Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
AWS politiques gérées pour Security Hub
Une politique AWS gérée est une politique autonome créée et administrée par AWS. AWS les politiques gérées sont conçues pour fournir des autorisations pour de nombreux cas d'utilisation courants afin que vous puissiez commencer à attribuer des autorisations aux utilisateurs, aux groupes et aux rôles.
N'oubliez pas que les politiques AWS gérées peuvent ne pas accorder d'autorisations de moindre privilège pour vos cas d'utilisation spécifiques, car elles sont accessibles à tous les AWS clients. Nous vous recommandons de réduire encore les autorisations en définissant des politiques gérées par le client qui sont propres à vos cas d’utilisation.
Vous ne pouvez pas modifier les autorisations définies dans les politiques AWS gérées. Si les autorisations définies dans une politique AWS gérée sont AWS mises à jour, la mise à jour affecte toutes les identités principales (utilisateurs, groupes et rôles) auxquelles la politique est attachée. AWS est le plus susceptible de mettre à jour une politique AWS gérée lorsqu'une nouvelle politique Service AWS est lancée ou lorsque de nouvelles opérations d'API sont disponibles pour les services existants.
Pour plus d’informations, consultez Politiques gérées par AWS dans le Guide de l’utilisateur IAM.
AWS politique gérée : AWSSecurityHubFullAccess
Vous pouvez associer la politique AWSSecurityHubFullAccess à vos identités IAM.
Cette politique accorde des autorisations administratives qui permettent un accès complet principal à toutes les actions CSPM du Security Hub. Cette politique doit être attachée à un mandant avant qu'il n'active manuellement Security Hub CSPM pour son compte. Par exemple, les responsables disposant de ces autorisations peuvent à la fois consulter et mettre à jour l'état des résultats. Ils peuvent configurer des informations personnalisées et activer des intégrations. Ils peuvent activer et désactiver les normes et les contrôles. Les titulaires d'un compte administrateur peuvent également gérer les comptes des membres.
Détails de l’autorisation
Cette politique inclut les autorisations suivantes.
-
securityhub— Permet aux principaux un accès complet à toutes les actions CSPM du Security Hub. -
guardduty— Permet aux principaux d'obtenir des informations sur l'état du compte sur Amazon GuardDuty. -
iam— Permet aux principaux de créer un rôle lié à un service pour Security Hub CSPM et Security Hub. -
inspector— Permet aux principaux d'obtenir des informations sur l'état du compte dans Amazon Inspector. -
pricing— Permet aux donneurs d'ordre d'obtenir une liste de prix Services AWS et de produits.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "SecurityHubAllowAll", "Effect": "Allow", "Action": "securityhub:*", "Resource": "*" }, { "Sid": "SecurityHubServiceLinkedRole", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringLike": { "iam:AWSServiceName": [ "securityhub.amazonaws.com", "securityhubv2.amazonaws.com" ] } } }, { "Sid": "OtherServicePermission", "Effect": "Allow", "Action": [ "guardduty:GetDetector", "guardduty:ListDetectors", "inspector2:BatchGetAccountStatus", "pricing:GetProducts" ], "Resource": "*" } ] }
Politique gérée par Security Hub CSPM : AWSSecurityHubReadOnlyAccess
Vous pouvez associer la politique AWSSecurityHubReadOnlyAccess à vos identités IAM.
Cette politique accorde des autorisations en lecture seule qui permettent aux utilisateurs de consulter les informations dans Security Hub CSPM. Les responsables auxquels cette politique est attachée ne peuvent effectuer aucune mise à jour dans Security Hub CSPM. Par exemple, les directeurs disposant de ces autorisations peuvent consulter la liste des résultats associés à leur compte, mais ne peuvent pas modifier le statut d'un résultat. Ils peuvent consulter les résultats des informations, mais ne peuvent pas créer ou configurer des informations personnalisées. Ils ne peuvent pas configurer les contrôles ou les intégrations de produits.
Détails de l’autorisation
Cette politique inclut les autorisations suivantes.
-
securityhub— Permet aux utilisateurs d'effectuer des actions qui renvoient soit une liste d'éléments, soit des détails sur un élément. Cela inclut les opérations d'API qui commencent parGetList, ouDescribe.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSSecurityHubReadOnlyAccess", "Effect": "Allow", "Action": [ "securityhub:Get*", "securityhub:List*", "securityhub:BatchGet*", "securityhub:Describe*" ], "Resource": "*" } ] }
AWS politique gérée : AWSSecurityHubOrganizationsAccess
Vous pouvez associer la politique AWSSecurityHubOrganizationsAccess à vos identités IAM.
Cette politique accorde des autorisations administratives pour activer et gérer Security Hub et Security Hub CSPM au sein d'une organisation.
Les autorisations définies dans cette politique permettent au compte de gestion de l'organisation de désigner le compte d'administrateur délégué pour Security Hub et Security Hub CSPM. Ils permettent également au compte d'administrateur délégué d'activer les comptes de l'organisation en tant que comptes de membres.
Cette politique fournit uniquement les autorisations aux Organizations. Le compte de gestion de l'organisation et le compte d'administrateur délégué nécessitent également des autorisations pour les actions associées. Ces autorisations peuvent être accordées à l'aide de la politique AWSSecurityHubFullAccess gérée.
Détails de l’autorisation
Cette politique inclut les autorisations suivantes.
-
organizations:ListAccounts— Permet aux principaux de récupérer la liste des comptes faisant partie d'une organisation. -
organizations:DescribeOrganization— Permet aux directeurs de récupérer des informations sur l'organisation. -
organizations:ListRoots— Permet aux directeurs de répertorier la racine d'une organisation. -
organizations:ListDelegatedAdministrators— Permet aux principaux de répertorier l'administrateur délégué d'une organisation. -
organizations:ListAWSServiceAccessForOrganization— Permet aux directeurs de répertorier les informations Services AWS utilisées par une organisation. -
organizations:ListOrganizationalUnitsForParent— Permet aux directeurs de répertorier les unités organisationnelles (UO) enfants d'une UO parent. -
organizations:ListAccountsForParent— Permet aux directeurs de répertorier les comptes enfants d'une unité d'organisation parent. -
organizations:ListParents— Répertorie la racine ou les unités organisationnelles (OUs) qui servent de parent immédiat à l'unité d'organisation ou au compte enfant spécifié. -
organizations:DescribeAccount: autorise les principaux à extraire des informations sur un compte dans l’organisation. -
organizations:DescribeOrganizationalUnit— Permet aux directeurs de récupérer des informations sur une unité organisationnelle de l'organisation. -
organizations:ListPolicies— Récupère la liste de toutes les politiques d'une organisation d'un type spécifié. -
organizations:ListPoliciesForTarget— Répertorie les politiques directement associées à la racine, à l'unité organisationnelle (UO) ou au compte cible spécifié. -
organizations:ListTargetsForPolicy— Répertorie toutes les racines, les unités organisationnelles (OUs) et les comptes auxquels la politique spécifiée est attachée. -
organizations:EnableAWSServiceAccess— Permet aux directeurs d'activer l'intégration avec les Organizations. -
organizations:RegisterDelegatedAdministrator— Permet aux principaux de désigner le compte d'administrateur délégué. -
organizations:DeregisterDelegatedAdministrator— Permet aux principaux de supprimer le compte d'administrateur délégué. -
organizations:DescribePolicy— Récupère les informations relatives à une politique. -
organizations:DescribeEffectivePolicy— Renvoie le contenu de la politique effective pour le type de politique et le compte spécifiés. -
organizations:CreatePolicy— Crée une politique d'un type spécifique que vous pouvez associer à une racine, à une unité organisationnelle (UO) ou à un AWS compte individuel. -
organizations:UpdatePolicy— Met à jour une politique existante avec un nouveau nom, une nouvelle description ou un nouveau contenu. -
organizations:DeletePolicy— Supprime la politique spécifiée de votre organisation. -
organizations:AttachPolicy— Attache une politique à une racine, à une unité organisationnelle (UO) ou à un compte individuel. -
organizations:DetachPolicy— Détache une politique d'une racine, d'une unité organisationnelle (UO) ou d'un compte cible. -
organizations:EnablePolicyType— Active un type de politique dans une racine. -
organizations:DisablePolicyType— Désactive un type de politique organisationnelle dans une racine. -
organizations:TagResource— Ajoute une ou plusieurs balises à la ressource spécifiée. -
organizations:UntagResource— Supprime de la ressource spécifiée toutes les balises contenant les clés spécifiées. -
organizations:ListTagsForResource— Répertorie les balises associées à la ressource spécifiée.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "OrganizationPermissions", "Effect": "Allow", "Action": [ "organizations:ListAccounts", "organizations:DescribeOrganization", "organizations:ListRoots", "organizations:ListDelegatedAdministrators", "organizations:ListAWSServiceAccessForOrganization", "organizations:ListOrganizationalUnitsForParent", "organizations:ListAccountsForParent", "organizations:ListParents", "organizations:DescribeAccount", "organizations:DescribeOrganizationalUnit", "organizations:ListPolicies", "organizations:ListPoliciesForTarget", "organizations:ListTargetsForPolicy" ], "Resource": "*" }, { "Sid": "OrganizationPermissionsEnable", "Effect": "Allow", "Action": "organizations:EnableAWSServiceAccess", "Resource": "*", "Condition": { "StringEquals": { "organizations:ServicePrincipal": "securityhub.amazonaws.com" } } }, { "Sid": "OrganizationPermissionsDelegatedAdmin", "Effect": "Allow", "Action": [ "organizations:RegisterDelegatedAdministrator", "organizations:DeregisterDelegatedAdministrator" ], "Resource": "arn:aws:organizations::*:account/o-*/*", "Condition": { "StringEquals": { "organizations:ServicePrincipal": "securityhub.amazonaws.com" } } }, { "Sid": "OrganizationPolicyPermissions", "Effect": "Allow", "Action": [ "organizations:DescribePolicy", "organizations:DescribeEffectivePolicy", "organizations:CreatePolicy", "organizations:UpdatePolicy", "organizations:DeletePolicy", "organizations:AttachPolicy", "organizations:DetachPolicy", "organizations:EnablePolicyType", "organizations:DisablePolicyType" ], "Resource": [ "arn:aws:organizations::*:root/o-*/*", "arn:aws:organizations::*:account/o-*/*", "arn:aws:organizations::*:ou/o-*/*", "arn:aws:organizations::*:policy/o-*/securityhub_policy/*" ], "Condition": { "StringLikeIfExists": { "organizations:PolicyType": "SECURITYHUB_POLICY" } } }, { "Sid": "OrganizationPolicyTaggingPermissions", "Effect": "Allow", "Action": [ "organizations:TagResource", "organizations:UntagResource", "organizations:ListTagsForResource" ], "Resource": [ "arn:aws:organizations::*:policy/o-*/securityhub_policy/*" ] } ] }
AWS politique gérée : AWSSecurityHubServiceRolePolicy
Vous ne pouvez pas joindre de AWSSecurityHubServiceRolePolicy à vos entités IAM. Cette politique est associée à un rôle lié à un service qui permet au Security Hub CSPM d'effectuer des actions en votre nom. Pour de plus amples informations, veuillez consulter Rôles liés à un service pour AWS Security Hub.
Cette politique accorde des autorisations administratives qui permettent au rôle lié au service d'effectuer les contrôles de sécurité pour les contrôles CSPM du Security Hub.
Détails de l’autorisation
Cette politique inclut les autorisations pour effectuer les opérations suivantes :
-
cloudtrail— Récupérez des informations sur CloudTrail les sentiers. -
cloudwatch— Récupère les CloudWatch alarmes en cours. -
logs— Récupère les filtres métriques pour les CloudWatch journaux. -
sns— Récupère la liste des abonnements à une rubrique SNS. -
config— Récupérez des informations sur les enregistreurs de configuration, les ressources et AWS Config les règles. Permet également au rôle lié au service de créer et de supprimer des AWS Config règles, et d'exécuter des évaluations par rapport aux règles. -
iam— Obtenez et générez des rapports d'identification pour les comptes. -
organizations— Récupérez les informations relatives au compte et à l'unité organisationnelle (UO) d'une organisation. -
securityhub— Récupérez des informations sur la manière dont le service, les normes et les contrôles Security Hub CSPM sont configurés. -
tag— Récupère des informations sur les balises de ressources.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "SecurityHubServiceRolePermissions", "Effect": "Allow", "Action": [ "cloudtrail:DescribeTrails", "cloudtrail:GetTrailStatus", "cloudtrail:GetEventSelectors", "cloudwatch:DescribeAlarms", "cloudwatch:DescribeAlarmsForMetric", "logs:DescribeMetricFilters", "sns:ListSubscriptionsByTopic", "config:DescribeConfigurationRecorders", "config:DescribeConfigurationRecorderStatus", "config:DescribeConfigRules", "config:DescribeConfigRuleEvaluationStatus", "config:BatchGetResourceConfig", "config:SelectResourceConfig", "iam:GenerateCredentialReport", "organizations:ListAccounts", "config:PutEvaluations", "tag:GetResources", "iam:GetCredentialReport", "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:ListChildren", "organizations:ListAWSServiceAccessForOrganization", "organizations:DescribeOrganizationalUnit", "securityhub:BatchDisableStandards", "securityhub:BatchEnableStandards", "securityhub:BatchUpdateStandardsControlAssociations", "securityhub:BatchGetSecurityControls", "securityhub:BatchGetStandardsControlAssociations", "securityhub:CreateMembers", "securityhub:DeleteMembers", "securityhub:DescribeHub", "securityhub:DescribeOrganizationConfiguration", "securityhub:DescribeStandards", "securityhub:DescribeStandardsControls", "securityhub:DisassociateFromAdministratorAccount", "securityhub:DisassociateMembers", "securityhub:DisableSecurityHub", "securityhub:EnableSecurityHub", "securityhub:GetEnabledStandards", "securityhub:ListStandardsControlAssociations", "securityhub:ListSecurityControlDefinitions", "securityhub:UpdateOrganizationConfiguration", "securityhub:UpdateSecurityControl", "securityhub:UpdateSecurityHubConfiguration", "securityhub:UpdateStandardsControl", "tag:GetResources" ], "Resource": "*" }, { "Sid": "SecurityHubServiceRoleConfigPermissions", "Effect": "Allow", "Action": [ "config:PutConfigRule", "config:DeleteConfigRule", "config:GetComplianceDetailsByConfigRule" ], "Resource": "arn:aws:config:*:*:config-rule/aws-service-rule/*securityhub*" }, { "Sid": "SecurityHubServiceRoleOrganizationsPermissions", "Effect": "Allow", "Action": [ "organizations:ListDelegatedAdministrators" ], "Resource": "*", "Condition": { "StringEquals": { "organizations:ServicePrincipal": [ "securityhub.amazonaws.com" ] } } } ] }
AWS politique gérée : AWSSecurityHubV2ServiceRolePolicy
Note
Security Hub est en version préliminaire et peut faire l'objet de modifications.
Cette politique permet à Security Hub de gérer les AWS Config règles et les ressources du Security Hub au sein de votre organisation et en votre nom. Cette politique est associée à un rôle lié au service qui permet au service d'effectuer des actions en votre nom. Vous pouvez attacher cette politique à vos utilisateurs, groupes ou rôles. Pour de plus amples informations, veuillez consulter Rôles liés à un service pour AWS Security Hub.
Détails de l'autorisation
Cette politique inclut les autorisations pour effectuer les opérations suivantes :
-
config— Gère les enregistreurs de configuration liés aux services pour les ressources du Security Hub. -
iam— Crée le rôle lié au service pour. AWS Config -
organizations— Récupère les informations relatives au compte et à l'unité organisationnelle (UO) d'une organisation. -
securityhub— Gère la configuration du Security Hub. -
tag— Récupère des informations sur les balises de ressources.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "SecurityHubV2ServiceRoleAssetsConfig", "Effect": "Allow", "Action": [ "config:DeleteServiceLinkedConfigurationRecorder", "config:DescribeConfigurationRecorders", "config:DescribeConfigurationRecorderStatus", "config:PutServiceLinkedConfigurationRecorder" ], "Resource": "arn:aws:config:*:*:configuration-recorder/AWSConfigurationRecorderForSecurityHubAssets/*" }, { "Sid": "SecurityHubV2ServiceRoleAssetsIamPermissions", "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "arn:aws:iam::*:role/aws-service-role/config.amazonaws.com/AWSServiceRoleForConfig", "Condition": { "StringEquals": { "iam:AWSServiceName": "config.amazonaws.com" } } }, { "Sid": "SecurityHubV2ServiceRoleSecurityHubPermissions", "Effect": "Allow", "Action": [ "securityhub:DisableSecurityHubV2", "securityhub:EnableSecurityHubV2", "securityhub:DescribeSecurityHubV2" ], "Resource": "arn:aws:securityhub:*:*:hubv2/*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "SecurityHubV2ServiceRoleTagPermissions", "Effect": "Allow", "Action": [ "tag:GetResources" ], "Resource": "*" }, { "Sid": "SecurityHubV2ServiceRoleOrganizationsPermissionsOnResources", "Effect": "Allow", "Action": [ "organizations:DescribeAccount", "organizations:DescribeOrganizationalUnit" ], "Resource": "arn:aws:organizations::*:*" }, { "Sid": "SecurityHubV2ServiceRoleOrganizationsPermissionsWithoutResources", "Effect": "Allow", "Action": [ "organizations:DescribeOrganization", "organizations:ListAccounts", "organizations:ListAWSServiceAccessForOrganization", "organizations:ListChildren" ], "Resource": "*" }, { "Sid": "SecurityHubV2ServiceRoleDelegatedAdminPermissions", "Effect": "Allow", "Action": [ "organizations:ListDelegatedAdministrators" ], "Resource": "*", "Condition": { "StringEquals": { "organizations:ServicePrincipal": [ "securityhub.amazonaws.com" ] } } } ] }
Mises à jour des politiques gérées par Security Hub CSPM AWS
Consultez les informations relatives aux mises à jour apportées aux politiques AWS gérées pour Security Hub CSPM depuis que ce service a commencé à suivre ces modifications. Pour recevoir des alertes automatiques concernant les modifications apportées à cette page, abonnez-vous au flux RSS sur la page d'historique des documents du Security Hub CSPM.
| Modification | Description | Date |
|---|---|---|
| AWSSecurityHubOrganizationsAccess – Mise à jour de la politique existante | Security Hub CSPM a ajouté une nouvelle autorisation à. AWSSecurityHubOrganizationsAccess L'autorisation permet à la direction de l'organisation d'activer et de gérer Security Hub et Security Hub CSPM au sein d'une organisation. |
17 juin 2025 |
|
AWSSecurityHubOrganizationsAccess – Mise à jour d’une politique existante |
Ajout de nouvelles autorisations qui permettent à la direction de l'organisation d'activer et de gérer Security Hub et Security Hub CSPM au sein d'une organisation. |
17 juin 2025 |
|
AWSSecurityHubFullAccess – Mise à jour d’une politique existante |
Security Hub CSPM a ajouté une nouvelle autorisation qui permet aux principaux de créer un rôle lié à un service pour Security Hub. |
17 juin 2025 |
|
Security Hub a ajouté une nouvelle politique pour permettre à Security Hub de gérer les AWS Config règles et les ressources du Security Hub au sein de l'organisation d'un client et pour le compte du client. Security Hub est en version préliminaire et peut faire l'objet de modifications. |
17 juin 2025 | |
| AWSSecurityHubFullAccess— Mise à jour d'une politique existante | Security Hub CSPM a mis à jour la politique afin d'obtenir des informations sur les prix Services AWS et les produits. | 24 avril 2024 |
| AWSSecurityHubReadOnlyAccess— Mise à jour d'une politique existante | Security Hub CSPM a mis à jour cette politique gérée en ajoutant un Sid champ. |
22 février 2024 |
| AWSSecurityHubFullAccess— Mise à jour d'une politique existante | Security Hub CSPM a mis à jour la politique afin de déterminer si Amazon GuardDuty et Amazon Inspector sont activés dans un compte. Cela permet aux clients de rassembler des informations relatives à la sécurité provenant de plusieurs sources. Services AWS | 16 novembre 2023 |
| AWSSecurityHubOrganizationsAccess— Mise à jour d'une politique existante | Security Hub CSPM a mis à jour la politique afin d'accorder des autorisations supplémentaires afin de permettre un accès en lecture seule aux AWS Organizations fonctionnalités d'administrateur délégué. Cela inclut des détails tels que la racine, les unités organisationnelles (OUs), les comptes, la structure organisationnelle et l'accès aux services. | 16 novembre 2023 |
| AWSSecurityHubServiceRolePolicy – Mise à jour d’une politique existante | Security Hub CSPM a ajouté les UpdateSecurityControl autorisations BatchGetSecurityControlsDisassociateFromAdministratorAccount, et pour lire et mettre à jour les propriétés de contrôle de sécurité personnalisables. |
26 novembre 2023 |
| AWSSecurityHubServiceRolePolicy – Mise à jour d’une politique existante | Security Hub CSPM a ajouté l'tag:GetResourcesautorisation de lire les balises de ressources associées aux résultats. |
7 novembre 2023 |
| AWSSecurityHubServiceRolePolicy – Mise à jour d’une politique existante | Security Hub CSPM a ajouté l'BatchGetStandardsControlAssociationsautorisation d'obtenir des informations sur l'état d'activation d'un contrôle dans une norme. |
27 septembre 2023 |
| AWSSecurityHubServiceRolePolicy – Mise à jour d’une politique existante | Security Hub CSPM a ajouté de nouvelles autorisations pour obtenir des AWS Organizations données et lire et mettre à jour les configurations du Security Hub CSPM, y compris les normes et les contrôles. | 20 septembre 2023 |
| AWSSecurityHubServiceRolePolicy – Mise à jour d’une politique existante | Security Hub CSPM a déplacé l'config:DescribeConfigRuleEvaluationStatusautorisation existante vers une autre déclaration au sein de la politique. L'config:DescribeConfigRuleEvaluationStatusautorisation est désormais appliquée à toutes les ressources. |
17 mars 2023 |
| AWSSecurityHubServiceRolePolicy – Mise à jour d’une politique existante | Security Hub CSPM a déplacé l'config:PutEvaluationsautorisation existante vers une autre déclaration au sein de la politique. L'config:PutEvaluationsautorisation est désormais appliquée à toutes les ressources. |
14 juillet 2021 |
| AWSSecurityHubServiceRolePolicy – Mise à jour d’une politique existante | Security Hub CSPM a ajouté une nouvelle autorisation pour permettre au rôle lié au service de fournir des résultats d'évaluation à. AWS Config | 29 juin 2021 |
| AWSSecurityHubServiceRolePolicy— Ajouté à la liste des politiques gérées | Ajout d'informations sur la politique gérée AWSSecurityHubServiceRolePolicy, qui est utilisée par le rôle lié au service Security Hub CSPM. | 11 juin 2021 |
| AWSSecurityHubOrganizationsAccess— Nouvelle politique | Security Hub CSPM a ajouté une nouvelle politique qui accorde les autorisations nécessaires à l'intégration du Security Hub CSPM aux Organizations. | 15 mars 2021 |
| Security Hub CSPM a commencé à suivre les modifications | Security Hub CSPM a commencé à suivre les modifications apportées à ses politiques AWS gérées. | 15 mars 2021 |
