Erforderliche Berechtigungen zur Konfiguration von Steuerelementen in Security Hub CSPM

Um Informationen über Sicherheitskontrollen anzuzeigen und Sicherheitskontrollen in Standards zu aktivieren und zu deaktivieren, benötigt die AWS Identity and Access Management (IAM) -Rolle, die Sie für den Zugriff auf AWS Security Hub CSPM verwenden, Berechtigungen, um die folgenden Operationen der Security Hub CSPM-API aufzurufen.

Um die erforderlichen Berechtigungen zu erhalten, können Sie verwaltete Security Hub CSPM-Richtlinien verwenden. Alternativ können Sie benutzerdefinierte IAM-Richtlinien so aktualisieren, dass sie auch Berechtigungen für diese Aktionen enthalten.

• BatchGetSecurityControls— Gibt Informationen zu einer Reihe von Sicherheitskontrollen für das Girokonto zurück und AWS-Region.

• ListSecurityControlDefinitions— Gibt Informationen über Sicherheitskontrollen zurück, die für einen bestimmten Standard gelten.

• ListStandardsControlAssociations— Identifiziert, ob eine Sicherheitskontrolle derzeit in jedem aktivierten Standard im Konto aktiviert oder deaktiviert ist.

• BatchGetStandardsControlAssociations— Identifiziert für eine Reihe von Sicherheitskontrollen, ob die einzelnen Kontrollen derzeit in einem bestimmten Standard aktiviert oder deaktiviert sind.

• BatchUpdateStandardsControlAssociations— Wird verwendet, um eine Sicherheitskontrolle in Standards zu aktivieren, die die Steuerung enthalten, oder um eine Steuerung in Standards zu deaktivieren. Dies ist ein Batch-Ersatz für den bestehenden UpdateStandardsControlVorgang.

• BatchUpdateStandardsControlAssociations— Wird verwendet, um eine Reihe von Sicherheitskontrollen in Standards zu aktivieren oder zu deaktivieren, die diese Kontrollen enthalten. Dies ist ein Batch-Ersatz für den bestehenden UpdateStandardsControlVorgang.

• UpdateStandardsControl— Wird verwendet, um eine einzelne Sicherheitskontrolle in Standards zu aktivieren oder zu deaktivieren, die die Steuerung beinhalten

• DescribeStandardsControl— Gibt Details zu den angegebenen Sicherheitskontrollen zurück.

Zusätzlich zu den oben genannten Informationen APIs sollten Sie Ihrer IAM-Rolle die Berechtigung BatchGetControlEvaluations zum Anrufen hinzufügen. Diese Berechtigung ist erforderlich, um den Aktivierungs- und Konformitätsstatus einer Kontrolle, die Ergebnisse für eine Kontrolle und die Gesamtsicherheitsbewertung für Kontrollen auf der Security Hub CSPM-Konsole einzusehen. Da nur die Konsole aufruftBatchGetControlEvaluations, entspricht diese Berechtigung nicht direkt den öffentlich dokumentierten Security Hub CSPM APIs oder AWS CLI Befehlen.