Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Acciones, recursos y claves de condición para AWS Security Hub
AWS Security Hub (prefijo de servicio:securityhub) proporciona los siguientes recursos, acciones y claves de contexto de condiciones específicos del servicio para su uso en las políticas de permisos de IAM.
Referencias:
-
Obtenga información para configurar este servicio.
-
Vea una lista de las operaciones de API disponibles para este servicio.
-
Obtenga información sobre cómo proteger este servicio y sus recursos mediante las políticas de permisos de IAM.
Temas
Acciones definidas por AWS Security Hub
Puede especificar las siguientes acciones en el elemento Action de una declaración de política de IAM. Utilice políticas para conceder permisos para realizar una operación en AWS. Cuando utiliza una acción en una política, normalmente permite o deniega el acceso a la operación de la API o comandos de la CLI con el mismo nombre. No obstante, en algunos casos, una sola acción controla el acceso a más de una operación. Asimismo, algunas operaciones requieren varias acciones diferentes.
En la columna Nivel de acceso de la tabla Acciones se describe cómo se clasifica la acción (lista, lectura, gestión de permisos o etiquetado). Esta clasificación puede ayudarle a entender el nivel de acceso que una acción concede cuando se utiliza en una política. Para obtener más información sobre los niveles de acceso, consulte los niveles de acceso en los resúmenes de políticas.
La columna Tipos de recurso de la tabla de Acción indica si cada acción admite permisos de nivel de recursos. Si no hay ningún valor para esta columna, debe especificar todos los recursos ("*") a los que aplica la política en el elemento Resource de la instrucción de su política. Si la columna incluye un tipo de recurso, puede especificar un ARN de ese tipo en una instrucción con dicha acción. Si la acción tiene uno o más recursos necesarios, la persona que llama debe tener permiso para usar la acción con esos recursos. Los recursos necesarios se indican en la tabla con un asterisco (*). Si limita el acceso a los recursos con el elemento Resource de una política de IAM, debe incluir un ARN o patrón para cada tipo de recurso requerido. Algunas acciones admiten varios tipos de recursos. Si el tipo de recurso es opcional (no se indica como obligatorio), puede elegir utilizar uno de los tipos de recursos opcionales.
La columna Claves de condición de la tabla Acciones incluye claves que puede especificar en el elemento Condition de la instrucción de una política. Para obtener más información sobre las claves de condición asociadas a los recursos del servicio, consulte la columna Claves de condición de la tabla Tipos de recursos.
nota
Las claves de condición de recursos se enumeran en la tabla Tipos de recursos. Encontrará un enlace al tipo de recurso que se aplica a una acción en la columna Tipos de recursos (*obligatorio) de la tabla Acciones. El tipo de recurso de la tabla Tipos de recursos incluye la columna Claves de condición, que son las claves de condición del recurso que se aplican a una acción de la tabla Acciones.
Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Acciones.
| Acciones | Descripción | Nivel de acceso | Tipos de recursos (*necesarios) | Claves de condición | Acciones dependientes |
|---|---|---|---|---|---|
| AcceptAdministratorInvitation | Concede permiso para aceptar invitaciones de Security Hub para convertirse en una cuenta de miembro. | Write | |||
| AcceptInvitation | Concede permiso para aceptar invitaciones de Security Hub para convertirse en una cuenta de miembro. | Escritura | |||
| BatchDeleteAutomationRules | Concede permiso para eliminar una o varias reglas de automatización en Security Hub | Escritura | |||
| BatchDisableStandards | Concede permiso para desactivar estándares en Security Hub. | Write | |||
| BatchEnableStandards | Concede permiso para habilitar estándares en Security Hub. | Escritura | |||
| BatchGetAutomationRules | Otorga permiso para recuperar una lista de detalles de las reglas de automatización de Security Hub en función de la regla Amazon Resource Names (ARNs) | Lectura | |||
| BatchGetConfigurationPolicyAssociations | Concede permiso para recuperar información sobre las políticas de configuración asociadas a una lista específica de cuentas de miembros y unidades organizacionales de la organización de la cuenta que realiza la llamada | Lectura | |||
| BatchGetControlEvaluations [solo permiso] | Concede permiso para obtener el estado de habilitación y cumplimiento de los controles, el número de resultados de los controles y la puntuación general de seguridad de los controles en la consola de Security Hub | Lectura | |||
| BatchGetSecurityControls | Concede permiso para obtener detalles sobre controles de seguridad específicos identificados por ID o ARN | Lectura |
securityhub:DescribeStandardsControls |
||
| BatchGetStandardsControlAssociations | Concede permiso para obtener el estado de habilitación de un lote de controles de seguridad en estándares | Lectura |
securityhub:DescribeStandardsControls |
||
| BatchImportFindings | Concede permiso para importar resultados en Security Hub desde un producto integrado. | Escritura | |||
| BatchUpdateAutomationRules | Otorga permiso para actualizar una o más reglas de automatización desde Security Hub en función de los nombres de recursos de Amazon (ARNs) y los parámetros de entrada de la regla | Escritura | |||
| BatchUpdateFindings | Concede permiso para actualizar campos controlados por el cliente para un conjunto seleccionado de hallazgos de Security Hub | Escritura | |||
| BatchUpdateStandardsControlAssociations | Concede permiso para actualizar el estado de habilitación de un lote de controles de seguridad en estándares | Escritura |
securityhub:UpdateStandardsControl |
||
| ConnectorRegistrationsV2 | Otorga permiso para completar el flujo de códigos de autorización OAuth 2.0 en función de los parámetros de entrada | Escritura | |||
| CreateActionTarget | Concede permiso para crear acciones personalizadas en Security Hub. | Escritura | |||
| CreateAggregatorV2 | Otorga permiso para crear un AggregatorV2, que configura la agregación de datos en todas las regiones | Escritura | |||
| CreateAutomationRule | Concede permiso para crear una regla de automatización en función de los parámetros de entrada | Escritura | |||
| CreateAutomationRuleV2 | Otorga permiso para crear una regla de automatización V2 en función de los parámetros de entrada | Escritura | |||
| CreateConfigurationPolicy | Concede permiso para crear una política de configuración para administrar los ajustes de los miembros de la organización en Security Hub | Escritura | |||
| CreateConnectorV2 | Otorga permiso para crear un conector V2 en función de los parámetros de entrada | Escritura | |||
| CreateFindingAggregator | Concede permiso para crear un agregador de búsquedas, que contiene la configuración de agregación de búsquedas entre regiones. | Escritura | |||
| CreateInsight | Concede permiso para crear información en Security Hub. Las observaciones son colecciones de hallazgos relacionados. | Write | |||
| CreateMembers | Concede permiso para crear cuentas de miembros en Security Hub. | Escritura | |||
| CreateTicketV2 | Otorga permiso para crear un ticket para un hallazgo de OCSF seleccionado | Escritura | |||
| DeclineInvitations | Concede permiso para rechazar las invitaciones de Security Hub para convertirse en una cuenta de miembro. | Write | |||
| DeleteActionTarget | Concede permiso para eliminar acciones personalizadas en Security Hub. | Escritura | |||
| DeleteAggregatorV2 | Otorga permiso para eliminar un AggregatorV2, que configura la agregación de datos en todas las regiones | Escritura | |||
| DeleteAutomationRuleV2 | Concede permiso para eliminar una regla de automatización V2 en Security Hub | Escritura | |||
| DeleteConfigurationPolicy | Concede permiso para eliminar una política de configuración existente | Escritura | |||
| DeleteConnectorV2 | Concede permiso para eliminar un conector V2 en Security Hub | Escritura | |||
| DeleteFindingAggregator | Concede permiso para eliminar un agregador de búsquedas, que desactiva la búsqueda de agregación en todas las regiones. | Escritura | |||
| DeleteInsight | Concede permiso para eliminar información de Security Hub. | Write | |||
| DeleteInvitations | Concede permiso para eliminar invitaciones de Security Hub para convertirse en una cuenta miembro. | Write | |||
| DeleteMembers | Concede permiso para eliminar cuentas de miembros de Security Hub. | Write | |||
| DescribeActionTargets | Concede permiso para recuperar una lista de acciones personalizadas mediante la API. | Read | |||
| DescribeHub | Concede permiso para recuperar información sobre el recurso Hub en su cuenta. | Read | |||
| DescribeOrganizationConfiguration | Concede permiso para describir la configuración de la organización para Security Hub. | Read | |||
| DescribeProducts | Concede permiso para recuperar información sobre las integraciones de productos de Security Hub disponibles. | Lectura | |||
| DescribeProductsV2 | Otorga permiso para recuperar información sobre las integraciones de productos de Security Hub V2 disponibles | Lectura | |||
| DescribeSecurityHubV2 | Otorga permiso para recuperar información sobre el recurso hub V2 de su cuenta | Lectura | |||
| DescribeStandards | Concede permiso para recuperar información acerca de los estándares de Security Hub. | Read | |||
| DescribeStandardsControls | Concede permiso para recuperar información acerca de los controles de estándares de Security Hub. | Read | |||
| DisableImportFindingsForProduct | Concede permiso para desactivar la importación de resultados para un producto integrado de Security Hub. | Write | |||
| DisableOrganizationAdminAccount | Concede permiso para quitar la cuenta de administrador para su Security Hub de su organización. | Write |
organizations:DeregisterDelegatedAdministrator organizations:DescribeOrganization organizations:ListDelegatedAdministrators |
||
| DisableSecurityHub | Concede permiso para desactivar Security Hub. | Escritura | |||
| DisableSecurityHubV2 | Otorga permiso para deshabilitar Security Hub V2 | Escritura | |||
| DisassociateFromAdministratorAccount | Concede permiso a una cuenta miembro de Security Hub para desvincular de la cuenta del administrador asociada. | Write | |||
| DisassociateFromMasterAccount | Concede permiso a una cuenta miembro de Security Hub para desvincular de la cuenta maestra asociada. | Write | |||
| DisassociateMembers | Concede permiso para desasociar las cuentas de miembros de Security Hub de la cuenta del administrador asociada | Write | |||
| EnableImportFindingsForProduct | Concede permiso para habilitar la importación de resultados para un producto integrado de Security Hub. | Write | |||
| EnableOrganizationAdminAccount | Concede permiso para designar una cuenta de administrador de Security Hub para su organización. | Write |
organizations:DescribeOrganization organizations:EnableAWSServiceAccess organizations:ListAWSServiceAccessForOrganization organizations:ListDelegatedAdministrators organizations:RegisterDelegatedAdministrator |
||
| EnableSecurityHub | Concede permiso para habilitar Security Hub. | Escritura | |||
| EnableSecurityHubV2 | Otorga permiso para activar Security Hub V2 | Escritura | |||
| GetAdhocInsightResults [solo permiso] | Otorga permiso para recuperar datos estadísticos agregados sobre los hallazgos | Lectura | |||
| GetAdministratorAccount | Concede permiso para recuperar detalles sobre la cuenta de administrador de Security Hub | Lectura | |||
| GetAggregatorV2 | Otorga permiso para recuperar los detalles de un AggregatorV2, que configura la agregación de datos en todas las regiones | Lectura | |||
| GetAutomationRuleV2 | Otorga permiso para recuperar los detalles de una regla de automatización V2 desde Security Hub en función de la regla Amazon Resource Name (ARN) | Lectura | |||
| GetConfigurationPolicy | Concede permiso para obtener una visión general completa de una política de configuración creada por la cuenta que realiza la llamada | Lectura | |||
| GetConfigurationPolicyAssociation | Concede permiso para recuperar información sobre una política de configuración asociada a una cuenta de miembro o unidad organizacional de la organización de la cuenta que realiza la llamada | Lectura | |||
| GetConnectorV2 | Otorga permiso para recuperar los detalles de un conector V2 del Security Hub en función del identificador del conector | Lectura | |||
| GetControlFindingSummary [solo permiso] | Concede permiso para recuperar una puntuación de seguridad y recuentos de los estados de búsqueda y control para un estándar de seguridad. | Read | |||
| GetEnabledStandards | Concede permiso para recuperar una lista de los estándares habilitados en Security Hub. | Enumeración | |||
| GetFindingAggregator | Concede permiso para recuperar detalles de un agregador de búsquedas, que configura la agregación de búsqueda en todas las regiones. | Lectura | |||
| GetFindingHistory | Concede permiso para recuperar una lista de historial de resultados de Security Hub | Lectura | |||
| GetFindings | Concede permiso para recuperar una lista de hallazgos de Security Hub. | Read | |||
| GetFreeTrialEndDate [solo permiso] | Concede permiso para recuperar la fecha de finalización de la prueba gratuita de una cuenta de Security Hub | Read | |||
| GetFreeTrialUsage [solo permiso] | Concede permiso para recuperar información sobre el uso de Security Hub durante el periodo de prueba gratuito | Read | |||
| GetInsightFindingTrend [solo permiso] | Concede permiso para recuperar una tendencia de búsqueda de conocimiento desde Security Hub con el fin de generar un gráfico | Read | |||
| GetInsightResults | Concede permiso para recuperar los resultados de información de Security Hub. | Read | |||
| GetInsights | Concede permiso para recuperar información de Security Hub. | List | |||
| GetInvitationsCount | Concede permiso para recuperar el recuento de invitaciones para hacerse miembro de Security Hub enviadas a la cuenta. | Read | |||
| GetMasterAccount | Concede permiso para recuperar detalles sobre la cuenta maestra de Security Hub. | Read | |||
| GetMembers | Concede permiso para recuperar los detalles de las cuentas de miembros de Security Hub. | Lectura | |||
| GetResourcesStatisticsV2 | Otorga permiso para recuperar estadísticas agregadas sobre los recursos | Lectura | |||
| GetResourcesV2 | Otorga permiso para recuperar una lista de recursos | Lectura | |||
| GetSecurityControlDefinition | Concede permiso para obtener detalles sobre controles de seguridad específicos identificados por ID | Lectura |
securityhub:DescribeStandardsControls |
||
| GetUsage [solo permiso] | Concede permiso para recuperar información acerca del uso de cuentas de Security Hub. | Lectura | |||
| InviteMembers | Otorga permiso para invitar a otras AWS cuentas a convertirse en cuentas de miembros de Security Hub | Escritura | |||
| ListAggregatorsV2 | Otorga permiso para recuperar una lista de AggregatorsV2, que configura la agregación de datos en todas las regiones | Enumeración | |||
| ListAutomationRules | Concede permiso para recuperar una lista de reglas de automatización y sus metadatos para la cuenta de llamada de Security Hub | Enumeración | |||
| ListAutomationRulesV2 | Otorga permiso para recuperar una lista de reglas de automatización V2 y sus metadatos para la cuenta que realiza la llamada desde Security Hub | Enumeración | |||
| ListConfigurationPolicies | Concede permiso para enumerar los resúmenes de todas las políticas de configuración creadas por la cuenta que realiza la llamada | Enumeración | |||
| ListConfigurationPolicyAssociations | Concede permiso para recuperar información sobre todas las políticas de configuración asociadas a todas las cuentas de miembros y unidades organizativas de la organización de la cuenta que realiza la llamada | Enumeración | |||
| ListConnectorsV2 | Otorga permiso para recuperar una lista de conectores V2 y sus metadatos para la cuenta llamante de Security Hub | Enumeración | |||
| ListControlEvaluationSummaries [solo permiso] | Otorga permiso para recuperar una lista de controles de un estándar, incluidos los controles IDs, los estados y los recuentos de búsquedas | Lectura | |||
| ListEnabledProductsForImport | Concede permiso para recuperar los productos integrados de Security Hub que están habilitados actualmente. | Enumeración | |||
| ListFindingAggregators | Concede permiso para recuperar una lista de agregadores de búsqueda, que contienen la configuración de agregación de búsqueda entre regiones. | Enumeración | |||
| ListInvitations | Concede permiso para recuperar las invitaciones de Security Hub enviadas a la cuenta. | List | |||
| ListMembers | Concede permiso para recuperar detalles sobre las cuentas de miembros de Security Hub asociadas a la cuenta de administrador | List | |||
| ListOrganizationAdminAccounts | Concede permiso para enumerar las cuentas de administrador de Security Hub para su organización. | Enumeración |
organizations:DescribeOrganization organizations:ListDelegatedAdministrators |
||
| ListSecurityControlDefinitions | Concede permiso para recuperar una lista de definiciones de control de seguridad, que contienen detalles de los controles de seguridad de la región actual | Enumeración | |||
| ListStandardsControlAssociations | Concede permiso para enumerar el estado de habilitación de un control de seguridad en estándares | Enumeración |
securityhub:DescribeStandardsControls |
||
| ListTagsForResource | Concede permiso para mostrar las etiquetas asociadas a un recurso. | Read | |||
| SendFindingEvents [solo permiso] | Otorga permiso para usar una acción personalizada para enviar las conclusiones del Security Hub a Amazon EventBridge | Lectura | |||
| SendInsightEvents [solo permiso] | Otorga permiso para usar una acción personalizada para enviar información sobre Security Hub a Amazon EventBridge | Lectura | |||
| StartConfigurationPolicyAssociation | Concede permiso para asociar una política de configuración a una cuenta miembro o unidad organizativa de la organización de la cuenta que realiza la llamada | Escritura | |||
| StartConfigurationPolicyDisassociation | Concede permiso para eliminar una asociación de políticas de configuración de una cuenta miembro o unidad organizativa de la organización de la cuenta que realiza la llamada | Escritura | |||
| TagResource | Concede permiso para agregar etiquetas a un recurso de Centro de seguridad | Etiquetado | |||
| UntagResource | Concede permiso para eliminar etiquetas de un recurso de Security Hub. | Etiquetado | |||
| UpdateActionTarget | Concede permiso para actualizar acciones personalizadas en Security Hub. | Escritura | |||
| UpdateAggregatorV2 | Otorga permiso para actualizar un AggregatorV2, que configura la agregación de datos en todas las regiones | Escritura | |||
| UpdateAutomationRuleV2 | Otorga permiso para actualizar una regla de automatización V2 en Security Hub en función del nombre de recurso de Amazon (ARN) de la regla y los parámetros de entrada | Escritura | |||
| UpdateConfigurationPolicy | Concede permiso para actualizar una política de configuración existente | Escritura | |||
| UpdateConnectorV2 | Concede permiso para actualizar un conector V2 en Security Hub en función del identificador del conector y los parámetros de entrada | Escritura | |||
| UpdateFindingAggregator | Concede permiso para actualizar un agregador de búsquedas, que contiene la configuración de agregación de búsquedas entre regiones. | Escritura | |||
| UpdateFindings | Concede permiso para actualizar los resultados de Security Hub. | Write | |||
| UpdateInsight | Concede permiso para actualizar información en Security Hub. | Write | |||
| UpdateOrganizationConfiguration | Concede permiso para actualizar la configuración de la organización para Security Hub. | Escritura | |||
| UpdateSecurityControl | Concede permiso para actualizar las propiedades de un control de seguridad específico identificado por ID o ARN | Escritura |
securityhub:UpdateStandardsControl |
||
| UpdateSecurityHubConfiguration | Concede permiso para actualizar la configuración de Security Hub | Write | |||
| UpdateStandardsControl | Concede permiso para actualizar los controles de estándares de Security Hub. | Write |
Tipos de recursos definidos por AWS Security Hub
Los siguientes tipos de recurso están definidos por este servicio y se pueden utilizar en el elemento Resource de las instrucciones de política de permisos de IAM. Cada acción de la tabla Acciones identifica los tipos de recursos que se pueden especificar con dicha acción. Un tipo de recurso también puede definir qué claves de condición se pueden incluir en una política. Estas claves se muestran en la última columna de la tabla Tipos de recursos. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Tipos de recurso.
| Tipos de recurso | ARN | Claves de condición |
|---|---|---|
| hub |
arn:${Partition}:securityhub:${Region}:${Account}:hub/default
|
|
| hubv2 |
arn:${Partition}:securityhub:${Region}:${Account}:hubv2/${HubV2Id}
|
|
| product |
arn:${Partition}:securityhub:${Region}:${Account}:product/${Company}/${ProductId}
|
|
| finding-aggregator |
arn:${Partition}:securityhub:${Region}:${Account}:finding-aggregator/${FindingAggregatorId}
|
|
| aggregatorv2 |
arn:${Partition}:securityhub:${Region}:${Account}:aggregatorv2/${AggregatorV2Id}
|
|
| automation-rule |
arn:${Partition}:securityhub:${Region}:${Account}:automation-rule/${AutomationRuleId}
|
|
| automation-rulev2 |
arn:${Partition}:securityhub:${Region}:${Account}:automation-rulev2/${AutomationRuleV2Id}
|
|
| configuration-policy |
arn:${Partition}:securityhub:${Region}:${Account}:configuration-policy/${ConfigurationPolicyId}
|
|
| connectorv2 |
arn:${Partition}:securityhub:${Region}:${Account}:connectorv2/${ConnectorV2Id}
|
Claves de condición para AWS Security Hub
AWS Security Hub define las siguientes claves de condición que se pueden utilizar en el Condition elemento de una política de IAM. Puede utilizar estas claves para ajustar más las condiciones en las que se aplica la instrucción de política. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla de Claves de condición.
Para ver las claves de condición globales que están disponibles para todos los servicios, consulte las claves de contexto de condición AWS globales.
| Claves de condición | Descripción | Tipo |
|---|---|---|
| aws:RequestTag/${TagKey} | Filtra el acceso mediante acciones en función de la presencia de pares de clave-valor de etiqueta en la solicitud. | Cadena |
| aws:ResourceTag/${TagKey} | Filtra el acceso mediante acciones en función de pares de clave-valor asociados al recurso. | Cadena |
| aws:TagKeys | Filtra el acceso mediante acciones en función de la presencia de claves de etiqueta en la solicitud | ArrayOfString |
| securityhub:ASFFSyntaxPath/${ASFFSyntaxPath} | Filtra el acceso mediante los campos y valores específicos en la solicitud | Cadena |
| securityhub:OCSFSyntaxPath/${OCSFSyntaxPath} | Filtra el acceso mediante los campos y valores específicos en la solicitud. | Cadena |
| securityhub:TargetAccount | Filtra el acceso por el AwsAccountId campo que se especifica en la solicitud | Cadena |
