Políticas-chave do KMS para integrações de emissão de bilhetes do Security Hub - AWS Security Hub
Política de permissões do Security HubAcesso de entidade principal ao IAM para operações do Security Hub

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Políticas-chave do KMS para integrações de emissão de bilhetes do Security Hub

Ao usar chaves KMS gerenciadas pelo cliente com integrações de emissão de tíquetes do Security Hub, políticas adicionais precisam ser adicionadas à chave KMS para permitir que o Security Hub interaja com a chave. Além disso, é necessário adicionar políticas que permitam que o principal que está adicionando a chave ao conector do Security Hub tenha permissões para acessar a chave.

Política de permissões do Security Hub

A política a seguir descreve as permissões que o Security Hub precisa para poder acessar e usar a chave KMS associada ao seu Jira e aos conectores. ServiceNow Essa política precisa ser adicionada a cada chave KMS associada a um conector do Security Hub.

A política contém as seguintes permissões:

  • Permite que o Security Hub proteja, acesse temporariamente ou atualize os tokens usados para se comunicar com suas integrações de emissão de bilhetes usando a chave. As permissões são restritas às operações relacionadas a conectores específicos do Security Hub por meio do bloco de condições que verifica o ARN de origem e o contexto de criptografia.

  • Permite que o Security Hub leia metadados sobre a chave KMS ao permitir a operação. DescribeKey Essa permissão é necessária para que o Security Hub verifique o status e a configuração da chave. O acesso é limitado a conectores específicos do Security Hub por meio da condição do ARN de origem. 


{
    "Sid": "Allow Security Hub access to the customer managed key",
    "Effect": "Allow",
    "Principal": {
        "Service": "connector.securityhub.amazonaws.com"
    },
    "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt",
        "kms:ReEncrypt*"
    ],
    "Resource": "*",
    "Condition": {
        "ArnLike": {
            "aws:SourceArn": "arn:aws:securityhub:Region:AccountId:connectorv2/*"
        },
        "StringLike": {
            "kms:EncryptionContext:aws:securityhub:connectorV2Arn": "arn:aws:securityhub:Region:AccountId:connectorv2/*",
            "kms:EncryptionContext:aws:securityhub:providerName": "CloudProviderName"
        }
    }
},
{
    "Sid": "Allow Security Hub read access to the customer managed key",
    "Effect": "Allow",
    "Principal": {
        "Service": "connector.securityhub.amazonaws.com"
    },
    "Action": [
        "kms:DescribeKey"
    ],
    "Resource": "*",
    "Condition": {
        "ArnLike": {
            "aws:SourceArn": "arn:aws:securityhub:Region:AccountId:connectorv2/*"
        }
    }
}

Edite a política substituindo os seguintes valores no exemplo de política:

  • CloudProviderNameSubstituir por JIRA_CLOUD ou SERVICENOW

  • AccountIdSubstitua pelo ID da conta em que você está criando o conector do Security Hub.

  • RegionSubstitua pela sua AWS região (por exemplo,us-east-1).

Acesso de entidade principal ao IAM para operações do Security Hub

Qualquer diretor que atribuirá chaves KMS gerenciadas pelo cliente a um conector do Security Hub precisa ter permissões para realizar operações de chave (descrever, gerar, descriptografar, recriptografar e listar aliases) para a chave que está sendo adicionada ao conector. Isso se aplica ao CreateConnectorV2CreateTicketV2 APIse. A declaração de política a seguir deve ser incluída como parte da política para qualquer diretor que interaja com eles APIs. 


{
    "Sid": "Allow permissions to access key through Security Hub",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::AccountId:role/RoleName"
    },
    "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt",
        "kms:ReEncrypt*"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "kms:ViaService": [
                "securityhub.Region.amazonaws.com"
            ]
        },
        "StringLike": {
            "kms:EncryptionContext:aws:securityhub:providerName": "CloudProviderName"
        }
    }
},
{
    "Sid": "Allow read permissions to access key through Security Hub",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::AccountId:role/RoleName"
    },
    "Action": [
        "kms:DescribeKey"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "kms:ViaService": [
                "securityhub.Region.amazonaws.com"
            ]
        }
    }
}

Edite a política substituindo os seguintes valores no exemplo de política:

  • RoleNameSubstitua pelo nome da função do IAM que está fazendo chamadas para o Security Hub.

  • Substitua CloudProviderName por JIRA_CLOUD ou SERVICENOW.

  • AccountIdSubstitua pelo ID da conta em que você está criando o conector do Security Hub.

  • RegionSubstitua pela sua AWS região (por exemplo,us-east-1).