기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# AWS Security Hub에 대한 관리형 정책
<a name="security-iam-awsmanpol"></a>

 AWS 관리형 정책은에서 생성하고 관리하는 독립 실행형 정책입니다 AWS. AWS 관리형 정책은 사용자, 그룹 및 역할에 권한 할당을 시작할 수 있도록 많은 일반적인 사용 사례에 대한 권한을 제공하도록 설계되었습니다.

 AWS 관리형 정책은 모든 AWS 고객이 사용할 수 있으므로 특정 사용 사례에 대해 최소 권한을 부여하지 않을 수 있습니다. 사용 사례에 고유한 [고객 관리형 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)을 정의하여 권한을 줄이는 것이 좋습니다.

 AWS 관리형 정책에 정의된 권한은 변경할 수 없습니다. 가 관리형 정책에 정의된 권한을 AWS 업데이트하는 AWS 경우 업데이트는 정책이 연결된 모든 보안 주체 자격 증명(사용자, 그룹 및 역할)에 영향을 줍니다. AWS AWS 서비스 는 새가 시작되거나 기존 서비스에 새 API 작업을 사용할 수 있게 될 때 AWS 관리형 정책을 업데이트할 가능성이 높습니다.

자세한 내용은 *IAM 사용자 가이드*의 [AWS 관리형 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)을 참조하세요.



## AWS 관리형 정책: AWSSecurityHubFullAccess
<a name="security-iam-awsmanpol-awssecurityhubfullaccess"></a>

`AWSSecurityHubFullAccess` 정책을 IAM ID에 연결할 수 있습니다.

이 정책은 모든 Security Hub CSPM 작업에 대한 전체 액세스 권한을 허용하는 관리 권한을 위탁자에게 부여합니다. 위탁자가 자신의 계정에 대해 Security Hub CSPM을 수동으로 활성화하려면 먼저 위탁자에 이 정책을 연결해야 합니다. 예를 들어, 이러한 권한이 있는 보안 주체는 조사 결과의 상태를 보고 업데이트할 수 있습니다. 또한 사용자 지정 인사이트를 구성하고, 통합을 활성화하고, 표준 및 제어를 활성화/비활성화할 수 있습니다. 관리자 계정의 보안 주체는 멤버 계정을 관리할 수도 있습니다.

** 권한 세부 정보**

이 정책에는 다음 권한이 포함되어 있습니다.
+ `securityhub` – 위탁자가 Security Hub CSPM 작업에 대한 전체 액세스 권한을 가질 수 있습니다.
+ `guardduty` - 보안 주체가 Amazon GuardDuty에서 탐지기, 조직 관리자 관리, 멤버 계정 관리 및 조직 전체 구성에 대한 전체 수명 주기 관리를 수행할 수 있습니다. 여기에는 GetDetector, ListDetector, CreateDetector, UpdateDetector, DeleteDetector, EnableOrganizationAdminAccount, ListOrganizationAdminAccounts, CreateMembers, UpdateOrganizationConfiguration, DescribeOrganizationConfiguration 등의 API 작업이 포함됩니다.
+ `iam` - 보안 주체가 Security Hub CSPM 및 Security Hub에 대한 서비스 연결 역할을 생성하고 역할, 정책 및 정책 버전을 가져올 수 있도록 허용합니다.
+ `inspector` - 보안 주체가 Amazon Inspector에서 계정 상태에 대한 정보를 가져오고, 활성화 또는 비활성화하고, 관리자 관리를 위임하고, 조직 구성 관리를 수행할 수 있습니다. 여기에는 BatchGetAccountStatus, 활성화, 비활성화, EnableDelegatedAdminAccount, DisableDelegatedAdminAccount, ListDelegatedAdminAccounts, UpdateOrganizationConfiguration, DescribeOrganizationConfiguration 등의 API 작업이 포함됩니다.
+ `pricing` - 보안 주체가 AWS 서비스 및 제품의 가격 목록을 가져올 수 있도록 허용합니다.
+ `account` - 보안 주체가 Security Hub에서 리전 관리를 지원하기 위해 계정 리전에 대한 정보를 가져오도록 허용합니다.

이 정책의 권한을 검토하려면 *AWS 관리형 정책 참조 안내서*의 [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubFullAccess.html)를 참조하세요.

## AWS 관리형 정책: AWSSecurityHubReadOnlyAccess
<a name="security-iam-awsmanpol-awssecurityhubreadonlyaccess"></a>

`AWSSecurityHubReadOnlyAccess` 정책을 IAM ID에 연결할 수 있습니다.

이 정책은 Security Hub CSPM의 정보를 볼 수 있는 읽기 전용 권한을 사용자에게 부여합니다. 이 정책이 연결된 위탁자는 Security Hub CSPM에서 업데이트를 수행할 수 없습니다. 예를 들어, 이러한 권한이 있는 보안 주체는 자신의 계정과 연결된 조사 결과 목록을 볼 수 있지만 조사 결과의 상태를 변경할 수는 없습니다. 이들은 인사이트 결과는 볼 수 있지만 사용자 지정 인사이트를 만들거나 구성할 수는 없습니다. 이들은 제어 기능 또는 제품 통합을 구성할 수 없습니다.

** 권한 세부 정보**

이 정책에는 다음 권한이 포함되어 있습니다.
+ `securityhub` - 사용자가 항목 목록 또는 특정 항목의 세부 정보를 반환하는 작업을 수행할 수 있습니다. 여기에는 `Get`, `List` 또는 `Describe`(으)로 시작하는 API 작업이 포함됩니다.

이 정책의 권한을 검토하려면 *AWS 관리형 정책 참조 안내서*의 [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubReadOnlyAccess.html)를 참조하세요.

## AWS 관리형 정책: AWSSecurityHubOrganizationsAccess
<a name="security-iam-awsmanpol-awssecurityhuborganizationsaccess"></a>

 `AWSSecurityHubOrganizationsAccess` 정책을 IAM ID에 연결할 수 있습니다.

이 정책은 조직에 대해 Security Hub, Security Hub CSPM, Amazon GuardDuty 및 Amazon Inspector를 활성화하고 관리할 수 있는 관리 권한을 부여합니다 AWS Organizations. 이 정책에 대한 권한을 통해 조직 관리 계정은 Security Hub, Security Hub CSPM, Amazon GuardDuty 및 Amazon Inspector에 대한 위임된 관리자 계정을 지정할 수 있습니다. 또한, 위임된 관리자 계정을 통해 조직 계정을 멤버 계정으로 활성화할 수 있습니다.

이 정책은에 대한 권한만 제공합니다 AWS Organizations. 조직 관리 계정 및 위임된 관리자 계정에도 관련 작업에 대한 권한이 필요합니다. `AWSSecurityHubFullAccess` 관리형 정책을 사용하여 이러한 권한을 부여할 수 있습니다.

관리 계정에서 위임된 관리자 정책을 생성하거나 업데이트하려면이 정책에 제공되지 않은 추가 권한이 필요합니다. 이러한 작업을 수행하려면 AWSOrganizationsFullAccess 정책에 대한 권한을 추가`organizations:PutResourcePolicy`하거나 연결하는 것이 좋습니다.

** 권한 세부 정보**

이 정책에는 다음 권한이 포함되어 있습니다.
+ `organizations:ListAccounts` – 보안 주체가 조직의 일부인 계정 목록을 검색할 수 있습니다.
+ `organizations:DescribeOrganization` – 보안 주체가 조직에 대한 정보를 검색할 수 있습니다.
+ `organizations:ListRoots` – 보안 주체가 조직의 루트를 나열할 수 있습니다.
+ `organizations:ListDelegatedAdministrators` - 보안 주체가 조직의 위임된 관리자를 나열할 수 있습니다.
+ `organizations:ListAWSServiceAccessForOrganization` - 보안 주체 AWS 서비스 가 조직에서 사용하는를 나열할 수 있도록 허용합니다.
+ `organizations:ListOrganizationalUnitsForParent` – 보안 주체가 상위 OU의 하위 조직 단위(OU)를 나열할 수 있습니다.
+ `organizations:ListAccountsForParent` – 보안 주체가 상위 OU의 하위 계정을 나열할 수 있습니다.
+  `organizations:ListParents` - 지정된 하위 조직 단위(OU) 또는 계정의 직속 상위 역할을 하는 루트 또는 OU를 나열합니다.
+ `organizations:DescribeAccount` – 보안 주체가 조직의 계정에 대한 정보를 검색할 수 있습니다.
+ `organizations:DescribeOrganizationalUnit` – 보안 주체가 조직의 OU에 대한 정보를 검색할 수 있습니다.
+  `organizations:ListPolicies` - 지정된 유형의 조직에 있는 모든 정책의 목록을 검색합니다.
+  `organizations:ListPoliciesForTarget` - 지정된 대상 루트, 조직 단위(OU) 또는 계정에 직접 연결된 정책을 나열합니다.
+  `organizations:ListTargetsForPolicy` - 지정된 정책이 연결된 모든 루트, 조직 단위(OU) 및 계정을 나열합니다.
+ `organizations:EnableAWSServiceAccess` – 위탁자가 Organizations를 통합할 수 있도록 허용합니다.
+ `organizations:RegisterDelegatedAdministrator` – 위탁자가 위임된 관리자 계정을 지정할 수 있도록 허용합니다.
+ `organizations:DeregisterDelegatedAdministrator` – 위탁자가 위임된 관리자 계정을 제거할 수 있도록 허용합니다.
+  `organizations:DescribePolicy` - 정책에 대한 정보를 검색합니다.
+  `organizations:DescribeEffectivePolicy` - 지정된 정책 유형 및 계정에 대한 유효 정책의 내용을 반환합니다.
+  `organizations:CreatePolicy` - 루트, 조직 단위(OU) 또는 개별 AWS 계정에 연결할 수 있는 지정된 유형의 정책을 생성합니다.
+  `organizations:UpdatePolicy` - 기존의 정책을 새로운 이름, 설명 또는 내용으로 업데이트합니다.
+  `organizations:DeletePolicy` - 조직에서 지정된 정책을 삭제합니다.
+  `organizations:AttachPolicy` - 정책을 루트, 조직 단위(OU) 또는 개인 계정에 연결합니다.
+  `organizations:DetachPolicy` - 대상 루트, 조직 단위(OU) 또는 계정에서 정책을 분리합니다.
+  `organizations:EnablePolicyType` - 루트에서 정책 유형을 활성화합니다.
+  `organizations:DisablePolicyType` - 루트에서 조직 정책 유형을 비활성화합니다.
+  `organizations:TagResource` - 지정된 리소스에 하나 이상의 태그를 추가합니다.
+  `organizations:UntagResource` - 지정된 리소스에서 지정된 키가 있는 태그를 모두 제거합니다.
+  `organizations:ListTagsForResource` - 지정된 리소스에 연결된 태그를 나열합니다.
+  `organizations:DescribeResourcePolicy` - 리소스 정책에 대한 정보를 검색합니다.

이 정책의 권한을 검토하려면 *AWS 관리형 정책 참조 안내서*의 [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubOrganizationsAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubOrganizationsAccess.html)를 참조하세요.

## AWS 관리형 정책: AWSSecurityHubServiceRolePolicy
<a name="security-iam-awsmanpol-awssecurityhubservicerolepolicy"></a>

`AWSSecurityHubServiceRolePolicy`를 IAM 엔티티에 연결할 수 없습니다. 이 정책은 Security Hub CSPM에서 사용자를 대신하여 작업을 수행할 수 있도록 서비스 연결 역할에 연결되어 있습니다. 자세한 내용은 [에 대한 서비스 연결 역할 AWS Security Hub CSPM](using-service-linked-roles.md) 단원을 참조하십시오.

이 정책은 서비스 연결 역할이 Security Hub CSPM 제어에 대한 보안 검사와 같은 태스크를 수행할 수 있도록 하는 관리 권한을 부여합니다.

** 권한 세부 정보**

이 정책에는 다음 권한이 포함되어 있습니다.
+ `cloudtrail` – CloudTrail 추적에 대한 정보를 검색합니다.
+ `cloudwatch` – 현재 CloudWatch 경보를 검색합니다.
+ `logs` – CloudWatch 로그의 지표 필터를 검색합니다.
+ `sns` – SNS 주제에 대한 구독 목록을 검색합니다.
+ `config` - 구성 레코더, 리소스 및 AWS Config 규칙에 대한 정보를 검색합니다. 또한, 서비스 연결 역할이 AWS Config 규칙을 생성 및 삭제하고 규칙에 대한 평가를 실행할 수 있도록 허용합니다.
+ `iam` – 계정에 대한 자격 증명 보고서를 검색하고 생성합니다.
+ `organizations` – 조직의 계정 및 OU(조직 단위) 정보를 검색합니다.
+ `securityhub` – Security Hub CSPM 서비스, 표준 및 제어가 구성된 방식에 대한 정보를 검색합니다.
+ `tag` – 리소스 태그에 대한 정보를 검색합니다.

이 정책의 권한을 검토하려면 *AWS 관리형 정책 참조 안내서*의 [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubServiceRolePolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubServiceRolePolicy.html)를 참조하세요.

## AWS 관리형 정책: AWSSecurityHubV2ServiceRolePolicy
<a name="security-iam-awsmanpol-awssecurityhubv2servicerolepolicy"></a>

**참고**  
 Security Hub는 현재 프리뷰 버전이 출시 중이기 때문에 변경될 수도 있습니다.

이 정책을 통해 Security Hub는 조직의 AWS Config 규칙과 Security Hub 리소스를 관리할 수 있습니다. 이 정책은 서비스에서 사용자를 대신하여 작업을 수행할 수 있도록 서비스 연결 역할에 연결됩니다. 이 정책을 IAM 자격 증명에 연결할 수 없습니다. 자세한 내용은 [에 대한 서비스 연결 역할 AWS Security Hub CSPM](using-service-linked-roles.md) 단원을 참조하십시오.

**권한 세부 정보**  
 이 정책에는 다음 권한이 포함되어 있습니다.
+  `cloudwatch` - 지표 데이터를 검색하여 Security Hub 리소스에 대한 측정 기능을 지원합니다.
+  `config` - 글로벌 Config 레코더에 대한 지원을 포함하여 Security Hub 리소스에 대한 서비스 연결 구성 레코더를 관리합니다.
+  `ecr` - Amazon Elastic Container Registry 이미지 및 리포지토리에 대한 정보를 검색하여 측정 기능을 지원합니다.
+  `iam` -에 대한 서비스 연결 역할을 생성하고 계정 정보를 AWS Config 검색하여 측정 기능을 지원합니다.
+  `lambda` - 측정 기능을 지원하는 AWS Lambda 함수 정보를 검색합니다.
+  `organizations` – 조직의 계정 및 OU(조직 단위) 정보를 검색합니다.
+  `securityhub` - Security Hub 구성을 관리합니다.
+  `tag` – 리소스 태그에 대한 정보를 검색합니다.

이 정책의 권한을 검토하려면 *AWS 관리형 정책 참조 안내서*의 [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubV2ServiceRolePolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubV2ServiceRolePolicy.html)를 참조하세요.

## AWS 관리형 정책에 대한 Security Hub 업데이트
<a name="security-iam-awsmanpol-updates"></a>

다음 표에는이 서비스가 이러한 변경 사항을 추적하기 시작한 이후 AWS Security Hub 및 Security Hub CSPM의 AWS 관리형 정책 업데이트에 대한 세부 정보가 나와 있습니다. 이 정책의 업데이트에 대한 자동 알림을 받으려면 [Security Hub 문서 기록](doc-history.md) 페이지에서 RSS 피드를 구독하세요.








| 변경 | 설명 | Date | 
| --- | --- | --- | 
|   [AWSSecurityHubOrganizationsAccess](#security-iam-awsmanpol-awssecurityhuborganizationsaccess) – 업데이트된 정책   |  Security Hub는 Security Hub 기능을 지원하는 리소스 정책을 설명하는 권한을 추가하도록 정책을 업데이트했습니다. Security Hub는 현재 프리뷰 버전이 출시 중이기 때문에 변경될 수도 있습니다.  | 2025년 11월 12일 | 
|   [AWSSecurityHubFullAccess](#security-iam-awsmanpol-awssecurityhubfullaccess) – 업데이트된 정책   |  Security Hub는 Security Hub 기능을 지원하기 위해 GuardDuty, Amazon Inspector 및 계정 관리 관리에 대한 기능을 추가하도록 정책을 업데이트했습니다. Security Hub는 현재 프리뷰 버전이 출시 중이기 때문에 변경될 수도 있습니다.  | 2025년 11월 17일 | 
|   [AWSSecurityHubV2ServiceRolePolicy](#security-iam-awsmanpol-awssecurityhubv2servicerolepolicy) – 업데이트된 정책   |  Security Hub는 Amazon Elastic Container Registry, Amazon AWS Lambda Amazon CloudWatch에 대한 측정 기능을 추가하고 Security Hub 기능을 지원 AWS Identity and Access Management 하도록 정책을 업데이트했습니다. 이 업데이트에는 글로벌 AWS Config 레코더에 대한 지원도 추가되었습니다. Security Hub는 현재 프리뷰 버전이 출시 중이기 때문에 변경될 수도 있습니다.  | 2025년 11월 5일 | 
|  [AWSSecurityHubOrganizationsAccess](#security-iam-awsmanpol-awssecurityhuborganizationsaccess) – 기존 정책 업데이트  | Security Hub는 정책에 대한 새로운 권한을 추가했습니다. 이러한 권한을 통해 조직 관리는 조직의 Security Hub 및 Security Hub CSPM을 활성화하고 관리할 수 있습니다. | 2025년 6월 17일 | 
|   [AWSSecurityHubFullAccess](#security-iam-awsmanpol-awssecurityhubfullaccess) – 기존 정책 업데이트  |  Security Hub CSPM은 위탁자가 Security Hub에 대한 서비스 연결 역할을 생성할 수 있는 새 권한을 추가했습니다.  | 2025년 6월 17일 | 
| [AWSSecurityHubFullAccess](#security-iam-awsmanpol-awssecurityhubfullaccess) – 기존 정책 업데이트  | Security Hub CSPM은 AWS 서비스 및 제품에 대한 요금 세부 정보를 가져오도록 정책을 업데이트했습니다. | 2024년 4월 24일 | 
| [AWSSecurityHubReadOnlyAccess ](#security-iam-awsmanpol-awssecurityhubreadonlyaccess) – 기존 정책 업데이트  | Security Hub CSPM은 Sid 필드를 추가하여 이 관리형 정책을 업데이트했습니다. | 2024년 2월 22일 | 
| [AWSSecurityHubFullAccess](#security-iam-awsmanpol-awssecurityhubfullaccess) – 기존 정책 업데이트  | Security Hub CSPM은 Amazon GuardDuty 및 Amazon Inspector가 계정에서 활성화되어 있는지 확인할 수 있도록 정책을 업데이트했습니다. 이를 통해 고객은 여러의 보안 관련 정보를 통합할 수 있습니다 AWS 서비스. | 2023년 11월 16일 | 
| [AWSSecurityHubOrganizationsAccess](#security-iam-awsmanpol-awssecurityhuborganizationsaccess) – 기존 정책 업데이트  | Security Hub CSPM은 AWS Organizations 위임된 관리자 기능에 대한 읽기 전용 액세스를 허용하는 추가 권한을 부여하도록 정책을 업데이트했습니다. 여기에는 루트, 조직 단위(OU), 계정, 조직 구조 및 서비스 액세스와 같은 세부 정보가 포함됩니다. | 2023년 11월 16일 | 
| [AWSSecurityHubServiceRolePolicy](#security-iam-awsmanpol-awssecurityhubservicerolepolicy) – 기존 정책 업데이트  | Security Hub CSPM은 사용자 지정 가능한 보안 제어 속성을 읽고 업데이트할 수 있는 BatchGetSecurityControls, DisassociateFromAdministratorAccount 및 UpdateSecurityControl 권한을 추가했습니다. | 2023년 11월 26일 | 
| [AWSSecurityHubServiceRolePolicy](#security-iam-awsmanpol-awssecurityhubservicerolepolicy) – 기존 정책 업데이트  | Security Hub CSPM은 조사 결과와 관련된 리소스 태그를 읽을 수 있는 tag:GetResources 권한을 추가했습니다. | 2023년 11월 7일 | 
| [AWSSecurityHubServiceRolePolicy](#security-iam-awsmanpol-awssecurityhubservicerolepolicy) – 기존 정책 업데이트  | Security Hub CSPM은 표준에서 제어의 활성화 상태에 대한 정보를 가져올 수 있는 BatchGetStandardsControlAssociations 권한을 추가했습니다. | 2023년 9월 27일 | 
| [AWSSecurityHubServiceRolePolicy](#security-iam-awsmanpol-awssecurityhubservicerolepolicy) – 기존 정책 업데이트  | Security Hub CSPM은 표준 및 제어를 포함하여 AWS Organizations 데이터를 가져오고 Security Hub CSPM 구성을 읽고 업데이트할 수 있는 새로운 권한을 추가했습니다. | 2023년 9월 20일 | 
| [AWSSecurityHubServiceRolePolicy](#security-iam-awsmanpol-awssecurityhubservicerolepolicy) – 기존 정책 업데이트  | Security Hub CSPM은 기존 config:DescribeConfigRuleEvaluationStatus 권한을 이 정책 내의 다른 설명으로 옮겼습니다. 이제 config:DescribeConfigRuleEvaluationStatus 권한이 모든 리소스에 적용됩니다. | 2023년 3월 17일 | 
| [AWSSecurityHubServiceRolePolicy](#security-iam-awsmanpol-awssecurityhubservicerolepolicy) – 기존 정책 업데이트  |  Security Hub CSPM은 기존 config:PutEvaluations 권한을 이 정책 내의 다른 설명으로 옮겼습니다. 이제 config:PutEvaluations 권한이 모든 리소스에 적용됩니다. | 2021년 7월 14일 | 
| [AWSSecurityHubServiceRolePolicy](#security-iam-awsmanpol-awssecurityhubservicerolepolicy) – 기존 정책 업데이트  | Security Hub CSPM은 서비스 연결 역할이 평가 결과를 AWS Config에 제공할 수 있는 새로운 권한을 추가했습니다. | 2021년 6월 29일 | 
| [AWSSecurityHubServiceRolePolicy](#security-iam-awsmanpol-awssecurityhubservicerolepolicy) – 관리형 정책 목록에 추가했습니다. | Security Hub CSPM 서비스 연결 역할에서 사용하는 관리형 정책인 AWSSecurityHubServiceRolePolicy에 관한 정보가 추가되었습니다. | 2021년 6월 11일 | 
| [AWSSecurityHubOrganizationsAccess ](#security-iam-awsmanpol-awssecurityhuborganizationsaccess) – 새로운 정책  | Security Hub CSPM은 Security Hub CSPM과 Organizations의 통합에 필요한 권한을 부여하는 새로운 정책을 추가했습니다. | 2021년 3월 15일 | 
| Security Hub CSPM이 변경 내용 추적을 시작했습니다  | Security Hub CSPM이 AWS 관리형 정책에 대한 변경 사항 추적을 시작했습니다. | 2021년 3월 15일 |