Permissões necessárias para configurar controles do CSPM do Security Hub
Para visualizar informações sobre controles de segurança e habilitar e desabilitar controles de segurança em padrões, o perfil do AWS Identity and Access Management (IAM) que você usa para acessar o CSPM do AWS Security Hub precisa de permissões para chamar as seguintes operações da API do CSPM do Security Hub.
Para obter as permissões necessárias, é possível usar as políticas gerenciadas do CSPM do Security Hub. Como alternativa, você pode atualizar as políticas de IAM personalizadas para incluir esas ações .
-
BatchGetSecurityControls – retorna informações sobre um lote de controles de segurança para a conta e atuais Região da AWS.
-
ListSecurityControlDefinitions – retorna informações sobre controles de segurança que se aplicam a um padrão específico.
-
ListStandardsControlAssociations – identifica se um controle de segurança está atualmente ativado ou desativado em cada padrão ativado na conta.
-
BatchGetStandardsControlAssociations – para um lote de controles de segurança, identifica se cada controle está atualmente ativado ou desativado a partir de um padrão especificado.
-
BatchUpdateStandardsControlAssociations – usado para ativar um controle de segurança em padrões que incluem o controle ou para desativar um controle em padrões. Esse é uma substituição em lote para a operação
UpdateStandardsControlexistente. -
BatchUpdateStandardsControlAssociations: usado para habilitar ou desabilitar um lote de controles de segurança em padrões que os incluem. Esse é uma substituição em lote para a operação
UpdateStandardsControlexistente. -
UpdateStandardsControl: usado para habilitar ou desabilitar um único controle de segurança em padrões que o incluem
-
DescribeStandardsControl: retorna detalhes sobre os controles de segurança especificados.
Além das APIs anteriores, é necessário adicionar permissão para chamar BatchGetControlEvaluations para seu perfil do IAM. Essa permissão é necessária para ver o status de habilitação e conformidade de um controle, a contagem de descobertas para um controle e a pontuação geral de segurança dos controles no console do CSPM do Security Hub. Como apenas o console chama BatchGetControlEvaluations, essa permissão do IAM não corresponde diretamente às APIs documentadas publicamente do CSPM do Security Hub ou a comandos da AWS CLI.
