AWS políticas gerenciadas para o Security Hub - AWS Security Hub
AWSSecurityHubFullAccessAWSSecurityHubReadOnlyAccess AWSSecurityHubOrganizationsAccess AWSSecurityHubServiceRolePolicyAWSSecurityHubV2ServiceRolePolicyAtualizações da política

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWS políticas gerenciadas para o Security Hub

Uma política AWS gerenciada é uma política autônoma criada e administrada por AWS. AWS as políticas gerenciadas são projetadas para fornecer permissões para muitos casos de uso comuns, para que você possa começar a atribuir permissões a usuários, grupos e funções.

Lembre-se de que as políticas AWS gerenciadas podem não conceder permissões de privilégio mínimo para seus casos de uso específicos porque estão disponíveis para uso de todos os AWS clientes. Recomendamos que você reduza ainda mais as permissões definindo as políticas gerenciadas pelo cliente que são específicas para seus casos de uso.

Você não pode alterar as permissões definidas nas políticas AWS gerenciadas. Se AWS atualizar as permissões definidas em uma política AWS gerenciada, a atualização afetará todas as identidades principais (usuários, grupos e funções) às quais a política está anexada. AWS é mais provável que atualize uma política AWS gerenciada quando uma nova AWS service (Serviço da AWS) é lançada ou novas operações de API são disponibilizadas para serviços existentes.

Para saber mais, consulte AWS Políticas gerenciadas pela no Guia do usuário do IAM.

AWS política gerenciada: AWSSecurityHubFullAccess

É possível anexar a política AWSSecurityHubFullAccess às suas identidades do IAM.

Essa política concede permissões administrativas que oferecem às entidades principais acesso total a todas as ações do CSPM do Security Hub. Essa política deve ser anexada a uma entidade principal antes que ele habilite o CSPM do Security Hub manualmente para sua conta. Por exemplo, entidades principais com essas permissões podem visualizar e atualizar o status das descobertas. Elas também podem configurar insights personalizados, habilitar integrações e habilitar e desabilitar padrões e controles. As entidades principais de uma conta de administrador também podem gerenciar contas de membro.

Detalhes de permissões

Esta política inclui as seguintes permissões:

  • securityhub: permite que as entidades principais acessem totalmente todas as ações do CSPM do Security Hub.

  • guardduty— Permite que os diretores realizem o gerenciamento completo do ciclo de vida de um detector, o gerenciamento administrativo da organização, o gerenciamento da conta dos membros e a configuração de toda a organização na Amazon. GuardDuty Isso inclui ações de API: GetDetector ListDetector,, CreateDetector, UpdateDetector, DeleteDetector, EnableOrganizationAdminAccount, ListOrganizationAdminAccounts, CreateMembers, UpdateOrganizationConfiguration, DescribeOrganizationConfiguration.

  • iam— Permite que os diretores criem uma função vinculada a serviços para o Security Hub CSPM e o Security Hub e obtenham funções, políticas e versões de políticas.

  • inspector— Permite que os diretores obtenham informações sobre o status da conta, ativem ou desativem, deleguem o gerenciamento administrativo e realizem o gerenciamento da configuração da organização no Amazon Inspector. Isso inclui ações de API: BatchGetAccountStatus, Ativar, Desativar EnableDelegatedAdminAccount, DisableDelegatedAdminAccount, ListDelegatedAdminAccounts,, UpdateOrganizationConfiguration, DescribeOrganizationConfiguration.

  • pricing— Permite que os diretores obtenham uma lista de preços Serviços da AWS e produtos.

  • account— Permite que os diretores obtenham informações sobre as regiões da conta para apoiar o gerenciamento da região no Security Hub.

Para verificar as permissões para esta política, consulte AWSSecurityHubFullAccess no Guia de referência de políticas gerenciadas pela AWS .

AWS política gerenciada: AWSSecurityHubReadOnlyAccess

É possível anexar a política AWSSecurityHubReadOnlyAccess às suas identidades do IAM.

Essa política concede permissões de acesso somente para leitura que permitem que os usuários visualizem informações no CSPM do Security Hub. As entidades principais com esta política anexada não podem fazer nenhuma atualização no CSPM do Security Hub. Por exemplo, entidades principais com essas permissões podem ver a lista de descobertas associadas à conta, mas não podem alterar o status de uma descoberta. Elas podem ver os resultados dos insights, mas não podem criar ou configurar insights personalizados. Também não podem configurar controles ou integrações de produtos.

Detalhes de permissões

Esta política inclui as seguintes permissões:

  • securityhub: permite que os usuários realizem ações que retornem uma lista de itens ou detalhes sobre um item. Isso inclui operações de API que começam com Get, List ou Describe.

Para verificar as permissões para esta política, consulte AWSSecurityHubReadOnlyAccess no Guia de referência de políticas gerenciadas pela AWS .

AWS política gerenciada: AWSSecurityHubOrganizationsAccess

É possível anexar a política AWSSecurityHubOrganizationsAccess às suas identidades do IAM.

Esta política concede permissões administrativas para habilitar e gerenciar o Security Hub, o Security Hub CSPM, o Amazon GuardDuty e o Amazon Inspector para uma organização em. AWS Organizations As permissões para esta política permitem que a conta de gerenciamento da organização designe a conta de administrador delegado para o Security Hub, o Security Hub CSPM, o Amazon e o GuardDuty Amazon Inspector. Elas também permitem que a conta de administrador delegado habilite outras contas da organização como sendo contas de membro.

Essa política só fornece permissões para AWS Organizations. A conta gerencial da organização e a conta de administrador delegado também exigem permissões para as ações associadas. Essas permissões podem ser concedidas usando a política gerenciada do AWSSecurityHubFullAccess.

Criar ou atualizar uma política de administrador delegado em uma conta de gerenciamento requer permissões adicionais que não são fornecidas nesta política. Para realizar essas ações, é recomendável adicionar permissões organizations:PutResourcePolicy ou anexar a AWSOrganizations FullAccess política.

Detalhes de permissões

Esta política inclui as seguintes permissões:

  • organizations:ListAccounts: permite que as entidades principais recuperem a lista de contas que sejam parte de uma organização.

  • organizations:DescribeOrganization: permite que as entidades principais recuperem informações sobre a organização.

  • organizations:ListRoots: permite que as entidades principais listem a raiz de uma organização.

  • organizations:ListDelegatedAdministrators: permite que as entidades principais listem o administrador delegado de uma organização.

  • organizations:ListAWSServiceAccessForOrganization— Permite que os diretores listem o Serviços da AWS que uma organização usa.

  • organizations:ListOrganizationalUnitsForParent: permite que as entidades principais listem as unidades organizacionais (UO) filha de uma UO pai.

  • organizations:ListAccountsForParent: permite que as entidades principais listem as contas filhas de uma UO pai.

  • organizations:ListParents— Lista as unidades raiz ou organizacionais (OUs) que servem como mãe imediata da OU ou conta secundária especificada.

  • organizations:DescribeAccount: permite que as entidades principais recuperem informações sobre uma conta na organização.

  • organizations:DescribeOrganizationalUnit: permite que as entidades principais recuperem informações sobre uma UO na organização.

  • organizations:ListPolicies: recupera a lista de todas as políticas de um tipo especificado de uma organização.

  • organizations:ListPoliciesForTarget: lista as políticas que são anexadas diretamente à raiz do destino, unidade organizacional (UO) ou conta especificada.

  • organizations:ListTargetsForPolicy— Lista todas as raízes, unidades organizacionais (OUs) e contas às quais a política especificada está anexada.

  • organizations:EnableAWSServiceAccess: permite que as entidades principais habilitem a integração com o Organizations.

  • organizations:RegisterDelegatedAdministrator: permite que as entidades principais designem a conta de administrador delegado.

  • organizations:DeregisterDelegatedAdministrator: permite que as entidades principais removam a conta de administrador delegado.

  • organizations:DescribePolicy: recupera as informações sobre uma política.

  • organizations:DescribeEffectivePolicy: retorna o conteúdo da política efetiva para o tipo de política e conta especificados.

  • organizations:CreatePolicy— Cria uma política de um tipo específico que você pode anexar a uma raiz, a uma unidade organizacional (OU) ou a uma AWS conta individual.

  • organizations:UpdatePolicy: atualiza uma política existente com um novo nome, descrição ou conteúdo.

  • organizations:DeletePolicy: exclui a política especificada de sua organização.

  • organizations:AttachPolicy: anexa uma política a uma raiz, uma unidade organizacional (UO) ou uma conta individual.

  • organizations:DetachPolicy: desanexa uma política de uma raiz, de uma unidade organizacional (UO) ou de uma conta de destino.

  • organizations:EnablePolicyType: habilita um tipo de política em uma raiz.

  • organizations:DisablePolicyType: desabilita um tipo de política organizacional em uma raiz.

  • organizations:TagResource: adiciona uma ou mais tags a um recurso especificado.

  • organizations:UntagResource: remove todas as tags com as chaves especificadas de um recurso especificado.

  • organizations:ListTagsForResource: lista as tags que estão anexadas a um recurso especificado.

  • organizations:DescribeResourcePolicy— Recupera informações sobre uma política de recursos.

Para verificar as permissões para esta política, consulte AWSSecurityHubOrganizationsAccess no Guia de referência de políticas gerenciadas pela AWS .

AWS política gerenciada: AWSSecurityHubServiceRolePolicy

Não é possível anexar a AWSSecurityHubServiceRolePolicy às entidades do IAM. Essa política é anexada a um perfil vinculado ao serviço que permite que o CSPM do Security Hub realize ações em seu nome. Para obter mais informações, consulte Funções vinculadas a serviços para AWS Security Hub CSPM.

Essa política concede permissões administrativas que permitem que o perfil vinculado ao serviço execute tarefas como executar verificações de segurança dos controles do CSPM Security Hub.

Detalhes de permissões

Esta política inclui as seguintes permissões:

  • cloudtrail— Recupere informações sobre CloudTrail trilhas.

  • cloudwatch— Recupere os CloudWatch alarmes atuais.

  • logs— Recupere filtros métricos para CloudWatch registros.

  • sns: recupera a lista de assinaturas de um tópico do SNS.

  • config— recupere informações sobre gravadores de configuração, recursos e AWS Config regras. Também permite que a função vinculada ao serviço crie e exclua regras do AWS Config e execute avaliações com base nas regras.

  • iam: recupera e gera relatórios de credenciais para contas.

  • organizations: recupera as informações da conta e da unidade organizacional (UO) de uma organização.

  • securityhub: recupera informações sobre como o serviço, os padrões e os controles do CSPM do Security Hub estão configurados.

  • tag: recupera informações sobre tags de recursos.

Para verificar as permissões para esta política, consulte AWSSecurityHubServiceRolePolicy no Guia de referência de políticas gerenciadas pela AWS .

AWS política gerenciada: AWSSecurityHubV2ServiceRolePolicy

nota

O Security Hub está em uma versão de pré-visualização, sujeito à alterações.

Essa política permite que o Security Hub gerencie AWS Config regras e recursos do Security Hub para sua organização e em seu nome. Essa política é vinculada a uma função associada a um serviço, o que possibilita que este serviço execute ações em seu próprio nome. Não é possível anexar essa política às suas identidades do IAM. Para obter mais informações, consulte Funções vinculadas a serviços para AWS Security Hub CSPM.

Detalhes de permissões

Esta política inclui as seguintes permissões:

  • cloudwatch— Recupere dados de métricas para oferecer suporte aos recursos de medição dos recursos do Security Hub.

  • config— gerencie gravadores de configuração vinculados a serviços para recursos do Security Hub, incluindo suporte para gravadores globais do Config.

  • ecr— Recupere informações sobre imagens e repositórios do Amazon Elastic Container Registry para oferecer suporte aos recursos de medição.

  • iam— crie a função vinculada ao serviço AWS Config e recupere as informações da conta para apoiar os recursos de medição.

  • lambda— Recupere informações da AWS Lambda função para oferecer suporte aos recursos de medição.

  • organizations: recupera as informações da conta e da unidade organizacional (UO) de uma organização.

  • securityhub: gerencia a configuração do Security Hub.

  • tag: recupera informações sobre tags de recursos.

Para verificar as permissões para esta política, consulte AWSSecurityHubV2ServiceRolePolicy no Guia de referência de políticas gerenciadas pela AWS .

Atualizações do Security Hub para políticas AWS gerenciadas

A tabela a seguir fornece detalhes sobre as atualizações das políticas AWS gerenciadas do AWS Security Hub e do Security Hub CSPM desde que esse serviço começou a rastrear essas alterações. Para receber alertas automáticos sobre atualizações dessas políticas, inscreva-se no feed RSS na página Histórico de documentos do Security Hub.

Alteração Descrição Data

AWSSecurityHubOrganizationsAccess: política atualizada

O Security Hub atualizou a política para adicionar permissões para descrever as políticas de recursos para oferecer suporte aos recursos do Security Hub. O Security Hub está em uma versão de pré-visualização, sujeito à alterações.

12 de novembro de 2025

AWSSecurityHubFullAccess: política atualizada

O Security Hub atualizou a política para adicionar recursos de gerenciamento GuardDuty, Amazon Inspector e gerenciamento de contas para oferecer suporte aos recursos do Security Hub. O Security Hub está em uma versão de pré-visualização, sujeito à alterações.

17 de novembro de 2025

AWSSecurityHubV2 ServiceRolePolicy — Política atualizada

O Security Hub atualizou a política para adicionar recursos de medição para o Amazon Elastic Container Registry, Amazon AWS Lambda CloudWatch, e AWS Identity and Access Management para oferecer suporte aos recursos do Security Hub. A atualização também adicionou suporte para AWS Config gravadores globais. O Security Hub está em uma versão de pré-visualização, sujeito à alterações.

5 de novembro de 2025
AWSSecurityHubOrganizationsAccess – atualização para uma política existente O Security Hub adicionou novas permissões à política. As permissões permitem que o gerenciamento da organização habilite e gerencie o Security Hub e o CSPM do Security Hub para uma organização. 17 de junho de 2025

AWSSecurityHubFullAccess – atualização para uma política existente

O CSPM do Security Hub adicionou novas permissões que permitem que as entidades principais criem um perfil vinculado ao serviço para o Security Hub.

 17 de junho de 2025
AWSSecurityHubFullAccess— Atualização de uma política existente O Security Hub CSPM atualizou a política para obter detalhes de preços Serviços da AWS e produtos. 24 de abril de 2024
AWSSecurityHubReadOnlyAccess— Atualização de uma política existente O CSPM do Security Hub atualizou essa política gerenciada adicionando um campo Sid. 22 de fevereiro de 2024
AWSSecurityHubFullAccess— Atualização de uma política existente O Security Hub CSPM atualizou a política para determinar se a Amazon GuardDuty e o Amazon Inspector estão habilitados em uma conta. Isso ajuda os clientes a reunir informações relacionadas à segurança de várias. Serviços da AWS 16 de novembro de 2023
AWSSecurityHubOrganizationsAccess— Atualização de uma política existente O CSPM do Security Hub atualizou a política para conceder permissões adicionais para permitir acesso somente para leitura à funcionalidade do administrador delegado do AWS Organizations . Isso inclui detalhes como raiz, unidades organizacionais (OUs), contas, estrutura organizacional e acesso ao serviço. 16 de novembro de 2023
AWSSecurityHubServiceRolePolicy – atualização para uma política existente O CSPM do Security Hub adicionou as permissões BatchGetSecurityControls, DisassociateFromAdministratorAccount e UpdateSecurityControl para ler e atualizar propriedades de controle de segurança personalizáveis. 26 de novembro de 2023
AWSSecurityHubServiceRolePolicy – atualização para uma política existente O CSPM do Security Hub adicionou a permissão tag:GetResources para ler tags de recursos relacionadas às descobertas. 7 de novembro de 2023
AWSSecurityHubServiceRolePolicy – atualização para uma política existente O CSPM do Security Hub adicionou a permissão BatchGetStandardsControlAssociations para obter informações sobre o status de habilitação de um controle em um padrão. 27 de setembro de 2023
AWSSecurityHubServiceRolePolicy – atualização para uma política existente O Security Hub CSPM adicionou novas permissões para obter AWS Organizations dados, ler e atualizar as configurações do Security Hub CSPM, incluindo padrões e controles. 20 de setembro de 2023
AWSSecurityHubServiceRolePolicy – atualização para uma política existente O CSPM do Security Hub moveu a permissão config:DescribeConfigRuleEvaluationStatus existente para uma declaração diferente dentro da política. A permissão config:DescribeConfigRuleEvaluationStatus agora é aplicada a todos os recursos. 17 de março de 2023
AWSSecurityHubServiceRolePolicy – atualização para uma política existente O CSPM do Security Hub moveu a permissão config:PutEvaluations existente para uma declaração diferente dentro da política. A permissão config:PutEvaluations agora é aplicada a todos os recursos. 14 de julho de 2021
AWSSecurityHubServiceRolePolicy – atualização para uma política existente O CSPM do Security Hub adicionou uma nova permissão para permitir que o perfil vinculado ao serviço forneça resultados de avaliação para o AWS Config. 29 de junho de 2021
AWSSecurityHubServiceRolePolicy— Adicionado à lista de políticas gerenciadas Foram adicionadas informações sobre a política gerenciada AWSSecurityHubServiceRolePolicy, que é usada pela função vinculada ao serviço CSPM do Security Hub. 11 de junho de 2021
AWSSecurityHubOrganizationsAccess— Nova política O CSPM do Security Hub adicionou uma nova política que concede as permissões necessárias para a integração do CSPM do Security Hub com o Organizations. 15 de março de 2021
O CSPM do Security Hub começou a monitorar alterações O Security Hub CSPM começou a monitorar as mudanças em suas políticas AWS gerenciadas. 15 de março de 2021