Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
AWS políticas gestionadas para Security Hub
Una política AWS administrada es una política independiente creada y administrada por. AWS AWS Las políticas administradas están diseñadas para proporcionar permisos para muchos casos de uso comunes, de modo que pueda empezar a asignar permisos a usuarios, grupos y funciones.
Ten en cuenta que es posible que las políticas AWS administradas no otorguen permisos con privilegios mínimos para tus casos de uso específicos, ya que están disponibles para que los usen todos los AWS clientes. Se recomienda definir políticas administradas por el cliente específicas para sus casos de uso a fin de reducir aún más los permisos.
No puedes cambiar los permisos definidos en AWS las políticas administradas. Si AWS actualiza los permisos definidos en una política AWS administrada, la actualización afecta a todas las identidades principales (usuarios, grupos y roles) a las que está asociada la política. AWS es más probable que actualice una política AWS administrada cuando Servicio de AWS se lance una nueva o cuando estén disponibles nuevas operaciones de API para los servicios existentes.
Para obtener más información, consulte Políticas administradas de AWS en la Guía del usuario de IAM.
AWS política gestionada: AWSSecurityHubFullAccess
Puede adjuntar la política AWSSecurityHubFullAccess a las identidades de IAM.
Esta política concede permisos administrativos que permiten a un principal acceso completo a todas las acciones de CSPM de Security Hub. Esta política debe estar asociada a un director antes de que habilite el Security Hub CSPM manualmente para su cuenta. Por ejemplo, las entidades principales con estos permisos pueden tanto ver como actualizar el estado de los resultados. Pueden configurar información personalizada y habilitar integraciones. Pueden habilitar y deshabilitar estándares y controles. Las entidades principales de una cuenta de administrador también pueden administrar cuentas miembro.
Detalles de los permisos
Esta política incluye los siguientes permisos.
-
securityhub— Permite a los directores el acceso total a todas las acciones de CSPM de Security Hub. -
guardduty— Permite a los directores obtener información sobre el estado de las cuentas en Amazon GuardDuty. -
iam— Permite a los directores crear un rol vinculado a un servicio para Security Hub, CSPM y Security Hub. -
inspector: permite a las entidades principales obtener información acerca del estado de las cuentas de Amazon Inspector. -
pricing— Permite a los directores obtener una lista de precios y productos. Servicios de AWS
{ "Version": "2012-10-17", "Statement": [ { "Sid": "SecurityHubAllowAll", "Effect": "Allow", "Action": "securityhub:*", "Resource": "*" }, { "Sid": "SecurityHubServiceLinkedRole", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringLike": { "iam:AWSServiceName": [ "securityhub.amazonaws.com", "securityhubv2.amazonaws.com" ] } } }, { "Sid": "OtherServicePermission", "Effect": "Allow", "Action": [ "guardduty:GetDetector", "guardduty:ListDetectors", "inspector2:BatchGetAccountStatus", "pricing:GetProducts" ], "Resource": "*" } ] }
Política gestionada por CSPM de Security Hub: AWSSecurityHubReadOnlyAccess
Puede adjuntar la política AWSSecurityHubReadOnlyAccess a las identidades de IAM.
Esta política concede permisos de solo lectura que permiten a los usuarios ver la información en Security Hub CSPM. Los directores con esta política adjunta no pueden realizar ninguna actualización en Security Hub CSPM. Por ejemplo, las entidades principales con estos permisos pueden ver la lista de resultados asociados a su cuenta, pero no pueden cambiar el estado de un resultado. Pueden ver los resultados de las informaciones, pero no pueden crear ni configurar informaciones personalizadas. No pueden configurar controles ni integraciones de productos.
Detalles de los permisos
Esta política incluye los siguientes permisos.
-
securityhub: permite a los usuarios realizar acciones que devuelven una lista de elementos o detalles sobre un elemento. Esto incluye las operaciones de la API que comienzan conGet,ListoDescribe.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSSecurityHubReadOnlyAccess", "Effect": "Allow", "Action": [ "securityhub:Get*", "securityhub:List*", "securityhub:BatchGet*", "securityhub:Describe*" ], "Resource": "*" } ] }
AWS política gestionada: AWSSecurityHubOrganizationsAccess
Puede adjuntar la política AWSSecurityHubOrganizationsAccess a las identidades de IAM.
Esta política otorga permisos administrativos para habilitar y administrar Security Hub y Security Hub CSPM dentro de una organización.
Los permisos de esta política permiten a la cuenta de administración de la organización designar la cuenta de administrador delegado para Security Hub y Security Hub CSPM. También permiten que la cuenta de administrador delegado habilite las cuentas de la organización como cuentas de miembros.
Esta política solo proporciona los permisos a Organizations. La cuenta de administración de la organización y la cuenta de administrador delegado también requieren permisos para las acciones asociadas. Estos permisos se pueden conceder mediante la política administrada de AWSSecurityHubFullAccess.
Detalles de los permisos
Esta política incluye los siguientes permisos.
-
organizations:ListAccounts: permite a las entidades principales recuperar la lista de cuentas que pertenecen a una organización. -
organizations:DescribeOrganization: permite a las entidades principales recuperar información sobre la organización. -
organizations:ListRoots: permite a las entidades principales enumerar la raíz de una organización. -
organizations:ListDelegatedAdministrators: permite a las entidades principales enumerar el administrador delegado de una organización. -
organizations:ListAWSServiceAccessForOrganization— Permite a los directores enumerar las Servicios de AWS que usa una organización. -
organizations:ListOrganizationalUnitsForParent: permite a las entidades principales enumerar las unidades organizativas (OU) secundarias de una unidad organizativa principal. -
organizations:ListAccountsForParent: permite a las entidades principales enumerar las cuentas secundarias de una unidad organizativa principal. -
organizations:ListParents— Muestra la raíz o las unidades organizativas (OUs) que actúan como matrices inmediatas de la unidad organizativa o cuenta secundaria especificada. -
organizations:DescribeAccount: permite a las entidades principales recuperar información de sobre una cuenta en una organización. -
organizations:DescribeOrganizationalUnit: permite a las entidades principales recuperar información sobre una unidad organizativa de la organización. -
organizations:ListPolicies— Recupera la lista de todas las políticas de una organización de un tipo específico. -
organizations:ListPoliciesForTarget— Muestra las políticas que están directamente asociadas a la raíz, unidad organizativa (OU) o cuenta de destino especificadas. -
organizations:ListTargetsForPolicy— Muestra todas las raíces, unidades organizativas (OUs) y cuentas a las que está asociada la política especificada. -
organizations:EnableAWSServiceAccess— Permite a los directores habilitar la integración con Organizations. -
organizations:RegisterDelegatedAdministrator— Permite a los directores designar la cuenta de administrador delegado. -
organizations:DeregisterDelegatedAdministrator— Permite a los directores eliminar la cuenta de administrador delegado. -
organizations:DescribePolicy— Recupera información sobre una política. -
organizations:DescribeEffectivePolicy— Devuelve el contenido de la política vigente para el tipo de póliza y la cuenta especificados. -
organizations:CreatePolicy— Crea una política de un tipo específico que se puede adjuntar a una cuenta raíz, a una unidad organizativa (OU) o a una AWS cuenta individual. -
organizations:UpdatePolicy— Actualiza una política existente con un nombre, descripción o contenido nuevos. -
organizations:DeletePolicy— Elimina la política especificada de su organización. -
organizations:AttachPolicy— Adjunta una política a una cuenta raíz, a una unidad organizativa (OU) o a una cuenta individual. -
organizations:DetachPolicy— Separa una política de una raíz, unidad organizativa (OU) o cuenta de destino. -
organizations:EnablePolicyType— Habilita un tipo de política en una raíz. -
organizations:DisablePolicyType— Desactiva un tipo de política organizacional en una raíz. -
organizations:TagResource— Añade una o más etiquetas al recurso especificado. -
organizations:UntagResource— Elimina cualquier etiqueta con las claves especificadas del recurso especificado. -
organizations:ListTagsForResource— Muestra las etiquetas adjuntas al recurso especificado.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "OrganizationPermissions", "Effect": "Allow", "Action": [ "organizations:ListAccounts", "organizations:DescribeOrganization", "organizations:ListRoots", "organizations:ListDelegatedAdministrators", "organizations:ListAWSServiceAccessForOrganization", "organizations:ListOrganizationalUnitsForParent", "organizations:ListAccountsForParent", "organizations:ListParents", "organizations:DescribeAccount", "organizations:DescribeOrganizationalUnit", "organizations:ListPolicies", "organizations:ListPoliciesForTarget", "organizations:ListTargetsForPolicy" ], "Resource": "*" }, { "Sid": "OrganizationPermissionsEnable", "Effect": "Allow", "Action": "organizations:EnableAWSServiceAccess", "Resource": "*", "Condition": { "StringEquals": { "organizations:ServicePrincipal": "securityhub.amazonaws.com" } } }, { "Sid": "OrganizationPermissionsDelegatedAdmin", "Effect": "Allow", "Action": [ "organizations:RegisterDelegatedAdministrator", "organizations:DeregisterDelegatedAdministrator" ], "Resource": "arn:aws:organizations::*:account/o-*/*", "Condition": { "StringEquals": { "organizations:ServicePrincipal": "securityhub.amazonaws.com" } } }, { "Sid": "OrganizationPolicyPermissions", "Effect": "Allow", "Action": [ "organizations:DescribePolicy", "organizations:DescribeEffectivePolicy", "organizations:CreatePolicy", "organizations:UpdatePolicy", "organizations:DeletePolicy", "organizations:AttachPolicy", "organizations:DetachPolicy", "organizations:EnablePolicyType", "organizations:DisablePolicyType" ], "Resource": [ "arn:aws:organizations::*:root/o-*/*", "arn:aws:organizations::*:account/o-*/*", "arn:aws:organizations::*:ou/o-*/*", "arn:aws:organizations::*:policy/o-*/securityhub_policy/*" ], "Condition": { "StringLikeIfExists": { "organizations:PolicyType": "SECURITYHUB_POLICY" } } }, { "Sid": "OrganizationPolicyTaggingPermissions", "Effect": "Allow", "Action": [ "organizations:TagResource", "organizations:UntagResource", "organizations:ListTagsForResource" ], "Resource": [ "arn:aws:organizations::*:policy/o-*/securityhub_policy/*" ] } ] }
AWS política gestionada: AWSSecurityHubServiceRolePolicy
No puede asociar AWSSecurityHubServiceRolePolicy a sus entidades IAM. Esta política se adjunta a un rol vinculado a un servicio que permite a Security Hub CSPM realizar acciones en su nombre. Para obtener más información, consulte Funciones vinculadas al servicio para AWS Security Hub.
Esta política concede permisos administrativos que permiten al rol vinculado al servicio realizar las comprobaciones de seguridad de los controles CSPM de Security Hub.
Detalles de los permisos
Esta política incluye permisos para hacer lo siguiente:
-
cloudtrail— Recuperar información sobre los senderos. CloudTrail -
cloudwatch— Recupera las CloudWatch alarmas actuales. -
logs— Recupera los filtros métricos para CloudWatch los registros. -
sns: recuperar la lista de suscripciones a un tema de SNS. -
config— Recuperar información sobre los registradores de configuración, los recursos y AWS Config las reglas. También permite que el rol vinculado a un servicio cree y elimine reglas de AWS Config y ejecute evaluaciones en función de las reglas. -
iam: obtener y generar informes de credenciales de cuentas. -
organizations: recuperar información de cuentas y unidades organizativas (OU) de una organización. -
securityhub— Recupere información sobre cómo se configuran el servicio, los estándares y los controles CSPM de Security Hub. -
tag: recuperar información sobre las etiquetas de recursos.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "SecurityHubServiceRolePermissions", "Effect": "Allow", "Action": [ "cloudtrail:DescribeTrails", "cloudtrail:GetTrailStatus", "cloudtrail:GetEventSelectors", "cloudwatch:DescribeAlarms", "cloudwatch:DescribeAlarmsForMetric", "logs:DescribeMetricFilters", "sns:ListSubscriptionsByTopic", "config:DescribeConfigurationRecorders", "config:DescribeConfigurationRecorderStatus", "config:DescribeConfigRules", "config:DescribeConfigRuleEvaluationStatus", "config:BatchGetResourceConfig", "config:SelectResourceConfig", "iam:GenerateCredentialReport", "organizations:ListAccounts", "config:PutEvaluations", "tag:GetResources", "iam:GetCredentialReport", "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:ListChildren", "organizations:ListAWSServiceAccessForOrganization", "organizations:DescribeOrganizationalUnit", "securityhub:BatchDisableStandards", "securityhub:BatchEnableStandards", "securityhub:BatchUpdateStandardsControlAssociations", "securityhub:BatchGetSecurityControls", "securityhub:BatchGetStandardsControlAssociations", "securityhub:CreateMembers", "securityhub:DeleteMembers", "securityhub:DescribeHub", "securityhub:DescribeOrganizationConfiguration", "securityhub:DescribeStandards", "securityhub:DescribeStandardsControls", "securityhub:DisassociateFromAdministratorAccount", "securityhub:DisassociateMembers", "securityhub:DisableSecurityHub", "securityhub:EnableSecurityHub", "securityhub:GetEnabledStandards", "securityhub:ListStandardsControlAssociations", "securityhub:ListSecurityControlDefinitions", "securityhub:UpdateOrganizationConfiguration", "securityhub:UpdateSecurityControl", "securityhub:UpdateSecurityHubConfiguration", "securityhub:UpdateStandardsControl", "tag:GetResources" ], "Resource": "*" }, { "Sid": "SecurityHubServiceRoleConfigPermissions", "Effect": "Allow", "Action": [ "config:PutConfigRule", "config:DeleteConfigRule", "config:GetComplianceDetailsByConfigRule" ], "Resource": "arn:aws:config:*:*:config-rule/aws-service-rule/*securityhub*" }, { "Sid": "SecurityHubServiceRoleOrganizationsPermissions", "Effect": "Allow", "Action": [ "organizations:ListDelegatedAdministrators" ], "Resource": "*", "Condition": { "StringEquals": { "organizations:ServicePrincipal": [ "securityhub.amazonaws.com" ] } } } ] }
AWS política gestionada: AWSSecurityHubV2ServiceRolePolicy
nota
Security Hub está en versión preliminar y está sujeto a cambios.
Esta política permite a Security Hub gestionar AWS Config las reglas y los recursos del Security Hub en su organización y en su nombre. Esta política está asociada a un rol vinculado a un servicio. Esto permite a dicho servicio realizar acciones por usted. No puede asociar esta política a los usuarios, grupos o roles. Para obtener más información, consulte Funciones vinculadas al servicio para AWS Security Hub.
Detalles de los permisos
Esta política incluye permisos para hacer lo siguiente:
-
config— Administra los grabadores de configuración vinculados a servicios para los recursos de Security Hub. -
iam— Crea el rol vinculado al servicio para. AWS Config -
organizations— Recupera la información de la cuenta y la unidad organizativa (OU) de una organización. -
securityhub— Administra la configuración del Security Hub. -
tag— Recupera información sobre las etiquetas de recursos.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "SecurityHubV2ServiceRoleAssetsConfig", "Effect": "Allow", "Action": [ "config:DeleteServiceLinkedConfigurationRecorder", "config:DescribeConfigurationRecorders", "config:DescribeConfigurationRecorderStatus", "config:PutServiceLinkedConfigurationRecorder" ], "Resource": "arn:aws:config:*:*:configuration-recorder/AWSConfigurationRecorderForSecurityHubAssets/*" }, { "Sid": "SecurityHubV2ServiceRoleAssetsIamPermissions", "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "arn:aws:iam::*:role/aws-service-role/config.amazonaws.com/AWSServiceRoleForConfig", "Condition": { "StringEquals": { "iam:AWSServiceName": "config.amazonaws.com" } } }, { "Sid": "SecurityHubV2ServiceRoleSecurityHubPermissions", "Effect": "Allow", "Action": [ "securityhub:DisableSecurityHubV2", "securityhub:EnableSecurityHubV2", "securityhub:DescribeSecurityHubV2" ], "Resource": "arn:aws:securityhub:*:*:hubv2/*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "SecurityHubV2ServiceRoleTagPermissions", "Effect": "Allow", "Action": [ "tag:GetResources" ], "Resource": "*" }, { "Sid": "SecurityHubV2ServiceRoleOrganizationsPermissionsOnResources", "Effect": "Allow", "Action": [ "organizations:DescribeAccount", "organizations:DescribeOrganizationalUnit" ], "Resource": "arn:aws:organizations::*:*" }, { "Sid": "SecurityHubV2ServiceRoleOrganizationsPermissionsWithoutResources", "Effect": "Allow", "Action": [ "organizations:DescribeOrganization", "organizations:ListAccounts", "organizations:ListAWSServiceAccessForOrganization", "organizations:ListChildren" ], "Resource": "*" }, { "Sid": "SecurityHubV2ServiceRoleDelegatedAdminPermissions", "Effect": "Allow", "Action": [ "organizations:ListDelegatedAdministrators" ], "Resource": "*", "Condition": { "StringEquals": { "organizations:ServicePrincipal": [ "securityhub.amazonaws.com" ] } } } ] }
Security Hub CSPM actualiza las políticas gestionadas AWS
Vea los detalles sobre las actualizaciones de las políticas AWS administradas para Security Hub CSPM desde que este servicio comenzó a rastrear estos cambios. Para recibir alertas automáticas sobre los cambios en esta página, suscríbase a la fuente RSS de la página de historial de documentos CSPM de Security Hub.
| Cambio | Descripción | Fecha |
|---|---|---|
| AWSSecurityHubOrganizationsAccess: actualización de una política actual | Security Hub CSPM agregó un nuevo permiso a. AWSSecurityHubOrganizationsAccess El permiso permite a la administración de la organización habilitar y administrar Security Hub y Security Hub CSPM dentro de una organización. |
17 de junio de 2025 |
|
AWSSecurityHubOrganizationsAccess: actualización de una política actual |
Se agregaron nuevos permisos que permiten a la administración de la organización habilitar y administrar Security Hub y Security Hub CSPM dentro de una organización. |
17 de junio de 2025 |
|
AWSSecurityHubFullAccess: actualización de una política actual |
Security Hub CSPM agregó un nuevo permiso que permite a los directores crear un rol vinculado a un servicio para Security Hub. |
17 de junio de 2025 |
|
AWSSecurityHUBv2 ServiceRolePolicy: nueva política |
Security Hub agregó una nueva política para permitir que Security Hub administre AWS Config las reglas y los recursos del Security Hub en la organización de un cliente y en su nombre. Security Hub está en versión preliminar y está sujeto a cambios. |
17 de junio de 2025 |
| AWSSecurityHubFullAccess— Actualización de una política existente | Security Hub CSPM actualizó la política para obtener información detallada sobre los precios Servicios de AWS y los productos. | 24 de abril de 2024 |
| AWSSecurityHubReadOnlyAccess— Actualización de una política existente | Security Hub CSPM actualizó esta política gestionada añadiendo un Sid campo. |
22 de febrero de 2024 |
| AWSSecurityHubFullAccess— Actualización a una política existente | Security Hub CSPM actualizó la política para determinar si Amazon GuardDuty y Amazon Inspector están habilitados en una cuenta. Esto ayuda a los clientes a reunir información relacionada con la seguridad de múltiples fuentes. Servicios de AWS | 16 de noviembre de 2023 |
| AWSSecurityHubOrganizationsAccess— Actualización a una política existente | Security Hub CSPM actualizó la política para conceder permisos adicionales que permitieran el acceso de solo lectura a la funcionalidad de administrador delegado. AWS Organizations Esto incluye detalles como la raíz, las unidades organizativas (OUs), las cuentas, la estructura organizativa y el acceso a los servicios. | 16 de noviembre de 2023 |
| AWSSecurityHubServiceRolePolicy: actualización de una política actual | Security Hub CSPM agregó BatchGetSecurityControlsDisassociateFromAdministratorAccount, y UpdateSecurityControl permisos para leer y actualizar las propiedades de control de seguridad personalizables. |
26 de noviembre de 2023 |
| AWSSecurityHubServiceRolePolicy: actualización de una política actual | Security Hub CSPM agregó el tag:GetResources permiso para leer las etiquetas de recursos relacionadas con los hallazgos. |
7 de noviembre de 2023 |
| AWSSecurityHubServiceRolePolicy: actualización de una política actual | Security Hub CSPM agregó el BatchGetStandardsControlAssociations permiso para obtener información sobre el estado de habilitación de un control en un estándar. |
27 de septiembre de 2023 |
| AWSSecurityHubServiceRolePolicy: actualización de una política actual | El Security Hub CSPM agregó nuevos permisos para obtener AWS Organizations datos y leer y actualizar las configuraciones del Security Hub CSPM, incluidos los estándares y los controles. | 20 de septiembre de 2023 |
| AWSSecurityHubServiceRolePolicy: actualización de una política actual | Security Hub CSPM trasladó el config:DescribeConfigRuleEvaluationStatus permiso existente a una declaración diferente dentro de la política. El permiso config:DescribeConfigRuleEvaluationStatus se aplica ahora a todos los recursos. |
17 de marzo de 2023 |
| AWSSecurityHubServiceRolePolicy: actualización de una política actual | Security Hub CSPM trasladó el config:PutEvaluations permiso existente a una declaración diferente dentro de la política. El permiso config:PutEvaluations se aplica ahora a todos los recursos. |
14 de julio de 2021 |
| AWSSecurityHubServiceRolePolicy: actualización de una política actual | Security Hub CSPM agregó un nuevo permiso para permitir que la función vinculada al servicio entregue los resultados de la evaluación. AWS Config | 29 de junio de 2021 |
| AWSSecurityHubServiceRolePolicy— Se agregó a la lista de políticas administradas | Se agregó información sobre la política administrada AWSSecurityHubServiceRolePolicy, que utiliza el rol vinculado al servicio CSPM de Security Hub. | 11 de junio de 2021 |
| AWSSecurityHubOrganizationsAccess— Nueva política | Security Hub CSPM agregó una nueva política que otorga los permisos necesarios para la integración de Security Hub CSPM con las organizaciones. | 15 de marzo de 2021 |
| Security Hub CSPM comenzó a rastrear los cambios | Security Hub CSPM comenzó a realizar un seguimiento de los cambios en sus políticas AWS gestionadas. | 15 de marzo de 2021 |
