Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
AWS políticas gestionadas para AWS Security Hub
Una política AWS administrada es una política independiente creada y administrada por AWS. AWS Las políticas administradas están diseñadas para proporcionar permisos para muchos casos de uso comunes, de modo que pueda empezar a asignar permisos a usuarios, grupos y funciones.
Ten en cuenta que es posible que las políticas AWS administradas no otorguen permisos con privilegios mínimos para tus casos de uso específicos, ya que están disponibles para que los usen todos los AWS clientes. Se recomienda definir políticas administradas por el cliente específicas para sus casos de uso a fin de reducir aún más los permisos.
No puedes cambiar los permisos definidos en AWS las políticas administradas. Si AWS actualiza los permisos definidos en una política AWS administrada, la actualización afecta a todas las identidades principales (usuarios, grupos y roles) a las que está asociada la política. AWS es más probable que actualice una política AWS administrada cuando Servicio de AWS se lance una nueva o cuando estén disponibles nuevas operaciones de API para los servicios existentes.
Para obtener más información, consulte Políticas administradas porAWS en la Guía del usuario de IAM.
AWS política gestionada: AWSSecurityHubFullAccess
Puede adjuntar la política de AWSSecurityHubFullAccess a las identidades de IAM.
Esta política otorga permisos administrativos que brindan a una entidad principal acceso completo a todas las acciones de Security Hub. Esta política debe adjuntarse a una entidad principal antes de que habiliten Security Hub manualmente para sus cuentas. Por ejemplo, las entidades principales con estos permisos pueden tanto ver como actualizar el estado de los resultados. Pueden configurar información personalizada y habilitar integraciones. Pueden habilitar y deshabilitar estándares y controles. Las entidades principales de una cuenta de administrador también pueden administrar cuentas miembro.
Detalles de los permisos
Esta política incluye los siguientes permisos.
-
securityhub: concede a las entidades principales acceso completo a todas las acciones de Security Hub. -
guardduty— Permite a los directores obtener información sobre el estado de las cuentas en Amazon GuardDuty. -
iam: permite que las entidades principales creen un rol vinculado a un servicio. -
inspector: permite a las entidades principales obtener información acerca del estado de las cuentas de Amazon Inspector.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "SecurityHubAllowAll", "Effect": "Allow", "Action": "securityhub:*", "Resource": "*" }, { "Sid": "SecurityHubServiceLinkedRole", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringLike": { "iam:AWSServiceName": "securityhub.amazonaws.com" } } }, { "Sid": "OtherServicePermission", "Effect": "Allow", "Action": [ "guardduty:GetDetector", "guardduty:ListDetectors", "inspector2:BatchGetAccountStatus" ], "Resource": "*", } ] }
Política administrada de Security Hub: AWSSecurityHubReadOnlyAccess
Puede adjuntar la política de AWSSecurityHubReadOnlyAccess a las identidades de IAM.
Esta política otorga permisos de solo lectura que permiten a los usuarios ver información en Security Hub. Las entidades principales con esta política adjunta no pueden realizar ninguna actualización en Security Hub. Por ejemplo, las entidades principales con estos permisos pueden ver la lista de resultados asociados a su cuenta, pero no pueden cambiar el estado de un resultado. Pueden ver los resultados de las informaciones, pero no pueden crear ni configurar informaciones personalizadas. No pueden configurar controles ni integraciones de productos.
Detalles de los permisos
Esta política incluye los siguientes permisos.
-
securityhub: permite a los usuarios realizar acciones que devuelven una lista de elementos o detalles sobre un elemento. Esto incluye las operaciones de la API que comienzan conGet,ListoDescribe.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSSecurityHubReadOnlyAccess", "Effect": "Allow", "Action": [ "securityhub:Get*", "securityhub:List*", "securityhub:BatchGet*", "securityhub:Describe*" ], "Resource": "*" } ] }
AWS política gestionada: AWSSecurityHubOrganizationsAccess
Puede adjuntar la política de AWSSecurityHubOrganizationsAccess a las identidades de IAM.
Esta política otorga los permisos administrativos necesarios para respaldar la integración de Security Hub con Organizations. AWS Organizations
Estos permisos permiten que la cuenta de administración de la organización designe la cuenta de administrador delegado para Security Hub. También permiten que la cuenta de administrador delegado de Security Hub habilite cuentas de la organización como cuentas miembro.
Esta política solo proporciona los permisos a Organizations. La cuenta de administración de la organización y la cuenta de administrador delegado de Security Hub también requieren permisos para las acciones asociadas en Security Hub. Estos permisos se pueden conceder mediante la política administrada de AWSSecurityHubFullAccess.
Detalles de los permisos
Esta política incluye los siguientes permisos.
-
organizations:ListAccounts: permite a las entidades principales recuperar la lista de cuentas que pertenecen a una organización. -
organizations:DescribeOrganization: permite a las entidades principales recuperar información sobre la organización. -
organizations:ListRoots: permite a las entidades principales enumerar la raíz de una organización. -
organizations:ListDelegatedAdministrators: permite a las entidades principales enumerar el administrador delegado de una organización. -
organizations:ListAWSServiceAccessForOrganization— Permite a los directores enumerar lo Servicios de AWS que usa una organización. -
organizations:ListOrganizationalUnitsForParent: permite a las entidades principales enumerar las unidades organizativas (OU) secundarias de una unidad organizativa principal. -
organizations:ListAccountsForParent: permite a las entidades principales enumerar las cuentas secundarias de una unidad organizativa principal. -
organizations:DescribeAccount: permite a las entidades principales recuperar información de sobre una cuenta en una organización. -
organizations:DescribeOrganizationalUnit: permite a las entidades principales recuperar información sobre una unidad organizativa de la organización. -
organizations:DescribeOrganization: permite que las entidades principales recuperen información sobre la configuración de la organización. -
organizations:EnableAWSServiceAccess: permite que las entidades principales habiliten la integración de Security Hub con Organizations. -
organizations:RegisterDelegatedAdministrator: permite que las entidades principales designen la cuenta de administrador delegado de Security Hub. -
organizations:DeregisterDelegatedAdministrator: permite que las entidades principales eliminen la cuenta de administrador delegado de Security Hub.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "OrganizationPermissions", "Effect": "Allow", "Action": [ "organizations:ListAccounts", "organizations:DescribeOrganization", "organizations:ListRoots", "organizations:ListDelegatedAdministrators", "organizations:ListAWSServiceAccessForOrganization", "organizations:ListOrganizationalUnitsForParent", "organizations:ListAccountsForParent", "organizations:DescribeAccount", "organizations:DescribeOrganizationalUnit" ], "Resource": "*" }, { "Sid": "OrganizationPermissionsEnable", "Effect": "Allow", "Action": "organizations:EnableAWSServiceAccess", "Resource": "*", "Condition": { "StringEquals": { "organizations:ServicePrincipal": "securityhub.amazonaws.com" } } }, { "Sid": "OrganizationPermissionsDelegatedAdmin", "Effect": "Allow", "Action": [ "organizations:RegisterDelegatedAdministrator", "organizations:DeregisterDelegatedAdministrator" ], "Resource": "arn:aws:organizations::*:account/o-*/*", "Condition": { "StringEquals": { "organizations:ServicePrincipal": "securityhub.amazonaws.com" } } } ] }
AWS política gestionada: AWSSecurityHubServiceRolePolicy
No puede adjuntar AWSSecurityHubServiceRolePolicy a sus entidades de IAM. Esta política se adjunta a un rol vinculado a un servicio que permite a Security Hub realizar acciones en su nombre. Para obtener más información, consulte Funciones vinculadas a servicios para Security Hub.
Esta política concede permisos administrativos que permiten que el rol vinculado a un servicio ejecute controles de seguridad para los controles de Security Hub.
Detalles de los permisos
Esta política incluye permisos para hacer lo siguiente:
-
cloudtrail— Recuperar información sobre CloudTrail los senderos. -
cloudwatch— Recupera las CloudWatch alarmas actuales. -
logs— Recupera los filtros métricos para CloudWatch los registros. -
sns: recuperar la lista de suscripciones a un tema de SNS. -
config— Recuperar información sobre los registradores de configuración, los recursos y AWS Config las reglas. También permite que el rol vinculado a un servicio cree y elimine reglas de AWS Config y ejecute evaluaciones en función de las reglas. -
iam: obtener y generar informes de credenciales de cuentas. -
organizations: recuperar información de cuentas y unidades organizativas (OU) de una organización. -
securityhub: recuperar información sobre la configuración del servicio, los estándares y los controles de Security Hub. -
tag: recuperar información sobre las etiquetas de recursos.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "SecurityHubServiceRolePermissions", "Effect": "Allow", "Action": [ "cloudtrail:DescribeTrails", "cloudtrail:GetTrailStatus", "cloudtrail:GetEventSelectors", "cloudwatch:DescribeAlarms", "cloudwatch:DescribeAlarmsForMetric", "logs:DescribeMetricFilters", "sns:ListSubscriptionsByTopic", "config:DescribeConfigurationRecorders", "config:DescribeConfigurationRecorderStatus", "config:DescribeConfigRules", "config:DescribeConfigRuleEvaluationStatus", "config:BatchGetResourceConfig", "config:SelectResourceConfig", "iam:GenerateCredentialReport", "organizations:ListAccounts", "config:PutEvaluations", "tag:GetResources", "iam:GetCredentialReport", "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:ListChildren", "organizations:ListAWSServiceAccessForOrganization", "organizations:DescribeOrganizationalUnit", "securityhub:BatchDisableStandards", "securityhub:BatchEnableStandards", "securityhub:BatchUpdateStandardsControlAssociations", "securityhub:BatchGetSecurityControls", "securityhub:BatchGetStandardsControlAssociations", "securityhub:CreateMembers", "securityhub:DeleteMembers", "securityhub:DescribeHub", "securityhub:DescribeOrganizationConfiguration", "securityhub:DescribeStandards", "securityhub:DescribeStandardsControls", "securityhub:DisassociateFromAdministratorAccount", "securityhub:DisassociateMembers", "securityhub:DisableSecurityHub", "securityhub:EnableSecurityHub", "securityhub:GetEnabledStandards", "securityhub:ListStandardsControlAssociations", "securityhub:ListSecurityControlDefinitions", "securityhub:UpdateOrganizationConfiguration", "securityhub:UpdateSecurityControl", "securityhub:UpdateSecurityHubConfiguration", "securityhub:UpdateStandardsControl", "tag:GetResources" ], "Resource": "*" }, { "Sid": "SecurityHubServiceRoleConfigPermissions", "Effect": "Allow", "Action": [ "config:PutConfigRule", "config:DeleteConfigRule", "config:GetComplianceDetailsByConfigRule" ], "Resource": "arn:aws:config:*:*:config-rule/aws-service-rule/*securityhub*" }, { "Sid": "SecurityHubServiceRoleOrganizationsPermissions", "Effect": "Allow", "Action": [ "organizations:ListDelegatedAdministrators" ], "Resource": "*", "Condition": { "StringEquals": { "organizations:ServicePrincipal": [ "securityhub.amazonaws.com" ] } } } ] }
Security Hub actualiza las políticas AWS gestionadas
Vea los detalles sobre las actualizaciones de las políticas AWS administradas de Security Hub desde que este servicio comenzó a rastrear estos cambios. Para obtener alertas automáticas sobre cambios en esta página, suscríbase a la fuente RSS en la página Historial de documentos de Security Hub.
| Cambio | Descripción | Fecha |
|---|---|---|
| AWSSecurityHubReadOnlyAccess— Actualización de una política existente | Security Hub actualizó esta política gestionada añadiendo un Sid campo. |
22 de febrero de 2024 |
| AWSSecurityHubFullAccess— Actualización de una política existente | Security Hub actualizó la política para determinar si Amazon GuardDuty y Amazon Inspector están habilitados en una cuenta. Esto ayuda a los clientes a reunir información relacionada con la seguridad de varias fuentes. Servicios de AWS | 16 de noviembre de 2023 |
| AWSSecurityHubOrganizationsAccess— Actualización a una política existente | Security Hub ha actualizado la política para conceder permisos adicionales a fin de permitir acceso de solo lectura a las funcionalidades de administrador delegado de AWS Organizations . Esto incluye detalles como la raíz, las unidades organizativas (OU), las cuentas, la estructura de la organización y el acceso a servicios. | 16 de noviembre de 2023 |
| AWSSecurityHubServiceRolePolicy: actualización de una política actual | Security Hub ha agregado los permisos BatchGetSecurityControls, DisassociateFromAdministratorAccount y UpdateSecurityControl para leer y actualizar las propiedades de control de seguridad personalizables. |
26 de noviembre de 2023 |
| AWSSecurityHubServiceRolePolicy: actualización de una política actual | Security Hub añadió el permiso tag:GetResources para leer las etiquetas de recursos relacionadas con los resultados. |
7 de noviembre de 2023 |
| AWSSecurityHubServiceRolePolicy: actualización de una política actual | Security Hub añadió el permiso BatchGetStandardsControlAssociations para obtener información sobre el estado de habilitación de un control en un estándar. |
27 de septiembre de 2023 |
| AWSSecurityHubServiceRolePolicy: actualización de una política actual | Security Hub agregó nuevos permisos para obtener AWS Organizations datos y leer y actualizar las configuraciones del Security Hub, incluidos los estándares y los controles. | 20 de septiembre de 2023 |
| AWSSecurityHubServiceRolePolicy: actualización de una política actual | Security Hub trasladó el permiso config:DescribeConfigRuleEvaluationStatus existente a una instrucción diferente en la política. El permiso config:DescribeConfigRuleEvaluationStatus se aplica ahora a todos los recursos. |
17 de marzo de 2023 |
| AWSSecurityHubServiceRolePolicy: actualización de una política actual | Security Hub trasladó el permiso config:PutEvaluations existente a una instrucción diferente en la política. El permiso config:PutEvaluations se aplica ahora a todos los recursos. |
14 de julio de 2021 |
| AWSSecurityHubServiceRolePolicy: actualización de una política actual | Security Hub añadió un nuevo permiso para permitir que el rol vinculado a un servicio entregue resultados de evaluación a AWS Config. | 29 de junio de 2021 |
| AWSSecurityHubServiceRolePolicy— Se agregó a la lista de políticas administradas | Se agregó información sobre la política administrada AWSSecurityHubServiceRolePolicy, que utiliza el rol vinculado al servicio Security Hub. | 11 de junio de 2021 |
| AWSSecurityHubOrganizationsAccess— Nueva política | Security Hub añadió una nueva política que otorga los permisos necesarios para la integración de Security Hub con Organizations. | 15 de marzo de 2021 |
| Security Hub comenzó a hacer un seguimiento de los cambios | Security Hub comenzó a realizar un seguimiento de los cambios en sus políticas AWS gestionadas. | 15 de marzo de 2021 |
