기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
Security Hub 티켓팅 통합을 위한 KMS 키 정책
Security Hub 티켓팅 통합과 함께 고객 관리형 KMS 키를 사용하는 경우 Security Hub가 키와 상호 작용할 수 있도록 KMS 키에 추가 정책을 추가해야 합니다. 또한 키를 Security Hub 커넥터 권한에 추가하는 보안 주체가 키에 액세스할 수 있도록 허용하는 정책을 추가해야 합니다.
Security Hub 권한 정책
다음 정책은 Security Hub가 Jira 및 ServiceNow 커넥터와 연결된 KMS 키에 액세스하고 사용할 수 있어야 하는 권한을 간략하게 설명합니다. 이 정책은 Security Hub 커넥터와 연결된 각 KMS 키에 추가해야 합니다.
정책에는 다음 권한이 포함됩니다.
-
Security Hub가 키를 사용하여 티켓팅 통합과 통신하는 데 사용되는 임시 액세스 또는 새로 고침 토큰을 보호할 수 있도록 허용합니다. 권한은 소스 ARN 및 암호화 컨텍스트를 확인하는 조건 블록을 통해 특정 Security Hub 커넥터와 관련된 작업으로 제한됩니다.
-
Security Hub가
DescribeKey작업을 허용하여 KMS 키에 대한 메타데이터를 읽을 수 있도록 허용합니다. 이 권한은 Security Hub가 키의 상태 및 구성을 확인하는 데 필요합니다. 액세스는 소스 ARN 조건을 통해 특정 Security Hub 커넥터로 제한됩니다.
{ "Sid": "Allow Security Hub access to the customer managed key", "Effect": "Allow", "Principal": { "Service": "connector.securityhub.amazonaws.com" }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt", "kms:ReEncrypt*" ], "Resource": "*", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:securityhub:Region:AccountId:connectorv2/*" }, "StringLike": { "kms:EncryptionContext:aws:securityhub:connectorV2Arn": "arn:aws:securityhub:Region:AccountId:connectorv2/*", "kms:EncryptionContext:aws:securityhub:providerName": "CloudProviderName" } } }, { "Sid": "Allow Security Hub read access to the customer managed key", "Effect": "Allow", "Principal": { "Service": "connector.securityhub.amazonaws.com" }, "Action": [ "kms:DescribeKey" ], "Resource": "*", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:securityhub:Region:AccountId:connectorv2/*" } } }
정책 예제에서 다음 값을 대체하여 정책을 편집합니다.
-
CloudProviderName을JIRA_CLOUD또는 로 바꾸기SERVICENOW -
AccountId를 Security Hub 커넥터를 생성하는 계정 ID로 바꿉니다. -
리전을 해당 AWS 리전으로 바꿉니다(예:us-east-1).
Security Hub 작업을 위한 IAM 위탁자 액세스
Security Hub 커넥터에 고객 관리형 KMS 키를 할당할 모든 보안 주체는 커넥터에 추가되는 키에 대한 키 작업(별칭 설명, 생성, 복호화, 재암호화 및 나열)을 수행할 수 있는 권한이 있어야 합니다. 이는 CreateConnectorV2 및 CreateTicketV2 APIs에 적용됩니다. 다음 정책 설명은 이러한 APIs와 상호 작용할 보안 주체에 대한 정책의 일부로 포함되어야 합니다.
{ "Sid": "Allow permissions to access key through Security Hub", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::AccountId:role/RoleName" }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt", "kms:ReEncrypt*" ], "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": [ "securityhub.Region.amazonaws.com" ] }, "StringLike": { "kms:EncryptionContext:aws:securityhub:providerName": "CloudProviderName" } } }, { "Sid": "Allow read permissions to access key through Security Hub", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::AccountId:role/RoleName" }, "Action": [ "kms:DescribeKey" ], "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": [ "securityhub.Region.amazonaws.com" ] } } }
정책 예제에서 다음 값을 대체하여 정책을 편집합니다.
-
RoleName을 Security Hub를 호출하는 IAM 역할의 이름으로 바꿉니다. -
CloudProviderName을JIRA_CLOUD또는 로 바꿉니다SERVICENOW. -
AccountId를 Security Hub 커넥터를 생성하는 계정 ID로 바꿉니다. -
리전을 해당 AWS 리전으로 바꿉니다(예:us-east-1).
