Funções vinculadas a serviços para AWS Security Hub CSPM - AWS Security Hub
Permissões de função vinculadas ao serviço para o Security Hub CSPMCriando uma função vinculada ao serviço para o Security Hub CSPMEditando uma função vinculada ao serviço para o Security Hub CSPMExcluindo uma função vinculada ao serviço para o Security Hub CSPMFunção vinculada ao serviço para o AWS Security Hub V2

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Funções vinculadas a serviços para AWS Security Hub CSPM

AWS Security Hub CSPM usa uma função vinculada ao serviço AWS Identity and Access Management (IAM) chamada. AWSServiceRoleForSecurityHub Essa função vinculada ao serviço é uma função do IAM vinculada diretamente ao CSPM do Security Hub. É predefinido pelo CSPM do Security Hub e inclui todas as permissões que o CSPM do Security Hub exige para chamar outras pessoas Serviços da AWS e monitorar AWS recursos em seu nome. O CSPM do Security Hub usa essa função vinculada ao serviço em todos os locais em que o CSPM do Security Regiões da AWS Hub está disponível.

Uma função vinculada ao serviço facilita a configuração do CSPM do Security Hub porque você não precisa adicionar manualmente as permissões necessárias. O CSPM do Security Hub define as permissões de sua função vinculada ao serviço e, a menos que seja definido de outra forma, somente o CSPM do Security Hub pode assumir a função. As permissões definidas incluem a política de confiança e a política de permissões, a qual não pode ser anexada a nenhuma outra entidade do IAM.

Para revisar os detalhes da função vinculada ao serviço, você pode usar o console CSPM do Security Hub. No painel de navegação, escolha Geral em Configurações. Em seguida, na seção Permissões do serviço, escolha Exibir permissões do serviço.

Você pode excluir a função vinculada ao serviço CSPM do Security Hub somente depois de desativar o CSPM do Security Hub em todas as regiões em que ela está habilitada. Isso protege seus recursos CSPM do Security Hub porque você não pode remover inadvertidamente as permissões para acessá-los.

Para obter informações sobre outros serviços que ofereçam suporte a perfis vinculados ao serviço, consulte Serviços da AWS que trabalham com o IAM no Guia do usuário do IAM e procure pelos serviços com Sim na coluna Perfis vinculados a serviços. Escolha um Sim com um link para revisar a documentação da função vinculada a esse serviço.

Permissões de função vinculadas ao serviço para o Security Hub CSPM

O Security Hub CSPM usa a função vinculada ao serviço chamada. AWSServiceRoleForSecurityHub É uma função vinculada ao serviço necessária AWS Security Hub CSPM para acessar seus recursos. Essa função vinculada ao serviço permite que o CSPM do Security Hub execute tarefas como receber descobertas de outras pessoas Serviços da AWS e configurar a AWS Config infraestrutura necessária para executar verificações de segurança dos controles. O perfil vinculado ao serviço AWSServiceRoleForSecurityHub confia no serviço securityhub.amazonaws.com para presumir o perfil.

A função vinculada ao serviço AWSServiceRoleForSecurityHub usa a política gerenciada AWSSecurityHubServiceRolePolicy.

É necessário conceder permissões para permitir que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua uma função vinculada ao serviço. Para que a função AWSServiceRoleForSecurityHub vinculada ao serviço seja criada com sucesso, a identidade do IAM que você usa para acessar o CSPM do Security Hub deve ter as permissões necessárias. Para conceder as permissões necessárias, anexe a política a seguir à identidade do IAM.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "securityhub:*",
            "Resource": "*"    
        },
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": "securityhub.amazonaws.com"
                }
            }
        }
    ]
}

Criando uma função vinculada ao serviço para o Security Hub CSPM

A função AWSServiceRoleForSecurityHub vinculada ao serviço é criada automaticamente quando você ativa o CSPM do Security Hub pela primeira vez ou ativa o CSPM do Security Hub em uma região onde não a habilitou anteriormente. Também é possível criar o perfil vinculado ao serviço AWSServiceRoleForSecurityHub manualmente usando o console do IAM, a CLI do IAM ou a API do IAM. Para mais informações sobre a criação da função manualmente, consulte Criar uma função vinculada ao serviço no Guia do usuário do IAM.

Importante

A função vinculada ao serviço criada para uma conta de administrador do CSPM do Security Hub não se aplica às contas associadas de membros do CSPM do Security Hub.

Editando uma função vinculada ao serviço para o Security Hub CSPM

O Security Hub CSPM não permite que você edite a função vinculada ao AWSServiceRoleForSecurityHub serviço. Depois que você criar um perfil vinculado ao serviço, não poderá alterar o nome do perfil, pois várias entidades podem fazer referência ao perfil. No entanto, será possível editar a descrição da função usando o IAM. Para saber mais, consulte Editar um perfil vinculado ao serviço no Guia do usuário do IAM.

Excluindo uma função vinculada ao serviço para o Security Hub CSPM

Se você não precisar mais usar um recurso ou serviço que requer uma função vinculada a serviço, é recomendável excluí-la. Dessa forma, você não terá uma entidade não utilizada e não monitorada ativamente ou mantida.

Quando você desativa o CSPM do Security Hub, o CSPM do Security Hub não exclui automaticamente a função vinculada ao AWSServiceRoleForSecurityHub serviço para você. Se você habilitar o Security Hub CSPM novamente, o serviço poderá começar a usar a função vinculada ao serviço existente novamente. Se você não precisar mais usar o CSPM do Security Hub, poderá excluir manualmente a função vinculada ao serviço.

Importante

Antes de excluir a função AWSServiceRoleForSecurityHub vinculada ao serviço, você deve primeiro desabilitar o CSPM do Security Hub em todas as regiões em que ela está habilitada. Para obter mais informações, consulte Desabilitação do CSPM do Security Hub. Se o CSPM do Security Hub não estiver desativado quando você tentar excluir a função vinculada ao serviço, a exclusão falhará.

Para excluir o perfil vinculado ao serviço AWSServiceRoleForSecurityHub, é possível usar o console do IAM, a CLI do IAM ou a API do IAM. Para saber mais, consulte Excluir um perfil vinculado ao serviço no Guia do usuário do IAM.

Função vinculada ao serviço para o AWS Security Hub V2

usa a função vinculada ao serviço chamada. AWSServiceRoleForSecurityHubV2 Essa função vinculada ao serviço permite gerenciar AWS Config regras e recursos para sua organização e em seu nome. O perfil vinculado ao serviço AWSServiceRoleForSecurityHubV2 confia no serviço securityhub.amazonaws.com para presumir o perfil.

O perfil vinculado ao serviço AWSServiceRoleForSecurityHubV2 usa a política gerenciada AWSSecurityHubV2ServiceRolePolicy.

Detalhes de permissões

Esta política inclui as seguintes permissões:

  • cloudwatch— Permite que a função recupere dados de métricas para apoiar os recursos de medição.

  • config— Permite que a função gerencie gravadores de configuração vinculados a serviços para recursos, incluindo suporte para gravadores globais. AWS Config

  • ecr— Permite que a função recupere informações sobre imagens e repositórios do Amazon Elastic Container Registry para oferecer suporte aos recursos de medição.

  • iam— permite que a função crie a função vinculada ao serviço AWS Config e recupere informações da conta para oferecer suporte aos recursos de medição.

  • lambda— Permite que a função recupere informações da AWS Lambda função para apoiar os recursos de medição.

  • organizations— Permite que a função recupere informações da conta e da unidade organizacional (OU) de uma organização.

  • securityhub— Permite que a função gerencie a configuração.

  • tag— Permite que a função recupere informações sobre tags de recursos.

É necessário conceder permissões para permitir que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua uma função vinculada ao serviço. Para que a função AWSServiceRoleForSecurityHubV2 vinculada ao serviço seja criada com sucesso, a identidade do IAM que você usa para acessar deve ter as permissões necessárias. Para conceder as permissões necessárias, anexe a política a seguir à identidade do IAM.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "securityhub:*",
            "Resource": "*"    
        },
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": "securityhub.amazonaws.com"
                }
            }
        }
    ]
}

Criação de uma função vinculada ao serviço para o AWS Security Hub V2

A função AWSServiceRoleForSecurityHubV2 vinculada ao serviço é criada automaticamente quando você a ativa pela primeira vez ou em uma região na qual não a ativou anteriormente. Também é possível criar o perfil vinculado ao serviço AWSServiceRoleForSecurityHubV2 manualmente usando o console do IAM, a CLI do IAM ou a API do IAM. Para mais informações sobre a criação da função manualmente, consulte Criar uma função vinculada ao serviço no Guia do usuário do IAM.

Importante

A função vinculada ao serviço criada para uma conta de administrador não se aplica às contas de membros associadas.

Editando uma função vinculada ao serviço para o AWS Security Hub V2

não permite que você edite a função AWSServiceRoleForSecurityHubV2 vinculada ao serviço. Depois que você criar um perfil vinculado ao serviço, não poderá alterar o nome do perfil, pois várias entidades podem fazer referência ao perfil. No entanto, será possível editar a descrição da função usando o IAM. Para saber mais, consulte Editar um perfil vinculado ao serviço no Guia do usuário do IAM.

Excluindo uma função vinculada ao serviço para o Security Hub AWS V2

Se você não precisar mais usar um recurso ou serviço que requer uma função vinculada a serviço, é recomendável excluí-la. Dessa forma, você não terá uma entidade não utilizada e não monitorada ativamente ou mantida.

Quando você desativa, não exclui automaticamente a função AWSServiceRoleForSecurityHubV2 vinculada ao serviço para você. Se você ativar novamente, o serviço poderá começar a usar a função vinculada ao serviço existente novamente. Se você não precisar mais usar, poderá excluir manualmente a função vinculada ao serviço.

Importante

Antes de excluir a função AWSServiceRoleForSecurityHubV2 vinculada ao serviço, você deve primeiro desativá-la em todas as regiões em que ela está ativada. Para obter mais informações, consulte Desabilitação do CSPM do Security Hub. Se o não estiver desabilitado quando você tentar excluir a função vinculada ao serviço, haverá falha na exclusão.

Para excluir o perfil vinculado ao serviço AWSServiceRoleForSecurityHubV2, é possível usar o console do IAM, a CLI do IAM ou a API do IAM. Para saber mais, consulte Excluir um perfil vinculado ao serviço no Guia do usuário do IAM.