As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# AWS Identity and Access Management para Security Hub CSPM
AWS Identity and Access Management (IAM) é uma ferramenta AWS service (Serviço da AWS) que ajuda o administrador a controlar com segurança o acesso aos AWS recursos. Os administradores do IAM controlam quem pode ser *autenticado* (fazer login) e *autorizado* (ter permissões) para usar recursos do Security Hub. O IAM é um AWS service (Serviço da AWS) que você pode usar sem custo adicional.
**Topics**
+ [Público](#security_iam_audience)
+ [Autenticação com identidades](#security_iam_authentication)
+ [Gerenciar o acesso usando políticas](#security_iam_access-manage)
+ [Como o Security Hub funciona com o IAM](security_iam_service-with-iam.md)
+ [Exemplos de políticas baseadas em identidade para AWS Security Hub CSPM](security_iam_id-based-policy-examples.md)
+ [Funções vinculadas a serviços para AWS Security Hub CSPM](using-service-linked-roles.md)
+ [AWS políticas gerenciadas para o Security Hub](security-iam-awsmanpol.md)
+ [Solução de problemas AWS Security Hub CSPM de identidade e acesso](security_iam_troubleshoot.md)
## Público
A forma como você usa AWS Identity and Access Management (IAM) difere com base na sua função:
+ **Usuário do serviço**: solicite permissões ao seu administrador se você não conseguir acessar os atributos (consulte [Solução de problemas AWS Security Hub CSPM de identidade e acesso](security_iam_troubleshoot.md)).
+ **Administrador do serviço**: determine o acesso do usuário e envie solicitações de permissão (consulte [Como o Security Hub funciona com o IAM](security_iam_service-with-iam.md))
+ **Administrador do IAM**: escreva políticas para gerenciar o acesso (consulte [Exemplos de políticas baseadas em identidade para AWS Security Hub CSPM](security_iam_id-based-policy-examples.md))
## Autenticação com identidades
A autenticação é a forma como você faz login AWS usando suas credenciais de identidade. Você deve estar autenticado como usuário do IAM ou assumindo uma função do IAM. Usuário raiz da conta da AWS
Você pode fazer login como uma identidade federada usando credenciais de uma fonte de identidade como Centro de Identidade do AWS IAM (IAM Identity Center), autenticação de login único ou credenciais. Google/Facebook Para ter mais informações sobre como fazer login, consulte [Como fazer login em sua Conta da AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) no *Guia do usuário do Início de Sessão da AWS *.
Para acesso programático, AWS fornece um SDK e uma CLI para assinar solicitações criptograficamente. Para ter mais informações, consulte [AWS Signature Version 4 para solicitações de API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) no *Guia do usuário do IAM*.
### Conta da AWS usuário root
Ao criar um Conta da AWS, você começa com uma identidade de login chamada *usuário Conta da AWS raiz* que tem acesso completo a todos Serviços da AWS os recursos. É altamente recomendável não usar o usuário-raiz em tarefas diárias. Consulte as tarefas que exigem credenciais de usuário-raiz em [Tarefas que exigem credenciais de usuário-raiz](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) no *Guia do usuário do IAM*.
### Identidade federada
Como prática recomendada, exija que os usuários humanos usem a federação com um provedor de identidade para acessar Serviços da AWS usando credenciais temporárias.
Uma *identidade federada* é um usuário do seu diretório corporativo, provedor de identidade da web ou Directory Service que acessa Serviços da AWS usando credenciais de uma fonte de identidade. As identidades federadas assumem funções que oferecem credenciais temporárias.
Para o gerenciamento de acesso centralizado, recomendamos Centro de Identidade do AWS IAM. Para saber mais, consulte [O que é o IAM Identity Center?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) no *Guia do usuário do Centro de Identidade do AWS IAM *.
### Usuários e grupos do IAM
Um *[usuário do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* é uma identidade com permissões específicas para uma única pessoa ou aplicação. É recomendável usar credenciais temporárias, em vez de usuários do IAM com credenciais de longo prazo. Para obter mais informações, consulte [Exigir que usuários humanos usem a federação com um provedor de identidade para acessar AWS usando credenciais temporárias](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) no *Guia do usuário do IAM*.
Um [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) especifica um conjunto de usuários do IAM e facilita o gerenciamento de permissões para grandes conjuntos de usuários. Para ter mais informações, consulte [Casos de uso de usuários do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) no *Guia do usuário do IAM*.
### Perfis do IAM
Uma *[perfil do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* é uma identidade com permissões específicas que oferece credenciais temporárias. Você pode assumir uma função [mudando de um usuário para uma função do IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) ou chamando uma operação de AWS API AWS CLI ou. Para saber mais, consulte [Métodos para assumir um perfil](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) no *Manual do usuário do IAM*.
Os perfis do IAM são úteis para acesso de usuário federado, permissões de usuário do IAM temporárias, acesso entre contas, acesso entre serviços e aplicações em execução no Amazon EC2. Consulte mais informações em [Acesso a recursos entre contas no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) no *Guia do usuário do IAM*.
## Gerenciar o acesso usando políticas
Você controla o acesso AWS criando políticas e anexando-as a AWS identidades ou recursos. Uma política define permissões quando associada a uma identidade ou recurso. AWS avalia essas políticas quando um diretor faz uma solicitação. A maioria das políticas é armazenada AWS como documentos JSON. Para ter mais informações sobre documentos de política JSON, consulte [Visão geral das políticas JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) no *Guia do usuário do IAM*.
Por meio de políticas, os administradores especificam quem tem acesso a que, definindo qual **entidade principal** pode realizar **ações** em quais **recursos** e sob quais **condições**.
Por padrão, usuários e perfis não têm permissões. Um administrador do IAM cria políticas do IAM e as adiciona aos perfis, os quais os usuários podem então assumir. As políticas do IAM definem permissões, independentemente do método usado para realizar a operação.
### Políticas baseadas em identidade
As políticas baseadas em identidade são documentos de políticas de permissão JSON que você anexa a uma identidade (usuário, grupo ou perfil). Essas políticas controlam quais ações as identidades podem realizar, em quais recursos e sob quais condições. Para saber como criar uma política baseada em identidade, consulte [Definir permissões personalizadas do IAM com as políticas gerenciadas pelo cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) no *Guia do Usuário do IAM*.
As políticas baseadas em identidade podem ser políticas *em linha* (incorporadas diretamente em uma única identidade) ou *políticas gerenciadas* (políticas autônomas anexadas a várias identidades). Para saber como escolher entre uma política gerenciada e políticas em linha, consulte [Escolher entre políticas gerenciadas e políticas em linha](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) no *Guia do usuário do IAM*.
### Políticas baseadas em recursos
Políticas baseadas em recursos são documentos de políticas JSON que você anexa a um recurso. Entre os exemplos estão *políticas de confiança de perfil* do IAM e *políticas de bucket* do Amazon S3. Em serviços compatíveis com políticas baseadas em recursos, os administradores de serviço podem usá-las para controlar o acesso a um recurso específico. É necessário [especificar uma entidade principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) em uma política baseada em recursos.
Políticas baseadas em recursos são políticas em linha localizadas nesse serviço. Você não pode usar políticas AWS gerenciadas do IAM em uma política baseada em recursos.
### Outros tipos de política
AWS oferece suporte a tipos de políticas adicionais que podem definir o máximo de permissões concedidas por tipos de políticas mais comuns:
+ **Limites de permissões**: definem o número máximo de permissões que uma política baseada em identidade pode conceder a uma entidade do IAM. Para saber mais sobre limites de permissões, consulte [Limites de permissões para identidades do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) no *Guia do usuário do IAM*.
+ **Políticas de controle de serviço (SCPs)** — Especifique as permissões máximas para uma organização ou unidade organizacional em AWS Organizations. Para saber mais, consulte [Políticas de controle de serviço](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) no *Guia do usuário do AWS Organizations *.
+ **Políticas de controle de recursos (RCPs)** — Defina o máximo de permissões disponíveis para recursos em suas contas. Para obter mais informações, consulte [Políticas de controle de recursos (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) no *Guia AWS Organizations do usuário*.
+ **Políticas de sessão**: políticas avançadas transmitidas como um parâmetro durante a criação de uma sessão temporária para um perfil ou um usuário federado. Para saber mais, consulte [Políticas de sessão](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) no *Guia do usuário do IAM*.
### Vários tipos de política
Quando vários tipos de política são aplicáveis a uma solicitação, é mais complicado compreender as permissões resultantes. Para saber como AWS determinar se uma solicitação deve ser permitida quando vários tipos de políticas estão envolvidos, consulte [Lógica de avaliação de políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) no *Guia do usuário do IAM*.
# Como o Security Hub funciona com o IAM
Antes de usar o AWS Identity and Access Management (IAM) para gerenciar o acesso AWS Security Hub CSPM, saiba quais recursos do IAM estão disponíveis para uso com o CSPM do Security Hub.
**Recursos do IAM que você pode usar com AWS Security Hub CSPM**
| Recurso do IAM | Suporte ao CSPM do Security Hub |
| --- | --- |
| [Políticas baseadas em identidade](#security_iam_service-with-iam-id-based-policies) | Sim |
| [Políticas baseadas em recurso](#security_iam_service-with-iam-resource-based-policies) | Não |
| [Ações de políticas](#security_iam_service-with-iam-id-based-policies-actions) | Sim |
| [Recursos de políticas](#security_iam_service-with-iam-id-based-policies-resources) | Não |
| [Chaves de condição de políticas](#security_iam_service-with-iam-id-based-policies-conditionkeys) | Sim |
| [Listas de controle de acesso (ACLs)](#security_iam_service-with-iam-acls) | Não |
| [Controle de acesso por atributo (ABAC): tags em políticas](#security_iam_service-with-iam-tags) | Sim |
| [Credenciais temporárias](#security_iam_service-with-iam-roles-tempcreds) | Sim |
| [Sessões de acesso direto (FAS)](#security_iam_service-with-iam-principal-permissions) | Sim |
| [Perfis de serviço](#security_iam_service-with-iam-roles-service) | Não |
| [Perfis vinculados ao serviço](#security_iam_service-with-iam-roles-service-linked) | Sim |
Para uma visão de alto nível de como o Security Hub CSPM e outros Serviços da AWS funcionam com a maioria dos recursos do IAM, veja Serviços da AWS como [trabalhar com o IAM no Guia do](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) usuário do *IAM*.
## Políticas baseadas em identidade para o Security Hub CSPM
**Compatível com políticas baseadas em identidade:** sim
As políticas baseadas em identidade são documentos de políticas de permissões JSON que podem ser anexados a uma identidade, como usuário do IAM, grupo de usuários ou perfil. Essas políticas controlam quais ações os usuários e perfis podem realizar, em quais recursos e em que condições. Para saber como criar uma política baseada em identidade, consulte [Definir permissões personalizadas do IAM com as políticas gerenciadas pelo cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) no *Guia do Usuário do IAM*.
Com as políticas baseadas em identidade do IAM, é possível especificar ações e recursos permitidos ou negados, assim como as condições sob as quais as ações são permitidas ou negadas. Para saber mais sobre todos os elementos que podem ser usados em uma política JSON, consulte [Referência de elemento de política JSON do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) no *Guia do usuário do IAM*.
O Security Hub CSPM oferece suporte a políticas baseadas em identidade. Para obter mais informações, consulte [Exemplos de políticas baseadas em identidade para AWS Security Hub CSPM](security_iam_id-based-policy-examples.md).
## Políticas baseadas em recursos para o Security Hub CSPM
**Compatibilidade com políticas baseadas em recursos:** não
Políticas baseadas em recursos são documentos de políticas JSON que você anexa a um recurso. São exemplos de políticas baseadas em recursos as *políticas de confiança de perfil* do IAM e as *políticas de bucket* do Amazon S3. Em serviços compatíveis com políticas baseadas em recursos, os administradores de serviço podem usá-las para controlar o acesso a um recurso específico. Para o atributo ao qual a política está anexada, a política define quais ações uma entidade principal especificado pode executar nesse atributo e em que condições. É necessário [especificar uma entidade principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) em uma política baseada em recursos. Os diretores podem incluir contas, usuários, funções, usuários federados ou. Serviços da AWS
Para permitir o acesso entre contas, é possível especificar uma conta inteira ou as entidades do IAM em outra conta como a entidade principal em uma política baseada em recursos. Consulte mais informações em [Acesso a recursos entre contas no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) no *Guia do usuário do IAM*.
O Security Hub CSPM não oferece suporte a políticas baseadas em recursos. Você não pode anexar uma política do IAM diretamente a um recurso CSPM do Security Hub.
## Ações políticas para o Security Hub CSPM
**Compatível com ações de políticas:** sim
Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.
O elemento `Action` de uma política JSON descreve as ações que podem ser usadas para permitir ou negar acesso em uma política. Incluem ações em uma política para conceder permissões para executar a operação associada.
As ações de política no Security Hub CSPM usam o seguinte prefixo antes da ação:
```
securityhub:
```
Por exemplo, para conceder permissão a um usuário para habilitar o CSPM do Security Hub, que é uma ação que corresponde à `EnableSecurityHub` operação da API CSPM do Security Hub, inclua a `securityhub:EnableSecurityHub` ação em sua política. As instruções de política devem incluir um elemento `Action` ou `NotAction`. O Security Hub CSPM define seu próprio conjunto de ações que descrevem as tarefas que você pode executar com esse serviço.
```
"Action": "securityhub:EnableSecurityHub"
```
Para especificar várias ações em uma única declaração, separe-as com vírgulas. Por exemplo:
```
"Action": [
"securityhub:EnableSecurityHub",
"securityhub:BatchEnableStandards"
```
Também é possível especificar várias ações usando curingas (\$1). Por exemplo, para especificar todas as ações que começam com a palavra `Get`, inclua a seguinte ação:
```
"Action": "securityhub:Get*"
```
No entanto, como prática recomendada, é necessário criar políticas que sigam o princípio de privilégio mínimo. Em outras palavras, é necessário criar políticas que incluem somente as permissões necessárias para executar uma tarefa específica.
O usuário deve ter acesso à operação `DescribeStandardsControl` para ter acesso a `BatchGetSecurityControls`, `BatchGetStandardsControlAssociations` e `ListStandardsControlAssociations`.
O usuário deve ter acesso à operação `UpdateStandardsControls` para ter acesso a `BatchUpdateStandardsControlAssociations` e `UpdateSecurityControl`.
Para obter uma lista das ações do CSPM do Security Hub, consulte [Ações definidas por AWS Security Hub CSPM na Referência](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssecurityhub.html#awssecurityhub-actions-as-permissions) de *Autorização de Serviço*. Para obter exemplos de políticas que especificam ações de CSPM do Security Hub, consulte. [Exemplos de políticas baseadas em identidade para AWS Security Hub CSPM](security_iam_id-based-policy-examples.md)
## Recursos de política para o Security Hub CSPM
**Oferece compatibilidade com recursos de políticas:** não
Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.
O elemento de política JSON `Resource` especifica o objeto ou os objetos aos quais a ação se aplica. Como prática recomendada, especifique um recurso usando seu [nome do recurso da Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Para ações que não oferecem compatibilidade com permissões em nível de recurso, use um curinga (\$1) para indicar que a instrução se aplica a todos os recursos.
```
"Resource": "*"
```
O Security Hub CSPM define os seguintes tipos de recursos:
+ Hub
+ Produto
+ Agregador de descobertas, também conhecido como *agregador entre regiões*
+ Regra de automação
+ Política de configuração
Você pode especificar esses tipos de recursos nas políticas usando ARNs.
*Para obter uma lista dos tipos de recursos CSPM do Security Hub e a sintaxe do ARN de cada um, consulte [Tipos de recursos definidos por AWS Security Hub CSPM](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssecurityhub.html#awssecurityhub-resources-for-iam-policies) na Referência de Autorização de Serviço.* Para saber quais ações você pode especificar para cada tipo de recurso, consulte [Ações definidas pelo AWS Security Hub CSPM](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssecurityhub.html#awssecurityhub-actions-as-permissions) na *Referência de autorização do serviço*. Para obter exemplos de políticas que especificam os recursos, consulte [Exemplos de políticas baseadas em identidade para AWS Security Hub CSPM](security_iam_id-based-policy-examples.md).
## Chaves de condição de política para o Security Hub CSPM
**Compatível com chaves de condição de política específicas de serviço:** sim
Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.
O elemento `Condition` especifica quando as instruções são executadas com base em critérios definidos. É possível criar expressões condicionais que usem [agentes de condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), como “igual a” ou “menor que”, para fazer a condição da política corresponder aos valores na solicitação. Para ver todas as chaves de condição AWS globais, consulte as [chaves de contexto de condição AWS global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) no *Guia do usuário do IAM*.
Para obter uma lista das chaves de condição CSPM do Security Hub, consulte [Chaves de condição AWS Security Hub CSPM na Referência de](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssecurityhub.html#awssecurityhub-policy-keys) *Autorização de Serviço*. Para saber com quais ações e recursos você pode usar uma chave de condição, consulte [Ações definidas pelo AWS Security Hub CSPM](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssecurityhub.html#awssecurityhub-actions-as-permissions). Para obter exemplos de políticas que usam chaves de condição, consulte [Exemplos de políticas baseadas em identidade para AWS Security Hub CSPM](security_iam_id-based-policy-examples.md).
## Listas de controle de acesso (ACLs) no Security Hub CSPM
**Suportes ACLs:** Não
As listas de controle de acesso (ACLs) controlam quais diretores (membros da conta, usuários ou funções) têm permissões para acessar um recurso. ACLs são semelhantes às políticas baseadas em recursos, embora não usem o formato de documento de política JSON.
O Security Hub CSPM não oferece suporte ACLs, o que significa que você não pode anexar uma ACL a um recurso CSPM do Security Hub.
## Controle de acesso baseado em atributos (ABAC) com o Security Hub CSPM
**Compatível com ABAC (tags em políticas):** sim
O controle de acesso por atributo (ABAC) é uma estratégia de autorização que define permissões com base em atributos chamados de tags. Você pode anexar tags a entidades e AWS recursos do IAM e, em seguida, criar políticas ABAC para permitir operações quando a tag do diretor corresponder à tag no recurso.
Para controlar o acesso baseado em tags, forneça informações sobre as tags no [elemento de condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) de uma política usando as `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` ou chaves de condição `aws:TagKeys`.
Se um serviço for compatível com as três chaves de condição para cada tipo de recurso, o valor será **Sim** para o serviço. Se um serviço for compatível com as três chaves de condição somente para alguns tipos de recursos, o valor será **Parcial**
Para saber mais sobre o ABAC, consulte [Definir permissões com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*. Para visualizar um tutorial com etapas para configurar o ABAC, consulte [Usar controle de acesso por atributo (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) no *Guia do usuário do IAM*.
Você pode anexar tags aos recursos CSPM do Security Hub. Também é possível controlar o acesso a esses recursos fornecendo informações de tag no elemento `Condition` de uma política.
Para obter informações sobre a marcação de recursos CSPM do Security Hub, consulte. [Marcar recursos do Security Hub](tagging-resources.md) Para obter um exemplo de uma política baseada em identidade que controla o acesso a um recurso com base em tags, consulte [Exemplos de políticas baseadas em identidade para AWS Security Hub CSPM](security_iam_id-based-policy-examples.md).
## Usando credenciais temporárias com o Security Hub CSPM
**Compatível com credenciais temporárias:** sim
As credenciais temporárias fornecem acesso de curto prazo aos AWS recursos e são criadas automaticamente quando você usa a federação ou troca de funções. AWS recomenda que você gere credenciais temporárias dinamicamente em vez de usar chaves de acesso de longo prazo. Para ter mais informações, consulte [Credenciais de segurança temporárias no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) e [Serviços da Serviços da AWS que funcionam com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) no *Guia do usuário do IAM*.
É possível usar credenciais temporárias para fazer login com federação, assumir um perfil do IAM ou assumir um perfil entre contas. Você obtém credenciais de segurança temporárias chamando operações de AWS STS API, como [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)ou [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html).
O Security Hub CSPM suporta o uso de credenciais temporárias.
## Sessões de acesso direto para o Security Hub CSPM
**Compatibilidade com o recurso de encaminhamento de sessões de acesso (FAS):** sim
As sessões de acesso direto (FAS) usam as permissões do principal chamando um AWS service (Serviço da AWS), combinadas com a solicitação AWS service (Serviço da AWS) de fazer solicitações aos serviços posteriores. Para obter detalhes da política ao fazer solicitações de FAS, consulte [Sessões de acesso direto](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
Por exemplo, o Security Hub CSPM faz solicitações de FAS para downstream Serviços da AWS quando você integra o CSPM do Security Hub com AWS Organizations e quando designa a conta delegada de administrador do CSPM do Security Hub para uma organização em Organizations.
Para outras tarefas, o Security Hub CSPM usa uma função vinculada ao serviço para realizar ações em seu nome. Para obter detalhes sobre esse perfil, consulte [Funções vinculadas a serviços para AWS Security Hub CSPM](using-service-linked-roles.md).
## Funções de serviço para o Security Hub CSPM
O CSPM do Security Hub não assume nem usa funções de serviço. Para realizar ações em seu nome, o Security Hub CSPM usa uma função vinculada ao serviço. Para obter detalhes sobre esse perfil, consulte [Funções vinculadas a serviços para AWS Security Hub CSPM](using-service-linked-roles.md).
**Atenção**
Alterar as permissões de uma função de serviço pode criar problemas operacionais com o uso do CSPM do Security Hub. Edite as funções de serviço somente quando o CSPM do Security Hub fornecer orientação para fazer isso.
## Funções vinculadas ao serviço para o Security Hub CSPM
**Compatibilidade com perfis vinculados a serviços:** sim
Uma função vinculada ao serviço é um tipo de função de serviço vinculada a um. AWS service (Serviço da AWS) O serviço pode assumir o perfil de executar uma ação em seu nome. As funções vinculadas ao serviço aparecem em você Conta da AWS e são de propriedade do serviço. Um administrador do IAM pode visualizar, mas não editar as permissões para perfis vinculados ao serviço.
O Security Hub CSPM usa uma função vinculada ao serviço para realizar ações em seu nome. Para obter detalhes sobre esse perfil, consulte [Funções vinculadas a serviços para AWS Security Hub CSPM](using-service-linked-roles.md).
# Exemplos de políticas baseadas em identidade para AWS Security Hub CSPM
Por padrão, usuários e funções não têm permissão para criar ou modificar recursos CSPM do Security Hub. Eles também não podem realizar tarefas usando a AWS API Console de gerenciamento da AWS AWS CLI, ou. Um administrador deve criar as políticas do IAM que concedam aos usuários e aos perfis permissões para executar operações de API específicas nos recursos especificados que precisam. O administrador deve anexar essas políticas aos usuários ou grupos que exigem essas permissões.
Para saber como criar uma política baseada em identidade do IAM usando esses exemplos de documentos de política JSON, consulte [Criar políticas na guia JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) no *Guia do usuário do IAM*.
**Topics**
+ [Práticas recomendadas de política](#security_iam_service-with-iam-policy-best-practices)
+ [Usando o console CSPM do Security Hub](#security_iam_id-based-policy-examples-console)
+ [Exemplo: permitir que os usuários visualizem suas próprias permissões](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Exemplo: permitir que os usuários criem e gerenciem uma política de configuração](#security_iam_id-based-policy-examples-create-configuration-policy)
+ [Exemplo: permitir que os usuários revisem descobertas](#security_iam_id-based-policy-examples-view-findings)
+ [Exemplo: permitir que os usuários criem e gerenciem regras de automação](#security_iam_id-based-policy-examples-create-automation-rule)
## Práticas recomendadas de política
As políticas baseadas em identidade determinam se alguém pode criar, acessar ou excluir recursos do Security Hub em sua conta. Essas ações podem incorrer em custos para sua Conta da AWS. Ao criar ou editar políticas baseadas em identidade, siga estas diretrizes e recomendações:
+ **Comece com as políticas AWS gerenciadas e avance para as permissões de privilégios mínimos — Para começar a conceder permissões** aos seus usuários e cargas de trabalho, use as *políticas AWS gerenciadas* que concedem permissões para muitos casos de uso comuns. Eles estão disponíveis no seu Conta da AWS. Recomendamos que você reduza ainda mais as permissões definindo políticas gerenciadas pelo AWS cliente que sejam específicas para seus casos de uso. Para saber mais, consulte [Políticas gerenciadas pela AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) ou [Políticas gerenciadas pela AWS para funções de trabalho](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) no *Guia do usuário do IAM*.
+ **Aplique permissões de privilégio mínimo**: ao definir permissões com as políticas do IAM, conceda apenas as permissões necessárias para executar uma tarefa. Você faz isso definindo as ações que podem ser executadas em recursos específicos sob condições específicas, também conhecidas como *permissões de privilégio mínimo*. Para saber mais sobre como usar o IAM para aplicar permissões, consulte [Políticas e permissões no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) no *Guia do usuário do IAM*.
+ **Use condições nas políticas do IAM para restringir ainda mais o acesso**: é possível adicionar uma condição às políticas para limitar o acesso a ações e recursos. Por exemplo, é possível escrever uma condição de política para especificar que todas as solicitações devem ser enviadas usando SSL. Você também pode usar condições para conceder acesso às ações de serviço se elas forem usadas por meio de uma ação específica AWS service (Serviço da AWS), como CloudFormation. Para saber mais, consulte [Elementos da política JSON do IAM: condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) no *Guia do usuário do IAM*.
+ **Use o IAM Access Analyzer para validar suas políticas do IAM a fim de garantir permissões seguras e funcionais**: o IAM Access Analyzer valida as políticas novas e existentes para que elas sigam a linguagem de política do IAM (JSON) e as práticas recomendadas do IAM. O IAM Access Analyzer oferece mais de cem verificações de política e recomendações práticas para ajudar a criar políticas seguras e funcionais. Para saber mais, consulte [Validação de políticas do IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) no *Guia do Usuário do IAM*.
+ **Exigir autenticação multifator (MFA**) — Se você tiver um cenário que exija usuários do IAM ou um usuário root, ative Conta da AWS a MFA para obter segurança adicional. Para exigir MFA quando as operações de API forem chamadas, adicione condições de MFA às suas políticas. Para saber mais, consulte [Configuração de acesso à API protegido por MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) no *Guia do Usuário do IAM*.
Para saber mais sobre as práticas recomendadas do IAM, consulte [Práticas recomendadas de segurança no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) no *Guia do usuário do IAM*.
## Usando o console CSPM do Security Hub
Para acessar o AWS Security Hub CSPM console, você deve ter um conjunto mínimo de permissões. Essas permissões devem permitir que você liste e visualize detalhes sobre os recursos CSPM do Security Hub em seu. Conta da AWS Caso crie uma política baseada em identidade mais restritiva que as permissões mínimas necessárias, o console não funcionará como pretendido para entidades (usuários ou perfis) com essa política.
Você não precisa permitir permissões mínimas do console para usuários que estão fazendo chamadas somente para a API AWS CLI ou para a AWS API. Em vez disso, permita o acesso somente a ações que correspondam à operação de API que estiverem tentando executar.
Para garantir que esses usuários e funções possam usar o console CSPM do Security Hub, anexe também a seguinte política AWS gerenciada à entidade. Para obter mais informações, consulte [Adição de permissões a um usuário](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) no *Guia do usuário do IAM*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "securityhub:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "securityhub.amazonaws.com"
}
}
}
]
}
```
------
## Exemplo: permitir que os usuários visualizem suas próprias permissões
Este exemplo mostra como criar uma política que permita que os usuários do IAM visualizem as políticas gerenciadas e em linha anexadas a sua identidade de usuário. Essa política inclui permissões para concluir essa ação no console ou programaticamente usando a API AWS CLI ou AWS .
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Exemplo: permitir que os usuários criem e gerenciem uma política de configuração
Este exemplo mostra como você pode criar uma política do IAM que permite que um usuário crie, visualize, atualize e exclua políticas de configuração. Este exemplo de política também permite que o usuário inicie, interrompa e visualize as associações da política. Para que essa política do IAM funcione, o usuário deve ser o administrador delegado do CSPM do Security Hub de uma organização.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateAndUpdateConfigurationPolicy",
"Effect": "Allow",
"Action": [
"securityhub:CreateConfigurationPolicy",
"securityhub:UpdateConfigurationPolicy"
],
"Resource": "*"
},
{
"Sid": "ViewConfigurationPolicy",
"Effect": "Allow",
"Action": [
"securityhub:GetConfigurationPolicy",
"securityhub:ListConfigurationPolicies"
],
"Resource": "*"
},
{
"Sid": "DeleteConfigurationPolicy",
"Effect": "Allow",
"Action": [
"securityhub:DeleteConfigurationPolicy"
],
"Resource": "*"
},
{
"Sid": "ViewConfigurationPolicyAssociation",
"Effect": "Allow",
"Action": [
"securityhub:BatchGetConfigurationPolicyAssociations",
"securityhub:GetConfigurationPolicyAssociation",
"securityhub:ListConfigurationPolicyAssociations"
],
"Resource": "*"
},
{
"Sid": "UpdateConfigurationPolicyAssociation",
"Effect": "Allow",
"Action": [
"securityhub:StartConfigurationPolicyAssociation",
"securityhub:StartConfigurationPolicyDisassociation"
],
"Resource": "*"
}
]
}
```
------
## Exemplo: permitir que os usuários revisem descobertas
Este exemplo mostra como você pode criar uma política do IAM que permita ao usuário visualizar as descobertas do CSPM do Security Hub.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ReviewFindings",
"Effect": "Allow",
"Action": [
"securityhub:GetFindings"
],
"Resource": "*"
}
]
}
```
------
## Exemplo: permitir que os usuários criem e gerenciem regras de automação
Este exemplo mostra como você pode criar uma política do IAM que permite que um usuário crie, visualize, atualize e exclua as regras de automação do CSPM do Security Hub. Para que essa política do IAM funcione, o usuário deve ser administrador do CSPM do Security Hub. Para limitar as permissões, por exemplo, para permitir que um usuário apenas visualize as regras de automação, você pode remover as permissões de criar, atualizar e excluir.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateAndUpdateAutomationRules",
"Effect": "Allow",
"Action": [
"securityhub:CreateAutomationRule",
"securityhub:BatchUpdateAutomationRules"
],
"Resource": "*"
},
{
"Sid": "ViewAutomationRules",
"Effect": "Allow",
"Action": [
"securityhub:BatchGetAutomationRules",
"securityhub:ListAutomationRules"
],
"Resource": "*"
},
{
"Sid": "DeleteAutomationRules",
"Effect": "Allow",
"Action": [
"securityhub:BatchDeleteAutomationRules"
],
"Resource": "*"
}
]
}
```
------
# Funções vinculadas a serviços para AWS Security Hub CSPM
AWS Security Hub CSPM usa uma [função vinculada ao serviço AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM) chamada. `AWSServiceRoleForSecurityHub` Essa função vinculada ao serviço é uma função do IAM vinculada diretamente ao CSPM do Security Hub. É predefinido pelo CSPM do Security Hub e inclui todas as permissões que o CSPM do Security Hub exige para chamar outras pessoas Serviços da AWS e monitorar AWS recursos em seu nome. O CSPM do Security Hub usa essa função vinculada ao serviço em todos os locais em que o CSPM do Security Regiões da AWS Hub está disponível.
Uma função vinculada ao serviço facilita a configuração do CSPM do Security Hub porque você não precisa adicionar manualmente as permissões necessárias. O CSPM do Security Hub define as permissões de sua função vinculada ao serviço e, a menos que seja definido de outra forma, somente o CSPM do Security Hub pode assumir a função. As permissões definidas incluem a política de confiança e a política de permissões, a qual não pode ser anexada a nenhuma outra entidade do IAM.
Para revisar os detalhes da função vinculada ao serviço, você pode usar o console CSPM do Security Hub. No painel de navegação, escolha **Geral** em **Configurações**. Em seguida, na seção **Permissões do serviço**, escolha **Exibir permissões do serviço**.
Você pode excluir a função vinculada ao serviço CSPM do Security Hub somente depois de desativar o CSPM do Security Hub em todas as regiões em que ela está habilitada. Isso protege seus recursos CSPM do Security Hub porque você não pode remover inadvertidamente as permissões para acessá-los.
Para obter informações sobre outros serviços que ofereçam suporte a perfis vinculados ao serviço, consulte [Serviços da AWS que trabalham com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) no *Guia do usuário do IAM* e procure pelos serviços com **Sim** na coluna **Perfis vinculados a serviços**. Escolha um **Sim** com um link para revisar a documentação da função vinculada a esse serviço.
**Topics**
+ [Permissões de função vinculadas ao serviço para o Security Hub CSPM](#slr-permissions)
+ [Criação de uma função vinculada ao serviço para o Security Hub CSPM](#create-slr)
+ [Editando uma função vinculada ao serviço para o Security Hub CSPM](#edit-slr)
+ [Excluindo uma função vinculada ao serviço para o Security Hub CSPM](#delete-slr)
+ [Função vinculada ao serviço para o AWS Security Hub V2](#slr-permissions-v2)
## Permissões de função vinculadas ao serviço para o Security Hub CSPM
O Security Hub CSPM usa a função vinculada ao serviço chamada. `AWSServiceRoleForSecurityHub` É uma função vinculada ao serviço necessária AWS Security Hub CSPM para acessar seus recursos. Essa função vinculada ao serviço permite que o CSPM do Security Hub execute tarefas como receber descobertas de outras pessoas Serviços da AWS e configurar a AWS Config infraestrutura necessária para executar verificações de segurança dos controles. O perfil vinculado ao serviço `AWSServiceRoleForSecurityHub` confia no serviço `securityhub.amazonaws.com` para presumir o perfil.
A função vinculada ao serviço `AWSServiceRoleForSecurityHub` usa a política gerenciada [`AWSSecurityHubServiceRolePolicy`](security-iam-awsmanpol.md#security-iam-awsmanpol-awssecurityhubservicerolepolicy).
É necessário conceder permissões para permitir que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua uma função vinculada ao serviço. Para que a função `AWSServiceRoleForSecurityHub` vinculada ao serviço seja criada com sucesso, a identidade do IAM que você usa para acessar o CSPM do Security Hub deve ter as permissões necessárias. Para conceder as permissões necessárias, anexe a política a seguir à identidade do IAM.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "securityhub:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "securityhub.amazonaws.com"
}
}
}
]
}
```
------
## Criação de uma função vinculada ao serviço para o Security Hub CSPM
A função `AWSServiceRoleForSecurityHub` vinculada ao serviço é criada automaticamente quando você ativa o CSPM do Security Hub pela primeira vez ou ativa o CSPM do Security Hub em uma região onde não a habilitou anteriormente. Também é possível criar o perfil vinculado ao serviço `AWSServiceRoleForSecurityHub` manualmente usando o console do IAM, a CLI do IAM ou a API do IAM. Para mais informações sobre a criação da função manualmente, consulte [Criar uma função vinculada ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) no *Guia do usuário do IAM*.
**Importante**
A função vinculada ao serviço criada para uma conta de administrador do CSPM do Security Hub não se aplica às contas associadas de membros do CSPM do Security Hub.
## Editando uma função vinculada ao serviço para o Security Hub CSPM
O CSPM do Security Hub não permite que você edite a função vinculada ao `AWSServiceRoleForSecurityHub` serviço. Depois que você criar um perfil vinculado ao serviço, não poderá alterar o nome do perfil, pois várias entidades podem fazer referência ao perfil. No entanto, será possível editar a descrição da função usando o IAM. Para saber mais, consulte [Editar um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) no *Guia do usuário do IAM*.
## Excluindo uma função vinculada ao serviço para o Security Hub CSPM
Se você não precisar mais usar um recurso ou serviço que requer uma função vinculada a serviço, é recomendável excluí-la. Dessa forma, você não terá uma entidade não utilizada e não monitorada ativamente ou mantida.
Quando você desabilita o CSPM do Security Hub, o CSPM do Security Hub não exclui automaticamente a função vinculada ao `AWSServiceRoleForSecurityHub` serviço para você. Se você habilitar o Security Hub CSPM novamente, o serviço poderá começar a usar a função vinculada ao serviço existente novamente. Se você não precisar mais usar o CSPM do Security Hub, poderá excluir manualmente a função vinculada ao serviço.
**Importante**
Antes de excluir a função `AWSServiceRoleForSecurityHub` vinculada ao serviço, você deve primeiro desabilitar o CSPM do Security Hub em todas as regiões em que ela está habilitada. Para obter mais informações, consulte [Desabilitação do CSPM do Security Hub](securityhub-disable.md). Se o CSPM do Security Hub não estiver desativado quando você tentar excluir a função vinculada ao serviço, a exclusão falhará.
Para excluir o perfil vinculado ao serviço `AWSServiceRoleForSecurityHub`, é possível usar o console do IAM, a CLI do IAM ou a API do IAM. Para saber mais, consulte [Excluir um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) no *Guia do usuário do IAM*.
## Função vinculada ao serviço para o AWS Security Hub V2
usa a função vinculada ao serviço chamada. `AWSServiceRoleForSecurityHubV2` Essa função vinculada ao serviço permite gerenciar AWS Config regras e recursos para sua organização e em seu nome. O perfil vinculado ao serviço `AWSServiceRoleForSecurityHubV2` confia no serviço `securityhub.amazonaws.com` para presumir o perfil.
O perfil vinculado ao serviço `AWSServiceRoleForSecurityHubV2` usa a política gerenciada [`AWSSecurityHubV2ServiceRolePolicy`](security-iam-awsmanpol.md#security-iam-awsmanpol-awssecurityhubv2servicerolepolicy).
**Detalhes de permissões**
Esta política inclui as seguintes permissões:
+ `cloudwatch`— Permite que a função recupere dados de métricas para apoiar os recursos de medição.
+ `config`— Permite que a função gerencie gravadores de configuração vinculados a serviços para recursos, incluindo suporte para gravadores globais. AWS Config
+ `ecr`— Permite que a função recupere informações sobre imagens e repositórios do Amazon Elastic Container Registry para oferecer suporte aos recursos de medição.
+ `iam`— permite que a função crie a função vinculada ao serviço AWS Config e recupere informações da conta para oferecer suporte aos recursos de medição.
+ `lambda`— Permite que a função recupere informações da AWS Lambda função para apoiar os recursos de medição.
+ `organizations`— Permite que a função recupere informações da conta e da unidade organizacional (OU) de uma organização.
+ `securityhub`— Permite que a função gerencie a configuração.
+ `tag`— Permite que a função recupere informações sobre tags de recursos.
É necessário conceder permissões para permitir que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua uma função vinculada ao serviço. Para que a função `AWSServiceRoleForSecurityHubV2` vinculada ao serviço seja criada com sucesso, a identidade do IAM que você usa para acessar deve ter as permissões necessárias. Para conceder as permissões necessárias, anexe a política a seguir à identidade do IAM.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "securityhub:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "securityhub.amazonaws.com"
}
}
}
]
}
```
------
### Criação de uma função vinculada ao serviço para o AWS Security Hub V2
A função `AWSServiceRoleForSecurityHubV2` vinculada ao serviço é criada automaticamente quando você a ativa pela primeira vez ou em uma região na qual não a ativou anteriormente. Também é possível criar o perfil vinculado ao serviço `AWSServiceRoleForSecurityHubV2` manualmente usando o console do IAM, a CLI do IAM ou a API do IAM. Para mais informações sobre a criação da função manualmente, consulte [Criar uma função vinculada ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) no *Guia do usuário do IAM*.
**Importante**
A função vinculada ao serviço criada para uma conta de administrador não se aplica às contas de membros associadas.
### Editando uma função vinculada ao serviço para o AWS Security Hub V2
não permite que você edite a função `AWSServiceRoleForSecurityHubV2` vinculada ao serviço. Depois que você criar um perfil vinculado ao serviço, não poderá alterar o nome do perfil, pois várias entidades podem fazer referência ao perfil. No entanto, será possível editar a descrição da função usando o IAM. Para saber mais, consulte [Editar um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) no *Guia do usuário do IAM*.
### Excluindo uma função vinculada ao serviço para o Security Hub AWS V2
Se você não precisar mais usar um recurso ou serviço que requer uma função vinculada a serviço, é recomendável excluí-la. Dessa forma, você não terá uma entidade não utilizada e não monitorada ativamente ou mantida.
Quando você desativa, não exclui automaticamente a função `AWSServiceRoleForSecurityHubV2` vinculada ao serviço para você. Se você ativar novamente, o serviço poderá começar a usar a função vinculada ao serviço existente novamente. Se você não precisar mais usar, poderá excluir manualmente a função vinculada ao serviço.
**Importante**
Antes de excluir a função `AWSServiceRoleForSecurityHubV2` vinculada ao serviço, você deve primeiro desativá-la em todas as regiões em que ela está ativada. Para obter mais informações, consulte [Desabilitação do CSPM do Security Hub](securityhub-disable.md). Se o não estiver desabilitado quando você tentar excluir a função vinculada ao serviço, haverá falha na exclusão.
Para excluir o perfil vinculado ao serviço `AWSServiceRoleForSecurityHubV2`, é possível usar o console do IAM, a CLI do IAM ou a API do IAM. Para saber mais, consulte [Excluir um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) no *Guia do usuário do IAM*.
# AWS políticas gerenciadas para o Security Hub
Uma política AWS gerenciada é uma política autônoma criada e administrada por AWS. AWS as políticas gerenciadas são projetadas para fornecer permissões para muitos casos de uso comuns, para que você possa começar a atribuir permissões a usuários, grupos e funções.
Lembre-se de que as políticas AWS gerenciadas podem não conceder permissões de privilégio mínimo para seus casos de uso específicos porque elas estão disponíveis para uso de todos os AWS clientes. Recomendamos que você reduza ainda mais as permissões definindo as [ políticas gerenciadas pelo cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) que são específicas para seus casos de uso.
Você não pode alterar as permissões definidas nas políticas AWS gerenciadas. Se AWS atualizar as permissões definidas em uma política AWS gerenciada, a atualização afetará todas as identidades principais (usuários, grupos e funções) às quais a política está anexada. AWS é mais provável que atualize uma política AWS gerenciada quando uma nova AWS service (Serviço da AWS) é lançada ou novas operações de API são disponibilizadas para serviços existentes.
Para saber mais, consulte [AWS Políticas gerenciadas pela ](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) no *Guia do usuário do IAM*.
## AWS política gerenciada: AWSSecurityHubFullAccess
É possível anexar a política `AWSSecurityHubFullAccess` às suas identidades do IAM.
Essa política concede permissões administrativas que oferecem às entidades principais acesso total a todas as ações do CSPM do Security Hub. Essa política deve ser anexada a uma entidade principal antes que ele habilite o CSPM do Security Hub manualmente para sua conta. Por exemplo, entidades principais com essas permissões podem visualizar e atualizar o status das descobertas. Elas também podem configurar insights personalizados, habilitar integrações e habilitar e desabilitar padrões e controles. As entidades principais de uma conta de administrador também podem gerenciar contas de membro.
**Detalhes de permissões**
Esta política inclui as seguintes permissões:
+ `securityhub`: permite que as entidades principais acessem totalmente todas as ações do CSPM do Security Hub.
+ `guardduty`— Permite que os diretores realizem o gerenciamento completo do ciclo de vida de um detector, o gerenciamento administrativo da organização, o gerenciamento da conta dos membros e a configuração de toda a organização na Amazon. GuardDuty Isso inclui ações de API: GetDetector ListDetector,, CreateDetector, UpdateDetector, DeleteDetector, EnableOrganizationAdminAccount, ListOrganizationAdminAccounts, CreateMembers, UpdateOrganizationConfiguration, DescribeOrganizationConfiguration.
+ `iam`— Permite que os diretores criem uma função vinculada a serviços para o Security Hub CSPM e o Security Hub e obtenham funções, políticas e versões de políticas.
+ `inspector`— Permite que os diretores obtenham informações sobre o status da conta, ativem ou desativem, deleguem o gerenciamento administrativo e realizem o gerenciamento da configuração da organização no Amazon Inspector. Isso inclui ações de API: BatchGetAccountStatus, Ativar, Desativar EnableDelegatedAdminAccount, DisableDelegatedAdminAccount, ListDelegatedAdminAccounts,, UpdateOrganizationConfiguration, DescribeOrganizationConfiguration.
+ `pricing`— Permite que os diretores obtenham uma lista de preços Serviços da AWS e produtos.
+ `account`— Permite que os diretores obtenham informações sobre as regiões da conta para apoiar o gerenciamento da região no Security Hub.
Para verificar as permissões para esta política, consulte [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubFullAccess.html) no *Guia de referência de políticas gerenciadas pela AWS *.
## AWS política gerenciada: AWSSecurityHubReadOnlyAccess
É possível anexar a política `AWSSecurityHubReadOnlyAccess` às suas identidades do IAM.
Essa política concede permissões de acesso somente para leitura que permitem que os usuários visualizem informações no CSPM do Security Hub. As entidades principais com esta política anexada não podem fazer nenhuma atualização no CSPM do Security Hub. Por exemplo, entidades principais com essas permissões podem ver a lista de descobertas associadas à conta, mas não podem alterar o status de uma descoberta. Elas podem ver os resultados dos insights, mas não podem criar ou configurar insights personalizados. Também não podem configurar controles ou integrações de produtos.
**Detalhes de permissões**
Esta política inclui as seguintes permissões:
+ `securityhub`: permite que os usuários realizem ações que retornem uma lista de itens ou detalhes sobre um item. Isso inclui operações de API que começam com `Get`, `List` ou `Describe`.
Para verificar as permissões para esta política, consulte [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubReadOnlyAccess.html) no *Guia de referência de políticas gerenciadas pela AWS *.
## AWS política gerenciada: AWSSecurityHubOrganizationsAccess
É possível anexar a política `AWSSecurityHubOrganizationsAccess` às suas identidades do IAM.
Esta política concede permissões administrativas para habilitar e gerenciar o Security Hub, o Security Hub CSPM, o Amazon GuardDuty e o Amazon Inspector para uma organização em. AWS Organizations As permissões para esta política permitem que a conta de gerenciamento da organização designe a conta de administrador delegado para o Security Hub, o Security Hub CSPM, o Amazon e o GuardDuty Amazon Inspector. Elas também permitem que a conta de administrador delegado habilite outras contas da organização como sendo contas de membro.
Essa política só fornece permissões para AWS Organizations. A conta gerencial da organização e a conta de administrador delegado também exigem permissões para as ações associadas. Essas permissões podem ser concedidas usando a política gerenciada do `AWSSecurityHubFullAccess`.
Criar ou atualizar uma política de administrador delegado em uma conta de gerenciamento requer permissões adicionais que não são fornecidas nesta política. Para realizar essas ações, é recomendável adicionar permissões `organizations:PutResourcePolicy` ou anexar a AWSOrganizations FullAccess política.
**Detalhes de permissões**
Esta política inclui as seguintes permissões:
+ `organizations:ListAccounts`: permite que as entidades principais recuperem a lista de contas que sejam parte de uma organização.
+ `organizations:DescribeOrganization`: permite que as entidades principais recuperem informações sobre a organização.
+ `organizations:ListRoots`: permite que as entidades principais listem a raiz de uma organização.
+ `organizations:ListDelegatedAdministrators`: permite que as entidades principais listem o administrador delegado de uma organização.
+ `organizations:ListAWSServiceAccessForOrganization`— Permite que os diretores listem o Serviços da AWS que uma organização usa.
+ `organizations:ListOrganizationalUnitsForParent`: permite que as entidades principais listem as unidades organizacionais (UO) filha de uma UO pai.
+ `organizations:ListAccountsForParent`: permite que as entidades principais listem as contas filhas de uma UO pai.
+ `organizations:ListParents`— Lista as unidades raiz ou organizacionais (OUs) que servem como mãe imediata da OU ou conta secundária especificada.
+ `organizations:DescribeAccount`: permite que as entidades principais recuperem informações sobre uma conta na organização.
+ `organizations:DescribeOrganizationalUnit`: permite que as entidades principais recuperem informações sobre uma UO na organização.
+ `organizations:ListPolicies`: recupera a lista de todas as políticas de um tipo especificado de uma organização.
+ `organizations:ListPoliciesForTarget`: lista as políticas que são anexadas diretamente à raiz do destino, unidade organizacional (UO) ou conta especificada.
+ `organizations:ListTargetsForPolicy`— Lista todas as raízes, unidades organizacionais (OUs) e contas às quais a política especificada está anexada.
+ `organizations:EnableAWSServiceAccess`: permite que as entidades principais habilitem a integração com o Organizations.
+ `organizations:RegisterDelegatedAdministrator`: permite que as entidades principais designem a conta de administrador delegado.
+ `organizations:DeregisterDelegatedAdministrator`: permite que as entidades principais removam a conta de administrador delegado.
+ `organizations:DescribePolicy`: recupera as informações sobre uma política.
+ `organizations:DescribeEffectivePolicy`: retorna o conteúdo da política efetiva para o tipo de política e conta especificados.
+ `organizations:CreatePolicy`— Cria uma política de um tipo específico que você pode anexar a uma raiz, a uma unidade organizacional (OU) ou a uma AWS conta individual.
+ `organizations:UpdatePolicy`: atualiza uma política existente com um novo nome, descrição ou conteúdo.
+ `organizations:DeletePolicy`: exclui a política especificada de sua organização.
+ `organizations:AttachPolicy`: anexa uma política a uma raiz, uma unidade organizacional (UO) ou uma conta individual.
+ `organizations:DetachPolicy`: desanexa uma política de uma raiz, de uma unidade organizacional (UO) ou de uma conta de destino.
+ `organizations:EnablePolicyType`: habilita um tipo de política em uma raiz.
+ `organizations:DisablePolicyType`: desabilita um tipo de política organizacional em uma raiz.
+ `organizations:TagResource`: adiciona uma ou mais tags a um recurso especificado.
+ `organizations:UntagResource`: remove todas as tags com as chaves especificadas de um recurso especificado.
+ `organizations:ListTagsForResource`: lista as tags que estão anexadas a um recurso especificado.
+ `organizations:DescribeResourcePolicy`— Recupera informações sobre uma política de recursos.
Para verificar as permissões para esta política, consulte [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubOrganizationsAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubOrganizationsAccess.html) no *Guia de referência de políticas gerenciadas pela AWS *.
## AWS política gerenciada: AWSSecurityHubServiceRolePolicy
Não é possível anexar a `AWSSecurityHubServiceRolePolicy` às entidades do IAM. Essa política é anexada a um perfil vinculado ao serviço que permite que o CSPM do Security Hub realize ações em seu nome. Para obter mais informações, consulte [Funções vinculadas a serviços para AWS Security Hub CSPM](using-service-linked-roles.md).
Essa política concede permissões administrativas que permitem que o perfil vinculado ao serviço execute tarefas como executar verificações de segurança dos controles do CSPM Security Hub.
**Detalhes de permissões**
Esta política inclui as seguintes permissões:
+ `cloudtrail`— Recupere informações sobre CloudTrail trilhas.
+ `cloudwatch`— Recupere os CloudWatch alarmes atuais.
+ `logs`— Recupere filtros métricos para CloudWatch registros.
+ `sns`: recupera a lista de assinaturas de um tópico do SNS.
+ `config`— recupere informações sobre gravadores de configuração, recursos e AWS Config regras. Também permite que a função vinculada ao serviço crie e exclua regras do AWS Config e execute avaliações com base nas regras.
+ `iam`: recupera e gera relatórios de credenciais para contas.
+ `organizations`: recupera as informações da conta e da unidade organizacional (UO) de uma organização.
+ `securityhub`: recupera informações sobre como o serviço, os padrões e os controles do CSPM do Security Hub estão configurados.
+ `tag`: recupera informações sobre tags de recursos.
Para verificar as permissões para esta política, consulte [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubServiceRolePolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubServiceRolePolicy.html) no *Guia de referência de políticas gerenciadas pela AWS *.
## AWS política gerenciada: AWSSecurityHubV2ServiceRolePolicy
**nota**
O Security Hub está em uma versão de pré-visualização, sujeito à alterações.
Essa política permite que o Security Hub gerencie AWS Config regras e recursos do Security Hub para sua organização e em seu nome. Essa política é vinculada a uma função associada a um serviço, o que possibilita que este serviço execute ações em seu próprio nome. Não é possível anexar essa política às suas identidades do IAM. Para obter mais informações, consulte [Funções vinculadas a serviços para AWS Security Hub CSPM](using-service-linked-roles.md).
**Detalhes de permissões**
Esta política inclui as seguintes permissões:
+ `cloudwatch`— Recupere dados de métricas para oferecer suporte aos recursos de medição dos recursos do Security Hub.
+ `config`— gerencie gravadores de configuração vinculados a serviços para recursos do Security Hub, incluindo suporte para gravadores globais do Config.
+ `ecr`— Recupere informações sobre imagens e repositórios do Amazon Elastic Container Registry para oferecer suporte aos recursos de medição.
+ `iam`— crie a função vinculada ao serviço AWS Config e recupere as informações da conta para apoiar os recursos de medição.
+ `lambda`— Recupere informações da AWS Lambda função para oferecer suporte aos recursos de medição.
+ `organizations`: recupera as informações da conta e da unidade organizacional (UO) de uma organização.
+ `securityhub`: gerencia a configuração do Security Hub.
+ `tag`: recupera informações sobre tags de recursos.
Para verificar as permissões para esta política, consulte [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubV2ServiceRolePolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubV2ServiceRolePolicy.html) no *Guia de referência de políticas gerenciadas pela AWS *.
## Atualizações do Security Hub para políticas AWS gerenciadas
A tabela a seguir fornece detalhes sobre as atualizações das políticas AWS gerenciadas do AWS Security Hub e do Security Hub CSPM desde que esse serviço começou a rastrear essas alterações. Para receber alertas automáticos sobre atualizações dessas políticas, inscreva-se no feed RSS na página [Histórico de documentos do Security Hub](doc-history.md).
| Alteração | Descrição | Data |
| --- | --- | --- |
| [AWSSecurityHubOrganizationsAccess](#security-iam-awsmanpol-awssecurityhuborganizationsaccess): política atualizada | O Security Hub atualizou a política para adicionar permissões para descrever as políticas de recursos para oferecer suporte aos recursos do Security Hub. O Security Hub está em uma versão de pré-visualização, sujeito à alterações. | 12 de novembro de 2025 |
| [AWSSecurityHubFullAccess](#security-iam-awsmanpol-awssecurityhubfullaccess): política atualizada | O Security Hub atualizou a política para adicionar recursos de gerenciamento GuardDuty, Amazon Inspector e gerenciamento de contas para oferecer suporte aos recursos do Security Hub. O Security Hub está em uma versão de pré-visualização, sujeito à alterações. | 17 de novembro de 2025 |
| [AWSSecurityHubV2 ServiceRolePolicy](#security-iam-awsmanpol-awssecurityhubv2servicerolepolicy) — Política atualizada | O Security Hub atualizou a política para adicionar recursos de medição para o Amazon Elastic Container Registry, Amazon AWS Lambda CloudWatch, e AWS Identity and Access Management para oferecer suporte aos recursos do Security Hub. A atualização também adicionou suporte para AWS Config gravadores globais. O Security Hub está em uma versão de pré-visualização, sujeito à alterações. | 5 de novembro de 2025 |
| [AWSSecurityHubOrganizationsAccess](#security-iam-awsmanpol-awssecurityhuborganizationsaccess) – atualização para uma política existente | O Security Hub adicionou novas permissões à política. As permissões permitem que o gerenciamento da organização habilite e gerencie o Security Hub e o CSPM do Security Hub para uma organização. | 17 de junho de 2025 |
| [AWSSecurityHubFullAccess](#security-iam-awsmanpol-awssecurityhubfullaccess) – atualização para uma política existente | O CSPM do Security Hub adicionou novas permissões que permitem que as entidades principais criem um perfil vinculado ao serviço para o Security Hub. | 17 de junho de 2025 |
| [AWSSecurityHubFullAccess](#security-iam-awsmanpol-awssecurityhubfullaccess)— Atualização de uma política existente | O Security Hub CSPM atualizou a política para obter detalhes de preços Serviços da AWS e produtos. | 24 de abril de 2024 |
| [AWSSecurityHubReadOnlyAccess](#security-iam-awsmanpol-awssecurityhubreadonlyaccess)— Atualização de uma política existente | O CSPM do Security Hub atualizou essa política gerenciada adicionando um campo Sid. | 22 de fevereiro de 2024 |
| [AWSSecurityHubFullAccess](#security-iam-awsmanpol-awssecurityhubfullaccess)— Atualização de uma política existente | O Security Hub CSPM atualizou a política para determinar se a Amazon GuardDuty e o Amazon Inspector estão habilitados em uma conta. Isso ajuda os clientes a reunir informações relacionadas à segurança de várias. Serviços da AWS | 16 de novembro de 2023 |
| [AWSSecurityHubOrganizationsAccess](#security-iam-awsmanpol-awssecurityhuborganizationsaccess)— Atualização de uma política existente | O CSPM do Security Hub atualizou a política para conceder permissões adicionais para permitir acesso somente para leitura à funcionalidade do administrador delegado do AWS Organizations . Isso inclui detalhes como raiz, unidades organizacionais (OUs), contas, estrutura organizacional e acesso ao serviço. | 16 de novembro de 2023 |
| [AWSSecurityHubServiceRolePolicy](#security-iam-awsmanpol-awssecurityhubservicerolepolicy) – atualização para uma política existente | O CSPM do Security Hub adicionou as permissões BatchGetSecurityControls, DisassociateFromAdministratorAccount e UpdateSecurityControl para ler e atualizar propriedades de controle de segurança personalizáveis. | 26 de novembro de 2023 |
| [AWSSecurityHubServiceRolePolicy](#security-iam-awsmanpol-awssecurityhubservicerolepolicy) – atualização para uma política existente | O CSPM do Security Hub adicionou a permissão tag:GetResources para ler tags de recursos relacionadas às descobertas. | 7 de novembro de 2023 |
| [AWSSecurityHubServiceRolePolicy](#security-iam-awsmanpol-awssecurityhubservicerolepolicy) – atualização para uma política existente | O CSPM do Security Hub adicionou a permissão BatchGetStandardsControlAssociations para obter informações sobre o status de habilitação de um controle em um padrão. | 27 de setembro de 2023 |
| [AWSSecurityHubServiceRolePolicy](#security-iam-awsmanpol-awssecurityhubservicerolepolicy) – atualização para uma política existente | O Security Hub CSPM adicionou novas permissões para obter AWS Organizations dados, ler e atualizar as configurações do Security Hub CSPM, incluindo padrões e controles. | 20 de setembro de 2023 |
| [AWSSecurityHubServiceRolePolicy](#security-iam-awsmanpol-awssecurityhubservicerolepolicy) – atualização para uma política existente | O CSPM do Security Hub moveu a permissão config:DescribeConfigRuleEvaluationStatus existente para uma declaração diferente dentro da política. A permissão config:DescribeConfigRuleEvaluationStatus agora é aplicada a todos os recursos. | 17 de março de 2023 |
| [AWSSecurityHubServiceRolePolicy](#security-iam-awsmanpol-awssecurityhubservicerolepolicy) – atualização para uma política existente | O CSPM do Security Hub moveu a permissão config:PutEvaluations existente para uma declaração diferente dentro da política. A permissão config:PutEvaluations agora é aplicada a todos os recursos. | 14 de julho de 2021 |
| [AWSSecurityHubServiceRolePolicy](#security-iam-awsmanpol-awssecurityhubservicerolepolicy) – atualização para uma política existente | O CSPM do Security Hub adicionou uma nova permissão para permitir que o perfil vinculado ao serviço forneça resultados de avaliação para o AWS Config. | 29 de junho de 2021 |
| [AWSSecurityHubServiceRolePolicy](#security-iam-awsmanpol-awssecurityhubservicerolepolicy)— Adicionado à lista de políticas gerenciadas | Foram adicionadas informações sobre a política gerenciada AWSSecurityHubServiceRolePolicy, que é usada pela função vinculada ao serviço CSPM do Security Hub. | 11 de junho de 2021 |
| [AWSSecurityHubOrganizationsAccess](#security-iam-awsmanpol-awssecurityhuborganizationsaccess)— Nova política | O CSPM do Security Hub adicionou uma nova política que concede as permissões necessárias para a integração do CSPM do Security Hub com o Organizations. | 15 de março de 2021 |
| O CSPM do Security Hub começou a monitorar alterações | O Security Hub CSPM começou a monitorar as mudanças em suas políticas AWS gerenciadas. | 15 de março de 2021 |
# Solução de problemas AWS Security Hub CSPM de identidade e acesso
Use as informações a seguir para ajudá-lo a diagnosticar e corrigir problemas comuns que você pode encontrar ao trabalhar com AWS Security Hub CSPM um IAM.
**Topics**
+ [Não estou autorizado a realizar uma ação no Security Hub CSPM](#security_iam_troubleshoot-no-permissions)
+ [Não estou autorizado a realizar iam: PassRole](#security_iam_troubleshoot-passrole)
+ [Quero acesso programático ao Security Hub CSPM](#security_iam_troubleshoot-access-keys)
+ [Sou administrador e quero permitir que outras pessoas acessem o CSPM do Security Hub](#security_iam_troubleshoot-admin-delegate)
+ [Quero permitir que pessoas de fora da minha acessem meus Conta da AWS recursos CSPM do Security Hub](#security_iam_troubleshoot-cross-account-access)
## Não estou autorizado a realizar uma ação no Security Hub CSPM
Se isso Console de gerenciamento da AWS indicar que você não está autorizado a realizar uma ação, entre em contato com o administrador para obter ajuda. Caso seu administrador seja a pessoa que forneceu suas credenciais de início de sessão.
O exemplo de erro a seguir ocorre quando o usuário `mateojackson` tenta usar o console para ver detalhes sobre um*widget*, mas não tem `securityhub:GetWidget` permissões.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: securityhub:GetWidget on resource: my-example-widget
```
Neste caso, Mateo pede ao administrador para atualizar suas políticas para permitir a ele o acesso ao recurso `my-example-widget` usando a ação `securityhub:GetWidget`.
## Não estou autorizado a realizar iam: PassRole
Se você receber uma mensagem de erro informando que não tem autorização para executar a ação `iam:PassRole`, suas políticas deverão ser atualizadas para permitir a passagem de um perfil para o Security Hub.
Alguns Serviços da AWS permitem que você passe uma função existente para esse serviço em vez de criar uma nova função de serviço ou uma função vinculada ao serviço. Para fazer isso, é preciso ter permissões para passar o perfil para o serviço.
O erro de exemplo a seguir ocorre quando um usuário do IAM chamado `marymajor` tenta usar o console para executar uma ação no Security Hub. No entanto, a ação exige que o serviço tenha permissões concedidas por um perfil de serviço. Mary não tem permissões para passar o perfil para o serviço.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
Nesse caso, as políticas de Mary devem ser atualizadas para permitir que ela realize a ação `iam:PassRole`.
Se precisar de ajuda, entre em contato com seu AWS administrador. Seu administrador é a pessoa que forneceu suas credenciais de login.
## Quero acesso programático ao Security Hub CSPM
Os usuários precisam de acesso programático se quiserem interagir com pessoas AWS fora do Console de gerenciamento da AWS. A forma de conceder acesso programático depende do tipo de usuário que está acessando AWS.
Para conceder acesso programático aos usuários, selecione uma das seguintes opções:
****
| Qual usuário precisa de acesso programático? | Para | Por |
| --- | --- | --- |
| IAM | (Recomendado) Use as credenciais do console como credenciais temporárias para assinar solicitações programáticas para o AWS CLI, AWS SDKs ou. AWS APIs | Siga as instruções da interface que deseja utilizar. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/security_iam_troubleshoot.html) |
| Identidade da força de trabalho (Usuários gerenciados no Centro de Identidade do IAM) | Use credenciais temporárias para assinar solicitações programáticas para o AWS CLI AWS SDKs, ou. AWS APIs | Siga as instruções da interface que deseja utilizar. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/security_iam_troubleshoot.html) |
| IAM | Use credenciais temporárias para assinar solicitações programáticas para o AWS CLI AWS SDKs, ou. AWS APIs | Siga as instruções em [Como usar credenciais temporárias com AWS recursos](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_use-resources.html) no Guia do usuário do IAM. |
| IAM | (Não recomendado)Use credenciais de longo prazo para assinar solicitações programáticas para o AWS CLI, AWS SDKs, ou. AWS APIs | Siga as instruções da interface que deseja utilizar. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/security_iam_troubleshoot.html) |
## Sou administrador e quero permitir que outras pessoas acessem o CSPM do Security Hub
Para conceder acesso, adicione as permissões aos seus usuários, grupos ou perfis:
+ Usuários e grupos em Centro de Identidade do AWS IAM:
Crie um conjunto de permissões. Siga as instruções em [Criação de um conjunto de permissões](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) no *Guia do usuário do Centro de Identidade do AWS IAM *.
+ Usuários gerenciados no IAM com provedor de identidades:
Crie um perfil para a federação de identidades. Siga as instruções em [Criando um perfil para um provedor de identidades de terceiros (federação)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) no *Guia do Usuário do IAM*.
+ Usuários do IAM:
+ Crie um perfil que seu usuário possa assumir. Siga as instruções em [Criação de um perfil para um usuário do IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) no *Guia do usuário do IAM*.
+ (Não recomendado) Vincule uma política diretamente a um usuário ou adicione um usuário a um grupo de usuários. Siga as instruções em [Adição de permissões a um usuário (console)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) no *Guia do usuário do IAM*.
## Quero permitir que pessoas de fora da minha acessem meus Conta da AWS recursos CSPM do Security Hub
É possível criar um perfil que os usuários de outras contas ou pessoas fora da organização podem usar para acessar seus recursos. É possível especificar quem é confiável para assumir o perfil. Para serviços que oferecem suporte a políticas baseadas em recursos ou listas de controle de acesso (ACLs), você pode usar essas políticas para conceder às pessoas acesso aos seus recursos.
Para saber mais, consulte:
+ Para saber se o Security Hub é compatível com esses recursos, consulte [Como o Security Hub funciona com o IAM](security_iam_service-with-iam.md).
+ Para saber como fornecer acesso aos seus recursos em todos os Contas da AWS que você possui, consulte Como [fornecer acesso a um usuário do IAM em outro Conta da AWS que você possui](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) no *Guia do usuário do IAM*.
+ Para saber como fornecer acesso aos seus recursos a terceiros Contas da AWS, consulte Como [fornecer acesso Contas da AWS a terceiros](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) no *Guia do usuário do IAM*.
+ Para saber como conceder acesso por meio da federação de identidades, consulte [Conceder acesso a usuários autenticados externamente (federação de identidades)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) no *Guia do usuário do IAM*.
+ Para saber a diferença entre perfis e políticas baseadas em recurso para acesso entre contas, consulte [Acesso a recursos entre contas no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) no *Guia do usuário do IAM*.