Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Aktionen, Ressourcen und Bedingungsschlüssel für AWS Security Hub
AWS Security Hub (Dienstpräfix:securityhub) stellt die folgenden dienstspezifischen Ressourcen, Aktionen und Bedingungskontextschlüssel zur Verwendung in IAM-Berechtigungsrichtlinien bereit.
Referenzen:
-
Erfahren Sie, wie Sie diesen Service konfigurieren.
-
Zeigen Sie eine Liste der API-Operationen an, die für diesen Service verfügbar sind.
-
Erfahren Sie, wie Sie diesen Service und seine Ressourcen mithilfe von IAM-Berechtigungsrichtlinien schützen.
Themen
Von AWS Security Hub definierte Aktionen
Sie können die folgenden Aktionen im Element Action einer IAM-Richtlinienanweisung angeben. Verwenden Sie Richtlinien, um Berechtigungen zum Ausführen einer Operation in AWS zu erteilen. Wenn Sie eine Aktion in einer Richtlinie verwenden, erlauben oder verweigern Sie in der Regel den Zugriff auf die API-Operation oder den CLI-Befehl mit demselben Namen. Dabei kann es mitunter vorkommen, dass eine einzige Aktion den Zugriff auf mehr als eine Operation steuert. Alternativ erfordern einige Vorgänge mehrere verschiedene Aktionen.
In der Spalte Zugriffsebene der Tabelle Aktionen wird beschrieben, wie die Aktion klassifiziert wird (Liste, Lesen, Berechtigungsverwaltung oder Tagging). Diese Klassifizierung gibt an, welche Zugriffsebene die betreffende Aktion gewährt, wenn Sie sie in einer Richtlinie verwenden. Weitere Informationen zu Zugriffsebenen finden Sie unter Zugriffsebenen in Richtlinienzusammenfassungen.
Die Spalte Resource types (Ressourcentypen) der Aktionstabelle gibt an, ob die Aktion Berechtigungen auf Ressourcenebene unterstützt. Wenn es keinen Wert für diese Spalte gibt, müssen Sie alle Ressourcen ("*") im Element Resource Ihrer Richtlinienanweisung angeben. Wenn die Spalte einen Ressourcentyp enthält, können Sie einen ARN dieses Typs in einer Anweisung mit dieser Aktion angeben. Wenn für die Aktion eine oder mehrere Ressourcen erforderlich sind, muss der Aufrufer die Erlaubnis haben, die Aktion mit diesen Ressourcen zu verwenden. Erforderliche Ressourcen sind in der Tabelle mit einem Sternchen (*) gekennzeichnet. Wenn Sie den Ressourcenzugriff mit dem Element Resource in einer IAM-Richtlinie einschränken, müssen Sie für jeden erforderlichen Ressourcentyp einen ARN oder ein Muster angeben. Einige Aktionen unterstützen mehrere Ressourcentypen. Wenn der Ressourcentyp optional ist (nicht als erforderlich angegeben), können Sie sich für einen der optionalen Ressourcentypen entscheiden.
Die Spalte Bedingungsschlüssel der Tabelle der Aktionen enthält Schlüssel, die Sie im Element Condition einer Richtlinienanweisung angeben können. Weitere Informationen zu den Bedingungsschlüsseln, die den Ressourcen für den Service zugeordnet sind, finden Sie in der Spalte Bedingungsschlüssel der Tabelle der Ressourcentypen.
Anmerkung
Die Ressourcenbedingungsschlüssel sind in der Tabelle Ressourcentypen enthalten. Sie finden einen Link zu dem Ressourcentyp, der für eine Aktion gilt, in der Spalte Ressourcentypen (*erforderlich) der Tabelle „Aktionen“. Der Ressourcentyp in der Tabelle „Ressourcentypen“ enthält die Spalte Bedingungsschlüssel. Das sind die Ressourcenbedingungsschlüssel, die für eine Aktion in der Tabelle „Aktionen“ gelten.
Details zu den Spalten in der folgenden Tabelle finden Sie in der Tabelle Aktionen
| Aktionen | Beschreibung | Zugriffsebene | Ressourcentypen (*erforderlich) | Bedingungsschlüssel | Abhängige Aktionen |
|---|---|---|---|---|---|
| AcceptAdministratorInvitation | Gewährt die Berechtigung zum Akzeptieren von Security Hub-Einladungen, ein Mitgliedskonto zu werden | Write | |||
| AcceptInvitation | Gewährt die Berechtigung zum Akzeptieren von Security Hub-Einladungen, ein Mitgliedskonto zu werden | Schreiben | |||
| BatchDeleteAutomationRules | Gewährt die Berechtigung zum Löschen einer oder mehrerer Automatisierungsregeln in Security Hub | Schreiben | |||
| BatchDisableStandards | Gewährt die Berechtigung zum Deaktivieren von Standards in Security Hub | Write | |||
| BatchEnableStandards | Gewährt die Berechtigung zum Aktivieren von Standards in Security Hub | Schreiben | |||
| BatchGetAutomationRules | Erteilt die Erlaubnis, eine Liste mit Details für Automatisierungsregeln von Security Hub abzurufen, basierend auf der Regel Amazon Resource Names (ARNs) | Lesen | |||
| BatchGetConfigurationPolicyAssociations | Gewährt die Berechtigung zum Abrufen von Informationen über Konfigurationsrichtlinien, die mit einer bestimmten Liste von Mitgliedskonten und Organisationseinheiten der Organisation des aufrufenden Kontos verknüpft sind | Lesen | |||
| BatchGetControlEvaluations [nur Berechtigung] | Gewährt die Berechtigung, den Enablement- und Compliance-Status von Kontrollen, die Anzahl der Befunde für Kontrollen und die Gesamtsicherheitsbewertung für Kontrollen in der Security-Hub-Konsole abzurufen | Lesen | |||
| BatchGetSecurityControls | Gewährt die Berechtigung zum Abrufen von Details zu bestimmten Sicherheitskontrollen, die per ID oder ARN identifiziert werden | Lesen |
securityhub:DescribeStandardsControls |
||
| BatchGetStandardsControlAssociations | Gewährt die Berechtigung zum Abrufen des Aktivierungsstatus einer Reihe von Sicherheitskontrollen in Standards | Lesen |
securityhub:DescribeStandardsControls |
||
| BatchImportFindings | Gewährt die Berechtigung zum Importieren von Ergebnissen in Security Hub von einem integrierten Produkt | Schreiben | |||
| BatchUpdateAutomationRules | Erteilt die Erlaubnis, eine oder mehrere Automatisierungsregeln von Security Hub aus zu aktualisieren, basierend auf der Regel Amazon Resource Names (ARNs) und Eingabeparametern | Schreiben | |||
| BatchUpdateFindings | Gewährt die Berechtigung zum Aktualisieren von kundengesteuerten Feldern für einen ausgewählten Satz von Security Hub-Ergebnissen | Schreiben | |||
| BatchUpdateStandardsControlAssociations | Gewährt die Berechtigung zum Aktualisieren des Aktivierungsstatus einer Reihe von Sicherheitskontrollen in Standards | Schreiben |
securityhub:UpdateStandardsControl |
||
| ConnectorRegistrationsV2 | Erteilt die Erlaubnis, den OAuth 2.0-Autorisierungscodefluss auf der Grundlage von Eingabeparametern abzuschließen | Schreiben | |||
| CreateActionTarget | Gewährt die Berechtigung zum Erstellen benutzerdefinierter Aktionen in Security Hub | Schreiben | |||
| CreateAggregatorV2 | Erteilt die Berechtigung zum Erstellen eines AggregatorV2, mit dem die Datenaggregation über Regionen hinweg konfiguriert wird | Schreiben | |||
| CreateAutomationRule | Gewährt die Berechtigung zum Erstellen einer Automatisierungsregel basierend auf Eingabeparametern | Schreiben | |||
| CreateAutomationRuleV2 | Erteilt die Berechtigung zum Erstellen einer Automatisierungsregel V2 auf der Grundlage von Eingabeparametern | Schreiben | |||
| CreateConfigurationPolicy | Gewährt die Berechtigung zum Erstellen einer Konfigurationsrichtlinie zur Verwaltung der Einstellungen von Organisationsmitgliedern in Security Hub | Schreiben | |||
| CreateConnectorV2 | Erteilt die Berechtigung, einen Connector V2 auf der Grundlage von Eingabeparametern zu erstellen | Schreiben | |||
| CreateFindingAggregator | Gewährt die Berechtigung zum Erstellen eines Ergebnis-Aggregators, der die Konfiguration für die regionsübergreifende Ergebnis-Aggregation enthält | Schreiben | |||
| CreateInsight | Gewährt die Berechtigung zum Erstellen von Insights in Security Hub. Insights sind Sammlungen verwandter Ergebnisse | Write | |||
| CreateMembers | Gewährt die Berechtigung zum Erstellen von Mitgliedskonten in Security Hub | Schreiben | |||
| CreateTicketV2 | Erteilt die Erlaubnis, ein Ticket für ein ausgewähltes OCSF-Ergebnis zu erstellen | Schreiben | |||
| DeclineInvitations | Gewährt die Berechtigung zum Ablehnen von Security Hub-Einladungen, ein Mitgliedskonto zu werden | Write | |||
| DeleteActionTarget | Gewährt die Berechtigung zum Löschen benutzerdefinierter Aktionen in Security Hub | Schreiben | |||
| DeleteAggregatorV2 | Erteilt die Berechtigung zum Löschen eines AggregatorV2, mit dem die Datenaggregation über Regionen hinweg konfiguriert wird | Schreiben | |||
| DeleteAutomationRuleV2 | Erteilt die Berechtigung zum Löschen einer Automatisierungsregel V2 in Security Hub | Schreiben | |||
| DeleteConfigurationPolicy | Gewährt die Berechtigung zum Löschen eines vorhandenen Konfigurationssatzes | Schreiben | |||
| DeleteConnectorV2 | Erteilt die Berechtigung zum Löschen eines Connectors V2 in Security Hub | Schreiben | |||
| DeleteFindingAggregator | Gewährt die Berechtigung zum Löschen eines Ergebnis-Aggregators, der die Ergebnis-Aggregation über Regionen hinweg deaktiviert | Schreiben | |||
| DeleteInsight | Gewährt die Berechtigung zum Löschen von Insights aus Security Hub | Write | |||
| DeleteInvitations | Gewährt die Berechtigung zum Löschen von Security Hub-Einladungen, ein Mitgliedskonto zu werden | Write | |||
| DeleteMembers | Gewährt die Berechtigung zum Löschen von Security Hub-Mitgliedskonten | Write | |||
| DescribeActionTargets | Gewährt die Berechtigung zum Abrufen einer Liste der benutzerdefinierten Aktionen mithilfe der API | Read | |||
| DescribeHub | Gewährt die Berechtigung zum Abrufen von Informationen über die Hub-Ressource in Ihrem Konto | Read | |||
| DescribeOrganizationConfiguration | Gewährt die Berechtigung zum Beschreiben der Organisationskonfiguration für Security Hub | Read | |||
| DescribeProducts | Gewährt die Berechtigung zum Abrufen von Informationen über die verfügbaren Security Hub-Produktintegrationen | Lesen | |||
| DescribeProductsV2 | Erteilt die Erlaubnis, Informationen über die verfügbaren Security Hub V2-Produktintegrationen abzurufen | Lesen | |||
| DescribeSecurityHubV2 | Erteilt die Erlaubnis, Informationen über die Hub V2-Ressource in Ihrem Konto abzurufen | Lesen | |||
| DescribeStandards | Gewährt die Berechtigung zum Abrufen von Informationen zu Security Hub-Standards | Read | |||
| DescribeStandardsControls | Gewährt die Berechtigung zum Abrufen von Informationen zu Security Hub-Standardkontrollen | Read | |||
| DisableImportFindingsForProduct | Gewährt die Berechtigung zum Deaktivieren des Ergebnisimports für ein in Security Hub integriertes Produkt | Write | |||
| DisableOrganizationAdminAccount | Gewährt die Berechtigung zum Entfernen des Security Hub-Administratorkontos für Ihre Organisation | Write |
organizations:DeregisterDelegatedAdministrator organizations:DescribeOrganization organizations:ListDelegatedAdministrators |
||
| DisableSecurityHub | Gewährt die Berechtigung zum Deaktivieren von Security Hub | Schreiben | |||
| DisableSecurityHubV2 | Erteilt die Erlaubnis, Security Hub V2 zu deaktivieren | Schreiben | |||
| DisassociateFromAdministratorAccount | Gewährt die Berechtigung für ein Security-Hub-Mitgliedskonto, die Verknüpfung mit dem zugehörigen Administratorkonto aufzuheben | Write | |||
| DisassociateFromMasterAccount | Gewährt die Berechtigung für ein Security Hub-Mitgliedskonto, die Verknüpfung mit dem zugehörigen Masterkonto aufzuheben | Write | |||
| DisassociateMembers | Gewährt die Berechtigung zum Aufheben der Verknüpfung von Security-Hub-Mitgliedskonten mit dem zugehörigen Administratorkonto | Write | |||
| EnableImportFindingsForProduct | Gewährt die Berechtigung zum Aktivieren des Ergebnisimports für ein in Security Hub integriertes Produkt | Write | |||
| EnableOrganizationAdminAccount | Gewährt die Berechtigung zum Bestimmen eines Security Hub-Administratorkontos für Ihre Organisation | Write |
organizations:DescribeOrganization organizations:EnableAWSServiceAccess organizations:ListAWSServiceAccessForOrganization organizations:ListDelegatedAdministrators organizations:RegisterDelegatedAdministrator |
||
| EnableSecurityHub | Gewährt die Berechtigung zum Aktivieren von Security Hub | Schreiben | |||
| EnableSecurityHubV2 | Erteilt die Erlaubnis, Security Hub V2 zu aktivieren | Schreiben | |||
| GetAdhocInsightResults [nur Berechtigung] | Erteilt die Erlaubnis, aggregierte statistische Daten zu den Ergebnissen abzurufen | Lesen | |||
| GetAdministratorAccount | Gewährt die Berechtigung zum Abrufen von Details zum Security-Hub-Administratorkonto | Lesen | |||
| GetAggregatorV2 | Erteilt die Berechtigung zum Abrufen von Details für einen AggregatorV2, der die Datenaggregation über Regionen hinweg konfiguriert | Lesen | |||
| GetAutomationRuleV2 | Erteilt die Erlaubnis, Details für eine Automatisierungsregel V2 von Security Hub abzurufen, basierend auf der Regel Amazon Resource Name (ARN) | Lesen | |||
| GetConfigurationPolicy | Gewährt die Berechtigung, sich einen vollständigen Überblick über eine Konfigurationsrichtlinie zu verschaffen, die vom aufrufenden Konto erstellt wurde | Lesen | |||
| GetConfigurationPolicyAssociation | Gewährt die Berechtigung zum Abrufen von Informationen über eine Konfigurationsrichtlinie, die einem Mitgliedskonto oder einer Organisationseinheit der Organisation des anrufenden Accounts zugeordnet ist | Lesen | |||
| GetConnectorV2 | Erteilt die Berechtigung zum Abrufen von Details für einen Connector V2 von Security Hub basierend auf der Connector-ID | Lesen | |||
| GetControlFindingSummary [nur Berechtigung] | Gewährt die Berechtigung zum Abrufen einer Sicherheitsbewertung sowie der Anzahl der Such- und Kontrollstatus für einen Sicherheitsstandard | Read | |||
| GetEnabledStandards | Gewährt die Berechtigung zum Abrufen einer Liste von Standards, die in Security Hub aktiviert sind | Auflisten | |||
| GetFindingAggregator | Gewährt die Berechtigung zum Abrufen von Details für einen Ergebnis-Aggregator, der die Ergebnis-Aggregation über Regionen hinweg konfiguriert | Lesen | |||
| GetFindingHistory | Gewährt die Berechtigung zum Abrufen einer Liste mit vergangenen Erkenntnissen vom Security Hub | Lesen | |||
| GetFindings | Gewährt die Berechtigung zum Abrufen einer Liste von Ergebnissen von Security Hub | Read | |||
| GetFreeTrialEndDate [nur Berechtigung] | Gewährt die Berechtigung, das Enddatum für die kostenlose Testversion eines Kontos von Security Hub abzurufen | Read | |||
| GetFreeTrialUsage [nur Berechtigung] | Gewährt die Berechtigung, Informationen über die Nutzung von Security Hub während der kostenlosen Testphase abzurufen | Read | |||
| GetInsightFindingTrend [nur Berechtigung] | Gewährt die Berechtigung, einen Erkenntnisfindetrend von Security Hub abzurufen, um ein Diagramm zu generieren | Read | |||
| GetInsightResults | Gewährt die Berechtigung zum Abrufen von Insight-Ergebnissen von Security Hub | Read | |||
| GetInsights | Gewährt die Berechtigung zum Abrufen von Security Hub-Insights | List | |||
| GetInvitationsCount | Gewährt die Berechtigung zum Abrufen der Anzahl der Security Hub-Mitgliedschaftseinladungen, die an das Konto gesendet wurden | Read | |||
| GetMasterAccount | Gewährt die Berechtigung zum Abrufen von Details zum Security Hub-Masterkonto | Read | |||
| GetMembers | Gewährt die Berechtigung zum Abrufen der Details von Security Hub-Mitgliedskonten | Lesen | |||
| GetResourcesStatisticsV2 | Erteilt die Erlaubnis, aggregierte Statistiken über Ressourcen abzurufen | Lesen | |||
| GetResourcesV2 | Erteilt die Berechtigung zum Abrufen einer Ressourcenliste | Lesen | |||
| GetSecurityControlDefinition | Gewährt die Berechtigung, die Definitionsdetails einer bestimmten, durch die ID identifizierten Sicherheitskontrolle abzurufen | Lesen |
securityhub:DescribeStandardsControls |
||
| GetUsage [nur Berechtigung] | Gewährt die Berechtigung zum Abrufen von Informationen zu Security Hub-Standards | Lesen | |||
| InviteMembers | Erteilt die Erlaubnis, andere AWS Konten einzuladen, Security Hub Hub-Mitgliedskonten zu werden | Schreiben | |||
| ListAggregatorsV2 | Erteilt die Berechtigung zum Abrufen einer Liste von AggregatorsV2, wodurch die Datenaggregation über Regionen hinweg konfiguriert wird | Auflisten | |||
| ListAutomationRules | Gewährt die Berechtigung zum Abrufen einer Liste von Automatisierungsregeln und deren Metadaten für das anrufende Konto von Security Hub | Auflisten | |||
| ListAutomationRulesV2 | Erteilt die Berechtigung, eine Liste von Automatisierungsregeln V2 und deren Metadaten für das anrufende Konto von Security Hub abzurufen | Auflisten | |||
| ListConfigurationPolicies | Gewährt die Berechtigung zum Auflisten von Zusammenfassungen aller vom aufrufenden Konto erstellten Konfigurationsrichtlinien | Auflisten | |||
| ListConfigurationPolicyAssociations | Gewährt die Berechtigung zum Abrufen von Informationen über alle Konfigurationsrichtlinien, die allen Mitgliedskonten und Organisationseinheiten der Organisation des anrufenden Accounts zugeordnet sind | Auflisten | |||
| ListConnectorsV2 | Erteilt die Berechtigung, eine Liste von Connectors V2 und deren Metadaten für das anrufende Konto von Security Hub abzurufen | Auflisten | |||
| ListControlEvaluationSummaries [nur Berechtigung] | Erteilt die Berechtigung zum Abrufen einer Liste von Kontrollen für einen Standard, einschließlich der Kontrollen IDs, des Status und der Anzahl der Ergebnisse | Lesen | |||
| ListEnabledProductsForImport | Gewährt die Berechtigung zum Abrufen der in Security Hub integrierten Produkte, die derzeit aktiviert sind | Auflisten | |||
| ListFindingAggregators | Gewährt die Berechtigung zum Abrufen einer Liste von Ergebnis-Aggregatoren, die die Konfiguration für die regionsübergreifende Ergebnis-Aggregation enthält | Auflisten | |||
| ListInvitations | Gewährt die Berechtigung zum Abrufen der Security Hub-Einladungen, die an das Konto gesendet wurden | List | |||
| ListMembers | Gewährt die Berechtigung zum Abrufen von Details zu Security-Hub-Mitgliedskonten, die mit dem Administratorkonto verknüpft sind | List | |||
| ListOrganizationAdminAccounts | Gewährt die Berechtigung zum Auflisten der Security Hub-Administratorkonten für Ihre Organisation | Auflisten |
organizations:DescribeOrganization organizations:ListDelegatedAdministrators |
||
| ListSecurityControlDefinitions | Gewährt die Berechtigung zum Abrufen einer Liste von Sicherheitskontrolldefinitionen, die Details zu Sicherheitskontrollen in der aktuellen Region enthalten | Auflisten | |||
| ListStandardsControlAssociations | Gewährt die Berechtigung zum Auflisten des Aktivierungsstatus einer Sicherheitskontrolle in Standards | Auflisten |
securityhub:DescribeStandardsControls |
||
| ListTagsForResource | Gewährt die Berechtigung zum Auflisten von Tags, die mit einer Ressource verknüpft sind | Read | |||
| SendFindingEvents [nur Berechtigung] | Erteilt die Erlaubnis, eine benutzerdefinierte Aktion zu verwenden, um Security Hub Hub-Ergebnisse an Amazon zu senden EventBridge | Lesen | |||
| SendInsightEvents [nur Berechtigung] | Erteilt die Erlaubnis, eine benutzerdefinierte Aktion zum Senden von Security Hub Hub-Erkenntnissen an Amazon zu verwenden EventBridge | Lesen | |||
| StartConfigurationPolicyAssociation | Gewährt die Berechtigung, eine Konfigurationsrichtlinie einem Mitgliedskonto oder einer Organisationseinheit in der Organisation des anrufenden Accounts zuzuordnen | Schreiben | |||
| StartConfigurationPolicyDisassociation | Gewährt die Berechtigung, eine Konfigurationsrichtlinienverknüpfung von einem Mitgliedskonto oder einer Organisationseinheit in der Organisation des anrufenden Kontos zu entfernen | Schreiben | |||
| TagResource | Gewährt die Berechtigung, Tags zu einer Security Hub-Ressource hinzuzufügen | Markieren | |||
| UntagResource | Gewährt die Berechtigung zum Entfernen von Tags von einer Security Hub-Ressource | Markieren | |||
| UpdateActionTarget | Gewährt die Berechtigung zum Aktualisieren benutzerdefinierter Aktionen in Security Hub | Schreiben | |||
| UpdateAggregatorV2 | Erteilt die Erlaubnis, einen AggregatorV2 zu aktualisieren, der die Datenaggregation über Regionen hinweg konfiguriert | Schreiben | |||
| UpdateAutomationRuleV2 | Erteilt die Erlaubnis, eine Automatisierungsregel V2 in Security Hub basierend auf der Regel Amazon Resource Name (ARN) und Eingabeparametern zu aktualisieren | Schreiben | |||
| UpdateConfigurationPolicy | Gewährt die Berechtigung zum Aktualisieren einer bestehenden Lizenzkonfiguration | Schreiben | |||
| UpdateConnectorV2 | Erteilt die Erlaubnis, einen Connector V2 in Security Hub auf der Grundlage der Connector-ID und der Eingabeparameter zu aktualisieren | Schreiben | |||
| UpdateFindingAggregator | Gewährt die Berechtigung zum Aktualisieren eines Ergebnis-Aggregators, der die Konfiguration für die regionsübergreifende Ergebnis-Aggregation enthält | Schreiben | |||
| UpdateFindings | Gewährt die Berechtigung zum Aktualisieren von Security Hub-Ergebnissen | Write | |||
| UpdateInsight | Gewährt die Berechtigung zum Aktualisieren von Insights in Security Hub | Write | |||
| UpdateOrganizationConfiguration | Gewährt die Berechtigung zum Aktualisieren der Organisationskonfiguration für Security Hub | Schreiben | |||
| UpdateSecurityControl | Gewährt die Berechtigung zum Aktualisieren von Eigenschaften einer bestimmten Sicherheitskontrolle, die durch ID oder ARN identifiziert wird | Schreiben |
securityhub:UpdateStandardsControl |
||
| UpdateSecurityHubConfiguration | Gewährt die Berechtigung zur Aktualisierung der Security Hub-Konfiguration | Write | |||
| UpdateStandardsControl | Gewährt die Berechtigung zum Aktualisieren der Security Hub-Standardkontrollen | Write |
Von AWS Security Hub definierte Ressourcentypen
Die folgenden Ressourcentypen werden von diesem Service definiert und können im Element Resource von IAM-Berechtigungsrichtlinienanweisungen verwendet werden. Jede Aktion in der Tabelle „Aktionen“ identifiziert die Ressourcentypen, die mit der Aktion angegeben werden können. Ein Ressourcentyp kann auch definieren, welche Bedingungsschlüssel Sie in einer Richtlinie einschließen können. Diese Schlüssel werden in der letzten Spalte der Tabelle der Ressourcentypen angezeigt. Details zu den Spalten in der folgenden Tabelle finden Sie in der Tabelle Resource types.
| Ressourcentypen | ARN | Bedingungsschlüssel |
|---|---|---|
| hub |
arn:${Partition}:securityhub:${Region}:${Account}:hub/default
|
|
| hubv2 |
arn:${Partition}:securityhub:${Region}:${Account}:hubv2/${HubV2Id}
|
|
| product |
arn:${Partition}:securityhub:${Region}:${Account}:product/${Company}/${ProductId}
|
|
| finding-aggregator |
arn:${Partition}:securityhub:${Region}:${Account}:finding-aggregator/${FindingAggregatorId}
|
|
| aggregatorv2 |
arn:${Partition}:securityhub:${Region}:${Account}:aggregatorv2/${AggregatorV2Id}
|
|
| automation-rule |
arn:${Partition}:securityhub:${Region}:${Account}:automation-rule/${AutomationRuleId}
|
|
| automation-rulev2 |
arn:${Partition}:securityhub:${Region}:${Account}:automation-rulev2/${AutomationRuleV2Id}
|
|
| configuration-policy |
arn:${Partition}:securityhub:${Region}:${Account}:configuration-policy/${ConfigurationPolicyId}
|
|
| connectorv2 |
arn:${Partition}:securityhub:${Region}:${Account}:connectorv2/${ConnectorV2Id}
|
Bedingungsschlüssel für AWS Security Hub
AWS Security Hub definiert die folgenden Bedingungsschlüssel, die im Condition Element einer IAM-Richtlinie verwendet werden können. Diese Schlüssel können Sie verwenden, um die Bedingungen zu verfeinern, unter denen die Richtlinienanweisung angewendet wird. Details zu den Spalten in der folgenden Tabelle finden Sie in der Tabelle Condition keys (Bedingungsschlüssel).
Die globalen Bedingungsschlüssel, die für alle Dienste verfügbar sind, finden Sie unter AWS Globale Bedingungskontextschlüssel.
| Bedingungsschlüssel | Beschreibung | Typ |
|---|---|---|
| aws:RequestTag/${TagKey} | Filtert den Zugriff danach, ob Tag-Schlüssel-Wert-Paare in der Anforderung vorhanden sind | String |
| aws:ResourceTag/${TagKey} | Filtert den Zugriff basierend auf den Tag-Schlüssel-Wert-Paaren, die der Ressource angefügt sind | String |
| aws:TagKeys | Filtert Zugriff basierend auf dem Vorhandensein von Tag-Schlüsseln in der Anforderung | ArrayOfString |
| securityhub:ASFFSyntaxPath/${ASFFSyntaxPath} | Filtert den Zugriff nach den angegebenen Feldern und Werte in der Anforderung | String |
| securityhub:OCSFSyntaxPath/${OCSFSyntaxPath} | Filtert den Zugriff nach den angegebenen Feldern und Werte in der Anforderung | String |
| securityhub:TargetAccount | Filtert den Zugriff nach dem AwsAccountId Feld, das in der Anfrage angegeben ist | String |
