AWSPolíticas gerenciadas pela para o Security Hub - AWS Security Hub
AWSSecurityHubFullAccessAWSSecurityHubReadOnlyAccess AWSSecurityHubOrganizationsAccess AWSSecurityHubServiceRolePolicyAWSSecurityHubV2ServiceRolePolicyAtualizações da política

AWSPolíticas gerenciadas pela para o Security Hub

Uma política gerenciada pela AWS é uma política autônoma criada e administrada pela AWS. As políticas gerenciadas pela AWS são criadas para fornecer permissões a vários casos de uso comuns e permitir a atribuição de permissões a usuários, grupos e perfis.

Lembre-se de que as políticas gerenciadas pela AWS podem não conceder permissões de privilégio mínimo para casos de uso específicos, por estarem disponíveis para uso por todos os clientes da AWS. Recomendamos que você reduza ainda mais as permissões definindo as políticas gerenciadas pelo cliente que são específicas para seus casos de uso.

Você não pode alterar as permissões definidas em políticas gerenciadas pela AWS. Se a AWS atualiza as permissões definidas em um política gerenciada por AWS, a atualização afeta todas as identidades de entidades principais (usuários, grupos e perfis) às quais a política estiver vinculada. É provável que a AWS atualize uma política gerenciada por AWS quando um novo AWS service (Serviço da AWS) for lançado, ou novas operações de API forem disponibilizadas para os serviços existentes.

Para obter mais informações, consulte Políticas gerenciadas pela AWS no Guia do usuário do IAM.

Política gerenciada pela AWS: AWSSecurityHubFullAccess

É possível anexar a política AWSSecurityHubFullAccess às identidades do IAM.

Essa política concede permissões administrativas que oferecem às entidades principais acesso total a todas as ações do CSPM do Security Hub. Essa política deve ser anexada a uma entidade principal antes que ele habilite o CSPM do Security Hub manualmente para sua conta. Por exemplo, entidades principais com essas permissões podem visualizar e atualizar o status das descobertas. Elas também podem configurar insights personalizados, habilitar integrações e habilitar e desabilitar padrões e controles. As entidades principais de uma conta de administrador também podem gerenciar contas de membro.

Detalhes de permissões

Esta política inclui as seguintes permissões:

  • securityhub: permite que as entidades principais acessem totalmente todas as ações do CSPM do Security Hub.

  • guardduty: permite que as entidades principais obtenham informações sobre o status da conta no Amazon GuardDuty.

  • iam: permite que as entidades principais criem um perfil vinculado ao serviço para o CSPM do Security Hub e o Security Hub.

  • inspector: permite que as entidades principais obtenham informações sobre o status da conta no Amazon Inspector.

  • pricing: permite que as entidades principais obtenham uma lista de produtos e Serviços da AWS.

Para verificar as permissões para esta política, consulte AWSSecurityHubFullAccess no Guia de referência de políticas gerenciadas pela AWS.

Política gerenciada pela AWS: AWSSecurityHubReadOnlyAccess

É possível anexar a política AWSSecurityHubReadOnlyAccess às identidades do IAM.

Essa política concede permissões de acesso somente para leitura que permitem que os usuários visualizem informações no CSPM do Security Hub. As entidades principais com esta política anexada não podem fazer nenhuma atualização no CSPM do Security Hub. Por exemplo, entidades principais com essas permissões podem ver a lista de descobertas associadas à conta, mas não podem alterar o status de uma descoberta. Elas podem ver os resultados dos insights, mas não podem criar ou configurar insights personalizados. Também não podem configurar controles ou integrações de produtos.

Detalhes de permissões

Esta política inclui as seguintes permissões:

  • securityhub: permite que os usuários realizem ações que retornem uma lista de itens ou detalhes sobre um item. Isso inclui operações de API que começam com Get, List ou Describe.

Para verificar as permissões para esta política, consulte AWSSecurityHubReadOnlyAccess no Guia de referência de políticas gerenciadas pela AWS.

Política gerenciada pela AWS: AWSSecurityHubOrganizationsAccess

É possível anexar a política AWSSecurityHubOrganizationsAccess às identidades do IAM.

Essa política concede permissões administrativas para habilitar e gerenciar o Security Hub e o CSPM do Security Hub para uma organização no AWS Organizations. As permissões para essa política permitem que a conta gerencial da organização designe a conta de administrador delegado para o Security Hub e o CSPM do Security Hub. Elas também permitem que a conta de administrador delegado habilite outras contas da organização como sendo contas de membro.

Essa política fornece permissões apenas as para o AWS Organizations. A conta gerencial da organização e a conta de administrador delegado também exigem permissões para as ações associadas. Essas permissões podem ser concedidas usando a política gerenciada do AWSSecurityHubFullAccess.

Detalhes de permissões

Esta política inclui as seguintes permissões:

  • organizations:ListAccounts: permite que as entidades principais recuperem a lista de contas que sejam parte de uma organização.

  • organizations:DescribeOrganization: permite que as entidades principais recuperem informações sobre a organização.

  • organizations:ListRoots: permite que as entidades principais listem a raiz de uma organização.

  • organizations:ListDelegatedAdministrators: permite que as entidades principais listem o administrador delegado de uma organização.

  • organizations:ListAWSServiceAccessForOrganization: permite que as entidades principais listem os Serviços da AWS que uma organização usa.

  • organizations:ListOrganizationalUnitsForParent: permite que as entidades principais listem as unidades organizacionais (UO) filha de uma UO pai.

  • organizations:ListAccountsForParent: permite que as entidades principais listem as contas filhas de uma UO pai.

  • organizations:ListParents: lista a raiz ou as unidades organizacionais (UOs) que funcionam como o pai imediato da UO filha ou da conta especificada.

  • organizations:DescribeAccount: permite que as entidades principais recuperem informações sobre uma conta na organização.

  • organizations:DescribeOrganizationalUnit: permite que as entidades principais recuperem informações sobre uma UO na organização.

  • organizations:ListPolicies: recupera a lista de todas as políticas de um tipo especificado de uma organização.

  • organizations:ListPoliciesForTarget: lista as políticas que são anexadas diretamente à raiz do destino, unidade organizacional (UO) ou conta especificada.

  • organizations:ListTargetsForPolicy: lista todas as raízes, unidades organizacionais (UOs) e contas às quais a política especificada está anexada.

  • organizations:EnableAWSServiceAccess: permite que as entidades principais habilitem a integração com o Organizations.

  • organizations:RegisterDelegatedAdministrator: permite que as entidades principais designem a conta de administrador delegado.

  • organizations:DeregisterDelegatedAdministrator: permite que as entidades principais removam a conta de administrador delegado.

  • organizations:DescribePolicy: recupera as informações sobre uma política.

  • organizations:DescribeEffectivePolicy: retorna o conteúdo da política efetiva para o tipo de política e conta especificados.

  • organizations:CreatePolicy: cria uma política de um tipo especificado que pode ser anexada a uma raiz, a uma unidade organizacional (UO) ou a uma conta da AWS individual.

  • organizations:UpdatePolicy: atualiza uma política existente com um novo nome, descrição ou conteúdo.

  • organizations:DeletePolicy: exclui a política especificada de sua organização.

  • organizations:AttachPolicy: anexa uma política a uma raiz, uma unidade organizacional (UO) ou uma conta individual.

  • organizations:DetachPolicy: desanexa uma política de uma raiz, de uma unidade organizacional (UO) ou de uma conta de destino.

  • organizations:EnablePolicyType: habilita um tipo de política em uma raiz.

  • organizations:DisablePolicyType: desabilita um tipo de política organizacional em uma raiz.

  • organizations:TagResource: adiciona uma ou mais tags a um recurso especificado.

  • organizations:UntagResource: remove todas as tags com as chaves especificadas de um recurso especificado.

  • organizations:ListTagsForResource: lista as tags que estão anexadas a um recurso especificado.

Para verificar as permissões para esta política, consulte AWSSecurityHubOrganizationsAccess no Guia de referência de políticas gerenciadas pela AWS.

Política gerenciada pela AWS: AWSSecurityHubServiceRolePolicy

Não é possível anexar a AWSSecurityHubServiceRolePolicy às entidades do IAM. Essa política é anexada a um perfil vinculado ao serviço que permite que o CSPM do Security Hub realize ações em seu nome. Para obter mais informações, consulte Funções vinculadas ao serviço para o AWS Security Hub CSPM.

Essa política concede permissões administrativas que permitem que o perfil vinculado ao serviço execute tarefas como executar verificações de segurança dos controles do CSPM Security Hub.

Detalhes de permissões

Esta política inclui as seguintes permissões:

  • cloudtrail: recupera informações sobre as trilhas do CloudTrail.

  • cloudwatch: recupera os alarmes atuais do CloudWatch.

  • logs: recupera os filtros métricos para os logs do CloudWatch.

  • sns: recupera a lista de assinaturas de um tópico do SNS.

  • config: recupera informações sobre gravadores de configuração, recursos e regras do AWS Config. Também permite que a função vinculada ao serviço crie e exclua regras do AWS Config e execute avaliações com base nas regras.

  • iam: recupera e gera relatórios de credenciais para contas.

  • organizations: recupera as informações da conta e da unidade organizacional (UO) de uma organização.

  • securityhub: recupera informações sobre como o serviço, os padrões e os controles do CSPM do Security Hub estão configurados.

  • tag: recupera informações sobre tags de recursos.

Para verificar as permissões para esta política, consulte AWSSecurityHubServiceRolePolicy no Guia de referência de políticas gerenciadas pela AWS.

Política gerenciada pela AWS: AWSSecurityHubV2ServiceRolePolicy

nota

O Security Hub está em uma versão de pré-visualização, sujeito à alterações.

Essa política permite que o Security Hub gerencie as regras do AWS Config e os recursos do Security Hub para sua organização e em seu nome. Essa política é vinculada a uma função associada a um serviço, o que possibilita que este serviço execute ações em seu próprio nome. Não é possível anexar essa política às suas identidades do IAM. Para obter mais informações, consulte Funções vinculadas ao serviço para o AWS Security Hub CSPM.

Detalhes de permissões

Esta política inclui as seguintes permissões:

  • config: gerencia gravadores de configuração vinculados a serviços para recursos do Security Hub.

  • iam: cria um perfil vinculado ao serviço para o AWS Config.

  • organizations: recupera as informações da conta e da unidade organizacional (UO) de uma organização.

  • securityhub: gerencia a configuração do Security Hub.

  • tag: recupera informações sobre tags de recursos.

Para verificar as permissões para esta política, consulte AWSSecurityHubV2ServiceRolePolicy no Guia de referência de políticas gerenciadas pela AWS.

Atualizações do Security Hub para políticas gerenciadas pela AWS

A tabela a seguir fornece detalhes sobre atualizações nas políticas gerenciadas pela AWS para o AWS Security Hub e o CSPM do Security Hub desde que esse serviço começou a monitorar essas alterações. Para receber alertas automáticos sobre atualizações dessas políticas, inscreva-se no feed RSS na página Histórico de documentos do Security Hub.

Alteração Descrição Data
AWSSecurityHubOrganizationsAccess: atualização de uma política existente O Security Hub adicionou novas permissões à política. As permissões permitem que o gerenciamento da organização habilite e gerencie o Security Hub e o CSPM do Security Hub para uma organização. 17 de junho de 2025

AWSSecurityHubFullAccess: atualização de uma política existente

O CSPM do Security Hub adicionou novas permissões que permitem que as entidades principais criem um perfil vinculado ao serviço para o Security Hub.

 17 de junho de 2025

AWSSecurityHubV2ServiceRolePolicy: nova política

O Security Hub adicionou uma nova política para permitir que o Security Hub gerencie regras do AWS Config e recursos do Security Hub para a organização de um cliente e em seu nome. O Security Hub está em uma versão de pré-visualização, sujeito à alterações.

17 de junho de 2025
AWSSecurityHubFullAccess: atualização de uma política existente O CSPM do Security Hub atualizou a política para obter detalhes de preço para Serviços da AWS e produtos. 24 de abril de 2024
AwsSecurityHubReadOnlyAccess: atualização de uma política existente O CSPM do Security Hub atualizou essa política gerenciada adicionando um campo Sid. 22 de fevereiro de 2024
AWSSecurityHubFullAccess: atualização de uma política existente O CSPM do Security Hub atualizou a política para determinar se o Amazon GuardDuty e o Amazon Inspector estão habilitados em uma conta. Isso ajuda os clientes a reunir informações relacionadas à segurança de vários Serviços da AWS. 16 de novembro de 2023
AwsSecurityHubOrganizationsAccess: atualização para uma política existente O CSPM do Security Hub atualizou a política para conceder permissões adicionais para permitir acesso somente para leitura à funcionalidade do administrador delegado do AWS Organizations. Isso inclui detalhes como raiz, unidades organizacionais (UOs), contas, estrutura organizacional e acesso ao serviço. 16 de novembro de 2023
AwsSecurityHubServiceRolePolicy – atualize para uma política existente O CSPM do Security Hub adicionou as permissões BatchGetSecurityControls, DisassociateFromAdministratorAccount e UpdateSecurityControl para ler e atualizar propriedades de controle de segurança personalizáveis. 26 de novembro de 2023
AwsSecurityHubServiceRolePolicy – atualize para uma política existente O CSPM do Security Hub adicionou a permissão tag:GetResources para ler tags de recursos relacionadas às descobertas. 7 de novembro de 2023
AwsSecurityHubServiceRolePolicy – atualize para uma política existente O CSPM do Security Hub adicionou a permissão BatchGetStandardsControlAssociations para obter informações sobre o status de habilitação de um controle em um padrão. 27 de setembro de 2023
AwsSecurityHubServiceRolePolicy – atualize para uma política existente O CSPM do Security Hub adicionou novas permissões para obter dados do AWS Organizations, ler e atualizar as configurações do CSPM do Security Hub, incluindo padrões e controles. 20 de setembro de 2023
AwsSecurityHubServiceRolePolicy – atualize para uma política existente O CSPM do Security Hub moveu a permissão config:DescribeConfigRuleEvaluationStatus existente para uma declaração diferente dentro da política. A permissão config:DescribeConfigRuleEvaluationStatus agora é aplicada a todos os recursos. 17 de março de 2023
AwsSecurityHubServiceRolePolicy – atualize para uma política existente O CSPM do Security Hub moveu a permissão config:PutEvaluations existente para uma declaração diferente dentro da política. A permissão config:PutEvaluations agora é aplicada a todos os recursos. 14 de julho de 2021
AwsSecurityHubServiceRolePolicy – atualize para uma política existente O CSPM do Security Hub adicionou uma nova permissão para permitir que o perfil vinculado ao serviço forneça resultados de avaliação para o AWS Config. 29 de junho de 2021
AwsSecurityHubServiceRolePolicy – adicionado à lista de políticas gerenciadas Adição de informações sobre a política gerenciada AWSSecurityHubServiceRolePolicy, que é usada pelo perfil vinculado ao serviço do CSPM do Security Hub. 11 de junho de 2021
AWSSecurityHubOrganizationsAccess – nova política O CSPM do Security Hub adicionou uma nova política que concede as permissões necessárias para a integração do CSPM do Security Hub com o Organizations. 15 de março de 2021
O CSPM do Security Hub começou a monitorar alterações O CSPM do Security Hub começou a monitorar as alterações para as políticas gerenciadas pela AWS. 15 de março de 2021