在 Security Hub CSPM 中配置控件所需的权限
要查看有关安全控件的信息以及启用和禁用标准中的安全控件,用于访问 AWS Security Hub CSPM 的 AWS Identity and Access Management (IAM) 角色需要调用以下 Security Hub CSPM API 操作的权限。
要获得必要的权限,您可以使用 Security Hub CSPM 托管策略。或者,您可以更新自定义 IAM policy 以包含这些操作的权限。
-
BatchGetSecurityControls——返回有关当前账户和 AWS 区域 的一批安全控件的信息。
-
—ListSecurityControlDefinitions—返回有关适用于指定标准的安全控件的信息。
-
—ListStandardsControlAssociations—确定账户中每个启用的标准中当前是启用还是禁用了安全控件。
-
—BatchGetStandardsControlAssociations—对于一批安全控件,标识每个控件当前是在指定标准中启用还是禁用。
-
—BatchUpdateStandardsControlAssociations—用于在包含该控件的标准中启用安全控件,或禁用标准中的控件。这会批量替代现有
UpdateStandardsControl操作。 -
BatchUpdateStandardsControlAssociations – 用于在包含安全控件的标准中启用或禁用一批控件。这会批量替代现有
UpdateStandardsControl操作。 -
UpdateStandardsControl – 用于在包含安全控件的标准中启用或禁用单个安全控件
-
DescribeStandardsControl – 返回有关指定的安全控件的详细信息。
除了前面的 API 之外,您还应该添加调用 BatchGetControlEvaluations 的权限至 IAM 角色。要在 Security Hub CSPM 控制台上查看控件的启用和合规性状态、控件的调查发现计数以及控件的总体安全评分,需要此权限。由于只有控制台调用 BatchGetControlEvaluations,因此该权限并不直接对应于公开记录的 Security Hub CSPM API 或 AWS CLI 命令。
