本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS Security Hub 的 受管政策
AWS 受管政策是由 AWS AWS 受管政策建立和管理的獨立政策旨在為許多常用案例提供許可,以便您可以開始將許可指派給使用者、群組和角色。
請記住, AWS 受管政策可能不會授予特定使用案例的最低權限許可,因為這些許可可供所有 AWS 客戶使用。我們建議您定義使用案例專屬的客戶管理政策,以便進一步減少許可。
您無法變更 AWS 受管政策中定義的許可。如果 AWS 更新受 AWS 管政策中定義的許可,則更新會影響政策連接的所有委託人身分 (使用者、群組和角色)。當新的 AWS 服務 啟動或新的 API 操作可供現有服務使用時, AWS 最有可能更新 AWS 受管政策。
如需詳細資訊,請參閱《IAM 使用者指南》中的 AWS 受管政策。
AWS 受管政策: AWSSecurityHubFullAccess
您可將 AWSSecurityHubFullAccess 政策連接到 IAM 身分。
此政策會授予管理許可,允許委託人完整存取所有 Security Hub CSPM 動作。此政策必須連接到委託人,才能為其帳戶手動啟用 Security Hub CSPM。例如,具有這些許可的主體可以檢視和更新調查結果的狀態。他們可以設定自訂洞見,並啟用整合。他們可以啟用和停用標準和控制項。管理員帳戶的主體也可以管理成員帳戶。
許可詳細資訊
此政策包含以下許可。
-
securityhub– 允許主體完整存取所有 Security Hub CSPM 動作。 -
guardduty– 允許主體取得 Amazon GuardDuty 中帳戶狀態的相關資訊。 -
iam– 允許主體為 Security Hub CSPM 和 Security Hub 建立服務連結角色。 -
inspector– 允許主體取得 Amazon Inspector 中帳戶狀態的相關資訊。 -
pricing– 允許主體取得 AWS 服務 和 產品的價目表。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "SecurityHubAllowAll", "Effect": "Allow", "Action": "securityhub:*", "Resource": "*" }, { "Sid": "SecurityHubServiceLinkedRole", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringLike": { "iam:AWSServiceName": [ "securityhub.amazonaws.com", "securityhubv2.amazonaws.com" ] } } }, { "Sid": "OtherServicePermission", "Effect": "Allow", "Action": [ "guardduty:GetDetector", "guardduty:ListDetectors", "inspector2:BatchGetAccountStatus", "pricing:GetProducts" ], "Resource": "*" } ] }
Security Hub CSPM 受管政策: AWSSecurityHubReadOnlyAccess
您可將 AWSSecurityHubReadOnlyAccess 政策連接到 IAM 身分。
此政策授予唯讀許可,允許使用者檢視 Security Hub CSPM 中的資訊。附加此政策的主體無法在 Security Hub CSPM 中進行任何更新。例如,具有這些許可的主體可以檢視與其帳戶相關聯的調查結果清單,但無法變更調查結果的狀態。他們可以檢視洞見的結果,但無法建立或設定自訂洞見。他們無法設定控制項或產品整合。
許可詳細資訊
此政策包含以下許可。
-
securityhub– 允許使用者執行傳回項目清單或項目詳細資訊的動作。這包括以Get、List或 開頭的 API 操作Describe。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSSecurityHubReadOnlyAccess", "Effect": "Allow", "Action": [ "securityhub:Get*", "securityhub:List*", "securityhub:BatchGet*", "securityhub:Describe*" ], "Resource": "*" } ] }
AWS 受管政策: AWSSecurityHubOrganizationsAccess
您可將 AWSSecurityHubOrganizationsAccess 政策連接到 IAM 身分。
此政策授予管理許可,以在組織內啟用和管理 Security Hub 和 Security Hub CSPM。
此政策允許組織管理帳戶為 Security Hub 和 Security Hub CSPM 指定委派管理員帳戶的許可。它們也允許委派管理員帳戶將組織帳戶啟用為成員帳戶。
此政策僅提供 Organizations 的許可。組織管理帳戶和委派管理員帳戶也需要相關聯動作的許可。您可以使用 AWSSecurityHubFullAccess受管政策授予這些許可。
許可詳細資訊
此政策包含以下許可。
-
organizations:ListAccounts– 允許主體擷取屬於組織一部分的帳戶清單。 -
organizations:DescribeOrganization– 允許主體擷取組織的相關資訊。 -
organizations:ListRoots– 允許主體列出組織的根目錄。 -
organizations:ListDelegatedAdministrators– 允許主體列出組織的委派管理員。 -
organizations:ListAWSServiceAccessForOrganization– 允許主體列出 AWS 服務 組織使用的 。 -
organizations:ListOrganizationalUnitsForParent– 允許主體列出父 OU 的子組織單位 (OU)。 -
organizations:ListAccountsForParent– 允許主體列出父 OU 的子帳戶。 -
organizations:ListParents– 列出做為指定子 OUs 或帳戶的直接父項的根或組織單位 (OU)。 -
organizations:DescribeAccount– 允許主體擷取組織中帳戶的相關資訊。 -
organizations:DescribeOrganizationalUnit– 允許主體擷取組織中 OU 的相關資訊。 -
organizations:ListPolicies– 擷取組織中指定類型的所有政策清單。 -
organizations:ListPoliciesForTarget– 列出直接連接到指定目標根目錄、組織單位 (OU) 或帳戶的政策。 -
organizations:ListTargetsForPolicy– 列出指定政策連接的所有根目錄、組織單位 (OUs) 和帳戶。 -
organizations:EnableAWSServiceAccess– 允許主體啟用與 Organizations 的整合。 -
organizations:RegisterDelegatedAdministrator– 允許主體指定委派的管理員帳戶。 -
organizations:DeregisterDelegatedAdministrator– 允許主體移除委派的管理員帳戶。 -
organizations:DescribePolicy– 擷取政策的相關資訊。 -
organizations:DescribeEffectivePolicy– 傳回指定政策類型和帳戶的有效政策內容。 -
organizations:CreatePolicy– 建立可連接到根目錄、組織單位 (OU) 或個別 AWS 帳戶之指定類型的政策。 -
organizations:UpdatePolicy– 使用新名稱、描述或內容更新現有政策。 -
organizations:DeletePolicy– 從您的組織刪除指定的政策。 -
organizations:AttachPolicy– 將政策連接至根帳戶、組織單位 (OU) 或個別帳戶。 -
organizations:DetachPolicy– 從目標根目錄、組織單位 (OU) 或帳戶分離政策。 -
organizations:EnablePolicyType– 在根目錄中啟用政策類型。 -
organizations:DisablePolicyType– 在根目錄中停用組織政策類型。 -
organizations:TagResource– 將一或多個標籤新增至指定的資源。 -
organizations:UntagResource– 從指定的資源移除具有指定金鑰的任何標籤。 -
organizations:ListTagsForResource– 列出連接至指定資源的標籤。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "OrganizationPermissions", "Effect": "Allow", "Action": [ "organizations:ListAccounts", "organizations:DescribeOrganization", "organizations:ListRoots", "organizations:ListDelegatedAdministrators", "organizations:ListAWSServiceAccessForOrganization", "organizations:ListOrganizationalUnitsForParent", "organizations:ListAccountsForParent", "organizations:ListParents", "organizations:DescribeAccount", "organizations:DescribeOrganizationalUnit", "organizations:ListPolicies", "organizations:ListPoliciesForTarget", "organizations:ListTargetsForPolicy" ], "Resource": "*" }, { "Sid": "OrganizationPermissionsEnable", "Effect": "Allow", "Action": "organizations:EnableAWSServiceAccess", "Resource": "*", "Condition": { "StringEquals": { "organizations:ServicePrincipal": "securityhub.amazonaws.com" } } }, { "Sid": "OrganizationPermissionsDelegatedAdmin", "Effect": "Allow", "Action": [ "organizations:RegisterDelegatedAdministrator", "organizations:DeregisterDelegatedAdministrator" ], "Resource": "arn:aws:organizations::*:account/o-*/*", "Condition": { "StringEquals": { "organizations:ServicePrincipal": "securityhub.amazonaws.com" } } }, { "Sid": "OrganizationPolicyPermissions", "Effect": "Allow", "Action": [ "organizations:DescribePolicy", "organizations:DescribeEffectivePolicy", "organizations:CreatePolicy", "organizations:UpdatePolicy", "organizations:DeletePolicy", "organizations:AttachPolicy", "organizations:DetachPolicy", "organizations:EnablePolicyType", "organizations:DisablePolicyType" ], "Resource": [ "arn:aws:organizations::*:root/o-*/*", "arn:aws:organizations::*:account/o-*/*", "arn:aws:organizations::*:ou/o-*/*", "arn:aws:organizations::*:policy/o-*/securityhub_policy/*" ], "Condition": { "StringLikeIfExists": { "organizations:PolicyType": "SECURITYHUB_POLICY" } } }, { "Sid": "OrganizationPolicyTaggingPermissions", "Effect": "Allow", "Action": [ "organizations:TagResource", "organizations:UntagResource", "organizations:ListTagsForResource" ], "Resource": [ "arn:aws:organizations::*:policy/o-*/securityhub_policy/*" ] } ] }
AWS 受管政策: AWSSecurityHubServiceRolePolicy
您不得將 AWSSecurityHubServiceRolePolicy 連接到 IAM 實體。此政策會連接到服務連結角色,允許 Security Hub CSPM 代表您執行動作。如需詳細資訊,請參閱的服務連結角色 AWS Security Hub。
此政策會授予管理許可,允許服務連結角色執行 Security Hub CSPM 控制項的安全檢查。
許可詳細資訊
此政策包含執行以下動作的許可:
-
cloudtrail– 擷取 CloudTrail 追蹤的相關資訊。 -
cloudwatch– 擷取目前的 CloudWatch 警示。 -
logs– 擷取 CloudWatch 日誌的指標篩選條件。 -
sns– 擷取 SNS 主題的訂閱清單。 -
config– 擷取組態記錄器、資源和 AWS Config 規則的相關資訊。也允許服務連結角色建立和刪除 AWS Config 規則,並根據規則執行評估。 -
iam– 取得並產生帳戶的登入資料報告。 -
organizations– 擷取組織的帳戶和組織單位 (OU) 資訊。 -
securityhub– 擷取如何設定 Security Hub CSPM 服務、標準和控制項的相關資訊。 -
tag– 擷取資源標籤的相關資訊。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "SecurityHubServiceRolePermissions", "Effect": "Allow", "Action": [ "cloudtrail:DescribeTrails", "cloudtrail:GetTrailStatus", "cloudtrail:GetEventSelectors", "cloudwatch:DescribeAlarms", "cloudwatch:DescribeAlarmsForMetric", "logs:DescribeMetricFilters", "sns:ListSubscriptionsByTopic", "config:DescribeConfigurationRecorders", "config:DescribeConfigurationRecorderStatus", "config:DescribeConfigRules", "config:DescribeConfigRuleEvaluationStatus", "config:BatchGetResourceConfig", "config:SelectResourceConfig", "iam:GenerateCredentialReport", "organizations:ListAccounts", "config:PutEvaluations", "tag:GetResources", "iam:GetCredentialReport", "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:ListChildren", "organizations:ListAWSServiceAccessForOrganization", "organizations:DescribeOrganizationalUnit", "securityhub:BatchDisableStandards", "securityhub:BatchEnableStandards", "securityhub:BatchUpdateStandardsControlAssociations", "securityhub:BatchGetSecurityControls", "securityhub:BatchGetStandardsControlAssociations", "securityhub:CreateMembers", "securityhub:DeleteMembers", "securityhub:DescribeHub", "securityhub:DescribeOrganizationConfiguration", "securityhub:DescribeStandards", "securityhub:DescribeStandardsControls", "securityhub:DisassociateFromAdministratorAccount", "securityhub:DisassociateMembers", "securityhub:DisableSecurityHub", "securityhub:EnableSecurityHub", "securityhub:GetEnabledStandards", "securityhub:ListStandardsControlAssociations", "securityhub:ListSecurityControlDefinitions", "securityhub:UpdateOrganizationConfiguration", "securityhub:UpdateSecurityControl", "securityhub:UpdateSecurityHubConfiguration", "securityhub:UpdateStandardsControl", "tag:GetResources" ], "Resource": "*" }, { "Sid": "SecurityHubServiceRoleConfigPermissions", "Effect": "Allow", "Action": [ "config:PutConfigRule", "config:DeleteConfigRule", "config:GetComplianceDetailsByConfigRule" ], "Resource": "arn:aws:config:*:*:config-rule/aws-service-rule/*securityhub*" }, { "Sid": "SecurityHubServiceRoleOrganizationsPermissions", "Effect": "Allow", "Action": [ "organizations:ListDelegatedAdministrators" ], "Resource": "*", "Condition": { "StringEquals": { "organizations:ServicePrincipal": [ "securityhub.amazonaws.com" ] } } } ] }
AWS 受管政策: AWSSecurityHubV2ServiceRolePolicy
注意
Security Hub 處於預覽版本,可能會有所變更。
此政策允許 Security Hub 代表您管理組織中的 AWS Config 規則和 Security Hub 資源。此政策會連接到服務連結角色,允許服務代表您執行動作。您無法將此政策連接至使用者、群組或角色。如需詳細資訊,請參閱的服務連結角色 AWS Security Hub。
許可詳細資訊
此政策包含執行以下動作的許可:
-
config– 管理 Security Hub 資源的服務連結組態記錄器。 -
iam– 建立 的服務連結角色 AWS Config。 -
organizations– 擷取組織的帳戶和組織單位 (OU) 資訊。 -
securityhub– 管理 Security Hub 組態。 -
tag– 擷取資源標籤的相關資訊。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "SecurityHubV2ServiceRoleAssetsConfig", "Effect": "Allow", "Action": [ "config:DeleteServiceLinkedConfigurationRecorder", "config:DescribeConfigurationRecorders", "config:DescribeConfigurationRecorderStatus", "config:PutServiceLinkedConfigurationRecorder" ], "Resource": "arn:aws:config:*:*:configuration-recorder/AWSConfigurationRecorderForSecurityHubAssets/*" }, { "Sid": "SecurityHubV2ServiceRoleAssetsIamPermissions", "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "arn:aws:iam::*:role/aws-service-role/config.amazonaws.com/AWSServiceRoleForConfig", "Condition": { "StringEquals": { "iam:AWSServiceName": "config.amazonaws.com" } } }, { "Sid": "SecurityHubV2ServiceRoleSecurityHubPermissions", "Effect": "Allow", "Action": [ "securityhub:DisableSecurityHubV2", "securityhub:EnableSecurityHubV2", "securityhub:DescribeSecurityHubV2" ], "Resource": "arn:aws:securityhub:*:*:hubv2/*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "SecurityHubV2ServiceRoleTagPermissions", "Effect": "Allow", "Action": [ "tag:GetResources" ], "Resource": "*" }, { "Sid": "SecurityHubV2ServiceRoleOrganizationsPermissionsOnResources", "Effect": "Allow", "Action": [ "organizations:DescribeAccount", "organizations:DescribeOrganizationalUnit" ], "Resource": "arn:aws:organizations::*:*" }, { "Sid": "SecurityHubV2ServiceRoleOrganizationsPermissionsWithoutResources", "Effect": "Allow", "Action": [ "organizations:DescribeOrganization", "organizations:ListAccounts", "organizations:ListAWSServiceAccessForOrganization", "organizations:ListChildren" ], "Resource": "*" }, { "Sid": "SecurityHubV2ServiceRoleDelegatedAdminPermissions", "Effect": "Allow", "Action": [ "organizations:ListDelegatedAdministrators" ], "Resource": "*", "Condition": { "StringEquals": { "organizations:ServicePrincipal": [ "securityhub.amazonaws.com" ] } } } ] }
AWS 受管政策的 Security Hub CSPM 更新
檢視自此服務開始追蹤這些變更以來,Security Hub CSPM AWS 受管政策更新的詳細資訊。如需此頁面變更的自動提醒,請訂閱 Security Hub CSPM 文件歷史記錄頁面上的 RSS 摘要。
| 變更 | 描述 | 日期 |
|---|---|---|
| AWSSecurityHubOrganizationsAccess – 更新現有政策 | Security Hub CSPM 已將新許可新增至 AWSSecurityHubOrganizationsAccess。許可允許組織管理在組織內啟用和管理 Security Hub 和 Security Hub CSPM。 |
2025 年 6 月 17 日 |
|
AWSSecurityHubOrganizationsAccess – 更新現有政策 |
新增允許組織管理在組織內啟用和管理 Security Hub 和 Security Hub CSPM 的新許可。 |
2025 年 6 月 17 日 |
|
AWSSecurityHubFullAccess – 更新現有政策 |
Security Hub CSPM 新增了新的許可,允許主體為 Security Hub 建立服務連結角色。 |
2025 年 6 月 17 日 |
|
Security Hub 新增了政策,以允許 Security Hub 代表客戶管理客戶組織中的 AWS Config 規則和 Security Hub 資源。Security Hub 處於預覽版本,可能會有所變更。 |
2025 年 6 月 17 日 | |
| AWSSecurityHubFullAccess – 更新現有政策 | Security Hub CSPM 已更新政策,以取得 AWS 服務 和 產品的定價詳細資訊。 | 2024 年 4 月 24 日 |
| AWSSecurityHubReadOnlyAccess – 更新現有政策 | Security Hub CSPM 透過新增Sid欄位來更新此受管政策。 |
2024 年 2 月 22 日 |
| AWSSecurityHubFullAccess – 更新現有政策 | Security Hub CSPM 已更新政策,因此可以判斷 帳戶中是否啟用 Amazon GuardDuty 和 Amazon Inspector。這有助於客戶整合來自多個 的安全相關資訊 AWS 服務。 | 2023 年 11 月 16 日 |
| AWSSecurityHubOrganizationsAccess – 更新現有政策 | Security Hub CSPM 已更新政策,授予其他許可,以允許對委派管理員功能進行 AWS Organizations 唯讀存取。這包括根目錄、組織單位 OUs)、帳戶、組織結構和服務存取等詳細資訊。 | 2023 年 11 月 16 日 |
| AWSSecurityHubServiceRolePolicy – 更新至現有政策 | Security Hub CSPM 新增了 BatchGetSecurityControls、 和 UpdateSecurityControl許可DisassociateFromAdministratorAccount,以讀取和更新可自訂的安全控制屬性。 |
2023 年 11 月 26 日 |
| AWSSecurityHubServiceRolePolicy – 更新至現有政策 | Security Hub CSPM 新增了讀取與問題清單相關資源標籤的tag:GetResources許可。 |
2023 年 11 月 7 日 |
| AWSSecurityHubServiceRolePolicy – 更新至現有政策 | Security Hub CSPM 新增BatchGetStandardsControlAssociations了許可,以取得有關標準中控制項啟用狀態的資訊。 |
2023 年 9 月 27 日 |
| AWSSecurityHubServiceRolePolicy – 更新至現有政策 | Security Hub CSPM 新增了取得 AWS Organizations 資料以及讀取和更新 Security Hub CSPM 組態的新許可,包括標準和控制項。 | 2023 年 9 月 20 日 |
| AWSSecurityHubServiceRolePolicy – 更新至現有政策 | Security Hub CSPM 將現有config:DescribeConfigRuleEvaluationStatus許可移至政策中的不同陳述式。config:DescribeConfigRuleEvaluationStatus 許可現在會套用至所有資源。 |
2023 年 3 月 17 日 |
| AWSSecurityHubServiceRolePolicy – 更新至現有政策 | Security Hub CSPM 將現有config:PutEvaluations許可移至政策中的不同陳述式。config:PutEvaluations 許可現在會套用至所有資源。 |
2021 年 7 月 14 日 |
| AWSSecurityHubServiceRolePolicy – 更新至現有政策 | Security Hub CSPM 新增了允許服務連結角色交付評估結果的許可 AWS Config。 | 2021 年 6 月 29 日 |
| AWSSecurityHubServiceRolePolicy – 已新增至受管政策清單 | 新增了受管政策 AWSSecurityHubServiceRolePolicy 的相關資訊,由 Security Hub CSPM 服務連結角色使用。 | 2021 年 6 月 11 日 |
| AWSSecurityHubOrganizationsAccess – 新政策 | Security Hub CSPM 新增了新的政策,授予 Security Hub CSPM 與 Organizations 整合所需的許可。 | 2021 年 3 月 15 日 |
| Security Hub CSPM 已開始追蹤變更 | Security Hub CSPM 開始追蹤其 AWS 受管政策的變更。 | 2021 年 3 月 15 日 |
