Rôles liés à un service pour AWS Security Hub CSPM - AWS Security Hub
Autorisations de rôle liées au service pour Security Hub CSPMCréation d'un rôle lié à un service pour Security Hub CSPMModification d'un rôle lié à un service pour Security Hub CSPMSuppression d'un rôle lié à un service pour Security Hub CSPMRôle lié à un service pour AWS Security Hub V2

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Rôles liés à un service pour AWS Security Hub CSPM

AWS Security Hub CSPM utilise un rôle lié à un service AWS Identity and Access Management (IAM) nommé. AWSServiceRoleForSecurityHub Ce rôle lié à un service est un rôle IAM directement lié au Security Hub CSPM. Il est prédéfini par Security Hub CSPM et inclut toutes les autorisations dont Security Hub CSPM a besoin pour appeler d'autres AWS ressources Services AWS et les surveiller en votre nom. Security Hub CSPM utilise ce rôle lié au service partout où Security Régions AWS Hub CSPM est disponible.

Un rôle lié à un service facilite la configuration de Security Hub CSPM, car il n'est pas nécessaire d'ajouter manuellement les autorisations nécessaires. Security Hub CSPM définit les autorisations associées à son rôle lié à un service et, sauf indication contraire, seul le Security Hub CSPM peut assumer ce rôle. Les autorisations définies incluent la politique de confiance et la politique d'autorisations, et vous ne pouvez associer cette politique d'autorisations à aucune autre entité IAM.

Pour consulter les détails du rôle lié au service, vous pouvez utiliser la console Security Hub CSPM. Dans le volet de navigation, sélectionnez Général sous Paramètres. Ensuite, dans la section Autorisations de service, choisissez Afficher les autorisations de service.

Vous ne pouvez supprimer le rôle lié au service Security Hub CSPM qu'après avoir désactivé Security Hub CSPM dans toutes les régions où il est activé. Cela protège les ressources CSPM de votre Security Hub, car vous ne pouvez pas supprimer par inadvertance les autorisations permettant d'y accéder.

Pour plus d'informations sur les autres services qui prennent en charge les rôles liés à un service, consultez la section AWS Services compatibles avec IAM dans le Guide de l'utilisateur IAM et recherchez les services dont la valeur est Oui dans la colonne Rôles liés au service. Cliquez sur Oui avec un lien pour consulter la documentation relative aux rôles liés à un service pour ce service.

Autorisations de rôle liées au service pour Security Hub CSPM

Security Hub CSPM utilise le rôle lié au service nommé. AWSServiceRoleForSecurityHub Il s'agit d'un rôle lié à un service requis pour accéder AWS Security Hub CSPM à vos ressources. Ce rôle lié au service permet à Security Hub CSPM d'effectuer des tâches telles que la réception des résultats d'autres utilisateurs Services AWS et la configuration de l' AWS Config infrastructure requise pour effectuer des contrôles de sécurité. Le rôle lié à un service AWSServiceRoleForSecurityHub fait confiance au service securityhub.amazonaws.com pour endosser le rôle.

Le rôle lié à un service AWSServiceRoleForSecurityHub utilise la stratégie gérée par AWSSecurityHubServiceRolePolicy.

Vous devez accorder des autorisations pour permettre à une identité IAM (telle qu'un rôle, un groupe ou un utilisateur) de créer, modifier ou supprimer un rôle lié à un service. Pour que le rôle AWSServiceRoleForSecurityHub lié au service soit correctement créé, l'identité IAM que vous utilisez pour accéder au Security Hub CSPM doit disposer des autorisations requises. Pour accorder les autorisations requises, associez la stratégie suivante à l'identité IAM.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "securityhub:*",
            "Resource": "*"    
        },
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": "securityhub.amazonaws.com"
                }
            }
        }
    ]
}

Création d'un rôle lié à un service pour Security Hub CSPM

Le rôle AWSServiceRoleForSecurityHub lié au service est créé automatiquement lorsque vous activez Security Hub CSPM pour la première fois ou lorsque vous activez Security Hub CSPM dans une région où vous ne l'avez pas activé auparavant. Vous pouvez également créer le rôle AWSServiceRoleForSecurityHub lié à un service manuellement à l'aide de la console IAM, de la CLI IAM ou de l'API IAM. Pour de plus amples informations sur la création manuelle d'un rôle, veuillez consulter Création d'un rôle lié à un service dans le Guide de l'utilisateur IAM.

Important

Le rôle lié au service créé pour un compte administrateur Security Hub CSPM ne s'applique pas aux comptes membres du Security Hub CSPM associés.

Modification d'un rôle lié à un service pour Security Hub CSPM

Security Hub CSPM ne vous permet pas de modifier le rôle lié au AWSServiceRoleForSecurityHub service. Une fois que vous avez créé un rôle lié à un service, vous ne pouvez pas changer le nom du rôle, car plusieurs entités peuvent faire référence au rôle. Néanmoins, vous pouvez modifier la description du rôle à l’aide d’IAM. Pour plus d’informations, consultez Modification d’un rôle lié à un service dans le Guide de l’utilisateur IAM.

Suppression d'un rôle lié à un service pour Security Hub CSPM

Si vous n'avez plus besoin d'utiliser une fonction ou un service qui nécessite un rôle lié à un service, nous vous recommandons de supprimer ce rôle. De cette façon, vous n’avez aucune entité inutilisée qui n’est pas surveillée ou gérée activement.

Lorsque vous désactivez Security Hub CSPM, Security Hub CSPM ne supprime pas automatiquement le rôle lié au AWSServiceRoleForSecurityHub service pour vous. Si vous réactivez Security Hub CSPM, le service peut recommencer à utiliser le rôle lié au service existant. Si vous n'avez plus besoin d'utiliser Security Hub CSPM, vous pouvez supprimer manuellement le rôle lié au service.

Important

Avant de supprimer le rôle AWSServiceRoleForSecurityHub lié à un service, vous devez d'abord désactiver le Security Hub CSPM dans toutes les régions où il est activé. Pour de plus amples informations, veuillez consulter Désactivation du Security Hub CSPM. Si le Security Hub CSPM n'est pas désactivé lorsque vous essayez de supprimer le rôle lié au service, la suppression échoue.

Pour supprimer le rôle AWSServiceRoleForSecurityHub lié à un service, vous pouvez utiliser la console IAM, la CLI IAM ou l'API IAM. Pour plus d’informations, consultez la section Suppression d’un rôle lié à un service dans le Guide de l’utilisateur IAM.

Rôle lié à un service pour AWS Security Hub V2

utilise le rôle lié au service nommé. AWSServiceRoleForSecurityHubV2 Ce rôle lié au service permet de gérer les AWS Config règles et les ressources pour votre organisation et en votre nom. Le rôle lié à un service AWSServiceRoleForSecurityHubV2 fait confiance au service securityhub.amazonaws.com pour endosser le rôle.

Le rôle lié à un service AWSServiceRoleForSecurityHubV2 utilise la stratégie gérée par AWSSecurityHubV2ServiceRolePolicy.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes :

  • cloudwatch— Permet au rôle de récupérer des données métriques afin de prendre en charge les capacités de mesure des ressources.

  • config— Permet au rôle de gérer les enregistreurs de configuration liés aux services pour les ressources, y compris le support pour les enregistreurs globaux. AWS Config

  • ecr— Permet au rôle de récupérer des informations sur les images et les référentiels Amazon Elastic Container Registry afin de prendre en charge les fonctionnalités de mesure.

  • iam— Permet au rôle de créer le rôle lié au service AWS Config et de récupérer les informations de compte afin de prendre en charge les fonctionnalités de mesure.

  • lambda— Permet au rôle de récupérer les informations relatives aux AWS Lambda fonctions afin de prendre en charge les capacités de mesure.

  • organizations— Permet au rôle de récupérer les informations relatives au compte et à l'unité organisationnelle (UO) d'une organisation.

  • securityhub— Permet au rôle de gérer la configuration.

  • tag— Permet au rôle de récupérer des informations sur les balises de ressources.

Vous devez accorder des autorisations pour permettre à une identité IAM (telle qu'un rôle, un groupe ou un utilisateur) de créer, modifier ou supprimer un rôle lié à un service. Pour que le rôle AWSServiceRoleForSecurityHubV2 lié au service soit correctement créé, l'identité IAM que vous utilisez pour accéder doit disposer des autorisations requises. Pour accorder les autorisations requises, associez la stratégie suivante à l'identité IAM.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "securityhub:*",
            "Resource": "*"    
        },
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": "securityhub.amazonaws.com"
                }
            }
        }
    ]
}

Création d'un rôle lié à un service pour AWS Security Hub V2

Le rôle AWSServiceRoleForSecurityHubV2 lié au service est créé automatiquement lorsque vous l'activez pour la première fois ou lorsque vous l'activez dans une région où vous ne l'avez pas activé auparavant. Vous pouvez également créer le rôle AWSServiceRoleForSecurityHubV2 lié à un service manuellement à l'aide de la console IAM, de la CLI IAM ou de l'API IAM. Pour de plus amples informations sur la création manuelle d'un rôle, veuillez consulter Création d'un rôle lié à un service dans le Guide de l'utilisateur IAM.

Important

Le rôle lié au service créé pour un compte administrateur ne s'applique pas aux comptes de membres associés.

Modification d'un rôle lié à un service pour AWS Security Hub V2

ne vous permet pas de modifier le rôle AWSServiceRoleForSecurityHubV2 lié au service. Une fois que vous avez créé un rôle lié à un service, vous ne pouvez pas changer le nom du rôle, car plusieurs entités peuvent faire référence au rôle. Néanmoins, vous pouvez modifier la description du rôle à l’aide d’IAM. Pour plus d’informations, consultez Modification d’un rôle lié à un service dans le Guide de l’utilisateur IAM.

Supprimer un rôle lié à un service pour AWS Security Hub V2

Si vous n'avez plus besoin d'utiliser une fonction ou un service qui nécessite un rôle lié à un service, nous vous recommandons de supprimer ce rôle. De cette façon, vous n’avez aucune entité inutilisée qui n’est pas surveillée ou gérée activement.

Lorsque vous le désactivez, le rôle AWSServiceRoleForSecurityHubV2 lié au service n'est pas automatiquement supprimé pour vous. Si vous réactivez, le service peut alors recommencer à utiliser le rôle lié au service existant. Si vous n'en avez plus besoin, vous pouvez supprimer manuellement le rôle lié au service.

Important

Avant de supprimer le rôle AWSServiceRoleForSecurityHubV2 lié à un service, vous devez d'abord le désactiver dans toutes les régions où il est activé. Pour de plus amples informations, veuillez consulter Désactivation du Security Hub CSPM. Si n'est pas désactivé lorsque vous tentez de supprimer le rôle lié à un service, la suppression échoue.

Pour supprimer le rôle AWSServiceRoleForSecurityHubV2 lié à un service, vous pouvez utiliser la console IAM, la CLI IAM ou l'API IAM. Pour plus d’informations, consultez la section Suppression d’un rôle lié à un service dans le Guide de l’utilisateur IAM.