Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Politiche chiave KMS per le integrazioni di ticketing di Security Hub
<a name="securityhub-v2-integrations-key-policy"></a>

 Quando si utilizzano chiavi KMS gestite dal cliente con integrazioni di ticketing Security Hub, è necessario aggiungere politiche aggiuntive alla chiave KMS per consentire a Security Hub di interagire con la chiave. Inoltre, è necessario aggiungere politiche che consentano al principale che sta aggiungendo la chiave al connettore Security Hub le autorizzazioni di accedere alla chiave. 

## Politica delle autorizzazioni di Security Hub
<a name="securityhub-permissions-policy"></a>

 La seguente politica delinea le autorizzazioni di cui Security Hub ha bisogno per poter accedere e utilizzare la chiave KMS associata a Jira e ai connettori. ServiceNow Questa politica deve essere aggiunta a ogni chiave KMS associata a un connettore Security Hub. 

La politica contiene le seguenti autorizzazioni:
+  Consente a Security Hub di proteggere, accedere temporaneamente o aggiornare i token utilizzati per comunicare con le integrazioni di ticketing utilizzando la chiave. Le autorizzazioni sono limitate alle operazioni relative a specifici connettori di Security Hub tramite il blocco delle condizioni che controlla l'ARN di origine e il contesto di crittografia. 
+  Consente a Security Hub di leggere i metadati sulla chiave KMS consentendone l'operazione. `DescribeKey` Questa autorizzazione è necessaria a Security Hub per verificare lo stato e la configurazione della chiave. L'accesso è limitato a connettori Security Hub specifici tramite la condizione ARN di origine. 

```
{
    "Sid": "Allow Security Hub access to the customer managed key",
    "Effect": "Allow",
    "Principal": {
        "Service": "connector.securityhub.amazonaws.com"
    },
    "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt",
        "kms:ReEncrypt*"
    ],
    "Resource": "*",
    "Condition": {
        "ArnLike": {
            "aws:SourceArn": "arn:aws:securityhub:{{Region}}:{{AccountId}}:connectorv2/*"
        },
        "StringLike": {
            "kms:EncryptionContext:aws:securityhub:connectorV2Arn": "arn:aws:securityhub:{{Region}}:{{AccountId}}:connectorv2/*",
            "kms:EncryptionContext:aws:securityhub:providerName": "{{CloudProviderName}}"
        }
    }
},
{
    "Sid": "Allow Security Hub read access to the customer managed key",
    "Effect": "Allow",
    "Principal": {
        "Service": "connector.securityhub.amazonaws.com"
    },
    "Action": [
        "kms:DescribeKey"
    ],
    "Resource": "*",
    "Condition": {
        "ArnLike": {
            "aws:SourceArn": "arn:aws:securityhub:{{Region}}:{{AccountId}}:connectorv2/*"
        }
    }
}
```

 Modifica la policy sostituendo i seguenti valori nell'esempio di policy: 
+  Sostituisci {{CloudProviderName}} con `JIRA_CLOUD` o `SERVICENOW` 
+  Sostituisci {{AccountId}} con l'ID dell'account in cui stai creando il connettore Security Hub. 
+  Sostituiscilo {{Region}} con la tua AWS regione (ad esempio,`us-east-1`). 

## Accesso principale IAM per le operazioni del Security Hub
<a name="iam-principal-access-policy"></a>

 Qualsiasi principale che assegnerà chiavi KMS gestite dal cliente a un connettore Security Hub deve disporre delle autorizzazioni per eseguire operazioni chiave (descrivere, generare, decrittografare, ricrittografare ed elencare gli alias) per la chiave che viene aggiunta al connettore. Questo [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateConnectorV2.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateConnectorV2.html)vale per e. [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateTicketV2.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateTicketV2.html) APIs La seguente dichiarazione politica dovrebbe essere inclusa come parte della politica per tutti i principali che interagiranno con questi APIs. 

```
{
    "Sid": "Allow permissions to access key through Security Hub",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::{{AccountId}}:role/{{RoleName}}"
    },
    "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt",
        "kms:ReEncrypt*"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "kms:ViaService": [
                "securityhub.{{Region}}.amazonaws.com"
            ]
        },
        "StringLike": {
            "kms:EncryptionContext:aws:securityhub:providerName": "{{CloudProviderName}}"
        }
    }
},
{
    "Sid": "Allow read permissions to access key through Security Hub",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::{{AccountId}}:role/{{RoleName}}"
    },
    "Action": [
        "kms:DescribeKey"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "kms:ViaService": [
                "securityhub.{{Region}}.amazonaws.com"
            ]
        }
    }
}
```

 Modifica la politica sostituendo i seguenti valori nell'esempio della politica: 
+  Sostituisci {{RoleName}} con il nome del ruolo IAM che effettua chiamate a Security Hub. 
+  Sostituisci {{CloudProviderName}} con `JIRA_CLOUD` o `SERVICENOW`. 
+  Sostituisci {{AccountId}} con l'ID dell'account in cui stai creando il connettore Security Hub. 
+  Sostituiscilo {{Region}} con la tua AWS regione (ad esempio,`us-east-1`).