AWSSecurityHubFullAccess AWSSecurityHubReadOnlyAccess AWSSecurityHubOrganizationsAccess AWSSecurityHubServiceRolePolicy Atualizações da política

AWS políticas gerenciadas para o AWS Security Hub

Uma política AWS gerenciada é uma política autônoma criada e administrada por AWS. AWS as políticas gerenciadas são projetadas para fornecer permissões para muitos casos de uso comuns, para que você possa começar a atribuir permissões a usuários, grupos e funções.

Lembre-se de que as políticas AWS gerenciadas podem não conceder permissões de privilégio mínimo para seus casos de uso específicos porque elas estão disponíveis para uso de todos os AWS clientes. Recomendamos que você reduza ainda mais as permissões definindo políticas gerenciadas pelo cliente específicas para seus casos de uso.

Você não pode alterar as permissões definidas nas políticas AWS gerenciadas. Se AWS atualizar as permissões definidas em uma política AWS gerenciada, a atualização afetará todas as identidades principais (usuários, grupos e funções) às quais a política está anexada. AWS é mais provável que atualize uma política AWS gerenciada quando uma nova AWS service (Serviço da AWS) é lançada ou novas API operações são disponibilizadas para os serviços existentes.

Para obter mais informações, consulte políticas gerenciadas pela AWS no Guia do Usuário do IAM.

AWS política gerenciada: AWSSecurityHubFullAccess

É possível anexar a política AWSSecurityHubFullAccess às suas identidades do IAM.

Essa política concede permissões administrativas que oferecem às entidades principais acesso total a todas as ações do Security Hub. Essa política deve ser anexada a uma entidade principal antes que ele habilite o Security Hub manualmente para sua conta. Por exemplo, entidades principais com essas permissões podem visualizar e atualizar o status das descobertas. Elas podem configurar insights personalizados e habilitar integrações. Também podem habilitar e desabilitar padrões e controles. As entidades principais de uma conta de administrador também podem gerenciar contas de membro.

Detalhes das permissões

Esta política inclui as seguintes permissões.

securityhub – Permite que as entidades principais acessem totalmente todas as ações do Security Hub.
guardduty— Permite que os diretores obtenham informações sobre o status da conta na Amazon GuardDuty.
iam – Permite que as entidades principais criem uma função vinculada ao serviço.
inspector: permite que as entidades principais obtenham informações sobre o status da conta no Amazon Inspector.
pricing— Permite que os diretores obtenham uma lista de preços Serviços da AWS e produtos.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "SecurityHubAllowAll",
            "Effect": "Allow",
            "Action": "securityhub:*",
            "Resource": "*" 
        },
        {
            "Sid": "SecurityHubServiceLinkedRole",
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": "securityhub.amazonaws.com"
                }
            }
        },
        {
            "Sid": "OtherServicePermission",
            "Effect": "Allow",
            "Action": [
                "guardduty:GetDetector",
                "guardduty:ListDetectors",
                "inspector2:BatchGetAccountStatus",
                "pricing:GetProducts"
            ],
            "Resource": "*"
        }
    ]
}

Política gerenciada do Security Hub: AWSSecurityHubReadOnlyAccess

É possível anexar a política AWSSecurityHubReadOnlyAccess às suas identidades do IAM.

Essa política concede permissões de acesso somente para leitura que permitem que os usuários visualizem informações no Security Hub. As entidades principais com esta política anexada não podem fazer nenhuma atualização no Security Hub. Por exemplo, entidades principais com essas permissões podem ver a lista de descobertas associadas à conta, mas não podem alterar o status de uma descoberta. Elas podem ver os resultados dos insights, mas não podem criar ou configurar insights personalizados. Também não podem configurar controles ou integrações de produtos.

Detalhes das permissões

Esta política inclui as seguintes permissões.

securityhub: permite que os usuários realizem ações que retornem uma lista de itens ou detalhes sobre um item. Isso inclui API operações que começam com GetList, ouDescribe.


{
    "Version": "2012-10-17",
    "Statement": [ 
        {
            "Sid": "AWSSecurityHubReadOnlyAccess",
            "Effect": "Allow",
            "Action": [
                "securityhub:Get*",
                "securityhub:List*",
                "securityhub:BatchGet*",
                "securityhub:Describe*"
            ],
            "Resource": "*"
        }
    ]
}

AWS política gerenciada: AWSSecurityHubOrganizationsAccess

É possível anexar a política AWSSecurityHubOrganizationsAccess às suas identidades do IAM.

Essa política concede permissões administrativas AWS Organizations que são necessárias para suportar a integração do Security Hub com Organizations.

Essas permissões permitem que a conta de gerenciamento da organização designe a conta de administrador delegado do Security Hub. A conta de administrador delegado do Security Hub pode habilitar outras contas da organização como sendo contas de membro.

Essa política fornece apenas as permissões para o Organizations. A conta de gerenciamento da organização e a conta de administrador delegado do Security Hub também exigem permissões para as ações associadas no Security Hub. Essas permissões podem ser concedidas usando a política gerenciada do AWSSecurityHubFullAccess.

Detalhes das permissões

Esta política inclui as seguintes permissões.

organizations:ListAccounts: permite que as entidades principais recuperem a lista de contas que sejam parte de uma organização.
organizations:DescribeOrganization: permite que as entidades principais recuperem informações sobre a organização.
organizations:ListRoots: permite que as entidades principais listem a raiz de uma organização.
organizations:ListDelegatedAdministrators: permite que as entidades principais listem o administrador delegado de uma organização.
organizations:ListAWSServiceAccessForOrganization— Permite que os diretores listem o Serviços da AWS que uma organização usa.
organizations:ListOrganizationalUnitsForParent: permite que as entidades principais listem as unidades organizacionais (OU) filha de uma OU pai.
organizations:ListAccountsForParent: permite que as entidades principais listem as contas filhas de uma OU pai.
organizations:DescribeAccount: permite que as entidades principais recuperem informações sobre uma conta na organização.
organizations:DescribeOrganizationalUnit: permite que as entidades principais recuperem informações sobre uma OU na organização.
organizations:DescribeOrganization – Permite que as entidades principais recuperem informações sobre a configuração da organização.
organizations:EnableAWSServiceAccess – Permite que as entidades principais habilitem a integração do Security Hub com o Organizations.
organizations:RegisterDelegatedAdministrator – Permite que as entidades principais designem a conta de administrador delegado do Security Hub.
organizations:DeregisterDelegatedAdministrator: permite que as entidades principais removam a conta de administrador delegado do Security Hub.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "OrganizationPermissions",
            "Effect": "Allow",
            "Action": [
                "organizations:ListAccounts",
                "organizations:DescribeOrganization",
                "organizations:ListRoots",
                "organizations:ListDelegatedAdministrators",
                "organizations:ListAWSServiceAccessForOrganization",
                "organizations:ListOrganizationalUnitsForParent",
                "organizations:ListAccountsForParent",
                "organizations:DescribeAccount",
                "organizations:DescribeOrganizationalUnit"
            ],
            "Resource": "*"
        },
        {
            "Sid": "OrganizationPermissionsEnable",
            "Effect": "Allow",
            "Action": "organizations:EnableAWSServiceAccess",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "organizations:ServicePrincipal": "securityhub.amazonaws.com"
                }
            }
        },
        {
            "Sid": "OrganizationPermissionsDelegatedAdmin",
            "Effect": "Allow",
            "Action": [
                "organizations:RegisterDelegatedAdministrator",
                "organizations:DeregisterDelegatedAdministrator"
            ],
            "Resource": "arn:aws:organizations::*:account/o-*/*",
            "Condition": {
            "StringEquals": {
                "organizations:ServicePrincipal": "securityhub.amazonaws.com"
                }
            }
        }
    ]
}

AWS política gerenciada: AWSSecurityHubServiceRolePolicy

Não é possível anexar AWSSecurityHubServiceRolePolicy às entidades do IAM. Essa política é anexada a uma função vinculada ao serviço que permite que o Security Hub realize ações em seu nome. Para obter mais informações, consulte Perfis vinculados ao serviço do Security Hub.

Essa política concede permissões administrativas que permitem que a função vinculada ao serviço execute verificações de segurança dos controles do Security Hub.

Detalhes das permissões

Esta política inclui permissões para fazer o seguinte:

cloudtrail— Recupere informações sobre CloudTrail trilhas.
cloudwatch— Recupere os alarmes atuais CloudWatch .
logs— Recupere os filtros métricos dos CloudWatch registros.
sns— Recupere a lista de assinaturas de um tópico. SNS
config— recupere informações sobre gravadores de configuração, recursos e AWS Config regras. Também permite que a função vinculada ao serviço crie e exclua regras do AWS Config e execute avaliações com base nas regras.
iam – Obter e gerar relatórios de credenciais para contas.
organizations – Recuperar as informações da conta e da unidade organizacional (OU) de uma organização.
securityhub – Recuperar informações sobre como o serviço, os padrões e os controles do Security Hub estão configurados.
tag – Recuperar informações sobre tags de recursos.


{
    "Version": "2012-10-17",
    "Statement": [ 
        {
            "Sid": "SecurityHubServiceRolePermissions",
            "Effect": "Allow",
            "Action": [
                "cloudtrail:DescribeTrails",
                "cloudtrail:GetTrailStatus",
                "cloudtrail:GetEventSelectors",
                "cloudwatch:DescribeAlarms",
                "cloudwatch:DescribeAlarmsForMetric",
                "logs:DescribeMetricFilters",
                "sns:ListSubscriptionsByTopic",
                "config:DescribeConfigurationRecorders",
                "config:DescribeConfigurationRecorderStatus",
                "config:DescribeConfigRules",
                "config:DescribeConfigRuleEvaluationStatus",
                "config:BatchGetResourceConfig",
                "config:SelectResourceConfig",
                "iam:GenerateCredentialReport",
                "organizations:ListAccounts",
                "config:PutEvaluations",
                "tag:GetResources",
                "iam:GetCredentialReport",
                "organizations:DescribeAccount",
                "organizations:DescribeOrganization",
                "organizations:ListChildren",
                "organizations:ListAWSServiceAccessForOrganization",
                "organizations:DescribeOrganizationalUnit",
                "securityhub:BatchDisableStandards",
                "securityhub:BatchEnableStandards",
                "securityhub:BatchUpdateStandardsControlAssociations",
                "securityhub:BatchGetSecurityControls",
                "securityhub:BatchGetStandardsControlAssociations",
                "securityhub:CreateMembers",
                "securityhub:DeleteMembers",
                "securityhub:DescribeHub",
                "securityhub:DescribeOrganizationConfiguration",
                "securityhub:DescribeStandards",
                "securityhub:DescribeStandardsControls",
                "securityhub:DisassociateFromAdministratorAccount",
                "securityhub:DisassociateMembers",
                "securityhub:DisableSecurityHub",
                "securityhub:EnableSecurityHub",
                "securityhub:GetEnabledStandards",
                "securityhub:ListStandardsControlAssociations",
                "securityhub:ListSecurityControlDefinitions",
                "securityhub:UpdateOrganizationConfiguration",
                "securityhub:UpdateSecurityControl",
                "securityhub:UpdateSecurityHubConfiguration",
                "securityhub:UpdateStandardsControl",
                "tag:GetResources"
            ],
            "Resource": "*"
        },
        {
            "Sid": "SecurityHubServiceRoleConfigPermissions",
            "Effect": "Allow",
            "Action": [
                "config:PutConfigRule",
                "config:DeleteConfigRule",
                "config:GetComplianceDetailsByConfigRule"
            ],
            "Resource": "arn:aws:config:*:*:config-rule/aws-service-rule/*securityhub*"
        },
        {
            "Sid": "SecurityHubServiceRoleOrganizationsPermissions",
            "Effect": "Allow",
            "Action": [
                "organizations:ListDelegatedAdministrators"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "organizations:ServicePrincipal": [
                        "securityhub.amazonaws.com"
                    ]
                }
            }
        }
    ]
}

Atualizações do Security Hub para políticas AWS gerenciadas

Veja detalhes sobre as atualizações das políticas AWS gerenciadas do Security Hub desde que esse serviço começou a rastrear essas alterações. Para receber alertas automáticos sobre alterações nessa página, assine o RSS feed na página de histórico de documentos do Security Hub.

Alteração	Descrição	Data
AWSSecurityHubFullAccess— Atualização de uma política existente	O Security Hub atualizou a política para obter detalhes de preços Serviços da AWS e produtos.	24 de abril de 2024
AWSSecurityHubReadOnlyAccess— Atualização de uma política existente	O Security Hub atualizou essa política gerenciada adicionando um campo `Sid`.	22 de fevereiro de 2024
AWSSecurityHubFullAccess— Atualização de uma política existente	O Security Hub atualizou a política para determinar se a Amazon GuardDuty e o Amazon Inspector estão habilitados em uma conta. Isso ajuda os clientes a reunir informações relacionadas à segurança de várias. Serviços da AWS	16 de novembro de 2023
AWSSecurityHubOrganizationsAccess— Atualização de uma política existente	O Security Hub atualizou a política para conceder permissões adicionais para permitir acesso somente para leitura à funcionalidade do administrador delegado do AWS Organizations . Isso inclui detalhes como raiz, unidades organizacionais (OUs), contas, estrutura organizacional e acesso ao serviço.	16 de novembro de 2023
AWSSecurityHubServiceRolePolicy: atualizar para uma política existente	O Security Hub adicionou as permissões `BatchGetSecurityControls`, `DisassociateFromAdministratorAccount` e `UpdateSecurityControl` e para ler e atualizar propriedades de controle de segurança personalizáveis.	26 de novembro de 2023
AWSSecurityHubServiceRolePolicy: atualizar para uma política existente	O Security Hub adicionou a permissão `tag:GetResources` para ler tags de recursos relacionadas às descobertas.	7 de novembro de 2023
AWSSecurityHubServiceRolePolicy: atualizar para uma política existente	O Security Hub adicionou a permissão `BatchGetStandardsControlAssociations` para obter informações sobre o status de habilitação de um controle em um padrão.	27 de setembro de 2023
AWSSecurityHubServiceRolePolicy: atualizar para uma política existente	O Security Hub adicionou novas permissões para obter AWS Organizations dados, ler e atualizar as configurações do Security Hub, incluindo padrões e controles.	20 de setembro de 2023
AWSSecurityHubServiceRolePolicy: atualizar para uma política existente	O Security Hub moveu a permissão `config:DescribeConfigRuleEvaluationStatus` existente para uma declaração diferente dentro da política. A permissão `config:DescribeConfigRuleEvaluationStatus` agora é aplicada a todos os recursos.	17 de março de 2023
AWSSecurityHubServiceRolePolicy: atualizar para uma política existente	O Security Hub moveu a permissão `config:PutEvaluations` existente para uma declaração diferente dentro da política. A permissão `config:PutEvaluations` agora é aplicada a todos os recursos.	14 de julho de 2021
AWSSecurityHubServiceRolePolicy: atualizar para uma política existente	O Security Hub adicionou uma nova permissão para permitir que a função vinculada ao serviço forneça resultados de avaliação para o AWS Config.	29 de junho de 2021
AWSSecurityHubServiceRolePolicy— Adicionado à lista de políticas gerenciadas	Foram adicionadas informações sobre a política gerenciada AWSSecurityHubServiceRolePolicy, que é usada pela função vinculada ao serviço do Security Hub.	11 de junho de 2021
AWSSecurityHubOrganizationsAccess— Nova política	O Security Hub adicionou uma nova política que concede as permissões necessárias para a integração do Security Hub com o Organizations.	15 de março de 2021
O Security Hub começou a monitorar alterações	O Security Hub começou a monitorar as mudanças em suas políticas AWS gerenciadas.	15 de março de 2021

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Perfis vinculados ao serviço

Solução de problemas