Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Serviceverknüpfte Rollen für Security Hub
AWS Security Hub verwendet eine dienstverknüpfte AWS Identity and Access Management (IAM) Rolle mit dem Namen. AWSServiceRoleForSecurityHub Bei dieser serviceverknüpften Rolle handelt es sich um eine IAM-Rolle, die direkt mit Security Hub verknüpft ist. Es ist von Security Hub vordefiniert und beinhaltet alle Berechtigungen, die Security Hub benötigt, um andere AWS Ressourcen in Ihrem Namen anzurufen AWS-Services und zu überwachen. Security Hub verwendet diese dienstbezogene Rolle überall dort, AWS-Regionen wo Security Hub verfügbar ist.
Eine serviceverknüpfte Rolle erleichtert die Einrichtung von Security Hub, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. Security Hub definiert die Berechtigungen seiner dienstbezogenen Rolle, und sofern die Berechtigungen nicht anders definiert sind, kann nur Security Hub die Rolle übernehmen. Zu den definierten Berechtigungen gehören die Vertrauensrichtlinie und die Berechtigungsrichtlinie, und Sie können diese Berechtigungsrichtlinie keiner anderen IAM-Entität zuordnen.
Um die Details der dienstverknüpften Rolle anzuzeigen, wählen Sie auf der Seite Einstellungen der Security Hub Hub-Konsole Allgemein und dann Dienstberechtigungen anzeigen aus.
Sie können die dienstverknüpfte Security Hub-Rolle erst löschen, nachdem Sie Security Hub zuerst in allen Regionen deaktiviert haben, in denen sie aktiviert ist. Dadurch werden Ihre Security Hub Hub-Ressourcen geschützt, da Sie nicht versehentlich Zugriffsberechtigungen entfernen können.
Informationen zu anderen Diensten, die dienstverknüpfte Rollen unterstützen, finden Sie im IAM-Benutzerhandbuch unter AWS Dienste, die mit IAM funktionieren. Suchen Sie in der Spalte Service-Linked Role nach den Diensten, für die Ja steht. Wählen Sie über einen Link Ja aus, um die Dokumentation zu einer serviceverknüpften Rolle für diesen Service anzuzeigen.
Themen
Dienstbezogene Rollenberechtigungen für Security Hub
Security Hub verwendet die mit dem Dienst verknüpfte Rolle mit dem NamenAWSServiceRoleForSecurityHub. Es handelt sich um eine dienstbezogene Rolle, die für den Zugriff AWS Security Hub auf Ihre Ressourcen erforderlich ist. Die serviceverknüpfte Rolle ermöglicht es Security Hub, Erkenntnisse von anderen zu empfangen AWS-Services und die erforderliche AWS Config Infrastruktur für die Durchführung von Sicherheitsprüfungen für Kontrollen zu konfigurieren.
Die serviceverknüpfte Rolle AWSServiceRoleForSecurityHub vertraut darauf, dass die folgenden Services die Rolle annehmen:
-
securityhub.amazonaws.com
Die serviceverknüpfte Rolle AWSServiceRoleForSecurityHub verwendet die verwaltete Richtlinie AWSSecurityHubServiceRolePolicy.
Sie müssen einer IAM-Identität (z. B. einer Rolle, Gruppe oder einem Benutzer) Berechtigungen erteilen, um eine dienstverknüpfte Rolle zu erstellen, zu bearbeiten oder zu löschen. Damit die AWSServiceRoleForSecurityHub serviceverknüpfte Rolle erfolgreich erstellt werden kann, muss die IAM-Identität, die Sie für den Zugriff auf Security Hub verwenden, über die erforderlichen Berechtigungen verfügen. Um die erforderlichen Berechtigungen zu gewähren, fügen Sie der Rolle, Gruppe oder dem Benutzer die folgende Richtlinie hinzu.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "securityhub:*", "Resource": "*" }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringLike": { "iam:AWSServiceName": "securityhub.amazonaws.com" } } } ] }
Eine serviceverknüpfte Rolle für Security Hub erstellen
Die AWSServiceRoleForSecurityHub serviceverknüpfte Rolle wird automatisch erstellt, wenn Sie Security Hub zum ersten Mal aktivieren oder Security Hub in einer unterstützten Region aktivieren, in der Sie sie zuvor nicht aktiviert hatten. Sie können die serviceverknüpfte Rolle namens AWSServiceRoleForSecurityHub auch manuell erstellen, indem Sie die IAM-Konsole, die CLI oder die IAM-API verwenden.
Wichtig
Die dienstverknüpfte Rolle, die für das Security Hub-Administratorkonto erstellt wurde, gilt nicht für die Security Hub Hub-Mitgliedskonten.
Weitere Informationen zum Erstellen von IAM-Rollen finden Sie unter Erstellen einer serviceverknüpften Rolle im IAM-Benutzerhandbuch.
Eine serviceverknüpfte Rolle für Security Hub bearbeiten
Security Hub erlaubt es Ihnen nicht, die AWSServiceRoleForSecurityHub dienstverknüpfte Rolle zu bearbeiten. Nachdem Sie eine serviceverknüpfte Rolle erstellt haben, können Sie den Namen der Rolle nicht mehr ändern, da verschiedene Entitäten auf die Rolle verweisen könnten. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter Bearbeiten einer serviceverknüpften Rolle im IAM-Benutzerhandbuch.
Löschen einer serviceverknüpften Rolle für Security Hub
Wenn Sie ein Feature oder einen Service, die bzw. der eine serviceverknüpfte Rolle erfordert, nicht mehr benötigen, sollten Sie diese Rolle löschen. Auf diese Weise ist keine ungenutzte Entität vorhanden, die nicht aktiv überwacht oder verwaltet wird.
Wichtig
Um die AWSServiceRoleForSecurityHub serviceverknüpfte Rolle zu löschen, müssen Sie Security Hub zunächst in allen Regionen deaktivieren, in denen sie aktiviert ist.
Wenn Security Hub nicht deaktiviert ist, wenn Sie versuchen, die serviceverknüpfte Rolle zu löschen, schlägt der Löschvorgang fehl. Weitere Informationen finden Sie unter Security Hub deaktivieren.
Wenn Sie Security Hub deaktivieren, wird die AWSServiceRoleForSecurityHub dienstverknüpfte Rolle nicht automatisch gelöscht. Wenn Sie Security Hub erneut aktivieren, verwendet es ab sofort die bestehende AWSServiceRoleForSecurityHub serviceverknüpfte Rolle.
So löschen Sie die serviceverknüpfte Rolle mit IAM
Sie können die IAM-Konsole, die IAM-CLI oder die IAM-API verwenden, um die AWSServiceRoleForSecurityHub-serviceverknüpfte Rolle zu löschen. Weitere Informationen finden Sie unter Löschen einer serviceverknüpften Rolle im IAM-Benutzerhandbuch.
