本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# AWS Security Hub 的 受管政策
<a name="security-iam-awsmanpol"></a>

 AWS 受管政策是由 AWS AWS 受管政策建立和管理的獨立政策旨在為許多常用案例提供許可，以便您可以開始將許可指派給使用者、群組和角色。

請記住， AWS 受管政策可能不會授予特定使用案例的最低權限許可，因為這些許可可供所有 AWS 客戶使用。我們建議您定義特定於使用案例的[客戶管理政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)，以便進一步減少許可。

您無法變更 AWS 受管政策中定義的許可。如果 AWS 更新受 AWS 管政策中定義的許可，則更新會影響政策連接的所有主體身分 （使用者、群組和角色）。當新的 AWS 服務 啟動或新的 API 操作可供現有服務使用時， AWS 最有可能更新 AWS 受管政策。

如需詳細資訊，請參閱 *IAM 使用者指南*中的 [AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。



## AWS 受管政策： AWSSecurityHubFullAccess
<a name="security-iam-awsmanpol-awssecurityhubfullaccess"></a>

您可將 `AWSSecurityHubFullAccess` 政策連接到 IAM 身分。

此政策會授予管理許可，允許委託人完整存取所有 Security Hub CSPM 動作。此政策必須連接到委託人，才能為其帳戶手動啟用 Security Hub CSPM。例如，具有這些許可的主體可以檢視和更新調查結果的狀態。他們也可以設定自訂洞見、啟用整合，以及啟用和停用標準和控制項。管理員帳戶的主體也可以管理成員帳戶。

**許可詳細資訊**

此政策包含以下許可：
+ `securityhub` – 允許主體完整存取所有 Security Hub CSPM 動作。
+ `guardduty` – 允許主體在 Amazon GuardDuty 中執行偵測器、組織管理員管理、成員帳戶管理以及全組織組態的完整生命週期管理。這包括 API 動作：GetDetector、ListDetector、CreateDetector、UpdateDetector、DeleteDetector、EnableOrganizationAdminAccount、ListOrganizationAdminAccounts、CreateMembers、UpdateOrganizationConfiguration、DescribeOrganizationConfiguration。
+ `iam` – 允許主體為 Security Hub CSPM 和 Security Hub 建立服務連結角色，並取得角色、政策和政策版本。
+ `inspector` – 允許主體取得帳戶狀態的相關資訊、啟用或停用、委派管理員管理，以及在 Amazon Inspector 中執行組織組態管理。這包括 API 動作：BatchGetAccountStatus、Enable、Disable、EnableDelegatedAdminAccount、DisableDelegatedAdminAccount、ListDelegatedAdminAccounts、UpdateOrganizationConfiguration、DescribeOrganizationConfiguration。
+ `pricing` – 允許主體取得 AWS 服務 和 產品的價目表。
+ `account` – 允許主體取得帳戶區域的相關資訊，以支援 Security Hub 中的區域管理。

若要檢閱此政策的許可，請參閱《 *AWS 受管政策參考指南*[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubFullAccess.html)》中的 。

## AWS 受管政策： AWSSecurityHubReadOnlyAccess
<a name="security-iam-awsmanpol-awssecurityhubreadonlyaccess"></a>

您可將 `AWSSecurityHubReadOnlyAccess` 政策連接到 IAM 身分。

此政策授予唯讀許可，允許使用者檢視 Security Hub CSPM 中的資訊。附加此政策的委託人無法在 Security Hub CSPM 中進行任何更新。例如，具有這些許可的主體可以檢視與其帳戶相關聯的問題清單，但無法變更問題清單的狀態。他們可以檢視洞見的結果，但無法建立或設定自訂洞見。他們無法設定控制項或產品整合。

**許可詳細資訊**

此政策包含以下許可：
+ `securityhub` – 允許使用者執行傳回項目清單或項目詳細資訊的動作。這包括以 `Get`、 `List`或 開頭的 API 操作`Describe`。

若要檢閱此政策的許可，請參閱《 *AWS 受管政策參考指南*[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubReadOnlyAccess.html)》中的 。

## AWS 受管政策： AWSSecurityHubOrganizationsAccess
<a name="security-iam-awsmanpol-awssecurityhuborganizationsaccess"></a>

 您可將 `AWSSecurityHubOrganizationsAccess` 政策連接到 IAM 身分。

此政策授予管理許可，以啟用和管理 中組織的 Security Hub、Security Hub CSPM、Amazon GuardDuty 和 Amazon Inspector AWS Organizations。此政策的許可允許組織管理帳戶指定 Security Hub、Security Hub CSPM、Amazon GuardDuty 和 Amazon Inspector 的委派管理員帳戶。它們也允許委派管理員帳戶將組織帳戶啟用為成員帳戶。

此政策僅提供 的許可 AWS Organizations。組織管理帳戶和委派管理員帳戶也需要相關聯動作的許可。您可以使用 `AWSSecurityHubFullAccess`受管政策授予這些許可。

在管理帳戶中建立或更新委派管理員政策需要此政策中未提供的其他許可。若要執行這些動作，建議新增許可`organizations:PutResourcePolicy`或連接 AWSOrganizationsFullAccess 政策。

**許可詳細資訊**

此政策包含以下許可：
+ `organizations:ListAccounts` – 允許主體擷取屬於組織一部分的帳戶清單。
+ `organizations:DescribeOrganization` – 允許主體擷取組織的相關資訊。
+ `organizations:ListRoots` – 允許主體列出組織的根目錄。
+ `organizations:ListDelegatedAdministrators` – 允許主體列出組織的委派管理員。
+ `organizations:ListAWSServiceAccessForOrganization` – 允許主體列出 AWS 服務 組織使用的 。
+ `organizations:ListOrganizationalUnitsForParent` – 允許主體列出父 OU 的子組織單位 (OU)。
+ `organizations:ListAccountsForParent` – 允許主體列出父 OU 的子帳戶。
+  `organizations:ListParents` – 列出做為指定子 OUs 或帳戶直接父項的根或組織單位 (OU)。
+ `organizations:DescribeAccount` – 允許主體擷取組織中帳戶的相關資訊。
+ `organizations:DescribeOrganizationalUnit` – 允許主體擷取組織中 OU 的相關資訊。
+  `organizations:ListPolicies` – 擷取組織中指定類型的所有政策清單。
+  `organizations:ListPoliciesForTarget` – 列出直接連接到指定目標根目錄、組織單位 (OU) 或帳戶的政策。
+  `organizations:ListTargetsForPolicy` – 列出指定政策連接的所有根目錄、組織單位 (OUs) 和帳戶。
+ `organizations:EnableAWSServiceAccess` – 允許主體啟用與 Organizations 的整合。
+ `organizations:RegisterDelegatedAdministrator` – 允許主體指定委派的管理員帳戶。
+ `organizations:DeregisterDelegatedAdministrator` – 允許主體移除委派的管理員帳戶。
+  `organizations:DescribePolicy` – 擷取政策的相關資訊。
+  `organizations:DescribeEffectivePolicy` – 傳回指定政策類型和帳戶的有效政策內容。
+  `organizations:CreatePolicy` – 建立可連接至根目錄、組織單位 (OU) 或個別 AWS 帳戶之指定類型的政策。
+  `organizations:UpdatePolicy` – 使用新名稱、描述或內容更新現有政策。
+  `organizations:DeletePolicy` – 從您的組織刪除指定的政策。
+  `organizations:AttachPolicy` – 將政策連接至根帳戶、組織單位 (OU) 或個別帳戶。
+  `organizations:DetachPolicy` – 從目標根目錄、組織單位 (OU) 或帳戶分離政策。
+  `organizations:EnablePolicyType` – 在根目錄中啟用政策類型。
+  `organizations:DisablePolicyType` – 在根目錄中停用組織政策類型。
+  `organizations:TagResource` – 將一或多個標籤新增至指定的資源。
+  `organizations:UntagResource` – 從指定的資源移除具有指定金鑰的任何標籤。
+  `organizations:ListTagsForResource` – 列出連接至指定資源的標籤。
+  `organizations:DescribeResourcePolicy` – 擷取資源政策的相關資訊。

若要檢閱此政策的許可，請參閱《 *AWS 受管政策參考指南*[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubOrganizationsAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubOrganizationsAccess.html)》中的 。

## AWS 受管政策： AWSSecurityHubServiceRolePolicy
<a name="security-iam-awsmanpol-awssecurityhubservicerolepolicy"></a>

您不得將 `AWSSecurityHubServiceRolePolicy` 連接到 IAM 實體。此政策會連接到服務連結角色，允許 Security Hub CSPM 代表您執行動作。如需詳細資訊，請參閱[的服務連結角色 AWS Security Hub CSPM](using-service-linked-roles.md)。

此政策會授予管理許可，允許服務連結角色執行任務，例如執行 Security Hub CSPM 控制項的安全檢查。

**許可詳細資訊**

此政策包含以下許可：
+ `cloudtrail` – 擷取 CloudTrail 追蹤的相關資訊。
+ `cloudwatch` – 擷取目前的 CloudWatch 警示。
+ `logs` – 擷取 CloudWatch 日誌的指標篩選條件。
+ `sns` – 擷取 SNS 主題的訂閱清單。
+ `config` – 擷取組態記錄器、資源和 AWS Config 規則的相關資訊。也允許服務連結角色建立和刪除 AWS Config 規則，並根據規則執行評估。
+ `iam` – 擷取和產生帳戶的登入資料報告。
+ `organizations` – 擷取組織的帳戶和組織單位 (OU) 資訊。
+ `securityhub` – 擷取如何設定 Security Hub CSPM 服務、標準和控制項的相關資訊。
+ `tag` – 擷取資源標籤的相關資訊。

若要檢閱此政策的許可，請參閱《 *AWS 受管政策參考指南*[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubServiceRolePolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubServiceRolePolicy.html)》中的 。

## AWS 受管政策： AWSSecurityHubV2ServiceRolePolicy
<a name="security-iam-awsmanpol-awssecurityhubv2servicerolepolicy"></a>

**注意**  
 Security Hub 處於預覽版本，可能會有所變更。

此政策允許 Security Hub 代表您管理組織的 AWS Config 規則和 Security Hub 資源。此政策會連接到服務連結角色，允許服務代表您執行動作。無法將此政策附接到 IAM 身分。如需詳細資訊，請參閱[的服務連結角色 AWS Security Hub CSPM](using-service-linked-roles.md)。

**許可詳細資訊**  
 此政策包含以下許可：
+  `cloudwatch` – 擷取指標資料以支援 Security Hub 資源的計量功能。
+  `config` – 管理 Security Hub 資源的服務連結組態記錄器，包括對全域 Config 記錄器的支援。
+  `ecr` – 擷取有關 Amazon Elastic Container Registry 映像和儲存庫的資訊，以支援計量功能。
+  `iam` – 建立 的服務連結角色， AWS Config 並擷取帳戶資訊以支援計量功能。
+  `lambda` – 擷取 AWS Lambda 函數資訊以支援計量功能。
+  `organizations` – 擷取組織的帳戶和組織單位 (OU) 資訊。
+  `securityhub` – 管理 Security Hub 組態。
+  `tag` – 擷取資源標籤的相關資訊。

若要檢閱此政策的許可，請參閱《 *AWS 受管政策參考指南*[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubV2ServiceRolePolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubV2ServiceRolePolicy.html)》中的 。

## AWS 受管政策的 Security Hub 更新
<a name="security-iam-awsmanpol-updates"></a>

下表提供自此服務開始追蹤這些變更以來， AWS Security Hub 和 Security Hub CSPM AWS 受管政策更新的詳細資訊。如需政策更新的自動提醒，請訂閱 [Security Hub 文件歷史記錄](doc-history.md)頁面上的 RSS 摘要。








| 變更 | 描述 | Date | 
| --- | --- | --- | 
|   [AWSSecurityHubOrganizationsAccess](#security-iam-awsmanpol-awssecurityhuborganizationsaccess) – 更新的政策   |  Security Hub 已更新政策，新增描述資源政策以支援 Security Hub 功能的許可。Security Hub 處於預覽版本，可能會有所變更。  | 2025 年 11 月 12 日 | 
|   [AWSSecurityHubFullAccess](#security-iam-awsmanpol-awssecurityhubfullaccess) – 更新的政策   |  Security Hub 已更新政策，新增管理 GuardDuty、Amazon Inspector 和帳戶管理的功能，以支援 Security Hub 功能。Security Hub 處於預覽版本，可能會有所變更。  | 2025 年 11 月 17 日 | 
|   [AWSSecurityHubV2ServiceRolePolicy](#security-iam-awsmanpol-awssecurityhubv2servicerolepolicy) – 已更新政策   |  Security Hub 已更新政策，為 Amazon Elastic Container Registry AWS Lambda、Amazon CloudWatch 和 新增計量功能 AWS Identity and Access Management ，以支援 Security Hub 功能。更新也新增了對全域 AWS Config 記錄器的支援。Security Hub 處於預覽版本，可能會有所變更。  | 2025 年 11 月 5 日 | 
|  [AWSSecurityHubOrganizationsAccess](#security-iam-awsmanpol-awssecurityhuborganizationsaccess) – 更新現有政策  | Security Hub 已將新許可新增至政策。許可允許組織管理為組織啟用和管理 Security Hub 和 Security Hub CSPM。 | 2025 年 6 月 17 日 | 
|   [AWSSecurityHubFullAccess](#security-iam-awsmanpol-awssecurityhubfullaccess) – 更新現有政策  |  Security Hub CSPM 新增了新的許可，允許主體為 Security Hub 建立服務連結角色。  | 2025 年 6 月 17 日 | 
| [AWSSecurityHubFullAccess ](#security-iam-awsmanpol-awssecurityhubfullaccess) – 更新現有政策  | Security Hub CSPM 已更新政策，以取得 AWS 服務 和 產品的定價詳細資訊。 | 2024 年 4 月 24 日 | 
| [AWSSecurityHubReadOnlyAccess ](#security-iam-awsmanpol-awssecurityhubreadonlyaccess) – 更新現有政策  | Security Hub CSPM 透過新增Sid欄位來更新此受管政策。 | 2024 年 2 月 22 日 | 
| [AWSSecurityHubFullAccess ](#security-iam-awsmanpol-awssecurityhubfullaccess) – 更新現有政策  | Security Hub CSPM 已更新政策，因此可以判斷帳戶中是否啟用 Amazon GuardDuty 和 Amazon Inspector。這有助於客戶整合來自多個 的安全相關資訊 AWS 服務。 | 2023 年 11 月 16 日 | 
| [AWSSecurityHubOrganizationsAccess ](#security-iam-awsmanpol-awssecurityhuborganizationsaccess) – 更新現有政策  | Security Hub CSPM 已更新政策，授予其他許可，以允許對委派管理員功能進行 AWS Organizations 唯讀存取。這包括根目錄、組織單位 OUs)、帳戶、組織結構和服務存取等詳細資訊。 | 2023 年 11 月 16 日 | 
| [AWSSecurityHubServiceRolePolicy](#security-iam-awsmanpol-awssecurityhubservicerolepolicy) – 更新至現有政策  | Security Hub CSPM 新增了 BatchGetSecurityControls、 和 UpdateSecurityControl許可DisassociateFromAdministratorAccount，以讀取和更新可自訂的安全控制屬性。 | 2023 年 11 月 26 日 | 
| [AWSSecurityHubServiceRolePolicy](#security-iam-awsmanpol-awssecurityhubservicerolepolicy) – 更新至現有政策  | Security Hub CSPM 新增了讀取與問題清單相關資源標籤的tag:GetResources許可。 | 2023 年 11 月 7 日 | 
| [AWSSecurityHubServiceRolePolicy](#security-iam-awsmanpol-awssecurityhubservicerolepolicy) – 更新至現有政策  | Security Hub CSPM 新增BatchGetStandardsControlAssociations了許可，以取得有關標準中控制項啟用狀態的資訊。 | 2023 年 9 月 27 日 | 
| [AWSSecurityHubServiceRolePolicy](#security-iam-awsmanpol-awssecurityhubservicerolepolicy) – 更新至現有政策  | Security Hub CSPM 新增了取得 AWS Organizations 資料以及讀取和更新 Security Hub CSPM 組態的新許可，包括標準和控制項。 | 2023 年 9 月 20 日 | 
| [AWSSecurityHubServiceRolePolicy](#security-iam-awsmanpol-awssecurityhubservicerolepolicy) – 更新至現有政策  | Security Hub CSPM 將現有config:DescribeConfigRuleEvaluationStatus許可移至政策中的不同陳述式。config:DescribeConfigRuleEvaluationStatus 許可現在會套用至所有資源。 | 2023 年 3 月 17 日 | 
| [AWSSecurityHubServiceRolePolicy](#security-iam-awsmanpol-awssecurityhubservicerolepolicy) – 更新至現有政策  |  Security Hub CSPM 將現有config:PutEvaluations許可移至政策中的不同陳述式。config:PutEvaluations 許可現在會套用至所有資源。 | 2021 年 7 月 14 日 | 
| [AWSSecurityHubServiceRolePolicy](#security-iam-awsmanpol-awssecurityhubservicerolepolicy) – 更新至現有政策  | Security Hub CSPM 新增了允許服務連結角色將評估結果交付至其中的許可 AWS Config。 | 2021 年 6 月 29 日 | 
| [AWSSecurityHubServiceRolePolicy](#security-iam-awsmanpol-awssecurityhubservicerolepolicy) – 已新增至受管政策清單  | 新增了受管政策 AWSSecurityHubServiceRolePolicy 的相關資訊，由 Security Hub CSPM 服務連結角色使用。 | 2021 年 6 月 11 日 | 
| [AWSSecurityHubOrganizationsAccess ](#security-iam-awsmanpol-awssecurityhuborganizationsaccess) – 新政策  | Security Hub CSPM 新增了一項新政策，授予 Security Hub CSPM 與 Organizations 整合所需的許可。 | 2021 年 3 月 15 日 | 
| Security Hub CSPM 已開始追蹤變更  | Security Hub CSPM 開始追蹤其 AWS 受管政策的變更。 | 2021 年 3 月 15 日 |