本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
的服务相关角色 AWS Security Hub CSPM
AWS Security Hub CSPM使用名AWSServiceRoleForSecurityHub为的 AWS Identity and Access Management (IAM) 服务相关角色。此服务相关角色是一个 IAM 角色,直接链接到 Security Hub CSPM。它由 Security Hub CSPM 预定义,它包括 Security Hub CSPM 代表你调用其他资源AWS 服务和监控AWS资源所需的所有权限。Security Hub CSPM 在 Security AWS 区域 Hub CSPM 可用的所有地方都使用此服务相关角色。
服务相关角色使设置 Security Hub CSPM 变得更加容易,因为您不必手动添加必要的权限。Security Hub CSPM 定义了其服务相关角色的权限,除非另有定义,否则只有 Security Hub CSPM 可以担任该角色。定义的权限包括信任策略和权限策略,您不能将该权限策略附加到任何其他 IAM 实体。
要查看服务相关角色的详细信息,可以使用 Security Hub CSPM 控制台。在导航窗格中的设置下,选择常规。然后,在服务权限部分,选择查看服务权限。
只有在所有启用了 Security Hub CSPM 的区域中禁用 Security Hub CSPM 服务相关角色后,才能将其删除。这样可以保护您的 Security Hub CSPM 资源,因为您不会无意中删除访问这些资源的权限。
有关支持服务相关角色的其他服务的信息,请参阅《IAM 用户指南》中使用 IAM 的 AWS 服务,并查找服务相关角色列中显示为是的服务。选择带有链接的是可以查看该服务的服务相关角色文档。
主题
Security Hub CSPM 的服务相关角色权限
Security Hub CSPM 使用名为的服务相关角色。AWSServiceRoleForSecurityHub这是访问您的资源所需的AWS Security Hub CSPM服务相关角色。此服务相关角色允许 Security Hub CSPM 执行任务,例如从他人那里接收调查结果,AWS 服务并配置必要的AWS Config基础架构以运行安全检查以进行控制措施。AWSServiceRoleForSecurityHub 服务关联角色信任 securityhub.amazonaws.com 服务来代入角色。
AWSServiceRoleForSecurityHub 服务相关角色使用托管策略 AWSSecurityHubServiceRolePolicy。
必须授予权限,允许 IAM 身份(如角色、组或用户)创建、编辑或删除服务相关角色。要成功创建AWSServiceRoleForSecurityHub服务相关角色,您用于访问 Security Hub CSPM 的 IAM 身份必须具有所需的权限。要授予所需的权限,请将以下策略附加到 IAM 身份。
为 Security Hub CSPM 创建服务相关角色
当您首次启用 Security Hub CSPM 或在以前未启用 Security Hub CSPM 的区域启用该角色时,系统会自动创建AWSServiceRoleForSecurityHub服务相关角色。您还可以使用 IAM 控制台、IAM API 或 IAM API 创建 AWSServiceRoleForSecurityHub 服务相关角色。有关手动创建角色的更多信息,请参阅 IAM 用户指南中的创建服务相关角色。
重要
为 Security Hub CSPM 管理员账户创建的服务相关角色不适用于关联的 Security Hub CSPM 成员账户。
编辑 Security Hub CSPM 的服务相关角色
Security Hub CSPM 不允许你编辑AWSServiceRoleForSecurityHub服务相关角色。在创建服务相关角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。但是可以使用 IAM 编辑角色说明。有关更多信息,请参阅《IAM 用户指南》中的编辑服务相关角色。
删除 Security Hub CSPM 的服务相关角色
如果您不再需要使用某个需要服务相关角色的功能或服务,我们建议您删除该角色。这样您就没有未被主动监控或维护的未使用实体。
当你禁用 Security Hub CSPM 时,Security Hub CSPM 不会自动为你删除AWSServiceRoleForSecurityHub服务相关角色。如果您再次启用 Security Hub CSPM,则该服务可以重新开始使用现有的服务相关角色。如果您不再需要使用 Security Hub CSPM,则可以手动删除服务相关角色。
重要
在删除AWSServiceRoleForSecurityHub服务相关角色之前,必须先在启用该角色的所有区域禁用 Security Hub CSPM。有关更多信息,请参阅 禁用 Security Hub CSPM。如果您在尝试删除服务相关角色时未禁用 Security Hub CSPM,则删除将失败。
要删除 AWSServiceRoleForSecurityHub 服务相关角色,您可以使用 IAM 控制台、IAM CLI 或 IAM API。有关更多信息,请参阅《IAM 用户指南》中的删除服务关联角色。
Sec AWS urity Hub V2 的服务相关角色
使用名AWSServiceRoleForSecurityHubV2为的服务相关角色。此服务相关角色允许您代表您的组织管理AWS Config规则和资源。AWSServiceRoleForSecurityHubV2 服务关联角色信任 securityhub.amazonaws.com 服务来代入角色。
AWSServiceRoleForSecurityHubV2 服务相关角色使用托管策略 AWSSecurityHubV2ServiceRolePolicy。
权限详细信息
该策略包含以下权限:
-
cloudwatch— 允许角色检索指标数据以支持资源的计量功能。 -
config— 允许该角色管理与服务相关的资源配置记录器,包括对全局AWS Config记录器的支持。 -
ecr— 允许该角色检索有关 Amazon Elastic Container Registry 映像和存储库的信息,以支持计量功能。 -
iam— 允许该角色为其创建服务相关角色AWS Config并检索账户信息以支持计量功能。 -
lambda— 允许角色检索AWS Lambda功能信息以支持计量功能。 -
organizations— 允许该角色检索组织的帐户和组织单位 (OU) 信息。 -
securityhub— 允许该角色管理配置。 -
tag— 允许角色检索有关资源标签的信息。
必须授予权限,允许 IAM 身份(如角色、组或用户)创建、编辑或删除服务相关角色。要成功创建AWSServiceRoleForSecurityHubV2服务相关角色,您用于访问的 IAM 身份必须具有所需的权限。要授予所需的权限,请将以下策略附加到 IAM 身份。
为 Sec AWS urity Hub V2 创建服务相关角色
当您首次启用AWSServiceRoleForSecurityHubV2服务相关角色或在以前未启用该角色的地区启用服务相关角色时,系统会自动创建该角色。您还可以使用 IAM 控制台、IAM API 或 IAM API 创建 AWSServiceRoleForSecurityHubV2 服务相关角色。有关手动创建角色的更多信息,请参阅 IAM 用户指南中的创建服务相关角色。
重要
为管理员账户创建的服务相关角色不适用于关联的成员账户。
编辑 Sec AWS urity Hub V2 的服务相关角色
不允许您编辑AWSServiceRoleForSecurityHubV2服务相关角色。在创建服务相关角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。但是可以使用 IAM 编辑角色说明。有关更多信息,请参阅《IAM 用户指南》中的编辑服务相关角色。
删除 Sec AWS urity Hub V2 的服务相关角色
如果您不再需要使用某个需要服务相关角色的功能或服务,我们建议您删除该角色。这样您就没有未被主动监控或维护的未使用实体。
禁用后,不会自动为您删除AWSServiceRoleForSecurityHubV2服务相关角色。如果您再次启用,则该服务可以重新开始使用现有的服务相关角色。如果您不再需要使用,则可以手动删除服务相关角色。
重要
在删除AWSServiceRoleForSecurityHubV2服务相关角色之前,必须先在所有启用该角色的区域中将其禁用。有关更多信息,请参阅 禁用 Security Hub CSPM。如果在您尝试删除服务相关角色时未禁用 ,删除将失败。
要删除 AWSServiceRoleForSecurityHubV2 服务相关角色,您可以使用 IAM 控制台、IAM CLI 或 IAM API。有关更多信息,请参阅《IAM 用户指南》中的删除服务关联角色。
