As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
AWS políticas gerenciadas para o Security Hub
Uma política AWS gerenciada é uma política autônoma criada e administrada por AWS. AWS as políticas gerenciadas são projetadas para fornecer permissões para muitos casos de uso comuns, para que você possa começar a atribuir permissões a usuários, grupos e funções.
Lembre-se de que as políticas AWS gerenciadas podem não conceder permissões de privilégio mínimo para seus casos de uso específicos porque estão disponíveis para uso de todos os AWS clientes. Recomendamos que você reduza ainda mais as permissões definindo as políticas gerenciadas pelo cliente que são específicas para seus casos de uso.
Você não pode alterar as permissões definidas nas políticas AWS gerenciadas. Se AWS atualizar as permissões definidas em uma política AWS gerenciada, a atualização afetará todas as identidades principais (usuários, grupos e funções) às quais a política está anexada. AWS é mais provável que atualize uma política AWS gerenciada quando uma nova AWS service (Serviço da AWS) for lançada ou novas operações de API forem disponibilizadas para serviços existentes.
Para mais informações, consulte Políticas gerenciadas pela AWS no Manual do usuário do IAM.
AWS política gerenciada: AWSSecurityHubFullAccess
É possível anexar a política AWSSecurityHubFullAccess às identidades do IAM.
Essa política concede permissões administrativas que permitem ao principal acesso total a todas as ações do CSPM do Security Hub. Essa política deve ser anexada a um diretor antes que ele habilite o CSPM do Security Hub manualmente para sua conta. Por exemplo, entidades principais com essas permissões podem visualizar e atualizar o status das descobertas. Elas podem configurar insights personalizados e habilitar integrações. Também podem habilitar e desabilitar padrões e controles. As entidades principais de uma conta de administrador também podem gerenciar contas de membro.
Detalhes das permissões
Esta política inclui as seguintes permissões.
-
securityhub— Permite que os diretores tenham acesso total a todas as ações do CSPM do Security Hub. -
guardduty— Permite que os diretores obtenham informações sobre o status da conta na Amazon GuardDuty. -
iam— Permite que os diretores criem uma função vinculada a serviços para o Security Hub CSPM e o Security Hub. -
inspector: permite que as entidades principais obtenham informações sobre o status da conta no Amazon Inspector. -
pricing— Permite que os diretores obtenham uma lista de preços Serviços da AWS e produtos.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "SecurityHubAllowAll", "Effect": "Allow", "Action": "securityhub:*", "Resource": "*" }, { "Sid": "SecurityHubServiceLinkedRole", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringLike": { "iam:AWSServiceName": [ "securityhub.amazonaws.com", "securityhubv2.amazonaws.com" ] } } }, { "Sid": "OtherServicePermission", "Effect": "Allow", "Action": [ "guardduty:GetDetector", "guardduty:ListDetectors", "inspector2:BatchGetAccountStatus", "pricing:GetProducts" ], "Resource": "*" } ] }
Política gerenciada pelo CSPM do Security Hub: AWSSecurityHubReadOnlyAccess
É possível anexar a política AWSSecurityHubReadOnlyAccess às identidades do IAM.
Essa política concede permissões somente para leitura que permitem que os usuários visualizem informações no CSPM do Security Hub. Os diretores com essa política anexada não podem fazer nenhuma atualização no CSPM do Security Hub. Por exemplo, entidades principais com essas permissões podem ver a lista de descobertas associadas à conta, mas não podem alterar o status de uma descoberta. Elas podem ver os resultados dos insights, mas não podem criar ou configurar insights personalizados. Também não podem configurar controles ou integrações de produtos.
Detalhes das permissões
Esta política inclui as seguintes permissões.
-
securityhub– Permite que os usuários realizem ações que retornem uma lista de itens ou detalhes sobre um item. Isso inclui operações de API que começam comGet,ListouDescribe.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSSecurityHubReadOnlyAccess", "Effect": "Allow", "Action": [ "securityhub:Get*", "securityhub:List*", "securityhub:BatchGet*", "securityhub:Describe*" ], "Resource": "*" } ] }
AWS política gerenciada: AWSSecurityHubOrganizationsAccess
É possível anexar a política AWSSecurityHubOrganizationsAccess às identidades do IAM.
Essa política concede permissões administrativas para habilitar e gerenciar o Security Hub e o Security Hub CSPM dentro de uma organização.
As permissões dessa política permitem que a conta de gerenciamento da organização designe a conta de administrador delegado para o Security Hub e o Security Hub CSPM. Eles também permitem que a conta do administrador delegado habilite as contas da organização como contas de membros.
Essa política fornece apenas as permissões para o Organizations. A conta de gerenciamento da organização e a conta de administrador delegado também exigem permissões para ações associadas. Essas permissões podem ser concedidas usando a política gerenciada do AWSSecurityHubFullAccess.
Detalhes das permissões
Esta política inclui as seguintes permissões.
-
organizations:ListAccounts: permite que as entidades principais recuperem a lista de contas que sejam parte de uma organização. -
organizations:DescribeOrganization: permite que as entidades principais recuperem informações sobre a organização. -
organizations:ListRoots: permite que as entidades principais listem a raiz de uma organização. -
organizations:ListDelegatedAdministrators: permite que as entidades principais listem o administrador delegado de uma organização. -
organizations:ListAWSServiceAccessForOrganization— Permite que os diretores listem o Serviços da AWS que uma organização usa. -
organizations:ListOrganizationalUnitsForParent: permite que as entidades principais listem as unidades organizacionais (OU) filha de uma OU pai. -
organizations:ListAccountsForParent: permite que as entidades principais listem as contas filhas de uma OU pai. -
organizations:ListParents— Lista as unidades raiz ou organizacionais (OUs) que servem como mãe imediata da OU ou conta secundária especificada. -
organizations:DescribeAccount: permite que as entidades principais recuperem informações sobre uma conta na organização. -
organizations:DescribeOrganizationalUnit: permite que as entidades principais recuperem informações sobre uma OU na organização. -
organizations:ListPolicies— Recupera a lista de todas as políticas em uma organização de um tipo especificado. -
organizations:ListPoliciesForTarget— Lista as políticas que estão diretamente vinculadas à raiz, unidade organizacional (OU) ou conta de destino especificada. -
organizations:ListTargetsForPolicy— Lista todas as raízes, unidades organizacionais (OUs) e contas às quais a política especificada está anexada. -
organizations:EnableAWSServiceAccess— Permite que os diretores possibilitem a integração com Organizations. -
organizations:RegisterDelegatedAdministrator— Permite que os diretores designem a conta de administrador delegada. -
organizations:DeregisterDelegatedAdministrator— Permite que os diretores removam a conta de administrador delegado. -
organizations:DescribePolicy— Recupera informações sobre uma política. -
organizations:DescribeEffectivePolicy— Retorna o conteúdo da política efetiva para o tipo de política e conta especificados. -
organizations:CreatePolicy— Cria uma política de um tipo específico que você pode anexar a uma raiz, a uma unidade organizacional (OU) ou a uma AWS conta individual. -
organizations:UpdatePolicy— Atualiza uma política existente com um novo nome, descrição ou conteúdo. -
organizations:DeletePolicy— Exclui a política especificada da sua organização. -
organizations:AttachPolicy— Anexa uma política a uma raiz, a uma unidade organizacional (OU) ou a uma conta individual. -
organizations:DetachPolicy— Separa uma política de uma raiz, unidade organizacional (OU) ou conta de destino. -
organizations:EnablePolicyType— Habilita um tipo de política em uma raiz. -
organizations:DisablePolicyType— Desativa um tipo de política organizacional em uma raiz. -
organizations:TagResource— Adiciona uma ou mais tags ao recurso especificado. -
organizations:UntagResource— Remove todas as tags com as chaves especificadas do recurso especificado. -
organizations:ListTagsForResource— Lista as tags anexadas ao recurso especificado.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "OrganizationPermissions", "Effect": "Allow", "Action": [ "organizations:ListAccounts", "organizations:DescribeOrganization", "organizations:ListRoots", "organizations:ListDelegatedAdministrators", "organizations:ListAWSServiceAccessForOrganization", "organizations:ListOrganizationalUnitsForParent", "organizations:ListAccountsForParent", "organizations:ListParents", "organizations:DescribeAccount", "organizations:DescribeOrganizationalUnit", "organizations:ListPolicies", "organizations:ListPoliciesForTarget", "organizations:ListTargetsForPolicy" ], "Resource": "*" }, { "Sid": "OrganizationPermissionsEnable", "Effect": "Allow", "Action": "organizations:EnableAWSServiceAccess", "Resource": "*", "Condition": { "StringEquals": { "organizations:ServicePrincipal": "securityhub.amazonaws.com" } } }, { "Sid": "OrganizationPermissionsDelegatedAdmin", "Effect": "Allow", "Action": [ "organizations:RegisterDelegatedAdministrator", "organizations:DeregisterDelegatedAdministrator" ], "Resource": "arn:aws:organizations::*:account/o-*/*", "Condition": { "StringEquals": { "organizations:ServicePrincipal": "securityhub.amazonaws.com" } } }, { "Sid": "OrganizationPolicyPermissions", "Effect": "Allow", "Action": [ "organizations:DescribePolicy", "organizations:DescribeEffectivePolicy", "organizations:CreatePolicy", "organizations:UpdatePolicy", "organizations:DeletePolicy", "organizations:AttachPolicy", "organizations:DetachPolicy", "organizations:EnablePolicyType", "organizations:DisablePolicyType" ], "Resource": [ "arn:aws:organizations::*:root/o-*/*", "arn:aws:organizations::*:account/o-*/*", "arn:aws:organizations::*:ou/o-*/*", "arn:aws:organizations::*:policy/o-*/securityhub_policy/*" ], "Condition": { "StringLikeIfExists": { "organizations:PolicyType": "SECURITYHUB_POLICY" } } }, { "Sid": "OrganizationPolicyTaggingPermissions", "Effect": "Allow", "Action": [ "organizations:TagResource", "organizations:UntagResource", "organizations:ListTagsForResource" ], "Resource": [ "arn:aws:organizations::*:policy/o-*/securityhub_policy/*" ] } ] }
AWS política gerenciada: AWSSecurityHubServiceRolePolicy
Não é possível anexar a AWSSecurityHubServiceRolePolicy às entidades do IAM. Essa política é anexada a uma função vinculada ao serviço que permite que o CSPM do Security Hub execute ações em seu nome. Para obter mais informações, consulte Funções vinculadas a serviços para AWS Security Hub.
Essa política concede permissões administrativas que permitem que a função vinculada ao serviço execute as verificações de segurança dos controles CSPM do Security Hub.
Detalhes das permissões
Esta política inclui permissões para fazer o seguinte:
-
cloudtrail— Recupere informações sobre CloudTrail trilhas. -
cloudwatch— Recupere os alarmes atuais CloudWatch . -
logs— Recupere os filtros métricos dos CloudWatch registros. -
sns– Recuperar a lista de assinaturas de um tópico do SNS. -
config— recupere informações sobre gravadores de configuração, recursos e AWS Config regras. Também permite que a função vinculada ao serviço crie e exclua regras do AWS Config e execute avaliações com base nas regras. -
iam– Obter e gerar relatórios de credenciais para contas. -
organizations– Recuperar as informações da conta e da unidade organizacional (OU) de uma organização. -
securityhub— recupere informações sobre como o serviço, os padrões e os controles do Security Hub CSPM estão configurados. -
tag– Recuperar informações sobre tags de recursos.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "SecurityHubServiceRolePermissions", "Effect": "Allow", "Action": [ "cloudtrail:DescribeTrails", "cloudtrail:GetTrailStatus", "cloudtrail:GetEventSelectors", "cloudwatch:DescribeAlarms", "cloudwatch:DescribeAlarmsForMetric", "logs:DescribeMetricFilters", "sns:ListSubscriptionsByTopic", "config:DescribeConfigurationRecorders", "config:DescribeConfigurationRecorderStatus", "config:DescribeConfigRules", "config:DescribeConfigRuleEvaluationStatus", "config:BatchGetResourceConfig", "config:SelectResourceConfig", "iam:GenerateCredentialReport", "organizations:ListAccounts", "config:PutEvaluations", "tag:GetResources", "iam:GetCredentialReport", "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:ListChildren", "organizations:ListAWSServiceAccessForOrganization", "organizations:DescribeOrganizationalUnit", "securityhub:BatchDisableStandards", "securityhub:BatchEnableStandards", "securityhub:BatchUpdateStandardsControlAssociations", "securityhub:BatchGetSecurityControls", "securityhub:BatchGetStandardsControlAssociations", "securityhub:CreateMembers", "securityhub:DeleteMembers", "securityhub:DescribeHub", "securityhub:DescribeOrganizationConfiguration", "securityhub:DescribeStandards", "securityhub:DescribeStandardsControls", "securityhub:DisassociateFromAdministratorAccount", "securityhub:DisassociateMembers", "securityhub:DisableSecurityHub", "securityhub:EnableSecurityHub", "securityhub:GetEnabledStandards", "securityhub:ListStandardsControlAssociations", "securityhub:ListSecurityControlDefinitions", "securityhub:UpdateOrganizationConfiguration", "securityhub:UpdateSecurityControl", "securityhub:UpdateSecurityHubConfiguration", "securityhub:UpdateStandardsControl", "tag:GetResources" ], "Resource": "*" }, { "Sid": "SecurityHubServiceRoleConfigPermissions", "Effect": "Allow", "Action": [ "config:PutConfigRule", "config:DeleteConfigRule", "config:GetComplianceDetailsByConfigRule" ], "Resource": "arn:aws:config:*:*:config-rule/aws-service-rule/*securityhub*" }, { "Sid": "SecurityHubServiceRoleOrganizationsPermissions", "Effect": "Allow", "Action": [ "organizations:ListDelegatedAdministrators" ], "Resource": "*", "Condition": { "StringEquals": { "organizations:ServicePrincipal": [ "securityhub.amazonaws.com" ] } } } ] }
AWS política gerenciada: AWSSecurityHubV2ServiceRolePolicy
nota
O Security Hub está em versão prévia e está sujeito a alterações.
Essa política permite que o Security Hub gerencie AWS Config regras e recursos do Security Hub em sua organização e em seu nome. Essa política é vinculada a uma função associada a um serviço, o que possibilita que este serviço execute ações em seu próprio nome. Não é possível vincular esta política a usuários, grupos ou funções. Para obter mais informações, consulte Funções vinculadas a serviços para AWS Security Hub.
Detalhes das permissões
Esta política inclui permissões para fazer o seguinte:
-
config— Gerencia gravadores de configuração vinculados a serviços para recursos do Security Hub. -
iam— Cria a função vinculada ao serviço para. AWS Config -
organizations— recupera as informações da conta e da unidade organizacional (OU) de uma organização. -
securityhub— Gerencia a configuração do Security Hub. -
tag— Recupera informações sobre tags de recursos.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "SecurityHubV2ServiceRoleAssetsConfig", "Effect": "Allow", "Action": [ "config:DeleteServiceLinkedConfigurationRecorder", "config:DescribeConfigurationRecorders", "config:DescribeConfigurationRecorderStatus", "config:PutServiceLinkedConfigurationRecorder" ], "Resource": "arn:aws:config:*:*:configuration-recorder/AWSConfigurationRecorderForSecurityHubAssets/*" }, { "Sid": "SecurityHubV2ServiceRoleAssetsIamPermissions", "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "arn:aws:iam::*:role/aws-service-role/config.amazonaws.com/AWSServiceRoleForConfig", "Condition": { "StringEquals": { "iam:AWSServiceName": "config.amazonaws.com" } } }, { "Sid": "SecurityHubV2ServiceRoleSecurityHubPermissions", "Effect": "Allow", "Action": [ "securityhub:DisableSecurityHubV2", "securityhub:EnableSecurityHubV2", "securityhub:DescribeSecurityHubV2" ], "Resource": "arn:aws:securityhub:*:*:hubv2/*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "SecurityHubV2ServiceRoleTagPermissions", "Effect": "Allow", "Action": [ "tag:GetResources" ], "Resource": "*" }, { "Sid": "SecurityHubV2ServiceRoleOrganizationsPermissionsOnResources", "Effect": "Allow", "Action": [ "organizations:DescribeAccount", "organizations:DescribeOrganizationalUnit" ], "Resource": "arn:aws:organizations::*:*" }, { "Sid": "SecurityHubV2ServiceRoleOrganizationsPermissionsWithoutResources", "Effect": "Allow", "Action": [ "organizations:DescribeOrganization", "organizations:ListAccounts", "organizations:ListAWSServiceAccessForOrganization", "organizations:ListChildren" ], "Resource": "*" }, { "Sid": "SecurityHubV2ServiceRoleDelegatedAdminPermissions", "Effect": "Allow", "Action": [ "organizations:ListDelegatedAdministrators" ], "Resource": "*", "Condition": { "StringEquals": { "organizations:ServicePrincipal": [ "securityhub.amazonaws.com" ] } } } ] }
Atualizações do CSPM do Security Hub para políticas AWS gerenciadas
Veja detalhes sobre as atualizações das políticas AWS gerenciadas do Security Hub CSPM desde que esse serviço começou a rastrear essas alterações. Para receber alertas automáticos sobre alterações nessa página, assine o feed RSS na página de histórico de documentos CSPM do Security Hub.
| Alteração | Descrição | Data |
|---|---|---|
| AWSSecurityHubOrganizationsAccess: atualizar para uma política existente. | O Security Hub CSPM adicionou uma nova permissão ao. AWSSecurityHubOrganizationsAccess A permissão permite que o gerenciamento da organização habilite e gerencie o Security Hub e o CSPM do Security Hub dentro de uma organização. |
17 de junho de 2025 |
|
AWSSecurityHubOrganizationsAccess: atualização para uma política existente |
Foram adicionadas novas permissões que permitem que o gerenciamento da organização habilite e gerencie o Security Hub e o CSPM do Security Hub dentro de uma organização. |
17 de junho de 2025 |
|
AWSSecurityHubFullAccess: atualização para uma política existente |
O CSPM do Security Hub adicionou uma nova permissão que permite que os diretores criem uma função vinculada ao serviço para o Security Hub. |
17 de junho de 2025 |
|
AWSSecurityHubV2 ServiceRolePolicy — Nova política |
O Security Hub adicionou uma nova política para permitir que o Security Hub gerencie AWS Config regras e recursos do Security Hub na organização de um cliente e em nome do cliente. O Security Hub está em versão prévia e está sujeito a alterações. |
17 de junho de 2025 |
| AWSSecurityHubFullAccess— Atualização de uma política existente | O Security Hub CSPM atualizou a política para obter detalhes de preços Serviços da AWS e produtos. | 24 de abril de 2024 |
| AWSSecurityHubReadOnlyAccess— Atualização de uma política existente | O Security Hub CSPM atualizou essa política gerenciada adicionando um Sid campo. |
22 de fevereiro de 2024 |
| AWSSecurityHubFullAccess— Atualização de uma política existente | O Security Hub CSPM atualizou a política para determinar se a Amazon GuardDuty e o Amazon Inspector estão habilitados em uma conta. Isso ajuda os clientes a reunir informações relacionadas à segurança de várias. Serviços da AWS | 16 de novembro de 2023 |
| AWSSecurityHubOrganizationsAccess— Atualização de uma política existente | O Security Hub CSPM atualizou a política para conceder permissões adicionais para permitir acesso somente de leitura à funcionalidade do administrador delegado. AWS Organizations Isso inclui detalhes como raiz, unidades organizacionais (OUs), contas, estrutura organizacional e acesso ao serviço. | 16 de novembro de 2023 |
| AWSSecurityHubServiceRolePolicy: atualização para uma política existente | O Security Hub CSPM adicionou as UpdateSecurityControl permissõesBatchGetSecurityControls,DisassociateFromAdministratorAccount, e para ler e atualizar propriedades de controle de segurança personalizáveis. |
26 de novembro de 2023 |
| AWSSecurityHubServiceRolePolicy: atualização para uma política existente | O Security Hub CSPM adicionou a tag:GetResources permissão para ler tags de recursos relacionadas às descobertas. |
7 de novembro de 2023 |
| AWSSecurityHubServiceRolePolicy: atualização para uma política existente | O Security Hub CSPM adicionou a BatchGetStandardsControlAssociations permissão para obter informações sobre o status de ativação de um controle em um padrão. |
27 de setembro de 2023 |
| AWSSecurityHubServiceRolePolicy: atualização para uma política existente | O Security Hub CSPM adicionou novas permissões para obter AWS Organizations dados, ler e atualizar as configurações do Security Hub CSPM, incluindo padrões e controles. | 20 de setembro de 2023 |
| AWSSecurityHubServiceRolePolicy: atualização para uma política existente | O Security Hub CSPM moveu a config:DescribeConfigRuleEvaluationStatus permissão existente para uma declaração diferente dentro da política. A permissão config:DescribeConfigRuleEvaluationStatus agora é aplicada a todos os recursos. |
17 de março de 2023 |
| AWSSecurityHubServiceRolePolicy: atualização para uma política existente | O Security Hub CSPM moveu a config:PutEvaluations permissão existente para uma declaração diferente dentro da política. A permissão config:PutEvaluations agora é aplicada a todos os recursos. |
14 de julho de 2021 |
| AWSSecurityHubServiceRolePolicy: atualização para uma política existente | O Security Hub CSPM adicionou uma nova permissão para permitir que a função vinculada ao serviço forneça resultados de avaliação a. AWS Config | 29 de junho de 2021 |
| AWSSecurityHubServiceRolePolicy— Adicionado à lista de políticas gerenciadas | Foram adicionadas informações sobre a política gerenciada AWSSecurityHubServiceRolePolicy, que é usada pela função vinculada ao serviço CSPM do Security Hub. | 11 de junho de 2021 |
| AWSSecurityHubOrganizationsAccess— Nova política | O Security Hub CSPM adicionou uma nova política que concede as permissões necessárias para a integração do Security Hub CSPM com o Organizations. | 15 de março de 2021 |
| O Security Hub CSPM começou a rastrear as alterações | O Security Hub CSPM começou a monitorar as mudanças em suas políticas AWS gerenciadas. | 15 de março de 2021 |
