As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Funções vinculadas a serviços para AWS Security Hub CSPM
<a name="using-service-linked-roles"></a>

AWS Security Hub CSPM usa uma [função vinculada ao serviço AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM) chamada. `AWSServiceRoleForSecurityHub` Essa função vinculada ao serviço é uma função do IAM vinculada diretamente ao CSPM do Security Hub. É predefinido pelo CSPM do Security Hub e inclui todas as permissões que o CSPM do Security Hub exige para chamar outras pessoas Serviços da AWS e monitorar AWS recursos em seu nome. O CSPM do Security Hub usa essa função vinculada ao serviço em todos os locais em que o CSPM do Security Regiões da AWS Hub está disponível.

Uma função vinculada ao serviço facilita a configuração do CSPM do Security Hub porque você não precisa adicionar manualmente as permissões necessárias. O CSPM do Security Hub define as permissões de sua função vinculada ao serviço e, a menos que seja definido de outra forma, somente o CSPM do Security Hub pode assumir a função. As permissões definidas incluem a política de confiança e a política de permissões, a qual não pode ser anexada a nenhuma outra entidade do IAM.

Para revisar os detalhes da função vinculada ao serviço, você pode usar o console CSPM do Security Hub. No painel de navegação, escolha **Geral** em **Configurações**. Em seguida, na seção **Permissões do serviço**, escolha **Exibir permissões do serviço**.

Você pode excluir a função vinculada ao serviço CSPM do Security Hub somente depois de desativar o CSPM do Security Hub em todas as regiões em que ela está habilitada. Isso protege seus recursos CSPM do Security Hub porque você não pode remover inadvertidamente as permissões para acessá-los.

Para obter informações sobre outros serviços que ofereçam suporte a perfis vinculados ao serviço, consulte [Serviços da AWS que trabalham com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) no *Guia do usuário do IAM* e procure pelos serviços com **Sim** na coluna **Perfis vinculados a serviços**. Escolha um **Sim** com um link para revisar a documentação da função vinculada a esse serviço.

**Topics**
+ [Permissões de função vinculadas ao serviço para o Security Hub CSPM](#slr-permissions)
+ [Criação de uma função vinculada ao serviço para o Security Hub CSPM](#create-slr)
+ [Editando uma função vinculada ao serviço para o Security Hub CSPM](#edit-slr)
+ [Excluindo uma função vinculada ao serviço para o Security Hub CSPM](#delete-slr)
+ [Função vinculada ao serviço para o AWS Security Hub V2](#slr-permissions-v2)

## Permissões de função vinculadas ao serviço para o Security Hub CSPM
<a name="slr-permissions"></a>

O Security Hub CSPM usa a função vinculada ao serviço chamada. `AWSServiceRoleForSecurityHub` É uma função vinculada ao serviço necessária AWS Security Hub CSPM para acessar seus recursos. Essa função vinculada ao serviço permite que o CSPM do Security Hub execute tarefas como receber descobertas de outras pessoas Serviços da AWS e configurar a AWS Config infraestrutura necessária para executar verificações de segurança dos controles. O perfil vinculado ao serviço `AWSServiceRoleForSecurityHub` confia no serviço `securityhub.amazonaws.com` para presumir o perfil.

A função vinculada ao serviço `AWSServiceRoleForSecurityHub` usa a política gerenciada [`AWSSecurityHubServiceRolePolicy`](security-iam-awsmanpol.md#security-iam-awsmanpol-awssecurityhubservicerolepolicy).

É necessário conceder permissões para permitir que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua uma função vinculada ao serviço. Para que a função `AWSServiceRoleForSecurityHub` vinculada ao serviço seja criada com sucesso, a identidade do IAM que você usa para acessar o CSPM do Security Hub deve ter as permissões necessárias. Para conceder as permissões necessárias, anexe a política a seguir à identidade do IAM.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "securityhub:*",
            "Resource": "*"    
        },
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": "securityhub.amazonaws.com"
                }
            }
        }
    ]
}
```

------

## Criação de uma função vinculada ao serviço para o Security Hub CSPM
<a name="create-slr"></a>

A função `AWSServiceRoleForSecurityHub` vinculada ao serviço é criada automaticamente quando você ativa o CSPM do Security Hub pela primeira vez ou ativa o CSPM do Security Hub em uma região onde não a habilitou anteriormente. Também é possível criar o perfil vinculado ao serviço `AWSServiceRoleForSecurityHub` manualmente usando o console do IAM, a CLI do IAM ou a API do IAM. Para mais informações sobre a criação da função manualmente, consulte [Criar uma função vinculada ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) no *Guia do usuário do IAM*.

**Importante**  
A função vinculada ao serviço criada para uma conta de administrador do CSPM do Security Hub não se aplica às contas associadas de membros do CSPM do Security Hub.

## Editando uma função vinculada ao serviço para o Security Hub CSPM
<a name="edit-slr"></a>

O CSPM do Security Hub não permite que você edite a função vinculada ao `AWSServiceRoleForSecurityHub` serviço. Depois que você criar um perfil vinculado ao serviço, não poderá alterar o nome do perfil, pois várias entidades podem fazer referência ao perfil. No entanto, será possível editar a descrição da função usando o IAM. Para saber mais, consulte [Editar um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) no *Guia do usuário do IAM*.

## Excluindo uma função vinculada ao serviço para o Security Hub CSPM
<a name="delete-slr"></a>

Se você não precisar mais usar um recurso ou serviço que requer uma função vinculada a serviço, é recomendável excluí-la. Dessa forma, você não terá uma entidade não utilizada e não monitorada ativamente ou mantida.

Quando você desabilita o CSPM do Security Hub, o CSPM do Security Hub não exclui automaticamente a função vinculada ao `AWSServiceRoleForSecurityHub` serviço para você. Se você habilitar o Security Hub CSPM novamente, o serviço poderá começar a usar a função vinculada ao serviço existente novamente. Se você não precisar mais usar o CSPM do Security Hub, poderá excluir manualmente a função vinculada ao serviço.

**Importante**  
Antes de excluir a função `AWSServiceRoleForSecurityHub` vinculada ao serviço, você deve primeiro desabilitar o CSPM do Security Hub em todas as regiões em que ela está habilitada. Para obter mais informações, consulte [Desabilitação do CSPM do Security Hub](securityhub-disable.md). Se o CSPM do Security Hub não estiver desativado quando você tentar excluir a função vinculada ao serviço, a exclusão falhará.

Para excluir o perfil vinculado ao serviço `AWSServiceRoleForSecurityHub`, é possível usar o console do IAM, a CLI do IAM ou a API do IAM. Para saber mais, consulte [Excluir um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) no *Guia do usuário do IAM*.

## Função vinculada ao serviço para o AWS Security Hub V2
<a name="slr-permissions-v2"></a>

 usa a função vinculada ao serviço chamada. `AWSServiceRoleForSecurityHubV2` Essa função vinculada ao serviço permite gerenciar AWS Config regras e recursos para sua organização e em seu nome. O perfil vinculado ao serviço `AWSServiceRoleForSecurityHubV2` confia no serviço `securityhub.amazonaws.com` para presumir o perfil.

O perfil vinculado ao serviço `AWSServiceRoleForSecurityHubV2` usa a política gerenciada [`AWSSecurityHubV2ServiceRolePolicy`](security-iam-awsmanpol.md#security-iam-awsmanpol-awssecurityhubv2servicerolepolicy).

**Detalhes de permissões**  
 Esta política inclui as seguintes permissões: 
+  `cloudwatch`— Permite que a função recupere dados de métricas para apoiar os recursos de medição. 
+  `config`— Permite que a função gerencie gravadores de configuração vinculados a serviços para recursos, incluindo suporte para gravadores globais. AWS Config 
+  `ecr`— Permite que a função recupere informações sobre imagens e repositórios do Amazon Elastic Container Registry para oferecer suporte aos recursos de medição. 
+  `iam`— permite que a função crie a função vinculada ao serviço AWS Config e recupere informações da conta para oferecer suporte aos recursos de medição. 
+  `lambda`— Permite que a função recupere informações da AWS Lambda função para apoiar os recursos de medição. 
+  `organizations`— Permite que a função recupere informações da conta e da unidade organizacional (OU) de uma organização. 
+  `securityhub`— Permite que a função gerencie a configuração. 
+  `tag`— Permite que a função recupere informações sobre tags de recursos. 

É necessário conceder permissões para permitir que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua uma função vinculada ao serviço. Para que a função `AWSServiceRoleForSecurityHubV2` vinculada ao serviço seja criada com sucesso, a identidade do IAM que você usa para acessar deve ter as permissões necessárias. Para conceder as permissões necessárias, anexe a política a seguir à identidade do IAM.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "securityhub:*",
            "Resource": "*"    
        },
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": "securityhub.amazonaws.com"
                }
            }
        }
    ]
}
```

------

### Criação de uma função vinculada ao serviço para o AWS Security Hub V2
<a name="create-slr-v2"></a>

A função `AWSServiceRoleForSecurityHubV2` vinculada ao serviço é criada automaticamente quando você a ativa pela primeira vez ou em uma região na qual não a ativou anteriormente. Também é possível criar o perfil vinculado ao serviço `AWSServiceRoleForSecurityHubV2` manualmente usando o console do IAM, a CLI do IAM ou a API do IAM. Para mais informações sobre a criação da função manualmente, consulte [Criar uma função vinculada ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) no *Guia do usuário do IAM*.

**Importante**  
A função vinculada ao serviço criada para uma conta de administrador não se aplica às contas de membros associadas.

### Editando uma função vinculada ao serviço para o AWS Security Hub V2
<a name="edit-slr-v2"></a>

 não permite que você edite a função `AWSServiceRoleForSecurityHubV2` vinculada ao serviço. Depois que você criar um perfil vinculado ao serviço, não poderá alterar o nome do perfil, pois várias entidades podem fazer referência ao perfil. No entanto, será possível editar a descrição da função usando o IAM. Para saber mais, consulte [Editar um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) no *Guia do usuário do IAM*.

### Excluindo uma função vinculada ao serviço para o Security Hub AWS V2
<a name="delete-slr-v2"></a>

Se você não precisar mais usar um recurso ou serviço que requer uma função vinculada a serviço, é recomendável excluí-la. Dessa forma, você não terá uma entidade não utilizada e não monitorada ativamente ou mantida.

Quando você desativa, não exclui automaticamente a função `AWSServiceRoleForSecurityHubV2` vinculada ao serviço para você. Se você ativar novamente, o serviço poderá começar a usar a função vinculada ao serviço existente novamente. Se você não precisar mais usar, poderá excluir manualmente a função vinculada ao serviço.

**Importante**  
Antes de excluir a função `AWSServiceRoleForSecurityHubV2` vinculada ao serviço, você deve primeiro desativá-la em todas as regiões em que ela está ativada. Para obter mais informações, consulte [Desabilitação do CSPM do Security Hub](securityhub-disable.md). Se o não estiver desabilitado quando você tentar excluir a função vinculada ao serviço, haverá falha na exclusão.

Para excluir o perfil vinculado ao serviço `AWSServiceRoleForSecurityHubV2`, é possível usar o console do IAM, a CLI do IAM ou a API do IAM. Para saber mais, consulte [Excluir um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) no *Guia do usuário do IAM*.