AWSverwaltete Richtlinien für Security Hub - AWSSecurity Hub
AWSSecurityHubFullAccessAWSSecurityHubReadOnlyAccess AWSSecurityHubOrganizationsAccess AWSSecurityHubV2ServiceRolePolicyRichtlinienaktualisierungen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWSverwaltete Richtlinien für Security Hub

Eine AWS verwaltete Richtlinie ist eine eigenständige Richtlinie, die von erstellt und verwaltet wirdAWS. AWSVerwaltete Richtlinien sind so konzipiert, dass sie Berechtigungen für viele gängige Anwendungsfälle bereitstellen, sodass Sie damit beginnen können, Benutzern, Gruppen und Rollen Berechtigungen zuzuweisen.

Beachten Sie, dass AWS verwaltete Richtlinien für Ihre speziellen Anwendungsfälle möglicherweise keine Berechtigungen mit den geringsten Rechten gewähren, da sie allen AWS Kunden zur Verfügung stehen. Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie vom Kunden verwaltete Richtlinien definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind.

Sie können die in AWS verwalteten Richtlinien definierten Berechtigungen nicht ändern. Wenn die in einer AWS verwalteten Richtlinie definierten Berechtigungen AWS aktualisiert werden, wirkt sich das Update auf alle Prinzidentitäten (Benutzer, Gruppen und Rollen) aus, denen die Richtlinie zugeordnet ist. AWSaktualisiert eine AWS verwaltete Richtlinie höchstwahrscheinlich, wenn eine neue Richtlinie eingeführt AWS-Service wird oder neue API-Operationen für bestehende Dienste verfügbar werden.

Weitere Informationen finden Sie unter Von AWS verwaltete Richtlinien im IAM-Benutzerhandbuch.

AWSverwaltete Richtlinie: AWSSecurityHubFullAccess

Sie können die AWSSecurityHubFullAccess-Richtlinie an Ihre IAM-Identitäten anfügen.

Diese Richtlinie gewährt Administratorberechtigungen, die einem Principal vollen Zugriff auf alle Security Hub Hub-Aktionen gewähren. Diese Richtlinie muss einem Prinzipal zugewiesen werden, bevor er Security Hub manuell für sein Konto aktiviert. Principals mit diesen Berechtigungen können beispielsweise den Status der Ergebnisse sowohl einsehen als auch aktualisieren. Sie können auch benutzerdefinierte Einblicke konfigurieren, Integrationen aktivieren sowie Standards und Kontrollen aktivieren und deaktivieren. Principals für ein Administratorkonto können auch Mitgliedskonten verwalten.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen:

  • securityhub— Ermöglicht Prinzipalen vollen Zugriff auf alle Security Hub Hub-Aktionen.

  • guardduty— Ermöglicht Principals, Informationen zum Kontostatus bei Amazon GuardDuty abzurufen.

  • iam— Ermöglicht Prinzipalen, eine dienstbezogene Rolle für Security Hub zu erstellen.

  • inspector— Ermöglicht Principals, Informationen zum Kontostatus in Amazon Inspector abzurufen.

  • pricing— Ermöglicht Principals, eine Preisliste mit Produkten zu erhalten. AWS-Services

Informationen zu den Berechtigungen für diese Richtlinie finden Sie AWSSecurityHubFullAccessim Referenzhandbuch für AWS verwaltete Richtlinien.

AWSverwaltete Richtlinie: AWSSecurityHubReadOnlyAccess

Sie können die AWSSecurityHubReadOnlyAccess-Richtlinie an Ihre IAM-Identitäten anfügen.

Diese Richtlinie gewährt nur Leseberechtigungen, mit denen Benutzer Informationen in Security Hub anzeigen können. Principals, denen diese Richtlinie beigefügt ist, können keine Updates in Security Hub vornehmen. Principals mit diesen Berechtigungen können beispielsweise die mit ihrem Konto verknüpfte Ergebnisliste einsehen, den Status eines Fundes jedoch nicht ändern. Sie können die Ergebnisse von Insights einsehen, aber keine benutzerdefinierten Insights erstellen oder konfigurieren. Sie können keine Steuerungen oder Produktintegrationen konfigurieren.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen:

  • securityhub— Ermöglicht Benutzern das Ausführen von Aktionen, bei denen eine Liste von Artikeln oder Details zu einem Artikel zurückgegeben wird. Dazu gehören API-Operationen, die mit GetList, oder beginnenDescribe.

Informationen zu den Berechtigungen für diese Richtlinie finden Sie AWSSecurityHubReadOnlyAccessim Referenzhandbuch für AWS verwaltete Richtlinien.

AWSverwaltete Richtlinie: AWSSecurityHubOrganizationsAccess

Sie können die AWSSecurityHubOrganizationsAccess-Richtlinie an Ihre IAM-Identitäten anfügen.

Diese Richtlinie gewährt Administratorberechtigungen zur Aktivierung und Verwaltung von Security Hub für eine Organisation inAWS Organizations. Die Berechtigungen für diese Richtlinie ermöglichen es dem Organisationsverwaltungskonto, das delegierte Administratorkonto für Security Hub festzulegen. Sie ermöglichen es dem delegierten Administratorkonto auch, Organisationskonten als Mitgliedskonten zu aktivieren.

Diese Richtlinie bietet nur Berechtigungen fürAWS Organizations. Für das Organisationsverwaltungskonto und das delegierte Administratorkonto sind ebenfalls Berechtigungen für zugehörige Aktionen erforderlich. Diese Berechtigungen können mithilfe der AWSSecurityHubFullAccess verwalteten Richtlinie erteilt werden.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen:

  • organizations:ListAccounts— Ermöglicht Prinzipalen das Abrufen der Liste der Konten, die Teil einer Organisation sind.

  • organizations:DescribeOrganization— Ermöglicht Prinzipalen das Abrufen von Informationen über die Organisation.

  • organizations:ListRoots— Ermöglicht Prinzipalen, den Stamm einer Organisation aufzulisten.

  • organizations:ListDelegatedAdministrators— Ermöglicht Prinzipalen, den delegierten Administrator einer Organisation aufzulisten.

  • organizations:ListAWSServiceAccessForOrganization— Ermöglicht Prinzipalen, diejenigen aufzulistenAWS-Services, die eine Organisation verwendet.

  • organizations:ListOrganizationalUnitsForParent— Ermöglicht Prinzipalen, die untergeordneten Organisationseinheiten (OU) einer übergeordneten OU aufzulisten.

  • organizations:ListAccountsForParent— Ermöglicht Prinzipalen, die untergeordneten Konten einer übergeordneten Organisationseinheit aufzulisten.

  • organizations:ListParents— Führt die Stamm- oder Organisationseinheiten (OUs) auf, die der angegebenen untergeordneten Organisationseinheit oder dem angegebenen untergeordneten Konto als unmittelbare übergeordnete Einheit dienen.

  • organizations:DescribeAccount – Ermöglicht Prinzipalen den Abruf von Informationen über ein Konto in der Organisation.

  • organizations:DescribeOrganizationalUnit— Ermöglicht Prinzipalen das Abrufen von Informationen über eine Organisationseinheit in der Organisation.

  • organizations:ListPolicies— Ruft die Liste aller Richtlinien in einer Organisation eines bestimmten Typs ab.

  • organizations:ListPoliciesForTarget— Führt die Richtlinien auf, die direkt mit dem angegebenen Zielstamm, der Organisationseinheit (OU) oder dem angegebenen Konto verknüpft sind.

  • organizations:ListTargetsForPolicy— Führt alle Stammverzeichnisse, Organisationseinheiten (OUs) und Konten auf, denen die angegebene Richtlinie zugeordnet ist.

  • organizations:EnableAWSServiceAccess— Ermöglicht Prinzipalen, die Integration mit Organizations zu ermöglichen.

  • organizations:RegisterDelegatedAdministrator— Ermöglicht es den Prinzipalen, das delegierte Administratorkonto festzulegen.

  • organizations:DeregisterDelegatedAdministrator— Ermöglicht Prinzipalen, das delegierte Administratorkonto zu entfernen.

  • organizations:DescribePolicy— Ruft Informationen zu einer Richtlinie ab.

  • organizations:DescribeEffectivePolicy— Gibt den Inhalt der gültigen Richtlinie für den angegebenen Richtlinientyp und das angegebene Konto zurück.

  • organizations:CreatePolicy— Erstellt eine Richtlinie eines bestimmten Typs, die Sie einem Stammkonto, einer Organisationseinheit (OU) oder einem einzelnen AWS Konto zuordnen können.

  • organizations:UpdatePolicy— Aktualisiert eine bestehende Richtlinie mit einem neuen Namen, einer neuen Beschreibung oder einem neuen Inhalt.

  • organizations:DeletePolicy— Löscht die angegebene Richtlinie aus Ihrer Organisation.

  • organizations:AttachPolicy— Fügt eine Richtlinie einem Stammkonto, einer Organisationseinheit (OU) oder einem Einzelkonto hinzu.

  • organizations:DetachPolicy— Trennt eine Richtlinie von einem Zielstamm, einer Organisationseinheit (OU) oder einem Zielkonto.

  • organizations:EnablePolicyType— Aktiviert einen Richtlinientyp in einem Stamm.

  • organizations:DisablePolicyType— Deaktiviert einen Organisationsrichtlinientyp in einem Stamm.

  • organizations:TagResource— Fügt einer angegebenen Ressource ein oder mehrere Tags hinzu.

  • organizations:UntagResource— Entfernt alle Tags mit den angegebenen Schlüsseln aus einer angegebenen Ressource.

  • organizations:ListTagsForResource— Listet Tags auf, die an eine angegebene Ressource angehängt sind.

Informationen zu den Berechtigungen für diese Richtlinie finden Sie AWSSecurityHubOrganizationsAccessim Referenzhandbuch für AWS verwaltete Richtlinien.

AWSverwaltete Richtlinie: AWSSecurityHubV2ServiceRolePolicy

Anmerkung

Security Hub befindet sich in der Vorschauversion und kann sich ändern.

Diese Richtlinie ermöglicht es Security Hub, AWS Config Regeln und Security Hub Hub-Ressourcen für Ihre Organisation und in Ihrem Namen zu verwalten. Diese Richtlinie ist mit einer dienstbezogenen Rolle verknüpft, die es dem Dienst ermöglicht, Aktionen in Ihrem Namen durchzuführen. Sie können diese Richtlinie nicht an Ihre IAM-Identitäten anfügen. Weitere Informationen finden Sie unter Serviceverknüpfte Rollen für AWS Security Hub.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen:

  • config— Verwaltung von serviceverknüpften Konfigurationsrekordern für Security Hub Hub-Ressourcen.

  • iam— Erstellen Sie die serviceverknüpfte Rolle für. AWS Config

  • organizations— Ruft Informationen zu Konten und Organisationseinheiten (OU) für eine Organisation ab.

  • securityhub— Verwaltet die Security Hub Hub-Konfiguration.

  • tag— Ruft Informationen über Ressourcen-Tags ab.

Informationen zu den Berechtigungen für diese Richtlinie finden Sie AWSSecurityHubV2ServiceRolePolicyim Referenzhandbuch für AWS verwaltete Richtlinien.

Security Hub Hub-Updates für AWS verwaltete Richtlinien

Die folgende Tabelle enthält Einzelheiten zu Aktualisierungen der AWS verwalteten Richtlinien für AWS Security Hub, seit dieser Dienst begonnen hat, diese Änderungen zu verfolgen. Abonnieren Sie den RSS-Feed auf der Security Hub Hub-Dokumentverlaufsseite, um automatische Benachrichtigungen über Aktualisierungen der Richtlinien zu erhalten.

Änderungen Beschreibung Date

AWSSecurityHubOrganizationsAccess – Richtlinie aktualisieren

Security Hub hat die Richtlinie aktualisiert, um Berechtigungen zur Beschreibung von Ressourcenrichtlinien zur Unterstützung von Security Hub Hub-Funktionen hinzuzufügen. Security Hub befindet sich in der Vorschauversion und kann sich ändern.

12. November 2025

AWSSecurityHubFullAccess – Richtlinie aktualisieren

Security Hub hat die Richtlinie aktualisiert und Funktionen zur Verwaltung GuardDuty, Amazon Inspector und Kontoverwaltung hinzugefügt, um die Funktionen von Security Hub zu unterstützen. Security Hub befindet sich in der Vorschauversion und kann sich ändern.

17. November 2025

AWSSecurityHubV2 ServiceRolePolicy — Aktualisierte Richtlinie

Security Hub hat die Richtlinie aktualisiert, um Messfunktionen für Amazon Elastic Container Registry und Amazon CloudWatch hinzuzufügen und Security Hub Hub-Funktionen AWS Identity and Access Management zu unterstützen. AWS Lambda Das Update fügte auch Unterstützung für globale AWS Config Rekorder hinzu. Security Hub befindet sich in der Vorschauversion und kann sich ändern.

5. November 2025
AWSSecurityHubOrganizationsAccess – Aktualisierung auf eine bestehende Richtlinie Security Hub hat der Richtlinie neue Berechtigungen hinzugefügt. Die Berechtigungen ermöglichen es der Organisationsleitung, Security Hub und Security Hub CSPM für eine Organisation zu aktivieren und zu verwalten. 17. Juni 2025

AWSSecurityHubFullAccess – Aktualisierung auf eine bestehende Richtlinie

Security Hub CSPM hat neue Berechtigungen hinzugefügt, die es Prinzipalen ermöglichen, eine dienstbezogene Rolle für Security Hub zu erstellen.

 17. Juni 2025

AWSSecurityHubV2 — Neue Richtlinie ServiceRolePolicy

Security Hub hat eine neue Richtlinie hinzugefügt, die es Security Hub ermöglicht, AWS Config Regeln und Security Hub Hub-Ressourcen für die Organisation eines Kunden und im Namen des Kunden zu verwalten. Security Hub befindet sich in der Vorschauversion und kann sich ändern.

17. Juni 2025
AWSSecurityHubFullAccess— Aktualisierung einer bestehenden Richtlinie Security Hub CSPM hat die Richtlinie aktualisiert, um Preisdetails für AWS-Services und Produkte zu erhalten. 24. April 2024
AWSSecurityHubReadOnlyAccess— Aktualisierung einer bestehenden Richtlinie Security Hub CSPM hat diese verwaltete Richtlinie aktualisiert, indem ein Sid Feld hinzugefügt wurde. 22. Februar 2024
AWSSecurityHubFullAccess— Aktualisierung einer bestehenden Richtlinie Security Hub CSPM hat die Richtlinie aktualisiert, sodass festgestellt werden kann, ob Amazon GuardDuty und Amazon Inspector in einem Konto aktiviert sind. Dies hilft Kunden dabei, sicherheitsrelevante Informationen aus mehreren zusammenzuführen. AWS-Services 16. November 2023
AWSSecurityHubOrganizationsAccess— Aktualisierung einer bestehenden Richtlinie Security Hub CSPM hat die Richtlinie aktualisiert, um zusätzliche Berechtigungen für den schreibgeschützten Zugriff auf delegierte Administratorfunktionen zu AWS Organizations gewähren. Dazu gehören Details wie das Stammverzeichnis, die Organisationseinheiten (OUs), die Konten, die Organisationsstruktur und der Dienstzugriff. 16. November 2023
AWSSecurityHubOrganizationsAccess— Neue Richtlinie Security Hub CSPM hat eine neue Richtlinie hinzugefügt, die Berechtigungen gewährt, die für die Security Hub CSPM-Integration mit Organizations erforderlich sind. 15. März 2021
Security Hub CSPM hat begonnen, Änderungen zu verfolgen Security Hub CSPM begann, Änderungen an seinen AWS verwalteten Richtlinien nachzuverfolgen. 15. März 2021