AWS verwaltete Richtlinien für AWS Security Hub - AWS Security Hub
AWSSecurityHubFullAccessAWSSecurityHubReadOnlyAccess AWSSecurityHubOrganizationsAccess AWSSecurityHubServiceRolePolicyRichtlinienaktualisierungen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS verwaltete Richtlinien für AWS Security Hub

Eine AWS verwaltete Richtlinie ist eine eigenständige Richtlinie, die von erstellt und verwaltet wird AWS. AWS Verwaltete Richtlinien sind so konzipiert, dass sie Berechtigungen für viele gängige Anwendungsfälle bereitstellen, sodass Sie damit beginnen können, Benutzern, Gruppen und Rollen Berechtigungen zuzuweisen.

Denken Sie daran, dass AWS verwaltete Richtlinien für Ihre speziellen Anwendungsfälle möglicherweise keine Berechtigungen mit den geringsten Rechten gewähren, da sie für alle AWS Kunden verfügbar sind. Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie kundenverwaltete Richtlinien definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind.

Sie können die in AWS verwalteten Richtlinien definierten Berechtigungen nicht ändern. Wenn die in einer AWS verwalteten Richtlinie definierten Berechtigungen AWS aktualisiert werden, wirkt sich das Update auf alle Prinzidentitäten (Benutzer, Gruppen und Rollen) aus, denen die Richtlinie zugeordnet ist. AWS aktualisiert eine AWS verwaltete Richtlinie höchstwahrscheinlich, wenn eine neue Richtlinie eingeführt AWS-Service wird oder neue API-Operationen für bestehende Dienste verfügbar werden.

Weitere Informationen finden Sie unter Von AWS verwaltete Richtlinien im IAM-Benutzerhandbuch.

AWS verwaltete Richtlinie: AWSSecurityHubFullAccess

Sie können die AWSSecurityHubFullAccess-Richtlinie an Ihre IAM-Identitäten anfügen.

Diese Richtlinie gewährt Administratorberechtigungen, die einem Principal vollen Zugriff auf alle Security Hub Hub-Aktionen gewähren. Diese Richtlinie muss einem Prinzipal zugewiesen werden, bevor er Security Hub manuell für sein Konto aktiviert. Principals mit diesen Berechtigungen können beispielsweise den Status der Ergebnisse sowohl einsehen als auch aktualisieren. Sie können benutzerdefinierte Einblicke konfigurieren und Integrationen aktivieren. Sie können Standards und Kontrollen aktivieren und deaktivieren. Principals für ein Administratorkonto können auch Mitgliedskonten verwalten.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen.

  • securityhub— Ermöglicht Principals vollen Zugriff auf alle Security Hub Hub-Aktionen.

  • guardduty— Ermöglicht Principals, Informationen über den Kontostatus bei Amazon GuardDuty abzurufen.

  • iam— Ermöglicht Prinzipalen, eine dienstbezogene Rolle zu erstellen.

  • inspector— Ermöglicht Principals, Informationen zum Kontostatus in Amazon Inspector abzurufen.

  • pricing— Ermöglicht Principals, eine Preisliste mit Produkten zu erhalten. AWS-Services 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "SecurityHubAllowAll",
            "Effect": "Allow",
            "Action": "securityhub:*",
            "Resource": "*" 
        },
        {
            "Sid": "SecurityHubServiceLinkedRole",
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": "securityhub.amazonaws.com"
                }
            }
        },
        {
            "Sid": "OtherServicePermission",
            "Effect": "Allow",
            "Action": [
                "guardduty:GetDetector",
                "guardduty:ListDetectors",
                "inspector2:BatchGetAccountStatus",
                "pricing:GetProducts"
            ],
            "Resource": "*",
        }
    ]
}

Von Security Hub verwaltete Richtlinie: AWSSecurityHubReadOnlyAccess

Sie können die AWSSecurityHubReadOnlyAccess-Richtlinie an Ihre IAM-Identitäten anfügen.

Diese Richtlinie gewährt nur Leseberechtigungen, die es Benutzern ermöglichen, Informationen in Security Hub einzusehen. Principals, denen diese Richtlinie beigefügt ist, können keine Updates in Security Hub vornehmen. Principals mit diesen Berechtigungen können beispielsweise die mit ihrem Konto verknüpfte Ergebnisliste einsehen, den Status eines Fundes jedoch nicht ändern. Sie können die Ergebnisse von Insights einsehen, aber keine benutzerdefinierten Insights erstellen oder konfigurieren. Sie können keine Steuerungen oder Produktintegrationen konfigurieren.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen.

  • securityhub— Ermöglicht Benutzern das Ausführen von Aktionen, bei denen entweder eine Liste von Elementen oder Details zu einem Artikel zurückgegeben wird. Dazu gehören API-Operationen, die mit GetList, oder beginnenDescribe.

{
    "Version": "2012-10-17",
    "Statement": [ 
        {
            "Sid": "AWSSecurityHubReadOnlyAccess",
            "Effect": "Allow",
            "Action": [
                "securityhub:Get*",
                "securityhub:List*",
                "securityhub:BatchGet*",
                "securityhub:Describe*"
            ],
            "Resource": "*"
        }
    ]
}

AWS verwaltete Richtlinie: AWSSecurityHubOrganizationsAccess

Sie können die AWSSecurityHubOrganizationsAccess-Richtlinie an Ihre IAM-Identitäten anfügen.

Diese Richtlinie gewährt Administratorberechtigungen AWS Organizations , die zur Unterstützung der Security Hub Hub-Integration mit Organizations erforderlich sind.

Diese Berechtigungen ermöglichen es dem Organisationsverwaltungskonto, das delegierte Administratorkonto für Security Hub festzulegen. Sie ermöglichen es dem delegierten Security Hub-Administratorkonto auch, Organisationskonten als Mitgliedskonten zu aktivieren.

Diese Richtlinie stellt nur die Berechtigungen für Organizations bereit. Das Organisationsverwaltungskonto und das delegierte Security Hub-Administratorkonto benötigen ebenfalls Berechtigungen für die zugehörigen Aktionen in Security Hub. Diese Berechtigungen können mithilfe der AWSSecurityHubFullAccess verwalteten Richtlinie erteilt werden.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen.

  • organizations:ListAccounts— Ermöglicht Prinzipalen das Abrufen der Liste der Konten, die Teil einer Organisation sind.

  • organizations:DescribeOrganization— Ermöglicht Prinzipalen das Abrufen von Informationen über die Organisation.

  • organizations:ListRoots— Ermöglicht Prinzipalen, das Stammverzeichnis einer Organisation aufzulisten.

  • organizations:ListDelegatedAdministrators— Ermöglicht Prinzipalen, den delegierten Administrator einer Organisation aufzulisten.

  • organizations:ListAWSServiceAccessForOrganization— Ermöglicht Prinzipalen, diejenigen aufzulisten AWS-Services , die eine Organisation verwendet.

  • organizations:ListOrganizationalUnitsForParent— Ermöglicht Prinzipalen, die untergeordneten Organisationseinheiten (OU) einer übergeordneten OU aufzulisten.

  • organizations:ListAccountsForParent— Ermöglicht Prinzipalen, die untergeordneten Konten einer übergeordneten Organisationseinheit aufzulisten.

  • organizations:DescribeAccount— Ermöglicht Prinzipalen das Abrufen von Informationen über ein Konto in der Organisation.

  • organizations:DescribeOrganizationalUnit— Ermöglicht Prinzipalen das Abrufen von Informationen über eine Organisationseinheit in der Organisation.

  • organizations:DescribeOrganization— Ermöglicht Prinzipalen das Abrufen von Informationen über die Organisationskonfiguration.

  • organizations:EnableAWSServiceAccess— Ermöglicht Prinzipalen, die Security Hub Hub-Integration mit Organizations zu aktivieren.

  • organizations:RegisterDelegatedAdministrator— Ermöglicht Prinzipalen, das delegierte Administratorkonto für Security Hub festzulegen.

  • organizations:DeregisterDelegatedAdministrator— Ermöglicht Prinzipalen, das delegierte Administratorkonto für Security Hub zu entfernen.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "OrganizationPermissions",
            "Effect": "Allow",
            "Action": [
                "organizations:ListAccounts",
                "organizations:DescribeOrganization",
                "organizations:ListRoots",
                "organizations:ListDelegatedAdministrators",
                "organizations:ListAWSServiceAccessForOrganization",
                "organizations:ListOrganizationalUnitsForParent",
                "organizations:ListAccountsForParent",
                "organizations:DescribeAccount",
                "organizations:DescribeOrganizationalUnit"
            ],
            "Resource": "*"
        },
        {
            "Sid": "OrganizationPermissionsEnable",
            "Effect": "Allow",
            "Action": "organizations:EnableAWSServiceAccess",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "organizations:ServicePrincipal": "securityhub.amazonaws.com"
                }
            }
        },
        {
            "Sid": "OrganizationPermissionsDelegatedAdmin",
            "Effect": "Allow",
            "Action": [
                "organizations:RegisterDelegatedAdministrator",
                "organizations:DeregisterDelegatedAdministrator"
            ],
            "Resource": "arn:aws:organizations::*:account/o-*/*",
            "Condition": {
            "StringEquals": {
                "organizations:ServicePrincipal": "securityhub.amazonaws.com"
                }
            }
        }
    ]
}

AWS verwaltete Richtlinie: AWSSecurityHubServiceRolePolicy

Sie können AWSSecurityHubServiceRolePolicy nicht an Ihre IAM-Entitäten anhängen. Diese Richtlinie ist mit einer dienstbezogenen Rolle verknüpft, die es Security Hub ermöglicht, Aktionen in Ihrem Namen durchzuführen. Weitere Informationen finden Sie unter Serviceverknüpfte Rollen für Security Hub.

Diese Richtlinie gewährt Administratorberechtigungen, die es der dienstbezogenen Rolle ermöglichen, die Sicherheitsprüfungen für Security Hub-Steuerelemente durchzuführen.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen:

  • cloudtrail— Ruft Informationen über CloudTrail Wanderwege ab.

  • cloudwatch— Ruft die aktuellen CloudWatch Alarme ab.

  • logs— Ruft die metrischen Filter für CloudWatch Protokolle ab.

  • sns— Ruft die Liste der Abonnements für ein SNS-Thema ab.

  • config— Ruft Informationen zu Konfigurationsrekordern, Ressourcen und AWS Config Regeln ab. Ermöglicht der Rolle, die mit dem Service verknüpft ist, außerdem das Erstellen und Löschen von AWS Config Regeln sowie das Ausführen von Evaluierungen anhand der Regeln.

  • iam— Abrufen und Generieren von Berichten über Anmeldeinformationen für Konten.

  • organizations— Rufen Sie Informationen zu Konten und Organisationseinheiten (OU) für eine Organisation ab.

  • securityhub— Rufen Sie Informationen darüber ab, wie der Security Hub Hub-Dienst, die Standards und die Kontrollen konfiguriert sind.

  • tag— Ruft Informationen über Ressourcen-Tags ab.

{
    "Version": "2012-10-17",
    "Statement": [ 
        {
            "Sid": "SecurityHubServiceRolePermissions",
            "Effect": "Allow",
            "Action": [
                "cloudtrail:DescribeTrails",
                "cloudtrail:GetTrailStatus",
                "cloudtrail:GetEventSelectors",
                "cloudwatch:DescribeAlarms",
                "cloudwatch:DescribeAlarmsForMetric",
                "logs:DescribeMetricFilters",
                "sns:ListSubscriptionsByTopic",
                "config:DescribeConfigurationRecorders",
                "config:DescribeConfigurationRecorderStatus",
                "config:DescribeConfigRules",
                "config:DescribeConfigRuleEvaluationStatus",
                "config:BatchGetResourceConfig",
                "config:SelectResourceConfig",
                "iam:GenerateCredentialReport",
                "organizations:ListAccounts",
                "config:PutEvaluations",
                "tag:GetResources",
                "iam:GetCredentialReport",
                "organizations:DescribeAccount",
                "organizations:DescribeOrganization",
                "organizations:ListChildren",
                "organizations:ListAWSServiceAccessForOrganization",
                "organizations:DescribeOrganizationalUnit",
                "securityhub:BatchDisableStandards",
                "securityhub:BatchEnableStandards",
                "securityhub:BatchUpdateStandardsControlAssociations",
                "securityhub:BatchGetSecurityControls",
                "securityhub:BatchGetStandardsControlAssociations",
                "securityhub:CreateMembers",
                "securityhub:DeleteMembers",
                "securityhub:DescribeHub",
                "securityhub:DescribeOrganizationConfiguration",
                "securityhub:DescribeStandards",
                "securityhub:DescribeStandardsControls",
                "securityhub:DisassociateFromAdministratorAccount",
                "securityhub:DisassociateMembers",
                "securityhub:DisableSecurityHub",
                "securityhub:EnableSecurityHub",
                "securityhub:GetEnabledStandards",
                "securityhub:ListStandardsControlAssociations",
                "securityhub:ListSecurityControlDefinitions",
                "securityhub:UpdateOrganizationConfiguration",
                "securityhub:UpdateSecurityControl",
                "securityhub:UpdateSecurityHubConfiguration",
                "securityhub:UpdateStandardsControl",
                "tag:GetResources"
            ],
            "Resource": "*"
        },
        {
            "Sid": "SecurityHubServiceRoleConfigPermissions",
            "Effect": "Allow",
            "Action": [
                "config:PutConfigRule",
                "config:DeleteConfigRule",
                "config:GetComplianceDetailsByConfigRule"
            ],
            "Resource": "arn:aws:config:*:*:config-rule/aws-service-rule/*securityhub*"
        },
        {
            "Sid": "SecurityHubServiceRoleOrganizationsPermissions",
            "Effect": "Allow",
            "Action": [
                "organizations:ListDelegatedAdministrators"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "organizations:ServicePrincipal": [
                        "securityhub.amazonaws.com"
                    ]
                }
            }
        }
    ]
}

Security Hub Hub-Updates für AWS verwaltete Richtlinien

Sehen Sie sich Details zu Aktualisierungen der AWS verwalteten Richtlinien für Security Hub an, seit dieser Dienst begonnen hat, diese Änderungen zu verfolgen. Um automatische Benachrichtigungen über Änderungen an dieser Seite zu erhalten, abonnieren Sie den RSS-Feed auf der Security Hub Hub-Dokumentverlaufsseite.

Änderung Beschreibung Datum
AWSSecurityHubFullAccess— Aktualisierung einer bestehenden Richtlinie Security Hub hat die Richtlinie aktualisiert, um Preisdetails für AWS-Services und Produkte zu erhalten. 24. April 2024
AWSSecurityHubReadOnlyAccess— Aktualisierung einer bestehenden Richtlinie Security Hub hat diese verwaltete Richtlinie aktualisiert, indem ein Sid Feld hinzugefügt wurde. 22. Februar 2024
AWSSecurityHubFullAccess— Aktualisierung einer bestehenden Richtlinie Security Hub hat die Richtlinie aktualisiert, sodass festgestellt werden kann, ob Amazon GuardDuty und Amazon Inspector in einem Konto aktiviert sind. Auf diese Weise können Kunden sicherheitsrelevante Informationen aus mehreren zusammenführen. AWS-Services 16. November 2023
AWSSecurityHubOrganizationsAccess— Aktualisierung einer bestehenden Richtlinie Security Hub hat die Richtlinie aktualisiert, um zusätzliche Berechtigungen für den schreibgeschützten Zugriff auf AWS Organizations delegierte Administratorfunktionen zu gewähren. Dazu gehören Details wie das Stammverzeichnis, die Organisationseinheiten (OUs), die Konten, die Organisationsstruktur und der Servicezugriff. 16. November 2023
AWSSecurityHubServiceRolePolicy – Aktualisierung auf eine bestehende Richtlinie Security Hub hat die UpdateSecurityControl Berechtigungen BatchGetSecurityControlsDisassociateFromAdministratorAccount, und zum Lesen und Aktualisieren anpassbarer Sicherheitskontrolleigenschaften hinzugefügt. 26. November 2023
AWSSecurityHubServiceRolePolicy – Aktualisierung auf eine bestehende Richtlinie Security Hub hat die tag:GetResources Berechtigung hinzugefügt, Ressourcen-Tags zu lesen, die sich auf Ergebnisse beziehen. 7. November 2023
AWSSecurityHubServiceRolePolicy – Aktualisierung auf eine bestehende Richtlinie Security Hub hat die BatchGetStandardsControlAssociations Erlaubnis hinzugefügt, Informationen über den Aktivierungsstatus eines Steuerelements in einem Standard abzurufen. 27. September 2023
AWSSecurityHubServiceRolePolicy – Aktualisierung auf eine bestehende Richtlinie Security Hub hat neue Berechtigungen zum Abrufen von AWS Organizations Daten sowie zum Lesen und Aktualisieren von Security Hub Hub-Konfigurationen, einschließlich Standards und Kontrollen, hinzugefügt. 20. September 2023
AWSSecurityHubServiceRolePolicy – Aktualisierung auf eine bestehende Richtlinie Security Hub hat die bestehende config:DescribeConfigRuleEvaluationStatus Genehmigung in eine andere Erklärung innerhalb der Richtlinie verschoben. Die config:DescribeConfigRuleEvaluationStatus Berechtigung wird jetzt auf alle Ressourcen angewendet. 17. März 2023
AWSSecurityHubServiceRolePolicy – Aktualisierung auf eine bestehende Richtlinie Security Hub hat die bestehende config:PutEvaluations Genehmigung in eine andere Erklärung innerhalb der Richtlinie verschoben. Die config:PutEvaluations Berechtigung wird jetzt auf alle Ressourcen angewendet. 14. Juli 2021
AWSSecurityHubServiceRolePolicy – Aktualisierung auf eine bestehende Richtlinie Security Hub hat eine neue Berechtigung hinzugefügt, die es der serviceverknüpften Rolle ermöglicht, Bewertungsergebnisse zu AWS Config liefern. 29. Juni 2021
AWSSecurityHubServiceRolePolicy— Zur Liste der verwalteten Richtlinien hinzugefügt Es wurden Informationen zur verwalteten Richtlinie hinzugefügt AWSSecurityHubServiceRolePolicy, die von der serviceverknüpften Security Hub Hub-Rolle verwendet wird. 11. Juni 2021
AWSSecurityHubOrganizationsAccess— Neue Richtlinie Security Hub hat eine neue Richtlinie hinzugefügt, die Berechtigungen gewährt, die für die Security Hub Hub-Integration mit Organizations erforderlich sind. 15. März 2021
Security Hub hat begonnen, Änderungen zu verfolgen Security Hub begann, Änderungen an seinen AWS verwalteten Richtlinien nachzuverfolgen. 15. März 2021