本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWSAWS Security Hub 的 受管政策
AWS 受管政策是由 AWS AWS 受管政策建立和管理的獨立政策旨在為許多常見使用案例提供許可,以便您可以開始將許可指派給使用者、群組和角色。
請記住, AWS 受管政策可能不會授予特定使用案例的最低權限許可,因為這些許可可供所有 AWS 客戶使用。我們建議您定義使用案例專屬的客戶管理政策,以便進一步減少許可。
您無法變更 AWS 受管政策中定義的許可。如果 AWS 更新受管政策中 AWS 定義的許可,則更新會影響政策連接的所有主體身分 (使用者、群組和角色)。當新的 AWS 服務 啟動或新的 API 操作可用於現有 服務時, AWS 最有可能更新受 AWS 管政策。
如需詳細資訊,請參閱《IAM 使用者指南》中的 AWS 受管政策。
AWS 受管政策: AWSSecurityHubFullAccess
您可將 AWSSecurityHubFullAccess 政策連接到 IAM 身分。
此政策會授予管理許可,允許委託人完整存取所有 Security Hub 動作。此政策必須連接到主體,才能為其帳戶手動啟用 Security Hub。例如,具有這些許可的主體可以檢視和更新調查結果的狀態。他們可以設定自訂洞見,並啟用整合。他們可以啟用和停用標準和控制項。管理員帳戶的主體也可以管理成員帳戶。
許可詳細資訊
此政策包含以下許可。
-
securityhub– 允許主體完整存取所有 Security Hub 動作。 -
guardduty– 允許主體取得 Amazon GuardDuty 中帳戶狀態的相關資訊。 -
iam– 允許主體建立服務連結角色。 -
inspector– 允許主體取得 Amazon Inspector 中帳戶狀態的相關資訊。 -
pricing– 允許主體取得 AWS 服務 和 產品的價目表。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "SecurityHubAllowAll", "Effect": "Allow", "Action": "securityhub:*", "Resource": "*" }, { "Sid": "SecurityHubServiceLinkedRole", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringLike": { "iam:AWSServiceName": "securityhub.amazonaws.com" } } }, { "Sid": "OtherServicePermission", "Effect": "Allow", "Action": [ "guardduty:GetDetector", "guardduty:ListDetectors", "inspector2:BatchGetAccountStatus", "pricing:GetProducts" ], "Resource": "*" } ] }
Security Hub 受管政策: AWSSecurityHubReadOnlyAccess
您可將 AWSSecurityHubReadOnlyAccess 政策連接到 IAM 身分。
此政策授予唯讀許可,允許使用者檢視 Security Hub 中的資訊。附加此政策的主體無法在 Security Hub 中進行任何更新。例如,具有這些許可的主體可以檢視與其帳戶相關聯的調查結果清單,但無法變更調查結果的狀態。他們可以檢視洞見的結果,但無法建立或設定自訂洞見。他們無法設定控制項或產品整合。
許可詳細資訊
此政策包含以下許可。
-
securityhub– 允許使用者執行傳回項目清單或項目詳細資訊的動作。這包括以Get、List或 開頭的 API 操作Describe。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSSecurityHubReadOnlyAccess", "Effect": "Allow", "Action": [ "securityhub:Get*", "securityhub:List*", "securityhub:BatchGet*", "securityhub:Describe*" ], "Resource": "*" } ] }
AWS 受管政策: AWSSecurityHubOrganizationsAccess
您可將 AWSSecurityHubOrganizationsAccess 政策連接到 IAM 身分。
此政策授予 中的管理許可 AWS Organizations ,這些許可是支援 Security Hub 與 Organizations 整合所需的許可。
這些許可允許組織管理帳戶指定 Security Hub 的委派管理員帳戶。它們也允許委派的 Security Hub 管理員帳戶將組織帳戶啟用為成員帳戶。
此政策僅提供 Organizations 的許可。組織管理帳戶和委派的 Security Hub 管理員帳戶還需要 Security Hub 中相關動作的許可。您可以使用 AWSSecurityHubFullAccess受管政策授予這些許可。
許可詳細資訊
此政策包含以下許可。
-
organizations:ListAccounts– 允許主體擷取屬於組織一部分的帳戶清單。 -
organizations:DescribeOrganization– 允許主體擷取組織的相關資訊。 -
organizations:ListRoots– 允許主體列出組織的根目錄。 -
organizations:ListDelegatedAdministrators– 允許主體列出組織的委派管理員。 -
organizations:ListAWSServiceAccessForOrganization– 允許主體列出 AWS 服務 組織使用的 。 -
organizations:ListOrganizationalUnitsForParent– 允許主體列出父 OU 的子組織單位 (OU)。 -
organizations:ListAccountsForParent– 允許主體列出父 OU 的子帳戶。 -
organizations:DescribeAccount– 允許主體擷取組織中帳戶的相關資訊。 -
organizations:DescribeOrganizationalUnit– 允許主體擷取組織中 OU 的相關資訊。 -
organizations:DescribeOrganization– 允許主體擷取組織組態的相關資訊。 -
organizations:EnableAWSServiceAccess– 允許主體啟用 Security Hub 與 Organizations 的整合。 -
organizations:RegisterDelegatedAdministrator– 允許主體指定 Security Hub 的委派管理員帳戶。 -
organizations:DeregisterDelegatedAdministrator– 允許主體移除 Security Hub 的委派管理員帳戶。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "OrganizationPermissions", "Effect": "Allow", "Action": [ "organizations:ListAccounts", "organizations:DescribeOrganization", "organizations:ListRoots", "organizations:ListDelegatedAdministrators", "organizations:ListAWSServiceAccessForOrganization", "organizations:ListOrganizationalUnitsForParent", "organizations:ListAccountsForParent", "organizations:DescribeAccount", "organizations:DescribeOrganizationalUnit" ], "Resource": "*" }, { "Sid": "OrganizationPermissionsEnable", "Effect": "Allow", "Action": "organizations:EnableAWSServiceAccess", "Resource": "*", "Condition": { "StringEquals": { "organizations:ServicePrincipal": "securityhub.amazonaws.com" } } }, { "Sid": "OrganizationPermissionsDelegatedAdmin", "Effect": "Allow", "Action": [ "organizations:RegisterDelegatedAdministrator", "organizations:DeregisterDelegatedAdministrator" ], "Resource": "arn:aws:organizations::*:account/o-*/*", "Condition": { "StringEquals": { "organizations:ServicePrincipal": "securityhub.amazonaws.com" } } } ] }
AWS 受管政策: AWSSecurityHubServiceRolePolicy
您不得將 AWSSecurityHubServiceRolePolicy 連接到 IAM 實體。此政策會連接至服務連結角色,允許 Security Hub 代表您執行動作。如需詳細資訊,請參閱Security Hub 的服務連結角色。
此政策會授予管理許可,允許服務連結角色執行 Security Hub 控制項的安全檢查。
許可詳細資訊
此政策包含執行以下動作的許可:
-
cloudtrail– 擷取 CloudTrail 追蹤的相關資訊。 -
cloudwatch– 擷取目前的 CloudWatch 警示。 -
logs– 擷取 CloudWatch 日誌的指標篩選條件。 -
sns– 擷取 SNS 主題的訂閱清單。 -
config– 擷取有關組態記錄器、資源和 AWS Config 規則的資訊。也允許服務連結角色建立和刪除 AWS Config 規則,並根據規則執行評估。 -
iam– 取得並產生帳戶的登入資料報告。 -
organizations– 擷取組織的帳戶和組織單位 (OU) 資訊。 -
securityhub– 擷取如何設定 Security Hub 服務、標準和控制項的相關資訊。 -
tag– 擷取資源標籤的相關資訊。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "SecurityHubServiceRolePermissions", "Effect": "Allow", "Action": [ "cloudtrail:DescribeTrails", "cloudtrail:GetTrailStatus", "cloudtrail:GetEventSelectors", "cloudwatch:DescribeAlarms", "cloudwatch:DescribeAlarmsForMetric", "logs:DescribeMetricFilters", "sns:ListSubscriptionsByTopic", "config:DescribeConfigurationRecorders", "config:DescribeConfigurationRecorderStatus", "config:DescribeConfigRules", "config:DescribeConfigRuleEvaluationStatus", "config:BatchGetResourceConfig", "config:SelectResourceConfig", "iam:GenerateCredentialReport", "organizations:ListAccounts", "config:PutEvaluations", "tag:GetResources", "iam:GetCredentialReport", "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:ListChildren", "organizations:ListAWSServiceAccessForOrganization", "organizations:DescribeOrganizationalUnit", "securityhub:BatchDisableStandards", "securityhub:BatchEnableStandards", "securityhub:BatchUpdateStandardsControlAssociations", "securityhub:BatchGetSecurityControls", "securityhub:BatchGetStandardsControlAssociations", "securityhub:CreateMembers", "securityhub:DeleteMembers", "securityhub:DescribeHub", "securityhub:DescribeOrganizationConfiguration", "securityhub:DescribeStandards", "securityhub:DescribeStandardsControls", "securityhub:DisassociateFromAdministratorAccount", "securityhub:DisassociateMembers", "securityhub:DisableSecurityHub", "securityhub:EnableSecurityHub", "securityhub:GetEnabledStandards", "securityhub:ListStandardsControlAssociations", "securityhub:ListSecurityControlDefinitions", "securityhub:UpdateOrganizationConfiguration", "securityhub:UpdateSecurityControl", "securityhub:UpdateSecurityHubConfiguration", "securityhub:UpdateStandardsControl", "tag:GetResources" ], "Resource": "*" }, { "Sid": "SecurityHubServiceRoleConfigPermissions", "Effect": "Allow", "Action": [ "config:PutConfigRule", "config:DeleteConfigRule", "config:GetComplianceDetailsByConfigRule" ], "Resource": "arn:aws:config:*:*:config-rule/aws-service-rule/*securityhub*" }, { "Sid": "SecurityHubServiceRoleOrganizationsPermissions", "Effect": "Allow", "Action": [ "organizations:ListDelegatedAdministrators" ], "Resource": "*", "Condition": { "StringEquals": { "organizations:ServicePrincipal": [ "securityhub.amazonaws.com" ] } } } ] }
AWS 受管政策的 Security Hub 更新
檢視自此服務開始追蹤這些變更以來,Security Hub AWS 受管政策更新的詳細資訊。如需此頁面變更的自動提醒,請訂閱 Security Hub 文件歷史記錄頁面上的 RSS 摘要。
| 變更 | 描述 | 日期 |
|---|---|---|
| AWSSecurityHubFullAccess – 更新至現有政策 | Security Hub 已更新政策,以取得 AWS 服務 和 產品的定價詳細資訊。 | 2024 年 4 月 24 日 |
| AWSSecurityHubReadOnlyAccess – 更新至現有政策 | Security Hub 新增Sid欄位,以更新此受管政策。 |
2024 年 2 月 22 日 |
| AWSSecurityHubFullAccess – 更新至現有政策 | Security Hub 已更新政策,以便其可以判斷帳戶中是否啟用 Amazon GuardDuty 和 Amazon Inspector。這有助於客戶整合來自多個 的安全相關資訊 AWS 服務。 | 2023 年 11 月 16 日 |
| AWSSecurityHubOrganizationsAccess – 更新現有政策 | Security Hub 已更新政策,授予其他許可,以允許對委派管理員功能進行 AWS Organizations 唯讀存取。這包括根、組織單位 OUs)、帳戶、組織結構和服務存取等詳細資訊。 | 2023 年 11 月 16 日 |
| AWSSecurityHubServiceRolePolicy – 更新至現有政策 | Security Hub 新增了 BatchGetSecurityControls、 和 UpdateSecurityControl許可DisassociateFromAdministratorAccount,以讀取和更新可自訂的安全控制屬性。 |
2023 年 11 月 26 日 |
| AWSSecurityHubServiceRolePolicy – 更新至現有政策 | Security Hub 新增了讀取與問題清單相關資源標籤的tag:GetResources許可。 |
2023 年 11 月 7 日 |
| AWSSecurityHubServiceRolePolicy – 更新至現有政策 | Security Hub 新增BatchGetStandardsControlAssociations了許可,以取得有關 標準中控制項啟用狀態的資訊。 |
2023 年 9 月 27 日 |
| AWSSecurityHubServiceRolePolicy – 更新至現有政策 | Security Hub 新增了取得 AWS Organizations 資料以及讀取和更新 Security Hub 組態的許可,包括標準和控制項。 | 2023 年 9 月 20 日 |
| AWSSecurityHubServiceRolePolicy – 更新至現有政策 | Security Hub 將現有config:DescribeConfigRuleEvaluationStatus許可移至政策中的不同陳述式。config:DescribeConfigRuleEvaluationStatus 許可現在會套用至所有資源。 |
2023 年 3 月 17 日 |
| AWSSecurityHubServiceRolePolicy – 更新至現有政策 | Security Hub 將現有config:PutEvaluations許可移至政策中的不同陳述式。config:PutEvaluations 許可現在會套用至所有資源。 |
2021 年 7 月 14 日 |
| AWSSecurityHubServiceRolePolicy – 更新至現有政策 | Security Hub 新增了允許服務連結角色將評估結果交付到其中的許可 AWS Config。 | 2021 年 6 月 29 日 |
| AWSSecurityHubServiceRolePolicy – 已新增至受管政策清單 | 新增了受管政策 AWSSecurityHubServiceRolePolicy 的相關資訊,此政策由 Security Hub 服務連結角色使用。 | 2021 年 6 月 11 日 |
| AWSSecurityHubOrganizationsAccess – 新政策 | Security Hub 新增了新的政策,授予 Security Hub 與 Organizations 整合所需的許可。 | 2021 年 3 月 15 日 |
| Security Hub 已開始追蹤變更 | Security Hub 開始追蹤其 AWS 受管政策的變更。 | 2021 年 3 月 15 日 |
