Politiques clés de KMS pour les intégrations de billetterie au Security Hub - AWS Security Hub
Politique d'autorisation du Security HubAccès principal IAM pour les opérations du Security Hub

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Politiques clés de KMS pour les intégrations de billetterie au Security Hub

Lorsque vous utilisez des clés KMS gérées par le client avec des intégrations de billetterie Security Hub, des politiques supplémentaires doivent être ajoutées à la clé KMS pour permettre à Security Hub d'interagir avec la clé. En outre, des politiques doivent être ajoutées pour autoriser le principal qui ajoute la clé au connecteur Security Hub à accéder à la clé.

Politique d'autorisation du Security Hub

La politique suivante décrit les autorisations dont Security Hub a besoin pour accéder et utiliser la clé KMS associée à votre Jira et à vos ServiceNow connecteurs. Cette politique doit être ajoutée à chaque clé KMS associée à un connecteur Security Hub.

La politique contient les autorisations suivantes :

  • Permet à Security Hub de protéger, d'accéder temporairement ou d'actualiser les jetons utilisés pour communiquer avec vos intégrations de billetterie, à l'aide de la clé. Les autorisations sont limitées aux opérations liées à des connecteurs Security Hub spécifiques via le bloc de conditions qui vérifie l'ARN source et le contexte de chiffrement.

  • Permet à Security Hub de lire les métadonnées relatives à la clé KMS en autorisant l'DescribeKeyopération. Cette autorisation est nécessaire pour que Security Hub puisse vérifier l'état et la configuration de la clé. L'accès est limité à des connecteurs Security Hub spécifiques via la condition ARN source. 


{
    "Sid": "Allow Security Hub access to the customer managed key",
    "Effect": "Allow",
    "Principal": {
        "Service": "connector.securityhub.amazonaws.com"
    },
    "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt",
        "kms:ReEncrypt*"
    ],
    "Resource": "*",
    "Condition": {
        "ArnLike": {
            "aws:SourceArn": "arn:aws:securityhub:Region:AccountId:connectorv2/*"
        },
        "StringLike": {
            "kms:EncryptionContext:aws:securityhub:connectorV2Arn": "arn:aws:securityhub:Region:AccountId:connectorv2/*",
            "kms:EncryptionContext:aws:securityhub:providerName": "CloudProviderName"
        }
    }
},
{
    "Sid": "Allow Security Hub read access to the customer managed key",
    "Effect": "Allow",
    "Principal": {
        "Service": "connector.securityhub.amazonaws.com"
    },
    "Action": [
        "kms:DescribeKey"
    ],
    "Resource": "*",
    "Condition": {
        "ArnLike": {
            "aws:SourceArn": "arn:aws:securityhub:Region:AccountId:connectorv2/*"
        }
    }
}

Modifiez la politique en remplaçant les valeurs suivantes dans l'exemple de stratégie :

  • Remplacer CloudProviderName par JIRA_CLOUD ou SERVICENOW

  • AccountIdRemplacez-le par l'ID du compte sur lequel vous créez le connecteur Security Hub.

  • Remplacez Region par votre AWS région (par exemple,us-east-1).

Accès principal IAM pour les opérations du Security Hub

Tout principal qui attribuera des clés KMS gérées par le client à un connecteur Security Hub doit être autorisé à effectuer des opérations clés (décrire, générer, déchiffrer, rechiffrer et répertorier les alias) pour la clé ajoutée au connecteur. Cela s'applique à la CreateConnectorV2terre CreateTicketV2 APIs. La déclaration de politique suivante doit être incluse dans la politique de tout directeur qui interagira avec ceux-ci APIs. 


{
    "Sid": "Allow permissions to access key through Security Hub",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::AccountId:role/RoleName"
    },
    "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt",
        "kms:ReEncrypt*"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "kms:ViaService": [
                "securityhub.Region.amazonaws.com"
            ]
        },
        "StringLike": {
            "kms:EncryptionContext:aws:securityhub:providerName": "CloudProviderName"
        }
    }
},
{
    "Sid": "Allow read permissions to access key through Security Hub",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::AccountId:role/RoleName"
    },
    "Action": [
        "kms:DescribeKey"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "kms:ViaService": [
                "securityhub.Region.amazonaws.com"
            ]
        }
    }
}

Modifiez la politique en remplaçant les valeurs suivantes dans l'exemple de stratégie :

  • RoleNameRemplacez-le par le nom du rôle IAM qui passe des appels vers Security Hub.

  • Remplacez CloudProviderName par JIRA_CLOUD ou SERVICENOW.

  • AccountIdRemplacez-le par l'ID du compte sur lequel vous créez le connecteur Security Hub.

  • Remplacez Region par votre AWS région (par exemple,us-east-1).