AWS politiche gestite per Security Hub - AWS Security Hub
AWSSecurityHubFullAccessAWSSecurityHubReadOnlyAccess AWSSecurityHubOrganizationsAccess AWSSecurityHubServiceRolePolicyAWSSecurityHubV2ServiceRolePolicyAggiornamenti delle policy

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWS politiche gestite per Security Hub

Una politica AWS gestita è una politica autonoma creata e amministrata da. AWS AWS le politiche gestite sono progettate per fornire autorizzazioni per molti casi d'uso comuni, in modo da poter iniziare ad assegnare autorizzazioni a utenti, gruppi e ruoli.

Tieni presente che le policy AWS gestite potrebbero non concedere le autorizzazioni con il privilegio minimo per i tuoi casi d'uso specifici, poiché sono disponibili per tutti i clienti. AWS Si consiglia pertanto di ridurre ulteriormente le autorizzazioni definendo policy gestite dal cliente specifiche per i propri casi d'uso.

Non è possibile modificare le autorizzazioni definite nelle politiche gestite. AWS Se AWS aggiorna le autorizzazioni definite in una politica AWS gestita, l'aggiornamento ha effetto su tutte le identità principali (utenti, gruppi e ruoli) a cui è associata la politica. AWS è più probabile che aggiorni una policy AWS gestita quando ne Servizio AWS viene lanciata una nuova o quando diventano disponibili nuove operazioni API per i servizi esistenti.

Per ulteriori informazioni, consultare Policy gestite da AWS nella Guida per l'utente di IAM.

AWS politica gestita: AWSSecurityHubFullAccess

È possibile allegare la policy AWSSecurityHubFullAccess alle identità IAM.

Questa politica concede autorizzazioni amministrative che consentono l'accesso completo principale a tutte le azioni CSPM di Security Hub. Questa politica deve essere associata a un principale prima che quest'ultimo abiliti manualmente Security Hub CSPM per il proprio account. Ad esempio, i responsabili con queste autorizzazioni possono sia visualizzare che aggiornare lo stato dei risultati. Possono anche configurare approfondimenti personalizzati, abilitare integrazioni e abilitare e disabilitare standard e controlli. I responsabili di un account amministratore possono anche gestire gli account dei membri.

Dettagli delle autorizzazioni

Questa policy include le seguenti autorizzazioni:

  • securityhub— Consente ai responsabili l'accesso completo a tutte le azioni CSPM di Security Hub.

  • guardduty— Consente ai responsabili di eseguire la gestione completa del ciclo di vita di un rilevatore, la gestione degli amministratori dell'organizzazione, la gestione degli account dei membri e la configurazione a livello di organizzazione in Amazon. GuardDuty Ciò include le azioni API: GetDetector,,,,,,, ListDetector. CreateDetector UpdateDetector DeleteDetector EnableOrganizationAdminAccount ListOrganizationAdminAccounts CreateMembers UpdateOrganizationConfiguration DescribeOrganizationConfiguration

  • iam— Consente ai responsabili di creare un ruolo collegato ai servizi per Security Hub CSPM e Security Hub e di ottenere ruoli, policy e versioni di policy.

  • inspector— Consente ai responsabili di ottenere informazioni sullo stato dell'account, abilitare o disabilitare, delegare la gestione amministrativa ed eseguire la gestione della configurazione dell'organizzazione in Amazon Inspector. Ciò include le azioni API: BatchGetAccountStatus, Abilita,,,, EnableDelegatedAdminAccount DisableDelegatedAdminAccount, ListDelegatedAdminAccounts. UpdateOrganizationConfiguration DescribeOrganizationConfiguration

  • pricing— Consente ai committenti di ottenere un listino prezzi Servizi AWS e prodotti.

  • account— Consente ai responsabili di ottenere informazioni sulle regioni degli account per supportare la gestione delle regioni in Security Hub.

Per esaminare le autorizzazioni relative a questa politica, consulta AWSSecurityHubFullAccessla AWS Managed Policy Reference Guide.

AWS politica gestita: AWSSecurityHubReadOnlyAccess

È possibile allegare la policy AWSSecurityHubReadOnlyAccess alle identità IAM.

Questa politica concede autorizzazioni di sola lettura che consentono agli utenti di visualizzare le informazioni in Security Hub CSPM. I responsabili a cui è allegata questa politica non possono effettuare aggiornamenti in Security Hub CSPM. Ad esempio, i responsabili con queste autorizzazioni possono visualizzare l'elenco dei risultati associati al proprio account, ma non possono modificare lo stato di un risultato. Possono visualizzare i risultati degli approfondimenti, ma non possono creare o configurare approfondimenti personalizzati. Non possono configurare controlli o integrazioni di prodotti.

Dettagli delle autorizzazioni

Questa policy include le seguenti autorizzazioni:

  • securityhub— Consente agli utenti di eseguire azioni che restituiscono un elenco di elementi o dettagli su un elemento. Ciò include le operazioni API che iniziano con GetList, oDescribe.

Per esaminare le autorizzazioni relative a questa policy, consulta AWSSecurityHubReadOnlyAccessla AWS Managed Policy Reference Guide.

AWS politica gestita: AWSSecurityHubOrganizationsAccess

È possibile allegare la policy AWSSecurityHubOrganizationsAccess alle identità IAM.

Questa politica concede le autorizzazioni amministrative per abilitare e gestire Security Hub, Security Hub CSPM, Amazon e GuardDuty Amazon Inspector per un'organizzazione in. AWS Organizations Le autorizzazioni per questa politica consentono all'account di gestione dell'organizzazione di designare l'account amministratore delegato per Security Hub, Security Hub CSPM, Amazon e GuardDuty Amazon Inspector. Consentono inoltre all'account amministratore delegato di abilitare gli account dell'organizzazione come account membro.

Questa politica fornisce solo le autorizzazioni per. AWS Organizations L'account di gestione dell'organizzazione e l'account amministratore delegato richiedono inoltre le autorizzazioni per le azioni associate. Queste autorizzazioni possono essere concesse utilizzando la politica gestitaAWSSecurityHubFullAccess.

La creazione o l'aggiornamento di una politica di amministratore delegato in un account di gestione richiede autorizzazioni aggiuntive non fornite in questa politica. Per eseguire queste azioni si consiglia di aggiungere autorizzazioni organizations:PutResourcePolicy o allegare la politica. AWSOrganizations FullAccess

Dettagli delle autorizzazioni

Questa policy include le seguenti autorizzazioni:

  • organizations:ListAccounts— Consente ai responsabili di recuperare l'elenco degli account che fanno parte di un'organizzazione.

  • organizations:DescribeOrganization— Consente ai dirigenti di recuperare informazioni sull'organizzazione.

  • organizations:ListRoots— Consente ai dirigenti di elencare la radice di un'organizzazione.

  • organizations:ListDelegatedAdministrators— Consente ai dirigenti di elencare l'amministratore delegato di un'organizzazione.

  • organizations:ListAWSServiceAccessForOrganization— Consente ai dirigenti di elencare le informazioni utilizzate da un' Servizi AWS organizzazione.

  • organizations:ListOrganizationalUnitsForParent— Consente ai responsabili di elencare le unità organizzative (OU) secondarie di un'unità organizzativa principale.

  • organizations:ListAccountsForParent— Consente ai responsabili di elencare gli account secondari di un'unità organizzativa principale.

  • organizations:ListParents— Elenca le unità principali o organizzative (OUs) che fungono da elemento principale dell'unità organizzativa o dell'account figlio specificato.

  • organizations:DescribeAccount: consente ai principali di recuperare informazioni su un account nell'organizzazione.

  • organizations:DescribeOrganizationalUnit— Consente ai responsabili di recuperare informazioni su un'unità organizzativa all'interno dell'organizzazione.

  • organizations:ListPolicies— Recupera l'elenco di tutte le politiche di un'organizzazione di un tipo specificato.

  • organizations:ListPoliciesForTarget— Elenca le politiche direttamente collegate alla radice, all'unità organizzativa (OU) o all'account di destinazione specificati.

  • organizations:ListTargetsForPolicy— Elenca tutte le radici, le unità organizzative (OUs) e gli account a cui è associata la politica specificata.

  • organizations:EnableAWSServiceAccess— Consente ai presidi di abilitare l'integrazione con Organizations.

  • organizations:RegisterDelegatedAdministrator— Consente ai responsabili di designare l'account amministratore delegato.

  • organizations:DeregisterDelegatedAdministrator— Consente ai responsabili di rimuovere l'account amministratore delegato.

  • organizations:DescribePolicy— Recupera informazioni su una politica.

  • organizations:DescribeEffectivePolicy— Restituisce il contenuto della politica effettiva per il tipo di politica e l'account specificati.

  • organizations:CreatePolicy— Crea una politica di un tipo specifico che è possibile allegare a una radice, a un'unità organizzativa (OU) o a un AWS account individuale.

  • organizations:UpdatePolicy— Aggiorna una politica esistente con un nuovo nome, descrizione o contenuto.

  • organizations:DeletePolicy— Elimina la politica specificata dall'organizzazione.

  • organizations:AttachPolicy— Associa una policy a una root, a un'unità organizzativa (OU) o a un account individuale.

  • organizations:DetachPolicy— Scollega una politica da una radice, un'unità organizzativa (OU) o un account di destinazione.

  • organizations:EnablePolicyType— Abilita un tipo di policy in una radice.

  • organizations:DisablePolicyType— Disattiva un tipo di politica organizzativa in una radice.

  • organizations:TagResource— Aggiunge uno o più tag a una risorsa specificata.

  • organizations:UntagResource— Rimuove tutti i tag con le chiavi specificate da una risorsa specificata.

  • organizations:ListTagsForResource— Elenca i tag allegati a una risorsa specificata.

  • organizations:DescribeResourcePolicy— Recupera informazioni su una politica delle risorse.

Per esaminare le autorizzazioni relative a questa politica, vedere AWSSecurityHubOrganizationsAccessla AWS Managed Policy Reference Guide.

AWS politica gestita: AWSSecurityHubServiceRolePolicy

Non è possibile collegare AWSSecurityHubServiceRolePolicyalle entità IAM. Questa policy è associata a un ruolo collegato al servizio che consente a Security Hub CSPM di eseguire azioni per conto dell'utente. Per ulteriori informazioni, consulta Ruoli collegati ai servizi per AWS Security Hub CSPM.

Questa politica concede autorizzazioni amministrative che consentono al ruolo collegato al servizio di eseguire attività come eseguire controlli di sicurezza per i controlli CSPM di Security Hub.

Dettagli delle autorizzazioni

Questa policy include le seguenti autorizzazioni:

  • cloudtrail— Recupera informazioni sui sentieri. CloudTrail

  • cloudwatch— Recupera gli allarmi correnti CloudWatch .

  • logs— Recupera i filtri metrici per i log. CloudWatch

  • sns— Recupera l'elenco delle sottoscrizioni a un argomento SNS.

  • config— Recupera informazioni sui registratori di configurazione, sulle risorse e sulle regole. AWS Config Consente inoltre al ruolo collegato al servizio di creare ed eliminare AWS Config regole e di eseguire valutazioni in base alle regole.

  • iam— Recupera e genera report sulle credenziali per gli account.

  • organizations— Recupera le informazioni sull'account e sull'unità organizzativa (OU) di un'organizzazione.

  • securityhub— Recupera informazioni su come sono configurati il servizio CSPM, gli standard e i controlli di Security Hub.

  • tag— Recupera informazioni sui tag delle risorse.

Per esaminare le autorizzazioni relative a questa politica, consulta AWSSecurityHubServiceRolePolicyla AWS Managed Policy Reference Guide.

AWS politica gestita: AWSSecurityHubV2ServiceRolePolicy

Nota

Security Hub è in versione di anteprima ed è soggetto a modifiche.

Questa politica consente a Security Hub di gestire AWS Config le regole e le risorse del Security Hub per l'organizzazione e per conto dell'utente. Questa policy è associata a un ruolo collegato al servizio che consente al servizio di eseguire azioni per conto dell'utente. Non è possibile allegare la policy alle identità IAM. Per ulteriori informazioni, consulta Ruoli collegati ai servizi per AWS Security Hub CSPM.

Dettagli delle autorizzazioni

Questa policy include le seguenti autorizzazioni:

  • cloudwatch— Recupera i dati delle metriche per supportare le funzionalità di misurazione per le risorse del Security Hub.

  • config— Gestione dei registratori di configurazione collegati ai servizi per le risorse Security Hub, incluso il supporto per i registratori Config globali.

  • ecr— Recupera informazioni sulle immagini e sugli archivi di Amazon Elastic Container Registry per supportare le funzionalità di misurazione.

  • iam— Crea il ruolo collegato al servizio AWS Config e recupera le informazioni sull'account per supportare le funzionalità di misurazione.

  • lambda— Recupera le informazioni sulle AWS Lambda funzioni per supportare le funzionalità di misurazione.

  • organizations— Recupera informazioni sull'account e sull'unità organizzativa (OU) di un'organizzazione.

  • securityhub— Gestire la configurazione del Security Hub.

  • tag— Recupera informazioni sui tag delle risorse.

Per esaminare le autorizzazioni relative a questa politica, consulta AWSSecurityHubV2ServiceRolePolicyla AWS Managed Policy Reference Guide.

Aggiornamenti del Security Hub alle policy AWS gestite

La tabella seguente fornisce dettagli sugli aggiornamenti alle politiche AWS gestite per AWS Security Hub e Security Hub CSPM da quando questo servizio ha iniziato a tenere traccia di queste modifiche. Per ricevere avvisi automatici sugli aggiornamenti delle politiche, iscriviti al feed RSS nella pagina della cronologia dei documenti di Security Hub.

Modifica Descrizione Data

AWSSecurityHubOrganizationsAccess— Politica aggiornata

Security Hub ha aggiornato la politica per aggiungere autorizzazioni per descrivere le politiche delle risorse per supportare le funzionalità di Security Hub. Security Hub è in versione di anteprima ed è soggetto a modifiche.

12 novembre 2025

AWSSecurityHubFullAccess— Politica aggiornata

Security Hub ha aggiornato la policy per aggiungere funzionalità di gestione GuardDuty, Amazon Inspector e gestione degli account per supportare le funzionalità di Security Hub. Security Hub è in versione di anteprima ed è soggetto a modifiche.

17 novembre 2025

AWSSecurityHUBv2 ServiceRolePolicy — Politica aggiornata

Security Hub ha aggiornato la policy per aggiungere funzionalità di misurazione per Amazon Elastic Container Registry AWS Lambda CloudWatch, Amazon e AWS Identity and Access Management per supportare le funzionalità di Security Hub. L'aggiornamento ha inoltre aggiunto il supporto per i AWS Config registratori globali. Security Hub è in versione di anteprima ed è soggetto a modifiche.

5 novembre 2025
AWSSecurityHubOrganizationsAccess: aggiornamento di una policy esistente Security Hub ha aggiunto nuove autorizzazioni alla policy. Le autorizzazioni consentono alla direzione dell'organizzazione di abilitare e gestire Security Hub e Security Hub CSPM per un'organizzazione. 17 giugno 2025

AWSSecurityHubFullAccess: aggiornamento di una policy esistente

Security Hub CSPM ha aggiunto nuove autorizzazioni che consentono ai responsabili di creare un ruolo collegato al servizio per Security Hub.

 17 giugno 2025
AWSSecurityHubFullAccess— Aggiornamento a una politica esistente Security Hub CSPM ha aggiornato la politica per ottenere dettagli sui prezzi Servizi AWS e sui prodotti. 24 aprile 2024
AWSSecurityHubReadOnlyAccess— Aggiornamento a una politica esistente Security Hub CSPM ha aggiornato questa politica gestita aggiungendo un Sid campo. 22 febbraio 2024
AWSSecurityHubFullAccess— Aggiornamento a una politica esistente Security Hub CSPM ha aggiornato la policy in modo da determinare se Amazon GuardDuty e Amazon Inspector sono abilitati in un account. Questo aiuta i clienti a riunire più informazioni relative alla sicurezza. Servizi AWS 16 novembre 2023
AWSSecurityHubOrganizationsAccess— Aggiornamento a una politica esistente Security Hub CSPM ha aggiornato la politica per concedere autorizzazioni aggiuntive per consentire l'accesso in sola lettura alle funzionalità di amministratore delegato. AWS Organizations Ciò include dettagli come la radice, le unità organizzative (OUs), gli account, la struttura organizzativa e l'accesso al servizio. 16 novembre 2023
AWSSecurityHubServiceRolePolicy: aggiornamento di una policy esistente Security Hub CSPM ha aggiunto le BatchGetSecurityControls autorizzazioni e UpdateSecurityControl le autorizzazioni per leggere e aggiornare le proprietà di controllo di sicurezza personalizzabili. DisassociateFromAdministratorAccount 26 novembre 2023
AWSSecurityHubServiceRolePolicy: aggiornamento di una policy esistente Security Hub CSPM ha aggiunto l'tag:GetResourcesautorizzazione a leggere i tag delle risorse relativi ai risultati. 7 novembre 2023
AWSSecurityHubServiceRolePolicy: aggiornamento di una policy esistente Security Hub CSPM ha aggiunto l'BatchGetStandardsControlAssociationsautorizzazione per ottenere informazioni sullo stato di abilitazione di un controllo in uno standard. 27 settembre 2023
AWSSecurityHubServiceRolePolicy: aggiornamento di una policy esistente Security Hub CSPM ha aggiunto nuove autorizzazioni per ottenere AWS Organizations dati e leggere e aggiornare le configurazioni CSPM di Security Hub, inclusi standard e controlli. 20 settembre 2023
AWSSecurityHubServiceRolePolicy: aggiornamento di una policy esistente Security Hub CSPM ha spostato l'config:DescribeConfigRuleEvaluationStatusautorizzazione esistente in una dichiarazione diversa all'interno della politica. L'config:DescribeConfigRuleEvaluationStatusautorizzazione viene ora applicata a tutte le risorse. 17 marzo 2023
AWSSecurityHubServiceRolePolicy: aggiornamento di una policy esistente Security Hub CSPM ha spostato l'config:PutEvaluationsautorizzazione esistente in una dichiarazione diversa all'interno della politica. L'config:PutEvaluationsautorizzazione viene ora applicata a tutte le risorse. 14 luglio 2021
AWSSecurityHubServiceRolePolicy: aggiornamento di una policy esistente Security Hub CSPM ha aggiunto una nuova autorizzazione per consentire al ruolo collegato al servizio di fornire risultati di valutazione. AWS Config 29 giugno 2021
AWSSecurityHubServiceRolePolicy— Aggiunto all'elenco delle politiche gestite Sono state aggiunte informazioni sulla policy gestita AWSSecurityHubServiceRolePolicy, utilizzata dal ruolo collegato al servizio Security Hub CSPM. 11 giugno 2021
AWSSecurityHubOrganizationsAccess— Nuova politica Security Hub CSPM ha aggiunto una nuova politica che concede le autorizzazioni necessarie per l'integrazione del Security Hub CSPM con Organizations. 15 marzo 2021
Security Hub CSPM ha iniziato a tracciare le modifiche Security Hub CSPM ha iniziato a tenere traccia delle modifiche per le sue politiche AWS gestite. 15 marzo 2021