Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Actions, ressources et clés de condition pour AWS Security Hub
AWS Security Hub (préfixe de service :securityhub) fournit les ressources, actions et clés de contexte de condition spécifiques aux services suivantes à utiliser dans les politiques d'autorisation IAM.
Références :
-
Découvrez comment configurer ce service.
-
Affichez la liste des opérations d'API disponibles pour ce service.
-
Découvrez comment protéger ce service et ses ressources avec les stratégies d'autorisation IAM.
Rubriques
Actions définies par AWS Security Hub
Vous pouvez indiquer les actions suivantes dans l'élément Action d'une déclaration de politique IAM. Utilisez des politiques pour accorder des autorisations permettant d'effectuer une opération dans AWS. Lorsque vous utilisez une action dans une politique, vous autorisez ou refusez généralement l'accès à l'opération d'API ou à la commande CLI portant le même nom. Toutefois, dans certains cas, une seule action contrôle l'accès à plusieurs opérations. D'autres opérations, quant à elles, requièrent plusieurs actions différentes.
La colonne Niveau d'accès du tableau Actions décrit la manière dont l'action est classée (liste, lecture, gestion des autorisations ou balisage). Cette classification peut vous aider à comprendre le niveau d'accès accordé par une action utilisée dans une politique. Pour plus d'informations sur les niveaux d'accès, consultez la section Niveaux d'accès dans les résumés des politiques.
La colonne Types de ressources indique si chaque action prend en charge les autorisations au niveau des ressources. S'il n'y a pas de valeur pour cette colonne, vous devez indiquer toutes les ressources (« * ») dans l'élément Resource de votre déclaration de politique. Si la colonne inclut un type de ressource, vous pouvez indiquer un ARN de ce type dans une déclaration avec cette action. Si l'action comporte une ou plusieurs ressources requises, l'appelant doit être autorisé à utiliser l'action avec ces ressources. Les ressources requises sont indiquées dans le tableau par un astérisque (*). Si vous limitez l'accès aux ressources avec l'Resourceélément dans une politique IAM, vous devez inclure un ARN ou un modèle pour chaque type de ressource requis. Certaines actions prennent en charge plusieurs types de ressources. Si le type de ressource est facultatif (non indiqué comme obligatoire), vous pouvez choisir d'utiliser l'un, mais pas l'autre.
La colonne Clés de condition inclut des clés que vous pouvez spécifier dans l'élément Condition d'une déclaration de politique. Pour plus d'informations sur les clés de condition associées aux ressources du service, consultez la colonne Clés de condition du tableau des types de ressources.
Note
Les clés de condition des ressources sont répertoriées dans le tableau Types de ressources. Vous pouvez trouver un lien vers le type de ressource qui s'applique à une action dans la colonne Types de ressources (* obligatoire) du tableau Actions. Le type de ressource indiqué dans le tableau Types de ressources inclut la colonne Clés de condition, qui contient les clés de condition de ressource qui s'appliquent à une action dans le tableau Actions.
Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Actions.
| Actions | Description | Niveau d'accès | Types de ressources (*obligatoire) | Clés de condition | Actions dépendantes |
|---|---|---|---|---|---|
| AcceptAdministratorInvitation | Accorde l'autorisation d'accepter les invitations Security Hub à devenir un compte membre | Écriture | |||
| AcceptInvitation | Accorde l'autorisation d'accepter les invitations Security Hub à devenir un compte membre | Écrire | |||
| BatchDeleteAutomationRules | Accorde l'autorisation de supprimer une ou plusieurs règles d'automatisation dans Security Hub | Écrire | |||
| BatchDisableStandards | Accorde l'autorisation de désactiver les normes dans Security Hub | Écriture | |||
| BatchEnableStandards | Accorde l'autorisation d'activer les normes dans Security Hub | Écrire | |||
| BatchGetAutomationRules | Accorde l'autorisation de récupérer une liste détaillée des règles d'automatisation depuis Security Hub en fonction de la règle Amazon Resource Names (ARNs) | Lecture | |||
| BatchGetConfigurationPolicyAssociations | Octroie l'autorisation de récupérer des informations sur les stratégies de configuration associées à une liste spécifique de comptes membres et d'unités organisationnelles de l'organisation du compte appelant. | Lecture | |||
| BatchGetControlEvaluations [autorisation uniquement] | Accorde l'autorisation d'obtenir le statut d'activation et de conformité des contrôles, le nombre de résultats pour les contrôles et le score de sécurité global pour les contrôles sur la console Security Hub | Lecture | |||
| BatchGetSecurityControls | Octroie l'autorisation d'obtenir les informations relatives à des contrôles de sécurité spécifiques identifiés par un ID ou ARN | Lecture |
securityhub:DescribeStandardsControls |
||
| BatchGetStandardsControlAssociations | Octroie l'autorisation d'obtenir le statut d'habilitation d'un lot de contrôles de sécurité dans les normes | Lecture |
securityhub:DescribeStandardsControls |
||
| BatchImportFindings | Accorde l'autorisation d'importer des résultats dans Security Hub à partir d'un produit intégré | Écrire | |||
| BatchUpdateAutomationRules | Accorde l'autorisation de mettre à jour une ou plusieurs règles d'automatisation depuis Security Hub en fonction de la règle Amazon Resource Names (ARNs) et des paramètres d'entrée | Écrire | |||
| BatchUpdateFindings | Accorde l'autorisation de mettre à jour des champs contrôlés par le client pour un ensemble sélectionné de résultats Security Hub | Écrire | |||
| BatchUpdateStandardsControlAssociations | Octroie l'autorisation de mettre à jour le statut d'habilitation d'un lot de contrôles de sécurité dans les normes | Écrire |
securityhub:UpdateStandardsControl |
||
| ConnectorRegistrationsV2 | Accorde l'autorisation de terminer le flux de code d'autorisation OAuth 2.0 en fonction des paramètres d'entrée | Écrire | |||
| CreateActionTarget | Accorde l'autorisation de créer des actions personnalisées dans Security Hub | Écrire | |||
| CreateAggregatorV2 | Accorde l'autorisation de créer un AggregatorV2, qui configure l'agrégation des données entre les régions | Écrire | |||
| CreateAutomationRule | Accorde l'autorisation de créer une règle d'automatisation basée sur les paramètres d'entrée | Écrire | |||
| CreateAutomationRuleV2 | Accorde l'autorisation de créer une règle d'automatisation V2 en fonction des paramètres d'entrée | Écrire | |||
| CreateConfigurationPolicy | Octroie l'autorisation de créer une stratégie de configuration pour gérer les paramètres des membres de l'organisation dans Security Hub. | Écrire | |||
| CreateConnectorV2 | Accorde l'autorisation de créer un connecteur V2 en fonction des paramètres d'entrée | Écrire | |||
| CreateFindingAggregator | Accorde l'autorisation de à créer un agrégateur de recherche, qui contient la configuration d'agrégation de recherche entre régions | Écrire | |||
| CreateInsight | Accorde l'autorisation de créer des informations dans Security Hub. Les aperçus sont des recueils de résultats connexes | Écriture | |||
| CreateMembers | Accorde l'autorisation de créer des comptes de membres dans Security Hub | Écrire | |||
| CreateTicketV2 | Accorde l'autorisation de créer un ticket pour une découverte OCSF sélectionnée | Écrire | |||
| DeclineInvitations | Accorde l'autorisation de refuser les invitations Security Hub à devenir un compte membre | Écriture | |||
| DeleteActionTarget | Accorde l'autorisation de supprimer des actions personnalisées dans Security Hub | Écrire | |||
| DeleteAggregatorV2 | Accorde l'autorisation de supprimer un AggregatorV2, qui configure l'agrégation des données entre les régions | Écrire | |||
| DeleteAutomationRuleV2 | Autorise la suppression d'une règle d'automatisation V2 dans Security Hub | Écrire | |||
| DeleteConfigurationPolicy | Octroie l'autorisation de supprimer une stratégie de configuration existante. | Écrire | |||
| DeleteConnectorV2 | Autorise la suppression d'un connecteur V2 dans Security Hub | Écrire | |||
| DeleteFindingAggregator | Accorde l'autorisation de supprimer un agrégateur de recherche, ce qui désactive l'agrégation de recherche entre régions | Écrire | |||
| DeleteInsight | Accorde l'autorisation de supprimer des informations de Security Hub | Écriture | |||
| DeleteInvitations | Accorde l'autorisation de supprimer les invitations Security Hub à devenir un compte membre | Écriture | |||
| DeleteMembers | Accorde l'autorisation de supprimer des comptes membres de Security Hub | Écriture | |||
| DescribeActionTargets | Accorde l'autorisation de récupérer la liste des actions personnalisées à l'aide de l'API | Lecture | |||
| DescribeHub | Accorde l'autorisation de récupérer des informations sur la ressource de hub dans votre compte | Lecture | |||
| DescribeOrganizationConfiguration | Accorde l'autorisation de décrire la configuration de l'organisation pour Security Hub | Lecture | |||
| DescribeProducts | Accorde l'autorisation de récupérer des informations sur les intégrations de produits Security Hub disponibles | Lecture | |||
| DescribeProductsV2 | Autorise à récupérer des informations sur les intégrations de produits Security Hub V2 disponibles | Lecture | |||
| DescribeSecurityHubV2 | Accorde l'autorisation de récupérer des informations sur la ressource Hub V2 de votre compte | Lecture | |||
| DescribeStandards | Accorde l'autorisation de récupérer des informations sur les normes Security Hub | Lecture | |||
| DescribeStandardsControls | Accorde l'autorisation de récupérer des informations sur les contrôles des normes Security Hub | Lecture | |||
| DisableImportFindingsForProduct | Accorde l'autorisation de désactiver l'importation des résultats pour un produit intégré Security Hub | Écriture | |||
| DisableOrganizationAdminAccount | Accorde l'autorisation de supprimer le compte d'administrateur Security Hub de votre organisation | Écriture |
organizations:DeregisterDelegatedAdministrator organizations:DescribeOrganization organizations:ListDelegatedAdministrators |
||
| DisableSecurityHub | Accorde l'autorisation de désactiver Security Hub | Écrire | |||
| DisableSecurityHubV2 | Autorise la désactivation de Security Hub V2 | Écrire | |||
| DisassociateFromAdministratorAccount | Accorde à un compte membre Security Hub l'autorisation de se dissocier du compte administrateur associé | Écriture | |||
| DisassociateFromMasterAccount | Accorde l'autorisation à un compte membre Security Hub de se dissocier du compte principal associé | Écriture | |||
| DisassociateMembers | Accorde l'autorisation de dissocier des comptes membres Security Hub du compte administrateur associé | Écriture | |||
| EnableImportFindingsForProduct | Accorde l'autorisation d'activer l'importation des résultats pour un produit intégré Security Hub | Écriture | |||
| EnableOrganizationAdminAccount | Accorde l'autorisation de désigner un compte administrateur Security Hub pour votre organisation | Écriture |
organizations:DescribeOrganization organizations:EnableAWSServiceAccess organizations:ListAWSServiceAccessForOrganization organizations:ListDelegatedAdministrators organizations:RegisterDelegatedAdministrator |
||
| EnableSecurityHub | Accorde l'autorisation d'activer Security Hub | Écrire | |||
| EnableSecurityHubV2 | Autorise l'activation de Security Hub V2 | Écrire | |||
| GetAdhocInsightResults [autorisation uniquement] | Autorise la récupération de données statistiques agrégées sur les résultats | Lecture | |||
| GetAdministratorAccount | Accorde l'autorisation de récupérer les informations relatives au compte administrateur Security Hub | Lecture | |||
| GetAggregatorV2 | Accorde l'autorisation de récupérer les détails d'un AggregatorV2, qui configure l'agrégation des données entre les régions | Lecture | |||
| GetAutomationRuleV2 | Accorde l'autorisation de récupérer les détails d'une règle d'automatisation V2 depuis Security Hub sur la base de la règle Amazon Resource Name (ARN) | Lecture | |||
| GetConfigurationPolicy | Octroie l'autorisation d'obtenir un aperçu complet d'une stratégie de configuration créée par le compte appelant. | Lecture | |||
| GetConfigurationPolicyAssociation | Octroie l'autorisation de récupérer des informations sur une stratégie de configuration associée à un compte membre ou une unité organisationnelle de l'organisation du compte appelant. | Lecture | |||
| GetConnectorV2 | Accorde l'autorisation de récupérer les détails d'un connecteur V2 à partir de Security Hub en fonction de l'identifiant du connecteur | Lecture | |||
| GetControlFindingSummary [autorisation uniquement] | Accorde l'autorisation de récupérer un score de sécurité et compte des statuts de recherche et de contrôle pour une norme de sécurité | Lecture | |||
| GetEnabledStandards | Accorde l'autorisation de récupérer la liste des normes activées dans Security Hub | Liste | |||
| GetFindingAggregator | Accorde l'autorisation de récupérer les détails d'un agrégateur de recherche, qui configure l'agrégation de recherche entre régions | Lecture | |||
| GetFindingHistory | Accorde l'autorisation de récupérer une liste de l'historique des résultats auprès de Security Hub | Lecture | |||
| GetFindings | Accorde l'autorisation de récupérer une liste de résultats à partir de Security Hub | Lecture | |||
| GetFreeTrialEndDate [autorisation uniquement] | Accorde l'autorisation de récupérer la date de fin de l'essai gratuit de Security Hub d'un compte | Lecture | |||
| GetFreeTrialUsage [autorisation uniquement] | Accorde l'autorisation de récupérer des informations sur l'utilisation de Security Hub pendant la période d'essai gratuite | Lecture | |||
| GetInsightFindingTrend [autorisation uniquement] | Accorde l'autorisation de récupérer une tendance de recherche d'informations à partir de Security Hub afin de générer un graphique | Lecture | |||
| GetInsightResults | Accorde l'autorisation de récupérer les résultats d'informations à partir de Security Hub | Lecture | |||
| GetInsights | Accorde l'autorisation de récupérer les informations de Security Hub | Liste | |||
| GetInvitationsCount | Accorde l'autorisation de récupérer le nombre d'invitations d'adhésion au Security Hub envoyées au compte | Lecture | |||
| GetMasterAccount | Accorde l'autorisation de récupérer des détails sur le compte principal Security Hub | Lecture | |||
| GetMembers | Accorde l'autorisation de récupérer les détails des comptes membres de Security Hub | Lecture | |||
| GetResourcesStatisticsV2 | Accorde l'autorisation de récupérer des statistiques agrégées sur les ressources | Lecture | |||
| GetResourcesV2 | Accorde l'autorisation de récupérer une liste de ressources | Lecture | |||
| GetSecurityControlDefinition | Octroie l'autorisation d'obtenir les informations de définition relatives à un contrôle de sécurité spécifique identifié par un ID. | Lecture |
securityhub:DescribeStandardsControls |
||
| GetUsage [autorisation uniquement] | Accorde l'autorisation de récupérer des informations sur l'usage de Security Hub par les comptes | Lecture | |||
| InviteMembers | Accorde l'autorisation d'inviter d'autres AWS comptes à devenir des comptes membres du Security Hub | Écrire | |||
| ListAggregatorsV2 | Accorde l'autorisation de récupérer une liste d'AggregatorsV2, qui configure l'agrégation des données entre les régions | Liste | |||
| ListAutomationRules | Accorde l'autorisation de récupérer une liste de règles d'automatisation et de leurs métadonnées pour le compte appelant à partir de Security Hub | Liste | |||
| ListAutomationRulesV2 | Accorde l'autorisation de récupérer une liste des règles d'automatisation V2 et leurs métadonnées pour le compte appelant depuis Security Hub | Liste | |||
| ListConfigurationPolicies | Octroie l'autorisation de répertorier les récapitulatifs de toutes les stratégies de configuration créées par le compte appelant. | Liste | |||
| ListConfigurationPolicyAssociations | Octroie l'autorisation de récupérer des informations sur toutes les stratégies de configuration associées à tous les comptes membres et unités organisationnelles de l'organisation du compte appelant. | Liste | |||
| ListConnectorsV2 | Accorde l'autorisation de récupérer une liste des connecteurs V2 et leurs métadonnées pour le compte appelant depuis Security Hub | Liste | |||
| ListControlEvaluationSummaries [autorisation uniquement] | Accorde l'autorisation de récupérer une liste de contrôles pour une norme, y compris le contrôle IDs, les statuts et le nombre de résultats | Lecture | |||
| ListEnabledProductsForImport | Accorde l'autorisation de récupérer les produits intégrés Security Hub actuellement activés | Liste | |||
| ListFindingAggregators | Accorde l'autorisation de récupérer une liste d'agrégateurs de recherche contenant la configuration d'agrégation de recherche entre régions | Liste | |||
| ListInvitations | Accorde l'autorisation de récupérer les invitations Security Hub envoyées au compte | Liste | |||
| ListMembers | Accorde l'autorisation de récupérer les informations relatives aux comptes membres Security Hub associés au compte administrateur | Liste | |||
| ListOrganizationAdminAccounts | Accorde l'autorisation de répertorier les comptes administrateur Security Hub de votre organisation | Liste |
organizations:DescribeOrganization organizations:ListDelegatedAdministrators |
||
| ListSecurityControlDefinitions | Octroie l'autorisation de récupérer une liste de définitions de contrôle de sécurité contenant des informations sur les contrôles de sécurité de la région actuelle | Liste | |||
| ListStandardsControlAssociations | Octroie l'autorisation de répertorier le statut d'habilitation d'un contrôle de sécurité dans les normes | Liste |
securityhub:DescribeStandardsControls |
||
| ListTagsForResource | Accorde l'autorisation de répertorier les balises associées à une ressource | Lecture | |||
| SendFindingEvents [autorisation uniquement] | Autorise l'utilisation d'une action personnalisée pour envoyer les résultats du Security Hub à Amazon EventBridge | Lecture | |||
| SendInsightEvents [autorisation uniquement] | Autorise l'utilisation d'une action personnalisée pour envoyer des informations relatives au Security Hub à Amazon EventBridge | Lecture | |||
| StartConfigurationPolicyAssociation | Octroie l'autorisation d'associer une stratégie de configuration à un compte membre ou une unité organisationnelle dans l'organisation du compte appelant. | Écrire | |||
| StartConfigurationPolicyDisassociation | Octroie l'autorisation de supprimer une association de stratégie de configuration d'un compte membre ou d'une unité organisationnelle dans l'organisation du compte appelant. | Écrire | |||
| TagResource | Accorde l'autorisation d'ajouter des balises à une ressource Security Hub | Balisage | |||
| UntagResource | Accorde l'autorisation de supprimer des balises d'une ressource Security Hub | Balisage | |||
| UpdateActionTarget | Accorde l'autorisation de mettre à jour des actions personnalisées dans Security Hub | Écrire | |||
| UpdateAggregatorV2 | Accorde l'autorisation de mettre à jour un AggregatorV2, qui configure l'agrégation des données entre les régions | Écrire | |||
| UpdateAutomationRuleV2 | Autorise la mise à jour d'une règle d'automatisation V2 dans Security Hub en fonction de la règle Amazon Resource Name (ARN) et des paramètres d'entrée | Écrire | |||
| UpdateConfigurationPolicy | Octroie l'autorisation de mettre à jour une stratégie de configuration existante. | Écrire | |||
| UpdateConnectorV2 | Autorise la mise à jour d'un connecteur V2 dans Security Hub en fonction de l'identifiant du connecteur et des paramètres d'entrée | Écrire | |||
| UpdateFindingAggregator | Accorde l'autorisation de mettre à jour un agrégateur de recherche, qui contient la configuration d'agrégation de recherche entre régions | Écrire | |||
| UpdateFindings | Accorde l'autorisation de mettre à jour les résultats de Security Hub | Écriture | |||
| UpdateInsight | Accorde l'autorisation de mettre à jour les informations dans Security Hub | Écriture | |||
| UpdateOrganizationConfiguration | Accorde l'autorisation de mettre à jour la configuration de l'organisation pour Security Hub | Écrire | |||
| UpdateSecurityControl | Octroie l'autorisation de mettre à jour les propriétés d'un contrôle de sécurité spécifique identifié par ID ou ARN. | Écrire |
securityhub:UpdateStandardsControl |
||
| UpdateSecurityHubConfiguration | Accorde l'autorisation de mettre à jour la configuration de Security Hub | Écriture | |||
| UpdateStandardsControl | Accorde l'autorisation de mettre à jour les contrôles des normes Security Hub | Écriture |
Types de ressources définis par AWS Security Hub
Ce service définit les types de ressources suivants, qui peuvent être utilisés dans l' Resource élément des déclarations de politique d'autorisation IAM. Chaque action du tableau Actions identifie les types de ressources pouvant être spécifiés avec cette action. Un type de ressource peut également définir les clés de condition que vous pouvez inclure dans une politique. Ces clés sont affichées dans la dernière colonne du tableau. Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Types de ressources.
| Types de ressources | ARN | Clés de condition |
|---|---|---|
| hub |
arn:${Partition}:securityhub:${Region}:${Account}:hub/default
|
|
| hubv2 |
arn:${Partition}:securityhub:${Region}:${Account}:hubv2/${HubV2Id}
|
|
| product |
arn:${Partition}:securityhub:${Region}:${Account}:product/${Company}/${ProductId}
|
|
| finding-aggregator |
arn:${Partition}:securityhub:${Region}:${Account}:finding-aggregator/${FindingAggregatorId}
|
|
| aggregatorv2 |
arn:${Partition}:securityhub:${Region}:${Account}:aggregatorv2/${AggregatorV2Id}
|
|
| automation-rule |
arn:${Partition}:securityhub:${Region}:${Account}:automation-rule/${AutomationRuleId}
|
|
| automation-rulev2 |
arn:${Partition}:securityhub:${Region}:${Account}:automation-rulev2/${AutomationRuleV2Id}
|
|
| configuration-policy |
arn:${Partition}:securityhub:${Region}:${Account}:configuration-policy/${ConfigurationPolicyId}
|
|
| connectorv2 |
arn:${Partition}:securityhub:${Region}:${Account}:connectorv2/${ConnectorV2Id}
|
Clés de condition pour AWS Security Hub
AWS Security Hub définit les clés de condition suivantes qui peuvent être utilisées dans l'Conditionélément d'une politique IAM. Vous pouvez utiliser ces clés pour affiner les conditions d’application de la déclaration de politique. Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Clés de condition.
Pour afficher les clés de condition globales disponibles pour tous les services, consultez la section Clés contextuelles de condition AWS globales.
| Clés de condition | Description | Type |
|---|---|---|
| aws:RequestTag/${TagKey} | Filtre l'accès en fonction des actions basées sur la présence de paires clé-valeur de balise dans la requête | Chaîne |
| aws:ResourceTag/${TagKey} | Filtre l'accès en fonction des actions basées sur les paires clé-valeur d'identification attachées à la ressource | Chaîne |
| aws:TagKeys | Filtre l'accès en fonction des actions basées sur la présence de clés d'identification dans la requête | ArrayOfString |
| securityhub:ASFFSyntaxPath/${ASFFSyntaxPath} | Filtre l'accès en fonction des champs et valeurs spécifiés dans la demande | Chaîne |
| securityhub:OCSFSyntaxPath/${OCSFSyntaxPath} | Filtre l'accès en fonction des champs et valeurs spécifiés dans la demande | Chaîne |
| securityhub:TargetAccount | Filtre l'accès en AwsAccountId fonction du champ spécifié dans la demande | Chaîne |
