AWS Security Hub 的托管策略 - AWS Security Hub
AWSSecurityHubFullAccessAWSSecurityHubReadOnlyAccess AWSSecurityHubOrganizationsAccess AWSSecurityHubServiceRolePolicyAWSSecurityHubV2ServiceRolePolicy策略更新

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AWS Security Hub 的托管策略

AWS 托管策略是由创建和管理的独立策略 AWS。 AWS 托管策略旨在为许多常见用例提供权限,以便您可以开始为用户、组和角色分配权限。

请记住, AWS 托管策略可能不会为您的特定用例授予最低权限权限,因为它们可供所有 AWS 客户使用。我们建议通过定义特定于使用案例的客户管理型策略来进一步减少权限。

您无法更改 AWS 托管策略中定义的权限。如果 AWS 更新 AWS 托管策略中定义的权限,则更新会影响该策略所关联的所有委托人身份(用户、组和角色)。 AWS 最有可能在启动新的 API 或现有服务可以使用新 AWS 服务 的 API 操作时更新 AWS 托管策略。

有关更多信息,请参阅《IAM 用户指南》中的 AWS 托管式策略

AWS 托管策略:AWSSecurityHubFullAccess

您可以将 AWSSecurityHubFullAccess 策略附加到 IAM 身份。

此策略授予管理权限,允许主体完全访问所有 Security Hub CSPM 操作。在主体为其账户手动启用 Security Hub CSPM 之前,必须将此策略附加到主体。例如,拥有这些权限的主体可以查看和更新调查发现的状态。他们还可以配置自定义见解、启用集成以及启用和禁用标准和控件。管理员账户的主体也可以管理成员账户。

权限详细信息

该策略包含以下权限:

  • securityhub – 允许主体完全访问所有 Security Hub CSPM 操作。

  • guardduty— 允许委托人在 Amazon 中对探测器、组织管理员管理、成员账户管理和组织范围的配置进行完整的生命周期管理。 GuardDuty这包括 API 操作: GetDetector、 ListDetector、 CreateDetector、 UpdateDetector、 DeleteDetector、 EnableOrganizationAdminAccount、、 ListOrganizationAdminAccounts、 CreateMembers、 UpdateOrganizationConfiguration、 DescribeOrganizationConfiguration。

  • iam— 允许委托人为 Security Hub CSPM 和 Security Hub 创建服务相关角色并获取角色、策略和策略版本。

  • inspector— 允许委托人在 Amazon Inspector 中获取有关账户状态的信息、启用或禁用、委派管理员管理以及执行组织配置管理。这包括 API 操作: BatchGetAccountStatus、启用、禁用 EnableDelegatedAdminAccount、 DisableDelegatedAdminAccount、、 ListDelegatedAdminAccounts、 UpdateOrganizationConfiguration、 DescribeOrganizationConfiguration。

  • pricing— 允许校长获取 AWS 服务 和产品的价目表。

  • account— 允许委托人获取有关账户区域的信息,以支持 Security Hub 中的区域管理。

要查看此策略的权限,请参阅《AWS 托管式策略参考》中的 AWSSecurityHubFullAccess

AWS 托管策略:AWSSecurityHubReadOnlyAccess

您可以将 AWSSecurityHubReadOnlyAccess 策略附加到 IAM 身份。

此策略授予只读权限,允许用户查看 Security Hub CSPM 中的信息。附加了此策略的主体无法在 Security Hub CSPM 中进行任何更新。例如,拥有这些权限的主体可以查看与其账户关联的调查发现列表,但不能改变调查发现的状态。他们可以查看见解的结果,但不能创建或配置自定义见解。他们无法配置控件或产品集成。

权限详细信息

该策略包含以下权限:

  • securityhub:允许用户执行返回项目列表或项目详细信息的操作。这包括以GetListDescribe 开头的 API 操作。

要查看此策略的权限,请参阅《AWS 托管式策略参考》中的 AWSSecurityHubReadOnlyAccess

AWS 托管策略:AWSSecurityHubOrganizationsAccess

您可以将 AWSSecurityHubOrganizationsAccess 策略附加到 IAM 身份。

该策略授予管理权限,允许其为中的组织启用和管理 Security Hub、Security Hub CSPM、Amazon GuardDuty 和 Amazon Inspector。 AWS Organizations该策略的权限允许组织管理账户为 Security Hub、Security Hub CSPM、Amazon GuardDuty 和 Amazon Inspector 指定委托管理员账户。它们还允许委派管理员账户将组织账户启用为成员账户。

此策略仅为提供权限 AWS Organizations。组织管理账户和委派管理员账户也需要关联操作的权限。这些权限可以使用 AWSSecurityHubFullAccess 管理策略来授予。

在管理账户中创建或更新委派管理员策略需要此策略中未提供的其他权限。要执行这些操作,建议为策略添加权限organizations:PutResourcePolicy或附加 AWSOrganizationsFullAccess 策略。

权限详细信息

该策略包含以下权限:

  • organizations:ListAccounts:允许主体检索属于某个组织的账户列表。

  • organizations:DescribeOrganization:允许主体检索有关组织的信息。

  • organizations:ListRoots:允许主体列出组织的根。

  • organizations:ListDelegatedAdministrators:允许主体列出组织的委派管理员。

  • organizations:ListAWSServiceAccessForOrganization— 允许委托人列出组织使用 AWS 服务 的。

  • organizations:ListOrganizationalUnitsForParent:允许主体列出父组织单元(OU)的子 OU。

  • organizations:ListAccountsForParent:允许主体列出父 OU 的子账户。

  • organizations:ListParents— 列出作为指定子 OU 或帐户的直系父级的根单位或组织单位 (OUs)。

  • organizations:DescribeAccount – 让委托人可以检索有关企业中某个账户的信息。

  • organizations:DescribeOrganizationalUnit:允许主体检索有关组织中某个 OU 的信息。

  • organizations:ListPolicies – 检索指定类型的组织中所有策略的列表。

  • organizations:ListPoliciesForTarget – 列出直接附加到指定的目标根、组织单元(OU)或账户的策略。

  • organizations:ListTargetsForPolicy— 列出指定策略所关联的所有根目录、组织单位 (OUs) 和帐户。

  • organizations:EnableAWSServiceAccess – 允许主体启用与 Organions 的集成。

  • organizations:RegisterDelegatedAdministrator – 允许主体指定委派管理员账户。

  • organizations:DeregisterDelegatedAdministrator – 允许主体移除委派管理员账户。

  • organizations:DescribePolicy – 检索有关策略的信息。

  • organizations:DescribeEffectivePolicy – 返回指定的策略类型和账户的有效策略的内容。

  • organizations:CreatePolicy— 创建指定类型的策略,您可以将其附加到根帐户、组织单位 (OU) 或个人 AWS 账户。

  • organizations:UpdatePolicy – 使用新的名称、描述或内容更新现有策略。

  • organizations:DeletePolicy – 从您的组织中删除指定的策略。

  • organizations:AttachPolicy – 将策略附加到根、组织单元(OU)或单个账户。

  • organizations:DetachPolicy – 将策略从目标根、组织单元(OU)或账户分离。

  • organizations:EnablePolicyType – 在根中启用一种策略类型。

  • organizations:DisablePolicyType – 在根中禁用一种组织策略类型。

  • organizations:TagResource – 将一个或多个标签添加到指定的资源。

  • organizations:UntagResource – 从指定的资源中移除具有指定密钥的任何标签。

  • organizations:ListTagsForResource – 列出附加到指定资源的标签。

  • organizations:DescribeResourcePolicy— 检索有关资源策略的信息。

要查看此策略的权限,请参阅《AWS 托管式策略参考》中的 AWSSecurityHubOrganizationsAccess

AWS 托管策略:AWSSecurityHubServiceRolePolicy

您不能将 AWSSecurityHubServiceRolePolicy 附加到自己的 IAM 实体。此策略附加到服务相关角色,允许 Security Hub CSPM 代表您执行操作。有关更多信息,请参阅 的服务相关角色 AWS Security Hub CSPM

此策略授予管理权限,允许服务相关角色为 Security Hub CSPM 控件执行运行安全检查等任务。

权限详细信息

该策略包含以下权限:

  • cloudtrail— 检索有关 CloudTrail 路径的信息。

  • cloudwatch— 检索当前 CloudWatch 警报。

  • logs— 检索 CloudWatch 日志的指标筛选器。

  • sns:检索 SNS 主题的订阅列表。

  • config— 检索有关配置记录器、资源和 AWS Config 规则的信息。还允许服务相关角色创建和删除 AWS Config 规则,并根据规则运行评估。

  • iam – 检索和生成账户的凭证报告。

  • organizations:检索组织的账户和组织单元(OU)信息。

  • securityhub – 检索有关如何配置 Security Hub CSPM 服务、标准和控件的信息。

  • tag:检索有关资源标签的信息。

要查看此策略的权限,请参阅《AWS 托管式策略参考》中的 AWSSecurityHubServiceRolePolicy

AWS 托管策略:AWSSecurityHubV2ServiceRolePolicy

注意

Security Hub 目前为预览版,可能会发生变化。

此策略允许 Security Hub 代表您管理组织中的 AWS Config 规则和 Security Hub 资源。此附加到服务相关角色的策略允许服务代表您执行操作。您无法将此策略附加到 IAM 身份。有关更多信息,请参阅 的服务相关角色 AWS Security Hub CSPM

权限详细信息

该策略包含以下权限:

  • cloudwatch— 检索指标数据以支持 Security Hub 资源的计量功能。

  • config— 管理 Security Hub 资源的服务相关配置记录器,包括支持全局 Config 记录器。

  • ecr— 检索有关 Amazon Elastic Container Registry 镜像和存储库的信息,以支持

  • iam— 为其创建服务相关角色 AWS Config 并检索账户信息以支持计量功能。

  • lambda— 检索 AWS Lambda 功能信息以支持计量功能。

  • organizations:检索组织的账户和组织单元(OU)信息。

  • securityhub – 管理 Security Hub 配置。

  • tag:检索有关资源标签的信息。

要查看此策略的权限,请参阅《AWS 托管式策略参考》中的 AWSSecurityHubV2ServiceRolePolicy

Security Hub 对 AWS 托管策略的更新

下表提供了自该服务开始跟踪这些更改以来对 Sec AWS urity Hub 和 Security Hub CSPM AWS 托管策略的更新的详细信息。有关策略更新的自动提醒,请订阅 Security Hub 文档历史记录页面上的 RSS 源。

更改 描述 日期

AWSSecurityHubOrganizationsAccess - 更新的策略

Security Hub 更新了策略,添加了描述支持 Security Hub 功能的资源策略的权限。Security Hub 目前为预览版,可能会发生变化。

 2025 年 11 月 12 日

AWSSecurityHubFullAccess - 更新的策略

Security Hub 更新了政策,增加了管理 GuardDuty、Amazon Inspector 和账户管理方面的功能,以支持 Security Hub 的功能。Security Hub 目前为预览版,可能会发生变化。

 2025 年 11 月 17 日

AWSSecurityHubv2 ServiceRolePolicy — 更新了政策

Security Hub 更新了政策,增加了亚马逊弹性容器注册表 AWS Lambda、亚马逊的计量功能 CloudWatch,并 AWS Identity and Access Management 支持 Security Hub 功能。此更新还增加了对全局 AWS Config 录音机的支持。Security Hub 目前为预览版,可能会发生变化。

 2025 年 11 月 5 日
AWSSecurityHubOrganizationsAccess:对现有策略的更新 Security Hub 为策略添加了新的权限。这些权限允许组织管理层为组织启用和管理 Security Hub 和 Security Hub CSPM。 2025 年 6 月 17 日

AWSSecurityHubFullAccess:对现有策略的更新

Security Hub CSPM 新增了权限,允许主体为 Security Hub 创建服务相关角色。

 2025 年 6 月 17 日
AWSSecurityHubFullAccess— 更新现有政策 Security Hub CSPM 更新了政策,以获取 AWS 服务 和产品的定价详情。 2024 年 4 月 24 日
AWSSecurityHubReadOnlyAccess— 更新现有政策 Security Hub CSPM 通过添加 Sid 字段更新了此托管策略。 2024 年 2 月 22 日
AWSSecurityHubFullAccess— 更新现有政策 Security Hub CSPM 更新了政策,因此它可以确定账户中是否启用了亚马逊 GuardDuty 和亚马逊 Inspector。这可以帮助客户汇集来自多个 AWS 服务与安全相关的信息。 2023 年 11 月 16 日
AWSSecurityHubOrganizationsAccess— 更新现有政策 Security Hub CSPM 更新了授予额外权限的策略,允许以只读方式访问 AWS Organizations 委派管理员功能。这包括根目录、组织单位 (OUs)、帐户、组织结构和服务访问权限等详细信息。 2023 年 11 月 16 日
AWSSecurityHubServiceRolePolicy:对现有策略的更新 Security Hub CSPM 添加了 BatchGetSecurityControlsDisassociateFromAdministratorAccountUpdateSecurityControl 权限,用于读取和更新可自定义的安全控件属性。 2023 年 11 月 26 日
AWSSecurityHubServiceRolePolicy:对现有策略的更新 Security Hub CSPM 添加了 tag:GetResources 权限,以读取与调查发现相关的资源标签。 2023 年 11 月 7 日
AWSSecurityHubServiceRolePolicy:对现有策略的更新 Security Hub CSPM 添加了 BatchGetStandardsControlAssociations 权限,以获取有关标准中控件的启用状态的信息。 2023 年 9 月 27 日
AWSSecurityHubServiceRolePolicy:对现有策略的更新 Security Hub CSPM 增加了获取 AWS Organizations 数据以及读取和更新 Security Hub CSPM 配置的新权限,包括标准和控制。 2023 年 9 月 20 日
AWSSecurityHubServiceRolePolicy:对现有策略的更新 Security Hub CSPM 将现有 config:DescribeConfigRuleEvaluationStatus 权限移至策略中的另一条语句。该 config:DescribeConfigRuleEvaluationStatus 权限现已应用于所有资源。 2023 年 3 月 17 日
AWSSecurityHubServiceRolePolicy:对现有策略的更新 Security Hub CSPM 将现有 config:PutEvaluations 权限移至策略中的另一条语句。该 config:PutEvaluations 权限现已应用于所有资源。 2021 年 7 月 14 日
AWSSecurityHubServiceRolePolicy:对现有策略的更新 Security Hub CSPM 添加了一项新权限,允许服务相关角色将评估结果传递给 AWS Config。 2021 年 6 月 29 日
AWSSecurityHubServiceRolePolicy— 已添加到托管策略列表中 添加了有关托管策略的信息 AWSSecurityHubServiceRolePolicy,该策略由 Security Hub CSPM 服务相关角色使用。 2021 年 6 月 11 日
AWSSecurityHubOrganizationsAccess— 新政策 Security Hub CSPM 添加了一项新策略,该策略授予 Security Hub CSPM 与 Organizations 集成所需的权限。 2021 年 3 月 15 日
Security Hub CSPM 开始跟踪更改 Security Hub CSPM 开始跟踪其 AWS 托管策略的更改。 2021 年 3 月 15 日