon Elastic Container Registry per supportare le funzionalità di misurazione.
+ `iam`— Consente al ruolo di creare il ruolo collegato al servizio AWS Config e recuperare le informazioni sull'account per supportare le funzionalità di misurazione.
+ `lambda`— Consente al ruolo di recuperare informazioni sulla AWS Lambda funzione per supportare le funzionalità di misurazione.
+ `organizations`— Consente al ruolo di recuperare le informazioni sull'account e sull'unità organizzativa (OU) di un'organizzazione.
+ `securityhub`— Consente al ruolo di gestire la configurazione.
+ `tag`— Consente al ruolo di recuperare informazioni sui tag delle risorse.
È necessario concedere le autorizzazioni per consentire a un'identità IAM (come un ruolo, un gruppo o un utente) di creare, modificare o eliminare un ruolo collegato al servizio. `AWSServiceRoleForSecurityHubV2`Affinché il ruolo collegato al servizio venga creato correttamente, l'identità IAM che utilizzi per accedere deve disporre delle autorizzazioni richieste. Per concedere le autorizzazioni richieste, collega la seguente policy all'identità IAM.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "securityhub:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "securityhub.amazonaws.com"
}
}
}
]
}
```
------
### Creazione di un ruolo collegato ai servizi per AWS Security Hub V2
Il ruolo `AWSServiceRoleForSecurityHubV2` collegato al servizio viene creato automaticamente quando lo si abilita per la prima volta o lo si abilita in una regione in cui non era abilitato in precedenza. Puoi anche creare il ruolo `AWSServiceRoleForSecurityHubV2` collegato al servizio manualmente utilizzando la console IAM, la CLI IAM o l'API IAM. Per ulteriori informazioni sulla creazione manuale del ruolo, consulta [Creazione di un ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) nella *Guida per l'utente IAM*.
**Importante**
Il ruolo collegato al servizio creato per un account amministratore non si applica agli account membro associati.
### Modifica di un ruolo collegato al servizio per AWS Security Hub V2
non consente di modificare il ruolo collegato al `AWSServiceRoleForSecurityHubV2` servizio. Dopo aver creato un ruolo collegato al servizio, non è possibile modificarne il nome, perché potrebbero farvi riferimento diverse entità. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta [Modifica di un ruolo collegato al servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) nella *Guida per l’utente di IAM*.
### Eliminazione di un ruolo collegato al servizio per Security Hub AWS V2
Se non è più necessario utilizzare una caratteristica o un servizio che richiede un ruolo collegato ai servizi, ti consigliamo di eliminare il ruolo. In questo modo, non hai un'entità non utilizzata che non viene monitorata o gestita attivamente.
Quando lo disabiliti, non elimina automaticamente il ruolo collegato al `AWSServiceRoleForSecurityHubV2` servizio per te. Se lo abiliti nuovamente, il servizio può ricominciare a utilizzare il ruolo esistente collegato al servizio. Se non è più necessario utilizzarlo, è possibile eliminare manualmente il ruolo collegato al servizio.
**Importante**
Prima di eliminare il ruolo `AWSServiceRoleForSecurityHubV2` collegato al servizio, devi prima disabilitarlo in tutte le regioni in cui è abilitato. Per ulteriori informazioni, consulta [Disattivazione del Security Hub CSPM](securityhub-disable.md). Se non è disabilitato quando elimini il ruolo collegato ai servizi, l'operazione non riesce.
Per eliminare il ruolo `AWSServiceRoleForSecurityHubV2` collegato al servizio, puoi utilizzare la console IAM, la CLI IAM o l'API IAM. Per ulteriori informazioni, consulta [Eliminazione del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) nella *Guida per l'utente IAM*.
# AWS politiche gestite per Security Hub
Una politica AWS gestita è una politica autonoma creata e amministrata da. AWS AWS le politiche gestite sono progettate per fornire autorizzazioni per molti casi d'uso comuni, in modo da poter iniziare ad assegnare autorizzazioni a utenti, gruppi e ruoli.
Tieni presente che le policy AWS gestite potrebbero non concedere le autorizzazioni con il privilegio minimo per i tuoi casi d'uso specifici, poiché sono disponibili per tutti i clienti. AWS Si consiglia pertanto di ridurre ulteriormente le autorizzazioni definendo [policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) specifiche per i propri casi d'uso.
Non è possibile modificare le autorizzazioni definite nelle politiche gestite. AWS Se AWS aggiorna le autorizzazioni definite in una politica AWS gestita, l'aggiornamento ha effetto su tutte le identità principali (utenti, gruppi e ruoli) a cui è associata la politica. AWS è più probabile che aggiorni una policy AWS gestita quando ne Servizio AWS viene lanciata una nuova o quando diventano disponibili nuove operazioni API per i servizi esistenti.
Per ulteriori informazioni, consultare [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) nella *Guida per l'utente di IAM*.
## AWS politica gestita: AWSSecurityHubFullAccess
È possibile allegare la policy `AWSSecurityHubFullAccess` alle identità IAM.
Questa politica concede autorizzazioni amministrative che consentono l'accesso completo principale a tutte le azioni CSPM di Security Hub. Questa politica deve essere associata a un principale prima che quest'ultimo abiliti manualmente Security Hub CSPM per il proprio account. Ad esempio, i responsabili con queste autorizzazioni possono sia visualizzare che aggiornare lo stato dei risultati. Possono anche configurare approfondimenti personalizzati, abilitare integrazioni e abilitare e disabilitare standard e controlli. I responsabili di un account amministratore possono anche gestire gli account dei membri.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `securityhub`— Consente ai responsabili l'accesso completo a tutte le azioni CSPM di Security Hub.
+ `guardduty`— Consente ai responsabili di eseguire la gestione completa del ciclo di vita di un rilevatore, la gestione degli amministratori dell'organizzazione, la gestione degli account dei membri e la configurazione a livello di organizzazione in Amazon. GuardDuty Ciò include le azioni API: GetDetector,,,,,,, ListDetector. CreateDetector UpdateDetector DeleteDetector EnableOrganizationAdminAccount ListOrganizationAdminAccounts CreateMembers UpdateOrganizationConfiguration DescribeOrganizationConfiguration
+ `iam`— Consente ai responsabili di creare un ruolo collegato ai servizi per Security Hub CSPM e Security Hub e di ottenere ruoli, policy e versioni di policy.
+ `inspector`— Consente ai responsabili di ottenere informazioni sullo stato dell'account, abilitare o disabilitare, delegare la gestione amministrativa ed eseguire la gestione della configurazione dell'organizzazione in Amazon Inspector. Ciò include le azioni API: BatchGetAccountStatus, Abilita,,,, EnableDelegatedAdminAccount DisableDelegatedAdminAccount, ListDelegatedAdminAccounts. UpdateOrganizationConfiguration DescribeOrganizationConfiguration
+ `pricing`— Consente ai committenti di ottenere un listino prezzi Servizi AWS e prodotti.
+ `account`— Consente ai responsabili di ottenere informazioni sulle regioni degli account per supportare la gestione delle regioni in Security Hub.
Per esaminare le autorizzazioni relative a questa politica, consulta [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubFullAccess.html)la *AWS Managed Policy Reference Guide.*
## AWS politica gestita: AWSSecurityHubReadOnlyAccess
È possibile allegare la policy `AWSSecurityHubReadOnlyAccess` alle identità IAM.
Questa politica concede autorizzazioni di sola lettura che consentono agli utenti di visualizzare le informazioni in Security Hub CSPM. I responsabili a cui è allegata questa politica non possono effettuare aggiornamenti in Security Hub CSPM. Ad esempio, i responsabili con queste autorizzazioni possono visualizzare l'elenco dei risultati associati al proprio account, ma non possono modificare lo stato di un risultato. Possono visualizzare i risultati degli approfondimenti, ma non possono creare o configurare approfondimenti personalizzati. Non possono configurare controlli o integrazioni di prodotti.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `securityhub`— Consente agli utenti di eseguire azioni che restituiscono un elenco di elementi o dettagli su un elemento. Ciò include le operazioni API che iniziano con `Get``List`, o`Describe`.
Per esaminare le autorizzazioni relative a questa policy, consulta [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubReadOnlyAccess.html)la *AWS Managed Policy Reference Guide*.
## AWS politica gestita: AWSSecurityHubOrganizationsAccess
È possibile allegare la policy `AWSSecurityHubOrganizationsAccess` alle identità IAM.
Questa politica concede le autorizzazioni amministrative per abilitare e gestire Security Hub, Security Hub CSPM, Amazon e GuardDuty Amazon Inspector per un'organizzazione in. AWS Organizations Le autorizzazioni per questa politica consentono all'account di gestione dell'organizzazione di designare l'account amministratore delegato per Security Hub, Security Hub CSPM, Amazon e GuardDuty Amazon Inspector. Consentono inoltre all'account amministratore delegato di abilitare gli account dell'organizzazione come account membro.
Questa politica fornisce solo le autorizzazioni per. AWS Organizations L'account di gestione dell'organizzazione e l'account amministratore delegato richiedono inoltre le autorizzazioni per le azioni associate. Queste autorizzazioni possono essere concesse utilizzando la politica gestita`AWSSecurityHubFullAccess`.
La creazione o l'aggiornamento di una politica di amministratore delegato in un account di gestione richiede autorizzazioni aggiuntive non fornite in questa politica. Per eseguire queste azioni si consiglia di aggiungere autorizzazioni `organizations:PutResourcePolicy` o allegare la politica. AWSOrganizations FullAccess
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `organizations:ListAccounts`— Consente ai responsabili di recuperare l'elenco degli account che fanno parte di un'organizzazione.
+ `organizations:DescribeOrganization`— Consente ai dirigenti di recuperare informazioni sull'organizzazione.
+ `organizations:ListRoots`— Consente ai dirigenti di elencare la radice di un'organizzazione.
+ `organizations:ListDelegatedAdministrators`— Consente ai dirigenti di elencare l'amministratore delegato di un'organizzazione.
+ `organizations:ListAWSServiceAccessForOrganization`— Consente ai dirigenti di elencare le informazioni utilizzate da un' Servizi AWS organizzazione.
+ `organizations:ListOrganizationalUnitsForParent`— Consente ai responsabili di elencare le unità organizzative (OU) secondarie di un'unità organizzativa principale.
+ `organizations:ListAccountsForParent`— Consente ai responsabili di elencare gli account secondari di un'unità organizzativa principale.
+ `organizations:ListParents`— Elenca le unità principali o organizzative (OUs) che fungono da elemento principale dell'unità organizzativa o dell'account figlio specificato.
+ `organizations:DescribeAccount`: consente ai principali di recuperare informazioni su un account nell'organizzazione.
+ `organizations:DescribeOrganizationalUnit`— Consente ai responsabili di recuperare informazioni su un'unità organizzativa all'interno dell'organizzazione.
+ `organizations:ListPolicies`— Recupera l'elenco di tutte le politiche di un'organizzazione di un tipo specificato.
+ `organizations:ListPoliciesForTarget`— Elenca le politiche direttamente collegate alla radice, all'unità organizzativa (OU) o all'account di destinazione specificati.
+ `organizations:ListTargetsForPolicy`— Elenca tutte le radici, le unità organizzative (OUs) e gli account a cui è associata la politica specificata.
+ `organizations:EnableAWSServiceAccess`— Consente ai presidi di abilitare l'integrazione con Organizations.
+ `organizations:RegisterDelegatedAdministrator`— Consente ai responsabili di designare l'account amministratore delegato.
+ `organizations:DeregisterDelegatedAdministrator`— Consente ai responsabili di rimuovere l'account amministratore delegato.
+ `organizations:DescribePolicy`— Recupera informazioni su una politica.
+ `organizations:DescribeEffectivePolicy`— Restituisce il contenuto della politica effettiva per il tipo di politica e l'account specificati.
+ `organizations:CreatePolicy`— Crea una politica di un tipo specifico che è possibile allegare a una radice, a un'unità organizzativa (OU) o a un AWS account individuale.
+ `organizations:UpdatePolicy`— Aggiorna una politica esistente con un nuovo nome, descrizione o contenuto.
+ `organizations:DeletePolicy`— Elimina la politica specificata dall'organizzazione.
+ `organizations:AttachPolicy`— Associa una policy a una root, a un'unità organizzativa (OU) o a un account individuale.
+ `organizations:DetachPolicy`— Scollega una politica da una radice, un'unità organizzativa (OU) o un account di destinazione.
+ `organizations:EnablePolicyType`— Abilita un tipo di policy in una radice.
+ `organizations:DisablePolicyType`— Disattiva un tipo di politica organizzativa in una radice.
+ `organizations:TagResource`— Aggiunge uno o più tag a una risorsa specificata.
+ `organizations:UntagResource`— Rimuove tutti i tag con le chiavi specificate da una risorsa specificata.
+ `organizations:ListTagsForResource`— Elenca i tag allegati a una risorsa specificata.
+ `organizations:DescribeResourcePolicy`— Recupera informazioni su una politica delle risorse.
Per esaminare le autorizzazioni relative a questa politica, vedere [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubOrganizationsAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubOrganizationsAccess.html)la *AWS Managed Policy Reference Guide.*
## AWS politica gestita: AWSSecurityHubServiceRolePolicy
Non è possibile collegare `AWSSecurityHubServiceRolePolicy`alle entità IAM. Questa policy è associata a un ruolo collegato al servizio che consente a Security Hub CSPM di eseguire azioni per conto dell'utente. Per ulteriori informazioni, consulta [Ruoli collegati ai servizi per AWS Security Hub CSPM](using-service-linked-roles.md).
Questa politica concede autorizzazioni amministrative che consentono al ruolo collegato al servizio di eseguire attività come eseguire controlli di sicurezza per i controlli CSPM di Security Hub.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `cloudtrail`— Recupera informazioni sui sentieri. CloudTrail
+ `cloudwatch`— Recupera gli allarmi correnti CloudWatch .
+ `logs`— Recupera i filtri metrici per i log. CloudWatch
+ `sns`— Recupera l'elenco degli abbonamenti a un argomento SNS.
+ `config`— Recupera informazioni sui registratori di configurazione, sulle risorse e sulle regole. AWS Config Consente inoltre al ruolo collegato al servizio di creare ed eliminare AWS Config regole e di eseguire valutazioni in base alle regole.
+ `iam`— Recupera e genera report sulle credenziali per gli account.
+ `organizations`— Recupera le informazioni sull'account e sull'unità organizzativa (OU) di un'organizzazione.
+ `securityhub`— Recupera informazioni su come sono configurati il servizio CSPM, gli standard e i controlli di Security Hub.
+ `tag`— Recupera informazioni sui tag delle risorse.
Per esaminare le autorizzazioni relative a questa politica, consulta [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubServiceRolePolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubServiceRolePolicy.html)la *AWS Managed Policy Reference Guide.*
## AWS politica gestita: AWSSecurityHubV2ServiceRolePolicy
**Nota**
Security Hub è in versione di anteprima ed è soggetto a modifiche.
Questa politica consente a Security Hub di gestire AWS Config le regole e le risorse del Security Hub per l'organizzazione e per conto dell'utente. Questa policy è associata a un ruolo collegato al servizio che consente al servizio di eseguire azioni per conto dell'utente. Non è possibile allegare la policy alle identità IAM. Per ulteriori informazioni, consulta [Ruoli collegati ai servizi per AWS Security Hub CSPM](using-service-linked-roles.md).
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `cloudwatch`— Recupera i dati delle metriche per supportare le funzionalità di misurazione per le risorse del Security Hub.
+ `config`— Gestione dei registratori di configurazione collegati ai servizi per le risorse Security Hub, incluso il supporto per i registratori Config globali.
+ `ecr`— Recupera informazioni sulle immagini e sugli archivi di Amazon Elastic Container Registry per supportare le funzionalità di misurazione.
+ `iam`— Crea il ruolo collegato al servizio AWS Config e recupera le informazioni sull'account per supportare le funzionalità di misurazione.
+ `lambda`— Recupera le informazioni sulle AWS Lambda funzioni per supportare le funzionalità di misurazione.
+ `organizations`— Recupera informazioni sull'account e sull'unità organizzativa (OU) di un'organizzazione.
+ `securityhub`— Gestire la configurazione del Security Hub.
+ `tag`— Recupera informazioni sui tag delle risorse.
Per esaminare le autorizzazioni relative a questa politica, consulta [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubV2ServiceRolePolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubV2ServiceRolePolicy.html)la *AWS Managed Policy Reference Guide.*
## Aggiornamenti del Security Hub alle policy AWS gestite
La tabella seguente fornisce dettagli sugli aggiornamenti alle politiche AWS gestite per AWS Security Hub e Security Hub CSPM da quando questo servizio ha iniziato a tenere traccia di queste modifiche. Per ricevere avvisi automatici sugli aggiornamenti delle politiche, iscriviti al feed RSS nella pagina della [cronologia dei documenti di Security Hub](doc-history.md).
| Modifica | Descrizione | Data |
| --- | --- | --- |
| [AWSSecurityHubOrganizationsAccess](#security-iam-awsmanpol-awssecurityhuborganizationsaccess)— Politica aggiornata | Security Hub ha aggiornato la politica per aggiungere autorizzazioni per descrivere le politiche delle risorse per supportare le funzionalità di Security Hub. Security Hub è in versione di anteprima ed è soggetto a modifiche. | 12 novembre 2025 |
| [AWSSecurityHubFullAccess](#security-iam-awsmanpol-awssecurityhubfullaccess)— Politica aggiornata | Security Hub ha aggiornato la policy per aggiungere funzionalità di gestione GuardDuty, Amazon Inspector e gestione degli account per supportare le funzionalità di Security Hub. Security Hub è in versione di anteprima ed è soggetto a modifiche. | 17 novembre 2025 |
| [AWSSecurityHUBv2 ServiceRolePolicy](#security-iam-awsmanpol-awssecurityhubv2servicerolepolicy) — Politica aggiornata | Security Hub ha aggiornato la policy per aggiungere funzionalità di misurazione per Amazon Elastic Container Registry AWS Lambda CloudWatch, Amazon e AWS Identity and Access Management per supportare le funzionalità di Security Hub. L'aggiornamento ha inoltre aggiunto il supporto per i AWS Config registratori globali. Security Hub è in versione di anteprima ed è soggetto a modifiche. | 5 novembre 2025 |
| [AWSSecurityHubOrganizationsAccess](#security-iam-awsmanpol-awssecurityhuborganizationsaccess): aggiornamento di una policy esistente | Security Hub ha aggiunto nuove autorizzazioni alla policy. Le autorizzazioni consentono alla direzione dell'organizzazione di abilitare e gestire Security Hub e Security Hub CSPM per un'organizzazione. | 17 giugno 2025 |
| [AWSSecurityHubFullAccess](#security-iam-awsmanpol-awssecurityhubfullaccess): aggiornamento di una policy esistente | Security Hub CSPM ha aggiunto nuove autorizzazioni che consentono ai responsabili di creare un ruolo collegato al servizio per Security Hub. | 17 giugno 2025 |
| [AWSSecurityHubFullAccess](#security-iam-awsmanpol-awssecurityhubfullaccess)— Aggiornamento a una politica esistente | Security Hub CSPM ha aggiornato la politica per ottenere dettagli sui prezzi Servizi AWS e sui prodotti. | 24 aprile 2024 |
| [AWSSecurityHubReadOnlyAccess](#security-iam-awsmanpol-awssecurityhubreadonlyaccess)— Aggiornamento a una politica esistente | Security Hub CSPM ha aggiornato questa politica gestita aggiungendo un Sid campo. | 22 febbraio 2024 |
| [AWSSecurityHubFullAccess](#security-iam-awsmanpol-awssecurityhubfullaccess)— Aggiornamento a una politica esistente | Security Hub CSPM ha aggiornato la policy in modo da determinare se Amazon GuardDuty e Amazon Inspector sono abilitati in un account. Questo aiuta i clienti a riunire più informazioni relative alla sicurezza. Servizi AWS | 16 novembre 2023 |
| [AWSSecurityHubOrganizationsAccess](#security-iam-awsmanpol-awssecurityhuborganizationsaccess)— Aggiornamento a una politica esistente | Security Hub CSPM ha aggiornato la politica per concedere autorizzazioni aggiuntive per consentire l'accesso in sola lettura alle funzionalità di amministratore delegato. AWS Organizations Ciò include dettagli come la radice, le unità organizzative (OUs), gli account, la struttura organizzativa e l'accesso al servizio. | 16 novembre 2023 |
| [AWSSecurityHubServiceRolePolicy](#security-iam-awsmanpol-awssecurityhubservicerolepolicy): aggiornamento di una policy esistente | Security Hub CSPM ha aggiunto le BatchGetSecurityControls autorizzazioni e UpdateSecurityControl le autorizzazioni per leggere e aggiornare le proprietà di controllo di sicurezza personalizzabili. DisassociateFromAdministratorAccount | 26 novembre 2023 |
| [AWSSecurityHubServiceRolePolicy](#security-iam-awsmanpol-awssecurityhubservicerolepolicy): aggiornamento di una policy esistente | Security Hub CSPM ha aggiunto l'tag:GetResourcesautorizzazione a leggere i tag delle risorse relativi ai risultati. | 7 novembre 2023 |
| [AWSSecurityHubServiceRolePolicy](#security-iam-awsmanpol-awssecurityhubservicerolepolicy): aggiornamento di una policy esistente | Security Hub CSPM ha aggiunto l'BatchGetStandardsControlAssociationsautorizzazione per ottenere informazioni sullo stato di abilitazione di un controllo in uno standard. | 27 settembre 2023 |
| [AWSSecurityHubServiceRolePolicy](#security-iam-awsmanpol-awssecurityhubservicerolepolicy): aggiornamento di una policy esistente | Security Hub CSPM ha aggiunto nuove autorizzazioni per ottenere AWS Organizations dati e leggere e aggiornare le configurazioni CSPM di Security Hub, inclusi standard e controlli. | 20 settembre 2023 |
| [AWSSecurityHubServiceRolePolicy](#security-iam-awsmanpol-awssecurityhubservicerolepolicy): aggiornamento di una policy esistente | Security Hub CSPM ha spostato l'config:DescribeConfigRuleEvaluationStatusautorizzazione esistente in una dichiarazione diversa all'interno della politica. L'config:DescribeConfigRuleEvaluationStatusautorizzazione viene ora applicata a tutte le risorse. | 17 marzo 2023 |
| [AWSSecurityHubServiceRolePolicy](#security-iam-awsmanpol-awssecurityhubservicerolepolicy): aggiornamento di una policy esistente | Security Hub CSPM ha spostato l'config:PutEvaluationsautorizzazione esistente in una dichiarazione diversa all'interno della politica. L'config:PutEvaluationsautorizzazione viene ora applicata a tutte le risorse. | 14 luglio 2021 |
| [AWSSecurityHubServiceRolePolicy](#security-iam-awsmanpol-awssecurityhubservicerolepolicy): aggiornamento di una policy esistente | Security Hub CSPM ha aggiunto una nuova autorizzazione per consentire al ruolo collegato al servizio di fornire risultati di valutazione. AWS Config | 29 giugno 2021 |
| [AWSSecurityHubServiceRolePolicy](#security-iam-awsmanpol-awssecurityhubservicerolepolicy)— Aggiunto all'elenco delle politiche gestite | Sono state aggiunte informazioni sulla policy gestita AWSSecurityHubServiceRolePolicy, utilizzata dal ruolo collegato al servizio Security Hub CSPM. | 11 giugno 2021 |
| [AWSSecurityHubOrganizationsAccess](#security-iam-awsmanpol-awssecurityhuborganizationsaccess)— Nuova politica | Security Hub CSPM ha aggiunto una nuova politica che concede le autorizzazioni necessarie per l'integrazione del Security Hub CSPM con Organizations. | 15 marzo 2021 |
| Security Hub CSPM ha iniziato a tracciare le modifiche | Security Hub CSPM ha iniziato a tenere traccia delle modifiche per le sue politiche AWS gestite. | 15 marzo 2021 |
# Risoluzione dei problemi di AWS Security Hub CSPM identità e accesso
Utilizza le seguenti informazioni per aiutarti a diagnosticare e risolvere i problemi più comuni che potresti riscontrare quando lavori con AWS Security Hub CSPM un IAM.
**Topics**
+ [Non sono autorizzato a eseguire un'azione in Security Hub CSPM](#security_iam_troubleshoot-no-permissions)
+ [Non sono autorizzato a eseguire iam: PassRole](#security_iam_troubleshoot-passrole)
+ [Desidero l'accesso programmatico a Security Hub CSPM](#security_iam_troubleshoot-access-keys)
+ [Sono un amministratore e desidero consentire ad altri di accedere a Security Hub CSPM](#security_iam_troubleshoot-admin-delegate)
+ [Voglio consentire a persone esterne a me di accedere Account AWS alle mie risorse CSPM Security Hub](#security_iam_troubleshoot-cross-account-access)
## Non sono autorizzato a eseguire un'azione in Security Hub CSPM
Se ti Console di gestione AWS dice che non sei autorizzato a eseguire un'azione, devi contattare l'amministratore per ricevere assistenza. L’amministratore è colui che ti ha fornito le credenziali di accesso.
L'errore di esempio seguente si verifica quando l'utente `mateojackson` tenta di utilizzare la console per visualizzare i dettagli su un *widget* ma non dispone `securityhub:GetWidget` delle autorizzazioni.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: securityhub:GetWidget on resource: my-example-widget
```
In questo caso, Mateo chiede al suo amministratore di aggiornare le policy per poter accedere alla risorsa `my-example-widget` mediante l'operazione `securityhub:GetWidget`.
## Non sono autorizzato a eseguire iam: PassRole
Se ricevi un messaggio di errore indicante che non sei autorizzato a eseguire l'`iam:PassRole`azione, le tue politiche devono essere aggiornate per consentirti di trasferire un ruolo a Security Hub.
Alcuni Servizi AWS consentono di trasferire un ruolo esistente a quel servizio invece di creare un nuovo ruolo di servizio o un ruolo collegato al servizio. Per eseguire questa operazione, è necessario disporre delle autorizzazioni per trasmettere il ruolo al servizio.
Il seguente errore di esempio si verifica quando un utente IAM denominato `marymajor` tenta di utilizzare la console per eseguire un'azione in Security Hub. Tuttavia, l’azione richiede che il servizio disponga delle autorizzazioni concesse da un ruolo di servizio. Mary non dispone delle autorizzazioni per trasmettere il ruolo al servizio.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
In questo caso, le policy di Mary devono essere aggiornate per poter eseguire l’operazione `iam:PassRole`.
Se hai bisogno di aiuto, contatta il tuo AWS amministratore. L’amministratore è la persona che ti ha fornito le credenziali di accesso.
## Desidero l'accesso programmatico a Security Hub CSPM
Gli utenti hanno bisogno di un accesso programmatico se vogliono interagire con AWS l'esterno di. Console di gestione AWS Il modo per concedere l'accesso programmatico dipende dal tipo di utente che accede. AWS
Per fornire agli utenti l’accesso programmatico, scegli una delle seguenti opzioni.
****
| Quale utente necessita dell’accesso programmatico? | Per | Come |
| --- | --- | --- |
| IAM | (Consigliato) Utilizza le credenziali della console come credenziali temporanee per firmare le richieste programmatiche a,, o. AWS CLI AWS SDKs AWS APIs | Segui le istruzioni per l’interfaccia che desideri utilizzare. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/security_iam_troubleshoot.html) |
| Identità della forza lavoro (Utenti gestiti nel centro identità IAM) | Utilizza credenziali temporanee per firmare le richieste programmatiche a AWS CLI, AWS SDKs, o. AWS APIs | Segui le istruzioni per l’interfaccia che desideri utilizzare. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/security_iam_troubleshoot.html) |
| IAM | Utilizza credenziali temporanee per firmare le richieste programmatiche a AWS CLI, AWS SDKs, o. AWS APIs | Seguendo le istruzioni riportate in [Utilizzo delle credenziali temporanee con le AWS risorse nella Guida per](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_use-resources.html) l'utente IAM. |
| IAM | (Non consigliato)Utilizza credenziali a lungo termine per firmare richieste programmatiche a AWS CLI,, AWS SDKs o. AWS APIs | Segui le istruzioni per l’interfaccia che desideri utilizzare. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/security_iam_troubleshoot.html) |
## Sono un amministratore e desidero consentire ad altri di accedere a Security Hub CSPM
Per fornire l’accesso, aggiungi autorizzazioni agli utenti, gruppi o ruoli:
+ Utenti e gruppi in: AWS IAM Identity Center
Crea un set di autorizzazioni. Segui le istruzioni riportate nella pagina [Create a permission set](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) (Creazione di un set di autorizzazioni) nella *Guida per l’utente di AWS IAM Identity Center *.
+ Utenti gestiti in IAM tramite un provider di identità:
Crea un ruolo per la federazione delle identità. Segui le istruzioni riportate nella pagina [Create a role for a third-party identity provider (federation)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) della *Guida per l’utente IAM*.
+ Utenti IAM:
+ Crea un ruolo che l’utente possa assumere. Segui le istruzioni riportate nella pagina [Create a role for an IAM user](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) della *Guida per l’utente IAM*.
+ (Non consigliato) Collega una policy direttamente a un utente o aggiungi un utente a un gruppo di utenti. Segui le istruzioni riportate nella pagina [Aggiunta di autorizzazioni a un utente (console)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) nella *Guida per l’utente IAM*.
## Voglio consentire a persone esterne a me di accedere Account AWS alle mie risorse CSPM Security Hub
È possibile creare un ruolo con il quale utenti in altri account o persone esterne all’organizzazione possono accedere alle tue risorse. È possibile specificare chi è attendibile per l’assunzione del ruolo. Per i servizi che supportano politiche basate sulle risorse o liste di controllo degli accessi (ACLs), puoi utilizzare tali politiche per concedere alle persone l'accesso alle tue risorse.
Per maggiori informazioni, consulta gli argomenti seguenti:
+ Per sapere se Security Hub supporta queste funzionalità, vedere[Come funziona Security Hub con IAM](security_iam_service-with-iam.md).
+ Per scoprire come fornire l'accesso alle tue risorse su tutto Account AWS ciò che possiedi, consulta [Fornire l'accesso a un utente IAM in un altro Account AWS di tua proprietà](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) nella *IAM User Guide*.
+ Per scoprire come fornire l'accesso alle tue risorse a terze parti Account AWS, consulta [Fornire l'accesso a soggetti Account AWS di proprietà di terze parti](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) nella *Guida per l'utente IAM*.
+ Per informazioni su come fornire l'accesso tramite la federazione delle identità, consulta [Fornire l'accesso a utenti autenticati esternamente (federazione delle identità)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) nella *Guida per l'utente IAM*.
+ Per informazioni sulle differenze di utilizzo tra ruoli e policy basate su risorse per l’accesso multi-account, consulta [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente di IAM*.
# Convalida della conformità per AWS Security Hub CSPM
Per sapere se un Servizio AWS programma rientra nell'ambito di specifici programmi di conformità, consulta Servizi AWS la sezione [Scope by Compliance Program Servizi AWS](https://aws.amazon.com/compliance/services-in-scope/) e scegli il programma di conformità che ti interessa. Per informazioni generali, consulta Programmi di [AWS conformità Programmi](https://aws.amazon.com/compliance/programs/) di di .
È possibile scaricare report di audit di terze parti utilizzando AWS Artifact. Per ulteriori informazioni, consulta [Scaricamento dei report in AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
La vostra responsabilità di conformità durante l'utilizzo Servizi AWS è determinata dalla sensibilità dei dati, dagli obiettivi di conformità dell'azienda e dalle leggi e dai regolamenti applicabili. Per ulteriori informazioni sulla responsabilità di conformità durante l'utilizzo Servizi AWS, consulta la [Documentazione AWS sulla sicurezza](https://docs.aws.amazon.com/security/).
# Resilienza nel AWS Security Hub
L'infrastruttura AWS globale è costruita attorno a zone Regioni AWS di disponibilità. Le regioni forniscono più zone di disponibilità fisicamente separate e isolate, connesse tramite reti altamente ridondanti, a bassa latenza e throughput elevato. Con le zone di disponibilità, è possibile progettare e gestire applicazioni e database che eseguono il failover automatico tra zone di disponibilità senza interruzioni. Le zone di disponibilità sono più disponibili, tolleranti ai guasti e scalabili rispetto alle infrastrutture a data center singolo o multiplo tradizionali.
Per ulteriori informazioni sulle zone Regioni AWS di disponibilità, vedere [AWS Global Infrastructure](https://aws.amazon.com/about-aws/global-infrastructure/).
# Sicurezza dell'infrastruttura in AWS Security Hub CSPM
In quanto servizio gestito, AWS Security Hub CSPM è protetto dalla sicurezza di rete AWS globale. Per informazioni sui servizi AWS di sicurezza e su come AWS protegge l'infrastruttura, consulta [AWS Cloud Security](https://aws.amazon.com/security/). Per progettare il tuo AWS ambiente utilizzando le migliori pratiche per la sicurezza dell'infrastruttura, vedi [Infrastructure Protection](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) in *Security Pillar AWS Well‐Architected* Framework.
Si utilizzano chiamate API AWS pubblicate per accedere a Security Hub CSPM attraverso la rete. I client devono supportare quanto segue:
+ Transport Layer Security (TLS). È richiesto TLS 1.2 ed è consigliato TLS 1.3.
+ Suite di cifratura con Perfect Forward Secrecy (PFS), ad esempio Ephemeral Diffie-Hellman (DHE) o Elliptic Curve Ephemeral Diffie-Hellman (ECDHE). La maggior parte dei sistemi moderni, come Java 7 e versioni successive, supporta tali modalità.
# AWS Security Hub CSPM e endpoint VPC di interfaccia ()AWS PrivateLink
Puoi stabilire una connessione privata tra il tuo VPC e creare un AWS Security Hub CSPM endpoint *VPC* di interfaccia. Gli endpoint di interfaccia sono alimentati da [AWS PrivateLink](https://aws.amazon.com/privatelink), una tecnologia che consente di accedere privatamente a Security Hub CSPM APIs senza un gateway Internet, un dispositivo NAT, una connessione VPN o una connessione Direct Connect. AWS Le istanze nel tuo VPC non necessitano di indirizzi IP pubblici per comunicare con Security Hub CSPM. APIs Il traffico tra il tuo VPC e il CSPM di Security Hub non esce dalla rete Amazon.
Ogni endpoint dell'interfaccia è rappresentato da una o più [interfacce di rete elastiche](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) nelle sottoreti. Per ulteriori informazioni, consulta [Accedere a un endpoint VPC Servizio AWS con interfaccia](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html) nella *Amazon Virtual Private* Cloud Guide.
## Considerazioni sugli endpoint VPC CSPM di Security Hub
[Prima di configurare un endpoint VPC di interfaccia per Security Hub CSPM, assicurati di rivedere i prerequisiti e altre informazioni nella Amazon Virtual Private Cloud Guide.](https://docs.aws.amazon.com/vpc/latest/privatelink/what-is-privatelink.html)
Security Hub CSPM supporta l'esecuzione di chiamate a tutte le sue azioni API dal tuo VPC.
## Creazione di un endpoint VPC di interfaccia per Security Hub CSPM
Puoi creare un endpoint VPC per il servizio CSPM di Security Hub utilizzando la console Amazon VPC o il (). AWS Command Line Interface AWS CLI Per ulteriori informazioni, consulta [Creare un endpoint VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#create-interface-endpoint) nella *Amazon Virtual Private* Cloud Guide.
Crea un endpoint VPC per Security Hub CSPM utilizzando il seguente nome di servizio:
`com.amazonaws.region.securityhub`
*region*Dov'è il codice regionale applicabile. Regione AWS
Se abiliti il DNS privato per l'endpoint, puoi effettuare richieste API a Security Hub CSPM utilizzando il nome DNS predefinito per la regione, `securityhub.us-east-1.amazonaws.com` ad esempio per la regione Stati Uniti orientali (Virginia settentrionale).
## Creazione di una policy per gli endpoint VPC per Security Hub (CSPM)
Puoi allegare una policy per gli endpoint all'endpoint VPC che controlla l'accesso a Security Hub CSPM. La policy specifica le informazioni riportate di seguito:
+ Il principale che può eseguire operazioni.
+ Le azioni che possono essere eseguite.
+ Le risorse sui cui si possono eseguire azioni.
Per ulteriori informazioni, consulta [Controllare l'accesso agli endpoint VPC utilizzando le policy degli endpoint](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) nella *Amazon Virtual* Private Cloud Guide.
**Esempio: policy degli endpoint VPC per le azioni CSPM di Security Hub**
Di seguito è riportato un esempio di policy degli endpoint per Security Hub CSPM. Se collegata a un endpoint, questa politica consente l'accesso alle azioni CSPM di Security Hub elencate per tutti i principali su tutte le risorse.
```
{
"Statement":[
{
"Principal":"*",
"Effect":"Allow",
"Action":[
"securityhub:getFindings",
"securityhub:getEnabledStandards",
"securityhub:getInsights"
],
"Resource":"*"
}
]
}
```
## Sottoreti condivise
Non puoi creare, descrivere, modificare o eliminare gli endpoint VPC nelle sottoreti condivise con te. Tuttavia, puoi utilizzare gli endpoint VPC in sottoreti condivise con te. *Per informazioni sulla condivisione VPC, consulta [Condividi le tue sottoreti VPC con altri account nella Amazon](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-sharing.html) Virtual Private Cloud Guide.*