Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Funciones vinculadas a servicios para Security Hub AWS

AWS Security Hub usa un rol vinculado a un servicio AWS Identity and Access Management (IAM) denominado. AWSServiceRoleForSecurityHubV2 Este rol vinculado al servicio es un rol de IAM que está vinculado directamente a Security Hub. Está predefinido por Security Hub e incluye todos los permisos que Security Hub necesita para llamar a otros AWS recursos Servicios de AWS y supervisarlos en su nombre. Security Hub utiliza esta función vinculada a un servicio en todos los lugares en los Regiones de AWS que Security Hub esté disponible.

Un rol vinculado a un servicio simplifica la configuración de Security Hub porque ya no tendrá que agregar de forma manual los permisos necesarios. Security Hub define los permisos de su rol vinculado al servicio y, salvo que se especifique lo contrario, solo Security Hub puede asumir el rol. Los permisos definidos incluyen las políticas de confianza y de permisos, y no puede asociar esa política de permisos a ninguna otra entidad de IAM.

Para revisar los detalles del rol vinculado al servicio, puede usar la consola de Security Hub. En el panel de navegación, elija General en Configuración. Luego, en la sección Permisos del servicio, elija Ver permisos del servicio.

Puede eliminar el rol vinculado al servicio de Security Hub solo después de desactivar Security Hub en todas las regiones donde está habilitado. De esta forma se protegen los recursos de Security Hub, ya que evita que se puedan eliminar accidentalmente permisos de acceso a estos recursos.

Para obtener información acerca de otros servicios que admiten roles vinculados a servicios, consulte Servicios de AWS que funcionan con IAM en la Guía del usuario de IAM y busque los servicios que tengan Sí en la columna Roles vinculados a servicios. Seleccione una opción Sí con una conexión para revisar la documentación acerca del rol vinculado a un servicio en cuestión.

Permisos de roles vinculados a servicios de Security Hub

Security Hub usa el rol vinculado a un servicio denominado AWSServiceRoleForSecurityHubV2. Es una función vinculada a un servicio necesaria para que AWS Security Hub acceda a sus recursos. Esta función vinculada a un servicio permite a Security Hub realizar tareas como recibir las conclusiones de otros usuarios Servicios de AWS y configurar la AWS Config infraestructura necesaria para ejecutar comprobaciones de seguridad de los controles. El rol vinculado a servicios AWSServiceRoleForSecurityHubV2 confía en el servicio securityhub.amazonaws.com para asumir el rol.

El rol vinculado al servicio AWSServiceRoleForSecurityHubV2 utiliza la política administrada de AWSSecurityHubServiceRolePolicy.

Debe conceder permisos para permitir a una identidad de IAM (como un rol, grupo o usuario) crear, editar o eliminar un rol vinculado a un servicio. Para que el rol vinculado al servicio AWSServiceRoleForSecurityHubV2 se cree correctamente, la identidad de IAM que usa para acceder a Security Hub debe tener los permisos necesarios. Para conceder los permisos necesarios, asocie la siguiente política a la identidad de IAM.

JSON

{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "securityhub:*",
            "Resource": "*"    
        },
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": "securityhub.amazonaws.com"
                }
            }
        }
    ]
}

Creación de un rol vinculado a un servicio de Security Hub

El rol vinculado al servicio de AWSServiceRoleForSecurityHubV2 se crea automáticamente cuando habilita Security Hub por primera vez o cuando habilita Security Hub en una región donde no lo había habilitado antes. También puede crear manualmente el rol vinculado al servicio de AWSServiceRoleForSecurityHubV2 por medio de la consola de IAM, la CLI de IAM o la API de IAM. Para obtener más información acerca de cómo crear un rol manualmente, consulte Crear un rol vinculado a un servicio en la Guía del usuario de IAM.

Edición de un rol vinculado a un servicio de Security Hub

Security Hub no le permite modificar el rol vinculado al servicio AWSServiceRoleForSecurityHubV2. Después de crear un rol vinculado a un servicio, no puede cambiarle el nombre, ya que varias entidades pueden hacer referencia a él. Sin embargo, puede editar la descripción del rol mediante IAM. Para obtener más información, consulte Edición de un rol vinculado a un servicio en la Guía del usuario de IAM.

Eliminación de un rol vinculado a un servicio de Security Hub

Si ya no necesita utilizar una característica o servicio que requiere un rol vinculado a un servicio, le recomendamos que elimine el rol. De esta forma, no tendrá una entidad no utilizada cuya supervisión o mantenimiento no se realizan de forma activa.

Si deshabilita Security Hub, no se eliminará automáticamente el rol vinculado al servicio de AWSServiceRoleForSecurityHubV2. Si vuelve a habilitar Security Hub, el servicio puede entonces comenzar a usar nuevamente el rol vinculado al servicio existente. Si ya no necesita usar Security Hub, puede eliminar manualmente el rol vinculado al servicio.

Para eliminar el rol vinculado al servicio de AWSServiceRoleForSecurityHubV2, puede usar la consola de IAM, la CLI de IAM o la API de IAM. Para obtener más información, consulte Eliminación de un rol vinculado a un servicio en la Guía del usuario de IAM.