Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
AWS politiche gestite per Security Hub
Una politica AWS gestita è una politica autonoma creata e amministrata da. AWS AWS le politiche gestite sono progettate per fornire autorizzazioni per molti casi d'uso comuni, in modo da poter iniziare ad assegnare autorizzazioni a utenti, gruppi e ruoli.
Tieni presente che le policy AWS gestite potrebbero non concedere le autorizzazioni con il privilegio minimo per i tuoi casi d'uso specifici, poiché sono disponibili per tutti i clienti. AWS Ti consigliamo pertanto di ridurre ulteriormente le autorizzazioni definendo policy gestite dal cliente specifiche per i tuoi casi d'uso.
Non è possibile modificare le autorizzazioni definite nelle politiche gestite. AWS Se AWS aggiorna le autorizzazioni definite in una politica AWS gestita, l'aggiornamento ha effetto su tutte le identità principali (utenti, gruppi e ruoli) a cui è associata la politica. AWS è più probabile che aggiorni una policy AWS gestita quando ne Servizio AWS viene lanciata una nuova o quando diventano disponibili nuove operazioni API per i servizi esistenti.
Per ulteriori informazioni, consultare Policy gestite da AWSnella Guida per l'utente di IAM.
AWS politica gestita: AWSSecurityHubFullAccess
È possibile allegare la policy AWSSecurityHubFullAccess alle identità IAM.
Questa politica concede autorizzazioni amministrative che consentono l'accesso completo principale a tutte le azioni CSPM di Security Hub. Questa politica deve essere associata a un principale prima che quest'ultimo abiliti manualmente Security Hub CSPM per il proprio account. Ad esempio, i responsabili con queste autorizzazioni possono sia visualizzare che aggiornare lo stato dei risultati. Possono configurare approfondimenti personalizzati e abilitare integrazioni. Possono abilitare e disabilitare standard e controlli. I responsabili di un account amministratore possono anche gestire gli account dei membri.
Dettagli dell'autorizzazione
Questa policy include le seguenti autorizzazioni:
-
securityhub— Consente ai responsabili l'accesso completo a tutte le azioni CSPM di Security Hub. -
guardduty— Consente ai responsabili di ottenere informazioni sullo stato dell'account in Amazon GuardDuty. -
iam— Consente ai responsabili di creare un ruolo collegato ai servizi per Security Hub CSPM e Security Hub. -
inspector— Consente ai responsabili di ottenere informazioni sullo stato dell'account in Amazon Inspector. -
pricing— Consente ai committenti di ottenere un listino prezzi e prodotti. Servizi AWS
{ "Version": "2012-10-17", "Statement": [ { "Sid": "SecurityHubAllowAll", "Effect": "Allow", "Action": "securityhub:*", "Resource": "*" }, { "Sid": "SecurityHubServiceLinkedRole", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringLike": { "iam:AWSServiceName": [ "securityhub.amazonaws.com", "securityhubv2.amazonaws.com" ] } } }, { "Sid": "OtherServicePermission", "Effect": "Allow", "Action": [ "guardduty:GetDetector", "guardduty:ListDetectors", "inspector2:BatchGetAccountStatus", "pricing:GetProducts" ], "Resource": "*" } ] }
Politica gestita da Security Hub CSPM: AWSSecurityHubReadOnlyAccess
È possibile allegare la policy AWSSecurityHubReadOnlyAccess alle identità IAM.
Questa politica concede autorizzazioni di sola lettura che consentono agli utenti di visualizzare le informazioni in Security Hub CSPM. I responsabili a cui è allegata questa politica non possono effettuare aggiornamenti in Security Hub CSPM. Ad esempio, i responsabili con queste autorizzazioni possono visualizzare l'elenco dei risultati associati al proprio account, ma non possono modificare lo stato di un risultato. Possono visualizzare i risultati degli approfondimenti, ma non possono creare o configurare approfondimenti personalizzati. Non possono configurare controlli o integrazioni di prodotti.
Dettagli dell'autorizzazione
Questa policy include le seguenti autorizzazioni:
-
securityhub— Consente agli utenti di eseguire azioni che restituiscono un elenco di elementi o dettagli su un elemento. Sono incluse le operazioni API che iniziano conGetList, oDescribe.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSSecurityHubReadOnlyAccess", "Effect": "Allow", "Action": [ "securityhub:Get*", "securityhub:List*", "securityhub:BatchGet*", "securityhub:Describe*" ], "Resource": "*" } ] }
AWS politica gestita: AWSSecurityHubOrganizationsAccess
È possibile allegare la policy AWSSecurityHubOrganizationsAccess alle identità IAM.
Questa politica concede le autorizzazioni amministrative per abilitare e gestire Security Hub e Security Hub CSPM all'interno di un'organizzazione.
Le autorizzazioni di questa politica consentono all'account di gestione dell'organizzazione di designare l'account amministratore delegato per Security Hub e Security Hub CSPM. Consentono inoltre all'account amministratore delegato di abilitare gli account dell'organizzazione come account membro.
Questa politica fornisce solo le autorizzazioni per Organizations. L'account di gestione dell'organizzazione e l'account amministratore delegato richiedono inoltre le autorizzazioni per le azioni associate. Queste autorizzazioni possono essere concesse utilizzando la politica gestitaAWSSecurityHubFullAccess.
Dettagli dell'autorizzazione
Questa policy include le seguenti autorizzazioni:
-
organizations:ListAccounts— Consente ai responsabili di recuperare l'elenco degli account che fanno parte di un'organizzazione. -
organizations:DescribeOrganization— Consente ai dirigenti di recuperare informazioni sull'organizzazione. -
organizations:ListRoots— Consente ai dirigenti di elencare la radice di un'organizzazione. -
organizations:ListDelegatedAdministrators— Consente ai dirigenti di elencare l'amministratore delegato di un'organizzazione. -
organizations:ListAWSServiceAccessForOrganization— Consente ai dirigenti di elencare le informazioni utilizzate da un' Servizi AWS organizzazione. -
organizations:ListOrganizationalUnitsForParent— Consente ai responsabili di elencare le unità organizzative (OU) secondarie di un'unità organizzativa principale. -
organizations:ListAccountsForParent— Consente ai responsabili di elencare gli account secondari di un'unità organizzativa principale. -
organizations:ListParents— Elenca le unità principali o organizzative (OUs) che fungono da elemento principale dell'unità organizzativa o dell'account figlio specificato. -
organizations:DescribeAccount: consente ai principali di recuperare informazioni su un account nell'organizzazione. -
organizations:DescribeOrganizationalUnit— Consente ai responsabili di recuperare informazioni su un'unità organizzativa all'interno dell'organizzazione. -
organizations:ListPolicies— Recupera l'elenco di tutte le politiche di un'organizzazione di un tipo specificato. -
organizations:ListPoliciesForTarget— Elenca le politiche direttamente collegate alla radice, all'unità organizzativa (OU) o all'account di destinazione specificati. -
organizations:ListTargetsForPolicy— Elenca tutte le radici, le unità organizzative (OUs) e gli account a cui è associata la politica specificata. -
organizations:EnableAWSServiceAccess— Consente ai presidi di abilitare l'integrazione con Organizations. -
organizations:RegisterDelegatedAdministrator— Consente ai responsabili di designare l'account amministratore delegato. -
organizations:DeregisterDelegatedAdministrator— Consente ai responsabili di rimuovere l'account amministratore delegato. -
organizations:DescribePolicy— Recupera informazioni su una politica. -
organizations:DescribeEffectivePolicy— Restituisce il contenuto della politica effettiva per il tipo di politica e l'account specificati. -
organizations:CreatePolicy— Crea una politica di un tipo specifico che è possibile allegare a una radice, a un'unità organizzativa (OU) o a un AWS account individuale. -
organizations:UpdatePolicy— Aggiorna una politica esistente con un nuovo nome, descrizione o contenuto. -
organizations:DeletePolicy— Elimina la politica specificata dall'organizzazione. -
organizations:AttachPolicy— Associa una policy a una root, a un'unità organizzativa (OU) o a un account individuale. -
organizations:DetachPolicy— Scollega una politica da una radice, un'unità organizzativa (OU) o un account di destinazione. -
organizations:EnablePolicyType— Abilita un tipo di policy in una radice. -
organizations:DisablePolicyType— Disattiva un tipo di politica organizzativa in una radice. -
organizations:TagResource— Aggiunge uno o più tag alla risorsa specificata. -
organizations:UntagResource— Rimuove tutti i tag con le chiavi specificate dalla risorsa specificata. -
organizations:ListTagsForResource— Elenca i tag allegati alla risorsa specificata.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "OrganizationPermissions", "Effect": "Allow", "Action": [ "organizations:ListAccounts", "organizations:DescribeOrganization", "organizations:ListRoots", "organizations:ListDelegatedAdministrators", "organizations:ListAWSServiceAccessForOrganization", "organizations:ListOrganizationalUnitsForParent", "organizations:ListAccountsForParent", "organizations:ListParents", "organizations:DescribeAccount", "organizations:DescribeOrganizationalUnit", "organizations:ListPolicies", "organizations:ListPoliciesForTarget", "organizations:ListTargetsForPolicy" ], "Resource": "*" }, { "Sid": "OrganizationPermissionsEnable", "Effect": "Allow", "Action": "organizations:EnableAWSServiceAccess", "Resource": "*", "Condition": { "StringEquals": { "organizations:ServicePrincipal": "securityhub.amazonaws.com" } } }, { "Sid": "OrganizationPermissionsDelegatedAdmin", "Effect": "Allow", "Action": [ "organizations:RegisterDelegatedAdministrator", "organizations:DeregisterDelegatedAdministrator" ], "Resource": "arn:aws:organizations::*:account/o-*/*", "Condition": { "StringEquals": { "organizations:ServicePrincipal": "securityhub.amazonaws.com" } } }, { "Sid": "OrganizationPolicyPermissions", "Effect": "Allow", "Action": [ "organizations:DescribePolicy", "organizations:DescribeEffectivePolicy", "organizations:CreatePolicy", "organizations:UpdatePolicy", "organizations:DeletePolicy", "organizations:AttachPolicy", "organizations:DetachPolicy", "organizations:EnablePolicyType", "organizations:DisablePolicyType" ], "Resource": [ "arn:aws:organizations::*:root/o-*/*", "arn:aws:organizations::*:account/o-*/*", "arn:aws:organizations::*:ou/o-*/*", "arn:aws:organizations::*:policy/o-*/securityhub_policy/*" ], "Condition": { "StringLikeIfExists": { "organizations:PolicyType": "SECURITYHUB_POLICY" } } }, { "Sid": "OrganizationPolicyTaggingPermissions", "Effect": "Allow", "Action": [ "organizations:TagResource", "organizations:UntagResource", "organizations:ListTagsForResource" ], "Resource": [ "arn:aws:organizations::*:policy/o-*/securityhub_policy/*" ] } ] }
AWS politica gestita: AWSSecurityHubServiceRolePolicy
Non è possibile collegare AWSSecurityHubServiceRolePolicyalle entità IAM. Questa policy è associata a un ruolo collegato al servizio che consente a Security Hub CSPM di eseguire azioni per conto dell'utente. Per ulteriori informazioni, consulta Ruoli collegati ai servizi per AWS Security Hub.
Questa politica concede autorizzazioni amministrative che consentono al ruolo collegato al servizio di eseguire i controlli di sicurezza per i controlli CSPM di Security Hub.
Dettagli dell'autorizzazione
Questa policy include le autorizzazioni per eseguire le seguenti operazioni:
-
cloudtrail— Recupera informazioni sui sentieri. CloudTrail -
cloudwatch— Recupera gli allarmi correnti CloudWatch . -
logs— Recupera i filtri metrici per i log. CloudWatch -
sns— Recupera l'elenco delle sottoscrizioni a un argomento SNS. -
config— Recupera informazioni sui registratori di configurazione, sulle risorse e sulle regole. AWS Config Consente inoltre al ruolo collegato al servizio di creare ed eliminare AWS Config regole e di eseguire valutazioni in base alle regole. -
iam— Ottieni e genera report sulle credenziali per gli account. -
organizations— Recupera informazioni sull'account e sull'unità organizzativa (OU) di un'organizzazione. -
securityhub— Recupera informazioni su come sono configurati il servizio CSPM, gli standard e i controlli di Security Hub. -
tag— Recupera informazioni sui tag delle risorse.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "SecurityHubServiceRolePermissions", "Effect": "Allow", "Action": [ "cloudtrail:DescribeTrails", "cloudtrail:GetTrailStatus", "cloudtrail:GetEventSelectors", "cloudwatch:DescribeAlarms", "cloudwatch:DescribeAlarmsForMetric", "logs:DescribeMetricFilters", "sns:ListSubscriptionsByTopic", "config:DescribeConfigurationRecorders", "config:DescribeConfigurationRecorderStatus", "config:DescribeConfigRules", "config:DescribeConfigRuleEvaluationStatus", "config:BatchGetResourceConfig", "config:SelectResourceConfig", "iam:GenerateCredentialReport", "organizations:ListAccounts", "config:PutEvaluations", "tag:GetResources", "iam:GetCredentialReport", "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:ListChildren", "organizations:ListAWSServiceAccessForOrganization", "organizations:DescribeOrganizationalUnit", "securityhub:BatchDisableStandards", "securityhub:BatchEnableStandards", "securityhub:BatchUpdateStandardsControlAssociations", "securityhub:BatchGetSecurityControls", "securityhub:BatchGetStandardsControlAssociations", "securityhub:CreateMembers", "securityhub:DeleteMembers", "securityhub:DescribeHub", "securityhub:DescribeOrganizationConfiguration", "securityhub:DescribeStandards", "securityhub:DescribeStandardsControls", "securityhub:DisassociateFromAdministratorAccount", "securityhub:DisassociateMembers", "securityhub:DisableSecurityHub", "securityhub:EnableSecurityHub", "securityhub:GetEnabledStandards", "securityhub:ListStandardsControlAssociations", "securityhub:ListSecurityControlDefinitions", "securityhub:UpdateOrganizationConfiguration", "securityhub:UpdateSecurityControl", "securityhub:UpdateSecurityHubConfiguration", "securityhub:UpdateStandardsControl", "tag:GetResources" ], "Resource": "*" }, { "Sid": "SecurityHubServiceRoleConfigPermissions", "Effect": "Allow", "Action": [ "config:PutConfigRule", "config:DeleteConfigRule", "config:GetComplianceDetailsByConfigRule" ], "Resource": "arn:aws:config:*:*:config-rule/aws-service-rule/*securityhub*" }, { "Sid": "SecurityHubServiceRoleOrganizationsPermissions", "Effect": "Allow", "Action": [ "organizations:ListDelegatedAdministrators" ], "Resource": "*", "Condition": { "StringEquals": { "organizations:ServicePrincipal": [ "securityhub.amazonaws.com" ] } } } ] }
AWS politica gestita: AWSSecurityHubV2ServiceRolePolicy
Nota
Security Hub è in versione di anteprima ed è soggetto a modifiche.
Questa politica consente a Security Hub di gestire AWS Config le regole e le risorse del Security Hub all'interno dell'organizzazione e per conto dell'utente. Questa policy è associata a un ruolo collegato al servizio che consente al servizio di eseguire azioni per conto dell'utente. Non puoi collegare questa policy ai tuoi utenti, gruppi o ruoli. Per ulteriori informazioni, consulta Ruoli collegati ai servizi per AWS Security Hub.
Dettagli dell'autorizzazione
Questa policy include le autorizzazioni per eseguire le seguenti operazioni:
-
config— Gestisce i registratori di configurazione collegati ai servizi per le risorse del Security Hub. -
iam— Crea il ruolo collegato al servizio per. AWS Config -
organizations— Recupera le informazioni sull'account e sull'unità organizzativa (OU) di un'organizzazione. -
securityhub— Gestisce la configurazione del Security Hub. -
tag— Recupera informazioni sui tag delle risorse.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "SecurityHubV2ServiceRoleAssetsConfig", "Effect": "Allow", "Action": [ "config:DeleteServiceLinkedConfigurationRecorder", "config:DescribeConfigurationRecorders", "config:DescribeConfigurationRecorderStatus", "config:PutServiceLinkedConfigurationRecorder" ], "Resource": "arn:aws:config:*:*:configuration-recorder/AWSConfigurationRecorderForSecurityHubAssets/*" }, { "Sid": "SecurityHubV2ServiceRoleAssetsIamPermissions", "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "arn:aws:iam::*:role/aws-service-role/config.amazonaws.com/AWSServiceRoleForConfig", "Condition": { "StringEquals": { "iam:AWSServiceName": "config.amazonaws.com" } } }, { "Sid": "SecurityHubV2ServiceRoleSecurityHubPermissions", "Effect": "Allow", "Action": [ "securityhub:DisableSecurityHubV2", "securityhub:EnableSecurityHubV2", "securityhub:DescribeSecurityHubV2" ], "Resource": "arn:aws:securityhub:*:*:hubv2/*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "SecurityHubV2ServiceRoleTagPermissions", "Effect": "Allow", "Action": [ "tag:GetResources" ], "Resource": "*" }, { "Sid": "SecurityHubV2ServiceRoleOrganizationsPermissionsOnResources", "Effect": "Allow", "Action": [ "organizations:DescribeAccount", "organizations:DescribeOrganizationalUnit" ], "Resource": "arn:aws:organizations::*:*" }, { "Sid": "SecurityHubV2ServiceRoleOrganizationsPermissionsWithoutResources", "Effect": "Allow", "Action": [ "organizations:DescribeOrganization", "organizations:ListAccounts", "organizations:ListAWSServiceAccessForOrganization", "organizations:ListChildren" ], "Resource": "*" }, { "Sid": "SecurityHubV2ServiceRoleDelegatedAdminPermissions", "Effect": "Allow", "Action": [ "organizations:ListDelegatedAdministrators" ], "Resource": "*", "Condition": { "StringEquals": { "organizations:ServicePrincipal": [ "securityhub.amazonaws.com" ] } } } ] }
Aggiornamenti CSPM di Security Hub alle policy AWS gestite
Visualizza i dettagli sugli aggiornamenti delle politiche AWS gestite per Security Hub CSPM da quando questo servizio ha iniziato a tenere traccia di queste modifiche. Per avvisi automatici sulle modifiche a questa pagina, iscriviti al feed RSS nella pagina della cronologia dei documenti CSPM di Security Hub.
| Modifica | Descrizione | Data |
|---|---|---|
| AWSSecurityHubOrganizationsAccess: aggiornamento a policy esistente | Security Hub CSPM ha aggiunto una nuova autorizzazione a. AWSSecurityHubOrganizationsAccess L'autorizzazione consente alla direzione dell'organizzazione di abilitare e gestire Security Hub e Security Hub CSPM all'interno di un'organizzazione. |
17 giugno 2025 |
|
AWSSecurityHubOrganizationsAccess: aggiornamento a una policy esistente |
Sono state aggiunte nuove autorizzazioni che consentono alla gestione dell'organizzazione di abilitare e gestire Security Hub e Security Hub CSPM all'interno di un'organizzazione. |
17 giugno 2025 |
|
AWSSecurityHubFullAccess: aggiornamento a una policy esistente |
Security Hub CSPM ha aggiunto una nuova autorizzazione che consente ai responsabili di creare un ruolo collegato al servizio per Security Hub. |
17 giugno 2025 |
|
AWSSecurityHUBv2 ServiceRolePolicy — Nuova politica |
Security Hub ha aggiunto una nuova politica per consentire a Security Hub di gestire AWS Config le regole e le risorse del Security Hub nell'organizzazione di un cliente e per conto del cliente. Security Hub è in versione di anteprima ed è soggetto a modifiche. |
17 giugno 2025 |
| AWSSecurityHubFullAccess— Aggiornamento a una politica esistente | Security Hub CSPM ha aggiornato la politica per ottenere dettagli sui prezzi Servizi AWS e sui prodotti. | 24 aprile 2024 |
| AWSSecurityHubReadOnlyAccess— Aggiornamento a una politica esistente | Security Hub CSPM ha aggiornato questa politica gestita aggiungendo un Sid campo. |
22 febbraio 2024 |
| AWSSecurityHubFullAccess— Aggiornamento a una politica esistente | Security Hub CSPM ha aggiornato la policy in modo da determinare se Amazon GuardDuty e Amazon Inspector sono abilitati in un account. Questo aiuta i clienti a riunire più informazioni relative alla sicurezza. Servizi AWS | 16 novembre 2023 |
| AWSSecurityHubOrganizationsAccess— Aggiornamento a una politica esistente | Security Hub CSPM ha aggiornato la politica per concedere autorizzazioni aggiuntive per consentire l'accesso in sola lettura alle funzionalità di amministratore delegato. AWS Organizations Ciò include dettagli come la radice, le unità organizzative (OUs), gli account, la struttura organizzativa e l'accesso al servizio. | 16 novembre 2023 |
| AWSSecurityHubServiceRolePolicy: aggiornamento a una policy esistente | Security Hub CSPM ha aggiunto le BatchGetSecurityControls autorizzazioni e UpdateSecurityControl le autorizzazioni per leggere e aggiornare le proprietà di controllo di sicurezza personalizzabili. DisassociateFromAdministratorAccount |
26 novembre 2023 |
| AWSSecurityHubServiceRolePolicy: aggiornamento a una policy esistente | Security Hub CSPM ha aggiunto l'tag:GetResourcesautorizzazione a leggere i tag delle risorse relativi ai risultati. |
7 novembre 2023 |
| AWSSecurityHubServiceRolePolicy: aggiornamento a una policy esistente | Security Hub CSPM ha aggiunto l'BatchGetStandardsControlAssociationsautorizzazione per ottenere informazioni sullo stato di abilitazione di un controllo in uno standard. |
27 settembre 2023 |
| AWSSecurityHubServiceRolePolicy: aggiornamento a una policy esistente | Security Hub CSPM ha aggiunto nuove autorizzazioni per ottenere AWS Organizations dati e leggere e aggiornare le configurazioni CSPM di Security Hub, inclusi standard e controlli. | 20 settembre 2023 |
| AWSSecurityHubServiceRolePolicy: aggiornamento a una policy esistente | Security Hub CSPM ha spostato l'config:DescribeConfigRuleEvaluationStatusautorizzazione esistente in una dichiarazione diversa all'interno della politica. L'config:DescribeConfigRuleEvaluationStatusautorizzazione viene ora applicata a tutte le risorse. |
17 marzo 2023 |
| AWSSecurityHubServiceRolePolicy: aggiornamento a una policy esistente | Security Hub CSPM ha spostato l'config:PutEvaluationsautorizzazione esistente in una dichiarazione diversa all'interno della politica. L'config:PutEvaluationsautorizzazione viene ora applicata a tutte le risorse. |
14 luglio 2021 |
| AWSSecurityHubServiceRolePolicy: aggiornamento a una policy esistente | Security Hub CSPM ha aggiunto una nuova autorizzazione per consentire al ruolo collegato al servizio di fornire risultati di valutazione. AWS Config | 29 giugno 2021 |
| AWSSecurityHubServiceRolePolicy— Aggiunto all'elenco delle politiche gestite | Sono state aggiunte informazioni sulla policy gestita AWSSecurityHubServiceRolePolicy, utilizzata dal ruolo collegato al servizio Security Hub CSPM. | 11 giugno 2021 |
| AWSSecurityHubOrganizationsAccess— Nuova politica | Security Hub CSPM ha aggiunto una nuova politica che concede le autorizzazioni necessarie per l'integrazione del Security Hub CSPM con Organizations. | 15 marzo 2021 |
| Security Hub CSPM ha iniziato a tracciare le modifiche | Security Hub CSPM ha iniziato a tenere traccia delle modifiche per le sue politiche AWS gestite. | 15 marzo 2021 |
