Wichtige KMS-Richtlinien für Security Hub-Ticketintegrationen - AWS Security Hub
Security Hub Hub-BerechtigungsrichtlinieIAM-Prinzipalzugriff für Security Hub Hub-Operationen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Wichtige KMS-Richtlinien für Security Hub-Ticketintegrationen

Bei der Verwendung von kundenverwalteten KMS-Schlüsseln mit Security Hub-Ticketintegrationen müssen dem KMS-Schlüssel zusätzliche Richtlinien hinzugefügt werden, damit Security Hub mit dem Schlüssel interagieren kann. Darüber hinaus müssen Richtlinien hinzugefügt werden, die dem Principal, der den Schlüssel zum Security Hub Hub-Connector hinzufügt, Zugriff auf den Schlüssel gewähren.

Security Hub Hub-Berechtigungsrichtlinie

Die folgende Richtlinie beschreibt die Berechtigungen, die Security Hub benötigt, um auf den KMS-Schlüssel zugreifen und ihn verwenden zu können, der mit Ihrem Jira und Ihren ServiceNow Connectors verknüpft ist. Diese Richtlinie muss jedem KMS-Schlüssel hinzugefügt werden, der einem Security Hub Hub-Connector zugeordnet ist.

Die Richtlinie enthält die folgenden Berechtigungen:

  • Ermöglicht Security Hub, Tokens, die für die Kommunikation mit Ihren Ticketing-Integrationen verwendet werden, mithilfe des Schlüssels zu schützen, temporär darauf zuzugreifen oder sie zu aktualisieren. Die Berechtigungen sind über den Bedingungsblock, der den Quell-ARN und den Verschlüsselungskontext überprüft, auf Vorgänge im Zusammenhang mit bestimmten Security Hub Hub-Connectoren beschränkt.

  • Ermöglicht Security Hub, Metadaten über den KMS-Schlüssel zu lesen, indem der DescribeKey Vorgang zugelassen wird. Diese Berechtigung ist erforderlich, damit Security Hub den Status und die Konfiguration des Schlüssels überprüfen kann. Der Zugriff ist über die ARN-Quellbedingung auf bestimmte Security Hub Hub-Konnektoren beschränkt. 


{
    "Sid": "Allow Security Hub access to the customer managed key",
    "Effect": "Allow",
    "Principal": {
        "Service": "connector.securityhub.amazonaws.com"
    },
    "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt",
        "kms:ReEncrypt*"
    ],
    "Resource": "*",
    "Condition": {
        "ArnLike": {
            "aws:SourceArn": "arn:aws:securityhub:Region:AccountId:connectorv2/*"
        },
        "StringLike": {
            "kms:EncryptionContext:aws:securityhub:connectorV2Arn": "arn:aws:securityhub:Region:AccountId:connectorv2/*",
            "kms:EncryptionContext:aws:securityhub:providerName": "CloudProviderName"
        }
    }
},
{
    "Sid": "Allow Security Hub read access to the customer managed key",
    "Effect": "Allow",
    "Principal": {
        "Service": "connector.securityhub.amazonaws.com"
    },
    "Action": [
        "kms:DescribeKey"
    ],
    "Resource": "*",
    "Condition": {
        "ArnLike": {
            "aws:SourceArn": "arn:aws:securityhub:Region:AccountId:connectorv2/*"
        }
    }
}

Bearbeiten Sie die Richtlinie, indem Sie die folgenden Werte im Richtlinienbeispiel ersetzen:

  • Ersetzen Sie CloudProviderName durch JIRA_CLOUD oder SERVICENOW

  • AccountIdErsetzen Sie es durch die Konto-ID, unter der Sie den Security Hub Hub-Connector erstellen.

  • RegionErsetzen Sie es durch Ihre AWS Region (z. B.us-east-1).

IAM-Prinzipalzugriff für Security Hub Hub-Operationen

Jeder Principal, der einem Security Hub Hub-Connector vom Kunden verwaltete KMS-Schlüssel zuweist, muss über die erforderlichen Berechtigungen verfügen, um Schlüsseloperationen (Beschreiben, Generieren, Entschlüsseln, Erneut verschlüsseln und Aliase auflisten) für den Schlüssel auszuführen, der dem Connector hinzugefügt wird. Dies gilt für und. CreateConnectorV2CreateTicketV2 APIs Die folgende Grundsatzerklärung sollte als Teil der Richtlinie für jeden Auftraggeber enthalten sein, der mit diesen zu tun hat APIs. 


{
    "Sid": "Allow permissions to access key through Security Hub",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::AccountId:role/RoleName"
    },
    "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt",
        "kms:ReEncrypt*"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "kms:ViaService": [
                "securityhub.Region.amazonaws.com"
            ]
        },
        "StringLike": {
            "kms:EncryptionContext:aws:securityhub:providerName": "CloudProviderName"
        }
    }
},
{
    "Sid": "Allow read permissions to access key through Security Hub",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::AccountId:role/RoleName"
    },
    "Action": [
        "kms:DescribeKey"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "kms:ViaService": [
                "securityhub.Region.amazonaws.com"
            ]
        }
    }
}

Bearbeiten Sie die Richtlinie, indem Sie die folgenden Werte im Richtlinienbeispiel ersetzen:

  • RoleNameErsetzen Sie es durch den Namen der IAM-Rolle, die Security Hub aufruft.

  • Ersetzen Sie CloudProviderName durch JIRA_CLOUD oder SERVICENOW.

  • AccountIdErsetzen Sie es durch die Konto-ID, unter der Sie den Security Hub Hub-Connector erstellen.

  • RegionErsetzen Sie es durch Ihre AWS Region (z. B.us-east-1).