Ruoli collegati ai servizi per AWS Security Hub CSPM - AWS Security Hub
Autorizzazioni di ruolo collegate ai servizi per Security Hub CSPMCreazione di un ruolo collegato al servizio per Security Hub CSPMModifica di un ruolo collegato al servizio per Security Hub CSPMEliminazione di un ruolo collegato al servizio per Security Hub CSPMRuolo collegato ai servizi per AWS Security Hub V2

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Ruoli collegati ai servizi per AWS Security Hub CSPM

AWS Security Hub CSPM utilizza un ruolo collegato al servizio AWS Identity and Access Management (IAM) denominato. AWSServiceRoleForSecurityHub Questo ruolo collegato al servizio è un ruolo IAM collegato direttamente al Security Hub CSPM. È predefinito da Security Hub CSPM e include tutte le autorizzazioni richieste da Security Hub CSPM per chiamare altre persone Servizi AWS e monitorare le risorse per tuo conto. AWS Security Hub CSPM utilizza questo ruolo collegato al servizio in tutti i casi in cui Security Regioni AWS Hub CSPM è disponibile.

Un ruolo collegato al servizio semplifica la configurazione di Security Hub CSPM perché non è necessario aggiungere manualmente le autorizzazioni necessarie. Security Hub CSPM definisce le autorizzazioni del suo ruolo collegato al servizio e, se non diversamente definito, solo Security Hub CSPM può assumere il ruolo. Le autorizzazioni definite includono la politica di fiducia e la politica delle autorizzazioni e non è possibile collegare tale politica di autorizzazioni a nessun'altra entità IAM.

Per esaminare i dettagli del ruolo collegato al servizio, puoi utilizzare la console CSPM di Security Hub. Nel riquadro di navigazione, scegli Generale in Impostazioni. Quindi, nella sezione Autorizzazioni di servizio, scegli Visualizza le autorizzazioni del servizio.

È possibile eliminare il ruolo collegato al servizio Security Hub CSPM solo dopo aver disabilitato Security Hub CSPM in tutte le regioni in cui è abilitato. Questo protegge le tue risorse CSPM di Security Hub perché non puoi rimuovere inavvertitamente le autorizzazioni per accedervi.

Per informazioni su altri servizi che supportano i ruoli collegati ai servizi, consulta i AWS servizi che funzionano con IAM nella Guida per l'utente di IAM e individua i servizi con Sì nella colonna Ruoli collegati ai servizi. Scegli un con un link per consultare la documentazione del ruolo collegato al servizio per quel servizio.

Autorizzazioni di ruolo collegate ai servizi per Security Hub CSPM

Security Hub CSPM utilizza il ruolo collegato al servizio denominato. AWSServiceRoleForSecurityHub È un ruolo collegato al servizio necessario per accedere alle tue risorse. AWS Security Hub CSPM Questo ruolo collegato al servizio consente a Security Hub CSPM di eseguire attività come ricevere risultati da altri Servizi AWS e configurare l' AWS Config infrastruttura necessaria per eseguire i controlli di sicurezza. Ai fini dell'assunzione del ruolo AWSServiceRoleForSecurityHub, il ruolo collegato ai servizi securityhub.amazonaws.com.rproxy.govskope.caconsidera attendibile il servizio.

Il ruolo collegato ai servizi AWSServiceRoleForSecurityHub utilizza la policy gestita AWSSecurityHubServiceRolePolicy.

È necessario concedere le autorizzazioni per consentire a un'identità IAM (come un ruolo, un gruppo o un utente) di creare, modificare o eliminare un ruolo collegato al servizio. AWSServiceRoleForSecurityHubAffinché il ruolo collegato al servizio venga creato correttamente, l'identità IAM utilizzata per accedere a Security Hub CSPM deve disporre delle autorizzazioni richieste. Per concedere le autorizzazioni richieste, collega la seguente policy all'identità IAM.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "securityhub:*",
            "Resource": "*"    
        },
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": "securityhub.amazonaws.com"
                }
            }
        }
    ]
}

Creazione di un ruolo collegato al servizio per Security Hub CSPM

Il ruolo AWSServiceRoleForSecurityHub collegato al servizio viene creato automaticamente quando abiliti Security Hub CSPM per la prima volta o quando abiliti Security Hub CSPM in una regione in cui non lo abilitavi in precedenza. Puoi anche creare il ruolo AWSServiceRoleForSecurityHub collegato al servizio manualmente utilizzando la console IAM, la CLI IAM o l'API IAM. Per ulteriori informazioni sulla creazione manuale del ruolo, consulta Creazione di un ruolo collegato ai servizi nella Guida per l'utente IAM.

Importante

Il ruolo collegato al servizio creato per un account amministratore CSPM di Security Hub non si applica agli account membri CSPM di Security Hub associati.

Modifica di un ruolo collegato al servizio per Security Hub CSPM

Security Hub CSPM non consente di modificare il ruolo collegato al AWSServiceRoleForSecurityHub servizio. Dopo aver creato un ruolo collegato al servizio, non è possibile modificarne il nome, perché potrebbero farvi riferimento diverse entità. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta Modifica di un ruolo collegato al servizio nella Guida per l’utente di IAM.

Eliminazione di un ruolo collegato al servizio per Security Hub CSPM

Se non è più necessario utilizzare una caratteristica o un servizio che richiede un ruolo collegato ai servizi, ti consigliamo di eliminare il ruolo. In questo modo, non hai un'entità non utilizzata che non viene monitorata o gestita attivamente.

Quando disabiliti Security Hub CSPM, Security Hub CSPM non elimina automaticamente il ruolo collegato al AWSServiceRoleForSecurityHub servizio per te. Se abiliti nuovamente Security Hub CSPM, il servizio può ricominciare a utilizzare il ruolo esistente collegato al servizio. Se non è più necessario utilizzare Security Hub CSPM, è possibile eliminare manualmente il ruolo collegato al servizio.

Importante

Prima di eliminare il ruolo AWSServiceRoleForSecurityHub collegato al servizio, devi prima disabilitare Security Hub CSPM in tutte le regioni in cui è abilitato. Per ulteriori informazioni, consulta Disattivazione del Security Hub CSPM. Se Security Hub CSPM non è disabilitato quando si tenta di eliminare il ruolo collegato al servizio, l'eliminazione non riesce.

Per eliminare il ruolo AWSServiceRoleForSecurityHub collegato al servizio, puoi utilizzare la console IAM, la CLI IAM o l'API IAM. Per ulteriori informazioni, consulta Eliminazione del ruolo collegato ai servizi nella Guida per l'utente IAM.

Ruolo collegato ai servizi per AWS Security Hub V2

utilizza il ruolo collegato al servizio denominato. AWSServiceRoleForSecurityHubV2 Questo ruolo collegato al servizio consente di gestire AWS Config regole e risorse per l'organizzazione e per conto dell'utente. Ai fini dell'assunzione del ruolo AWSServiceRoleForSecurityHubV2, il ruolo collegato ai servizi securityhub.amazonaws.com.rproxy.govskope.caconsidera attendibile il servizio.

Il ruolo collegato ai servizi AWSServiceRoleForSecurityHubV2 utilizza la policy gestita AWSSecurityHubV2ServiceRolePolicy.

Dettagli delle autorizzazioni

Questa policy include le seguenti autorizzazioni:

  • cloudwatch— Consente al ruolo di recuperare i dati delle metriche per supportare le funzionalità di misurazione delle risorse.

  • config— Consente al ruolo di gestire i registratori di configurazione collegati ai servizi per le risorse, incluso il supporto per i registratori globali. AWS Config

  • ecr— Consente al ruolo di recuperare informazioni sulle immagini e sugli archivi di Amazon Elastic Container Registry per supportare le funzionalità di misurazione.

  • iam— Consente al ruolo di creare il ruolo collegato al servizio AWS Config e recuperare le informazioni sull'account per supportare le funzionalità di misurazione.

  • lambda— Consente al ruolo di recuperare informazioni sulla AWS Lambda funzione per supportare le funzionalità di misurazione.

  • organizations— Consente al ruolo di recuperare le informazioni sull'account e sull'unità organizzativa (OU) di un'organizzazione.

  • securityhub— Consente al ruolo di gestire la configurazione.

  • tag— Consente al ruolo di recuperare informazioni sui tag delle risorse.

È necessario concedere le autorizzazioni per consentire a un'identità IAM (come un ruolo, un gruppo o un utente) di creare, modificare o eliminare un ruolo collegato al servizio. AWSServiceRoleForSecurityHubV2Affinché il ruolo collegato al servizio venga creato correttamente, l'identità IAM che utilizzi per accedere deve disporre delle autorizzazioni richieste. Per concedere le autorizzazioni richieste, collega la seguente policy all'identità IAM.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "securityhub:*",
            "Resource": "*"    
        },
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": "securityhub.amazonaws.com"
                }
            }
        }
    ]
}

Creazione di un ruolo collegato ai servizi per AWS Security Hub V2

Il ruolo AWSServiceRoleForSecurityHubV2 collegato al servizio viene creato automaticamente quando lo si abilita per la prima volta o lo si abilita in una regione in cui non era abilitato in precedenza. Puoi anche creare il ruolo AWSServiceRoleForSecurityHubV2 collegato al servizio manualmente utilizzando la console IAM, la CLI IAM o l'API IAM. Per ulteriori informazioni sulla creazione manuale del ruolo, consulta Creazione di un ruolo collegato ai servizi nella Guida per l'utente IAM.

Importante

Il ruolo collegato al servizio creato per un account amministratore non si applica agli account membro associati.

Modifica di un ruolo collegato al servizio per AWS Security Hub V2

non consente di modificare il ruolo collegato al AWSServiceRoleForSecurityHubV2 servizio. Dopo aver creato un ruolo collegato al servizio, non è possibile modificarne il nome, perché potrebbero farvi riferimento diverse entità. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta Modifica di un ruolo collegato al servizio nella Guida per l’utente di IAM.

Eliminazione di un ruolo collegato al servizio per Security Hub AWS V2

Se non è più necessario utilizzare una caratteristica o un servizio che richiede un ruolo collegato ai servizi, ti consigliamo di eliminare il ruolo. In questo modo, non hai un'entità non utilizzata che non viene monitorata o gestita attivamente.

Quando lo disabiliti, non elimina automaticamente il ruolo collegato al AWSServiceRoleForSecurityHubV2 servizio per te. Se lo abiliti nuovamente, il servizio può ricominciare a utilizzare il ruolo esistente collegato al servizio. Se non è più necessario utilizzarlo, è possibile eliminare manualmente il ruolo collegato al servizio.

Importante

Prima di eliminare il ruolo AWSServiceRoleForSecurityHubV2 collegato al servizio, devi prima disabilitarlo in tutte le regioni in cui è abilitato. Per ulteriori informazioni, consulta Disattivazione del Security Hub CSPM. Se non è disabilitato quando elimini il ruolo collegato ai servizi, l'operazione non riesce.

Per eliminare il ruolo AWSServiceRoleForSecurityHubV2 collegato al servizio, puoi utilizzare la console IAM, la CLI IAM o l'API IAM. Per ulteriori informazioni, consulta Eliminazione del ruolo collegato ai servizi nella Guida per l'utente IAM.