Mit Diensten verknüpfte Rollen für AWS Security Hub CSPM - AWS Security Hub
Dienstbezogene Rollenberechtigungen für Security Hub CSPMEine serviceverknüpfte Rolle für Security Hub CSPM erstellenEine serviceverknüpfte Rolle für Security Hub CSPM bearbeitenLöschen einer serviceverknüpften Rolle für Security Hub CSPMServicebezogene Rolle für AWS Security Hub V2

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Mit Diensten verknüpfte Rollen für AWS Security Hub CSPM

AWS Security Hub CSPM verwendet eine dienstverknüpfte AWS Identity and Access Management (IAM) Rolle mit dem Namen. AWSServiceRoleForSecurityHub Bei dieser serviceverknüpften Rolle handelt es sich um eine IAM-Rolle, die direkt mit Security Hub CSPM verknüpft ist. Es ist von Security Hub CSPM vordefiniert und beinhaltet alle Berechtigungen, die Security Hub CSPM benötigt, um andere anzurufen AWS-Services und AWS Ressourcen in Ihrem Namen zu überwachen. Security Hub CSPM verwendet diese dienstbezogene Rolle in allen Bereichen, in AWS-Regionen denen Security Hub CSPM verfügbar ist.

Eine serviceverknüpfte Rolle erleichtert die Einrichtung von Security Hub CSPM, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. Security Hub CSPM definiert die Berechtigungen seiner dienstbezogenen Rolle, und sofern nicht anders definiert, kann nur Security Hub CSPM die Rolle übernehmen. Zu den definierten Berechtigungen gehören die Vertrauensrichtlinie und die Berechtigungsrichtlinie, und Sie können diese Berechtigungsrichtlinie keiner anderen IAM-Entität zuordnen.

Um die Details der serviceverknüpften Rolle zu überprüfen, können Sie die Security Hub CSPM-Konsole verwenden. Wählen Sie im Navigationsbereich unter Einstellungen die Option Allgemein aus. Wählen Sie dann im Abschnitt Dienstberechtigungen die Option Dienstberechtigungen anzeigen aus.

Sie können die dienstverknüpfte Rolle Security Hub CSPM erst löschen, nachdem Sie Security Hub CSPM in allen Regionen deaktiviert haben, in denen sie aktiviert ist. Dies schützt Ihre Security Hub CSPM-Ressourcen, da Sie nicht versehentlich Zugriffsberechtigungen entfernen können.

Informationen zu anderen Diensten, die dienstverknüpfte Rollen unterstützen, finden Sie im IAM-Benutzerhandbuch unter AWS Dienste, die mit IAM funktionieren. Suchen Sie in der Spalte Dienstverknüpfte Rollen nach den Diensten, für die Ja steht. Wählen Sie Ja mit einem Link aus, um die Dokumentation der dienstbezogenen Rollen für diesen Dienst zu lesen.

Dienstbezogene Rollenberechtigungen für Security Hub CSPM

Security Hub CSPM verwendet die benannte dienstverknüpfte Rolle. AWSServiceRoleForSecurityHub Es handelt sich um eine dienstbezogene Rolle, die für den Zugriff AWS Security Hub CSPM auf Ihre Ressourcen erforderlich ist. Diese dienstbezogene Rolle ermöglicht es Security Hub CSPM, Aufgaben wie das Empfangen von Ergebnissen von anderen auszuführen AWS-Services und die erforderliche AWS Config Infrastruktur für die Durchführung von Sicherheitsprüfungen für Kontrollen zu konfigurieren. Die serviceverknüpfte Rolle AWSServiceRoleForSecurityHub vertraut dem Service securityhub.amazonaws.com, sodass dieser die Rolle annehmen kann.

Die serviceverknüpfte Rolle AWSServiceRoleForSecurityHub verwendet die verwaltete Richtlinie AWSSecurityHubServiceRolePolicy.

Sie müssen einer IAM-Identität (z. B. einer Rolle, Gruppe oder einem Benutzer) Berechtigungen erteilen, um eine dienstverknüpfte Rolle zu erstellen, zu bearbeiten oder zu löschen. Damit die AWSServiceRoleForSecurityHub serviceverknüpfte Rolle erfolgreich erstellt werden kann, muss die IAM-Identität, die Sie für den Zugriff auf Security Hub CSPM verwenden, über die erforderlichen Berechtigungen verfügen. Um die erforderlichen Berechtigungen zu erteilen, fügen Sie die folgende Richtlinie an die IAM-Identität an.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "securityhub:*",
            "Resource": "*"    
        },
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": "securityhub.amazonaws.com"
                }
            }
        }
    ]
}

Eine serviceverknüpfte Rolle für Security Hub CSPM erstellen

Die AWSServiceRoleForSecurityHub serviceverknüpfte Rolle wird automatisch erstellt, wenn Sie Security Hub CSPM zum ersten Mal aktivieren oder wenn Sie Security Hub CSPM in einer Region aktivieren, in der Sie es zuvor nicht aktiviert haben. Sie können die AWSServiceRoleForSecurityHub serviceverknüpfte Rolle auch manuell mithilfe der IAM-Konsole, der IAM-CLI oder der IAM-API erstellen. Weitere Informationen zum Erstellen von IAM-Rollen finden Sie unter Erstellen einer serviceverknüpften Rolle im IAM-Benutzerhandbuch.

Wichtig

Die dienstverknüpfte Rolle, die für ein Security Hub CSPM-Administratorkonto erstellt wurde, gilt nicht für zugehörige Security Hub CSPM-Mitgliedskonten.

Eine serviceverknüpfte Rolle für Security Hub CSPM bearbeiten

Security Hub CSPM erlaubt es Ihnen nicht, die AWSServiceRoleForSecurityHub serviceverknüpfte Rolle zu bearbeiten. Nachdem Sie eine serviceverknüpfte Rolle erstellt haben, können Sie den Namen der Rolle nicht mehr ändern, da verschiedene Entitäten auf die Rolle verweisen könnten. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter Bearbeiten einer serviceverknüpften Rolle im IAM-Benutzerhandbuch.

Löschen einer serviceverknüpften Rolle für Security Hub CSPM

Wenn Sie ein Feature oder einen Service nicht mehr benötigen, die bzw. der eine serviceverknüpfte Rolle erfordert, sollten Sie die Rolle löschen. Auf diese Weise ist keine ungenutzte Entität vorhanden, die nicht aktiv überwacht oder verwaltet wird.

Wenn Sie Security Hub CSPM deaktivieren, löscht Security Hub CSPM die AWSServiceRoleForSecurityHub dienstverknüpfte Rolle nicht automatisch für Sie. Wenn Sie Security Hub CSPM erneut aktivieren, kann der Dienst die bestehende dienstverknüpfte Rolle wieder verwenden. Wenn Sie Security Hub CSPM nicht mehr verwenden müssen, können Sie die serviceverknüpfte Rolle manuell löschen.

Wichtig

Bevor Sie die AWSServiceRoleForSecurityHub serviceverknüpfte Rolle löschen, müssen Sie zunächst Security Hub CSPM in allen Regionen deaktivieren, in denen sie aktiviert ist. Weitere Informationen finden Sie unter Security Hub CSPM deaktivieren. Wenn Security Hub CSPM nicht deaktiviert ist, wenn Sie versuchen, die serviceverknüpfte Rolle zu löschen, schlägt der Löschvorgang fehl.

Um die AWSServiceRoleForSecurityHub serviceverknüpfte Rolle zu löschen, können Sie die IAM-Konsole, die IAM-CLI oder die IAM-API verwenden. Weitere Informationen finden Sie unter Löschen einer serviceverknüpften Rolle im IAM-Benutzerhandbuch.

Servicebezogene Rolle für AWS Security Hub V2

verwendet die benannte dienstverknüpfte Rolle. AWSServiceRoleForSecurityHubV2 Diese dienstbezogene Rolle ermöglicht die Verwaltung von AWS Config Regeln und Ressourcen für Ihre Organisation und in Ihrem Namen. Die serviceverknüpfte Rolle AWSServiceRoleForSecurityHubV2 vertraut dem Service securityhub.amazonaws.com, sodass dieser die Rolle annehmen kann.

Die serviceverknüpfte Rolle AWSServiceRoleForSecurityHubV2 verwendet die verwaltete Richtlinie AWSSecurityHubV2ServiceRolePolicy.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen:

  • cloudwatch— Ermöglicht der Rolle, Metrikdaten abzurufen, um die Messfunktionen für Ressourcen zu unterstützen.

  • config— Ermöglicht der Rolle, serviceverknüpfte Konfigurationsrekorder für Ressourcen zu verwalten, einschließlich der Unterstützung für globale AWS Config Rekorder.

  • ecr— Ermöglicht der Rolle, Informationen über Amazon Elastic Container Registry-Images und Repositorys abzurufen, um Messfunktionen zu unterstützen.

  • iam— Ermöglicht der Rolle, die serviceverknüpfte Rolle für die Erfassung zu erstellen AWS Config und Kontoinformationen abzurufen, um Messfunktionen zu unterstützen.

  • lambda— Ermöglicht der Rolle das Abrufen von AWS Lambda Funktionsinformationen zur Unterstützung von Messfunktionen.

  • organizations— Ermöglicht der Rolle, Informationen zu Konten und Organisationseinheiten (OU) für eine Organisation abzurufen.

  • securityhub— Ermöglicht der Rolle, die Konfiguration zu verwalten.

  • tag— Ermöglicht der Rolle, Informationen über Ressourcen-Tags abzurufen.

Sie müssen einer IAM-Identität (z. B. einer Rolle, Gruppe oder einem Benutzer) Berechtigungen erteilen, um eine dienstbezogene Rolle zu erstellen, zu bearbeiten oder zu löschen. Damit die AWSServiceRoleForSecurityHubV2 dienstverknüpfte Rolle erfolgreich erstellt werden kann, muss die IAM-Identität, die Sie für den Zugriff verwenden, über die erforderlichen Berechtigungen verfügen. Um die erforderlichen Berechtigungen zu erteilen, fügen Sie die folgende Richtlinie an die IAM-Identität an.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "securityhub:*",
            "Resource": "*"    
        },
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": "securityhub.amazonaws.com"
                }
            }
        }
    ]
}

Eine serviceverknüpfte Rolle für AWS Security Hub V2 erstellen

Die AWSServiceRoleForSecurityHubV2 dienstverknüpfte Rolle wird automatisch erstellt, wenn Sie sie zum ersten Mal aktivieren oder wenn Sie sie in einer Region aktivieren, in der Sie sie zuvor nicht aktiviert haben. Sie können die AWSServiceRoleForSecurityHubV2 serviceverknüpfte Rolle auch manuell mithilfe der IAM-Konsole, der IAM-CLI oder der IAM-API erstellen. Weitere Informationen zum Erstellen von IAM-Rollen finden Sie unter Erstellen einer serviceverknüpften Rolle im IAM-Benutzerhandbuch.

Wichtig

Die dienstverknüpfte Rolle, die für ein Administratorkonto erstellt wurde, gilt nicht für zugehörige Mitgliedskonten.

Eine serviceverknüpfte Rolle für AWS Security Hub V2 bearbeiten

erlaubt Ihnen nicht, die AWSServiceRoleForSecurityHubV2 dienstverknüpfte Rolle zu bearbeiten. Nachdem Sie eine serviceverknüpfte Rolle erstellt haben, können Sie den Namen der Rolle nicht mehr ändern, da verschiedene Entitäten auf die Rolle verweisen könnten. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter Bearbeiten einer serviceverknüpften Rolle im IAM-Benutzerhandbuch.

Löschen einer serviceverknüpften Rolle für AWS Security Hub V2

Wenn Sie ein Feature oder einen Service nicht mehr benötigen, die bzw. der eine serviceverknüpfte Rolle erfordert, sollten Sie die Rolle löschen. Auf diese Weise ist keine ungenutzte Entität vorhanden, die nicht aktiv überwacht oder verwaltet wird.

Wenn Sie sie deaktivieren, wird die AWSServiceRoleForSecurityHubV2 dienstverknüpfte Rolle nicht automatisch für Sie gelöscht. Wenn Sie sie erneut aktivieren, kann der Dienst die vorhandene dienstverknüpfte Rolle wieder verwenden. Wenn Sie sie nicht mehr verwenden müssen, können Sie die dienstverknüpfte Rolle manuell löschen.

Wichtig

Bevor Sie die AWSServiceRoleForSecurityHubV2 dienstverknüpfte Rolle löschen, müssen Sie sie zunächst in allen Regionen deaktivieren, in denen sie aktiviert ist. Weitere Informationen finden Sie unter Security Hub CSPM deaktivieren. Wenn Sie versuchen, die serviceverknüpfte Rolle zu löschen und noch nicht deaktiviert wurde, schlägt das Löschen fehl.

Um die AWSServiceRoleForSecurityHubV2 serviceverknüpfte Rolle zu löschen, können Sie die IAM-Konsole, die IAM-CLI oder die IAM-API verwenden. Weitere Informationen finden Sie unter Löschen einer serviceverknüpften Rolle im IAM-Benutzerhandbuch.