本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 的服务相关角色 AWS Security Hub CSPM
<a name="using-service-linked-roles"></a>

AWS Security Hub CSPM 使用名`AWSServiceRoleForSecurityHub`为的 AWS Identity and Access Management (IAM) [服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)。此服务相关角色是一个 IAM 角色，直接链接到 Security Hub CSPM。它由 Security Hub CSPM 预定义，它包括 Security Hub CSPM 代表你调用其他资源 AWS 服务 和监控 AWS 资源所需的所有权限。Security Hub CSPM 在 Security AWS 区域 Hub CSPM 可用的所有地方都使用此服务相关角色。

服务相关角色使设置 Security Hub CSPM 变得更加容易，因为您不必手动添加必要的权限。Security Hub CSPM 定义了其服务相关角色的权限，除非另有定义，否则只有 Security Hub CSPM 可以担任该角色。定义的权限包括信任策略和权限策略，您不能将该权限策略附加到任何其他 IAM 实体。

要查看服务相关角色的详细信息，可以使用 Security Hub CSPM 控制台。在导航窗格中的**设置**下，选择**常规**。然后，在**服务权限**部分，选择**查看服务权限**。

只有在所有启用了 Security Hub CSPM 的区域中禁用 Security Hub CSPM 服务相关角色后，才能将其删除。这样可以保护您的 Security Hub CSPM 资源，因为您不会无意中删除访问这些资源的权限。

有关支持服务相关角色的其他服务的信息，请参阅《IAM 用户指南》**中[使用 IAM 的AWS 服务](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)，并查找**服务相关角色**列中显示为**是**的服务。选择带有链接的**是**可以查看该服务的服务相关角色文档。

**Topics**
+ [Security Hub CSPM 的服务相关角色权限](#slr-permissions)
+ [为 Security Hub CSPM 创建服务相关角色](#create-slr)
+ [编辑 Security Hub CSPM 的服务相关角色](#edit-slr)
+ [删除 Security Hub CSPM 的服务相关角色](#delete-slr)
+ [Sec AWS urity Hub V2 的服务相关角色](#slr-permissions-v2)

## Security Hub CSPM 的服务相关角色权限
<a name="slr-permissions"></a>

Security Hub CSPM 使用名为的服务相关角色。`AWSServiceRoleForSecurityHub`这是访问您的资源所需的 AWS Security Hub CSPM 服务相关角色。此服务相关角色允许 Security Hub CSPM 执行任务，例如从他人那里接收调查结果， AWS 服务 并配置必要的 AWS Config 基础架构以运行控制安全检查。`AWSServiceRoleForSecurityHub` 服务关联角色信任 `securityhub.amazonaws.com` 服务来代入角色。

`AWSServiceRoleForSecurityHub` 服务相关角色使用托管策略 [`AWSSecurityHubServiceRolePolicy`](security-iam-awsmanpol.md#security-iam-awsmanpol-awssecurityhubservicerolepolicy)。

必须授予权限，允许 IAM 身份（如角色、组或用户）创建、编辑或删除服务相关角色。要成功创建`AWSServiceRoleForSecurityHub`服务相关角色，您用于访问 Security Hub CSPM 的 IAM 身份必须具有所需的权限。要授予所需的权限，请将以下策略附加到 IAM 身份。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "securityhub:*",
            "Resource": "*"    
        },
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": "securityhub.amazonaws.com"
                }
            }
        }
    ]
}
```

------

## 为 Security Hub CSPM 创建服务相关角色
<a name="create-slr"></a>

当您首次启用 Security Hub CSPM 或在以前未启用 Security Hub CSPM 的区域启用该角色时，系统会自动创建`AWSServiceRoleForSecurityHub`服务相关角色。您还可以使用 IAM 控制台、IAM API 或 IAM API 创建 `AWSServiceRoleForSecurityHub` 服务相关角色。有关手动创建角色的更多信息，请参阅 *IAM 用户指南*中的[创建服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role)。

**重要**  
为 Security Hub CSPM 管理员账户创建的服务相关角色不适用于关联的 Security Hub CSPM 成员账户。

## 编辑 Security Hub CSPM 的服务相关角色
<a name="edit-slr"></a>

Security Hub CSPM 不允许你编辑`AWSServiceRoleForSecurityHub`服务相关角色。在创建服务相关角色后，您将无法更改角色的名称，因为可能有多种实体引用该角色。但是可以使用 IAM 编辑角色说明。有关更多信息，请参阅《IAM 用户指南》**中的[编辑服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。

## 删除 Security Hub CSPM 的服务相关角色
<a name="delete-slr"></a>

如果您不再需要使用某个需要服务相关角色的功能或服务，我们建议您删除该角色。这样您就没有未被主动监控或维护的未使用实体。

当你禁用 Security Hub CSPM 时，Security Hub CSPM 不会自动为你删除`AWSServiceRoleForSecurityHub`服务相关角色。如果您再次启用 Security Hub CSPM，则该服务可以重新开始使用现有的服务相关角色。如果您不再需要使用 Security Hub CSPM，则可以手动删除服务相关角色。

**重要**  
在删除`AWSServiceRoleForSecurityHub`服务相关角色之前，必须先在启用该角色的所有区域禁用 Security Hub CSPM。有关更多信息，请参阅 [禁用 Security Hub CSPM](securityhub-disable.md)。如果您在尝试删除服务相关角色时未禁用 Security Hub CSPM，则删除将失败。

要删除 `AWSServiceRoleForSecurityHub` 服务相关角色，您可以使用 IAM 控制台、IAM CLI 或 IAM API。有关更多信息，请参阅《IAM 用户指南》**中的[删除服务关联角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。

## Sec AWS urity Hub V2 的服务相关角色
<a name="slr-permissions-v2"></a>

 使用名`AWSServiceRoleForSecurityHubV2`为的服务相关角色。此服务相关角色允许您代表您的组织管理 AWS Config 规则和资源。`AWSServiceRoleForSecurityHubV2` 服务关联角色信任 `securityhub.amazonaws.com` 服务来代入角色。

`AWSServiceRoleForSecurityHubV2` 服务相关角色使用托管策略 [`AWSSecurityHubV2ServiceRolePolicy`](security-iam-awsmanpol.md#security-iam-awsmanpol-awssecurityhubv2servicerolepolicy)。

**权限详细信息**  
 该策略包含以下权限：
+  `cloudwatch`— 允许该角色检索指标数据以支持资源的计量功能。
+  `config`— 允许该角色管理与服务相关的资源配置记录器，包括对全局 AWS Config 记录器的支持。
+  `ecr`— 允许该角色检索有关 Amazon Elastic Container Registry 映像和存储库的信息，以支持计量功能。
+  `iam`— 允许该角色为其创建服务相关角色 AWS Config 并检索账户信息以支持计量功能。
+  `lambda`— 允许角色检索 AWS Lambda 功能信息以支持计量功能。
+  `organizations`— 允许该角色检索组织的帐户和组织单位 (OU) 信息。
+  `securityhub`— 允许该角色管理配置。
+  `tag`— 允许角色检索有关资源标签的信息。

必须授予权限，允许 IAM 身份（如角色、组或用户）创建、编辑或删除服务相关角色。要成功创建`AWSServiceRoleForSecurityHubV2`服务相关角色，您用于访问的 IAM 身份必须具有所需的权限。要授予所需的权限，请将以下策略附加到 IAM 身份。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "securityhub:*",
            "Resource": "*"    
        },
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": "securityhub.amazonaws.com"
                }
            }
        }
    ]
}
```

------

### 为 Sec AWS urity Hub V2 创建服务相关角色
<a name="create-slr-v2"></a>

当您首次启用`AWSServiceRoleForSecurityHubV2`服务相关角色或在以前未启用该角色的地区启用服务相关角色时，系统会自动创建该角色。您还可以使用 IAM 控制台、IAM API 或 IAM API 创建 `AWSServiceRoleForSecurityHubV2` 服务相关角色。有关手动创建角色的更多信息，请参阅 *IAM 用户指南*中的[创建服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role)。

**重要**  
为管理员账户创建的服务相关角色不适用于关联的成员账户。

### 编辑 Sec AWS urity Hub V2 的服务相关角色
<a name="edit-slr-v2"></a>

 不允许您编辑`AWSServiceRoleForSecurityHubV2`服务相关角色。在创建服务相关角色后，您将无法更改角色的名称，因为可能有多种实体引用该角色。但是可以使用 IAM 编辑角色说明。有关更多信息，请参阅《IAM 用户指南》**中的[编辑服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。

### 删除 Sec AWS urity Hub V2 的服务相关角色
<a name="delete-slr-v2"></a>

如果您不再需要使用某个需要服务相关角色的功能或服务，我们建议您删除该角色。这样您就没有未被主动监控或维护的未使用实体。

禁用后，不会自动为您删除`AWSServiceRoleForSecurityHubV2`服务相关角色。如果您再次启用，则该服务可以重新开始使用现有的服务相关角色。如果您不再需要使用，则可以手动删除服务相关角色。

**重要**  
在删除`AWSServiceRoleForSecurityHubV2`服务相关角色之前，必须先在所有启用该角色的区域中将其禁用。有关更多信息，请参阅 [禁用 Security Hub CSPM](securityhub-disable.md)。如果在您尝试删除服务相关角色时未禁用 ，删除将失败。

要删除 `AWSServiceRoleForSecurityHubV2` 服务相关角色，您可以使用 IAM 控制台、IAM CLI 或 IAM API。有关更多信息，请参阅《IAM 用户指南》**中的[删除服务关联角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。