對 AWS Security Hub 身分和存取進行故障診斷 - AWS Security Hub
我無權在 Security Hub 中執行動作我未獲得執行 iam:PassRole 的授權我想要以程式設計方式存取 Security Hub我是管理員,想要允許其他人存取 Security Hub我想要允許 以外的人員 AWS 帳戶 存取我的 Security Hub 資源

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

對 AWS Security Hub 身分和存取進行故障診斷

使用以下資訊來協助您診斷和修正使用 AWS Security Hub 和 IAM 時可能遇到的常見問題。

我無權在 Security Hub 中執行動作

如果 AWS Management Console 告訴您未獲授權執行 動作,則您必須聯絡管理員尋求協助。您的管理員是為您提供簽署憑證的人員。

當使用者mateojackson嘗試使用主控台檢視小工具的詳細資訊,但沒有securityhub:GetWidget許可時,會發生下列範例錯誤。

User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: securityhub:GetWidget on resource: my-example-widget

在此情況下,Mateo 會請求管理員更新他的政策,允許他使用 my-example-widget 動作存取 securityhub:GetWidget 資源。

我未獲得執行 iam:PassRole 的授權

如果您收到錯誤,告知您無權執行 iam:PassRole動作,您的政策必須更新,以允許您將角色傳遞至 Security Hub。

有些 AWS 服務 可讓您將現有角色傳遞給該服務,而不是建立新的服務角色或服務連結角色。如需執行此作業,您必須擁有將角色傳遞至該服務的許可。

當名為 的 IAM marymajor 使用者嘗試使用主控台在 Security Hub 中執行動作時,會發生下列範例錯誤。但是,動作請求服務具備服務角色授予的許可。Mary 沒有將角色傳遞至該服務的許可。

User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole

在這種情況下,Mary 的政策必須更新,允許她執行 iam:PassRole 動作。

如果您需要協助,請聯絡您的 AWS 管理員。您的管理員提供您的簽署憑證。

我想要以程式設計方式存取 Security Hub

如果使用者想要與 AWS 外部互動,則需要程式設計存取 AWS Management Console。授予程式設計存取權的方式取決於正在存取的使用者類型 AWS。

若要授與使用者程式設計存取權,請選擇下列其中一個選項。

哪個使用者需要程式設計存取權? 根據

人力資源身分

(IAM Identity Center 中管理的使用者)

 使用暫時登入資料簽署對 AWS CLI、 AWS SDKs程式設計請求。 AWS APIs

請依照您要使用的介面所提供的指示操作。
IAM 使用暫時登入資料簽署對 AWS CLI、 AWS SDKs程式設計請求。 AWS APIs 遵循《IAM 使用者指南》中將臨時登入資料與 AWS 資源搭配使用的指示。
IAM

(不建議使用)

使用長期登入資料來簽署對 AWS CLI、 AWS SDKs程式設計請求。 AWS APIs

請依照您要使用的介面所提供的指示操作。

我是管理員,想要允許其他人存取 Security Hub

若要提供存取權,請新增權限至您的使用者、群組或角色:

  • 中的使用者和群組 AWS IAM Identity Center:

    建立權限合集。請按照 AWS IAM Identity Center 使用者指南 中的 建立權限合集 說明進行操作。

  • 透過身分提供者在 IAM 中管理的使用者:

    建立聯合身分的角色。遵循「IAM 使用者指南」的為第三方身分提供者 (聯合) 建立角色中的指示。

  • IAM 使用者:

我想要允許 以外的人員 AWS 帳戶 存取我的 Security Hub 資源

您可以建立一個角色,讓其他帳戶中的使用者或您組織外部的人員存取您的資源。您可以指定要允許哪些信任物件取得該角色。針對支援基於資源的政策或存取控制清單 (ACL) 的服務,您可以使用那些政策來授予人員存取您的資源的許可。

如需進一步了解,請參閱以下內容: