Cómo AWS Security Hub funciona con IAM - AWS Security Hub

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cómo AWS Security Hub funciona con IAM

Antes de utilizar IAM para administrar el acceso a Security Hub, debe saber qué características de IAM están disponibles para su uso con Security Hub. Para obtener una perspectiva general de cómo Security Hub y otrosAWSServicios de funcionan con IAM, consulteAWSServicios que funcionan con IAMen laIAM User Guide.

Políticas de basadas en identidad de Security Hub

Con las políticas basadas en identidad de IAM, puede especificar las acciones y recursos permitidos o denegados, así como las condiciones en las que se permiten o deniegan las acciones. Security Hub admite acciones, claves de condiciones y recursos específicos. Para obtener información sobre todos los elementos que utiliza en una política JSON, consulte Referencia de los elementos de las políticas JSON de IAM en la Guía del usuario de IAM.

Acciones

Los administradores pueden utilizar las políticas JSON de AWS para especificar quién tiene acceso a qué. Es decir, qué entidad principal puede llevar a cabo acciones en qué recursos y bajo qué condiciones.

El elemento Action de una política JSON describe las acciones que puede utilizar para permitir o denegar el acceso en una política. Las acciones de la política generalmente tienen el mismo nombre que la operación de API de AWS asociada. Hay algunas excepciones, como acciones de solo permiso que no tienen una operación de API coincidente. También hay algunas operaciones que requieren varias acciones en una política. Estas acciones adicionales se denominan acciones dependientes.

Incluya acciones en una política para conceder permisos y así llevar a cabo la operación asociada.

En las acciones de políticas de Security Hub, se utiliza el siguiente prefijo antes de la acción: securityhub:. Por ejemplo, para conceder permiso a un usuario para habilitar Security Hub mediante laEnableSecurityHubfuncionamiento de la API, se incluye elsecurityhub:EnableSecurityHubacción en la política asignada a ese usuario. Las instrucciones de la política deben incluir un elemento Action o un elemento NotAction. Security Hub define su propio conjunto de acciones que describen las tareas que se pueden realizar con este servicio.

Para especificar varias acciones en una única instrucción, sepárelas con comas del siguiente modo:

"Action": [ "securityhub:action1", "securityhub:action2"

Puede utilizar caracteres comodín para especificar varias acciones (*). Por ejemplo, para especificar todas las acciones que comiencen con la palabra Get, incluya la siguiente línea en la política:

"Action": "securityhub:Get*"

Para ver una lista de las acciones de Security Hub, consulteAcciones definidas porAWS Security Huben laReferencia de autorizaciones de servicio.

Recursos

Los administradores pueden utilizar las políticas JSON de AWS para especificar quién tiene acceso a qué. Es decir, qué entidad principal puede realizar acciones en qué recursos y bajo qué condiciones.

El elemento Resource de la política JSON especifica el objeto u objetos a los que se aplica la acción. Las instrucciones deben contener un elemento Resource o NotResource. Como práctica recomendada, especifique un recurso utilizando el Nombre de recurso de Amazon (ARN). Puede hacerlo para acciones que admitan un tipo de recurso específico, conocido como permisos de nivel de recurso.

Para las acciones que no admiten permisos de nivel de recurso, como las operaciones de descripción, utilice un carácter comodín (*) para indicar que la instrucción se aplica a todos los recursos.

"Resource": "*"

Para obtener más información acerca del formato de los ARN, consulte Nombres de recursos de Amazon (ARN) y espacios de nombres de servicios de AWS.

Para ver una lista de los tipos de recursos de Security Hub y sus ARN, consulteTipos de recurso definidos porAWS Security Huben laReferencia de autorizaciones de servicio. Para obtener más información acerca de con qué acciones puede especificar los ARN de cada recurso, consulteAcciones definidas porAWS Security Hub.

Claves de condición

Los administradores pueden utilizar las políticas JSON de AWS para especificar quién tiene acceso a qué. Es decir, qué entidad principal puede realizar acciones en qué recursos y bajo qué condiciones.

El elemento Condition (o bloque de Condition) permite especificar condiciones en las que entra en vigor una instrucción. El elemento Condition es opcional. Puede crear expresiones condicionales que utilicen operadores de condición, tales como igual o menor que, para que la condición de la política coincida con los valores de la solicitud.

Si especifica varios elementos de Condition en una instrucción o varias claves en un único elemento de Condition, AWS las evalúa mediante una operación AND lógica. Si especifica varios valores para una única clave de condición, AWS evalúa la condición con una operación lógica OR. Se deben cumplir todas las condiciones antes de que se concedan los permisos de la instrucción.

También puede utilizar variables de marcador de posición al especificar condiciones. Por ejemplo, puede conceder un permiso de usuario de IAM para acceder a un recurso solo si está etiquetado con su nombre de usuario de IAM. Para obtener más información, consulte Elementos de la política de IAM: variables y etiquetas en la Guía del usuario de IAM.

AWS admite claves de condición globales y claves de condición específicas del servicio. Para ver todas las claves de condición globales de AWS, consulte Claves de contexto de condición globales de AWS en la Guía del usuario de IAM.

Security Hub define su propio conjunto de claves de condición y también admite el uso de algunas claves de condición globales. Para ver todas las claves de condición globales de AWS, consulte Claves de contexto de condición globales de AWS en la Guía del usuario de IAM.

Las acciones de Security Hub respaldansecurityhub:TargetAccountClave de condición

Para controlar el acceso aBatchUpdateFindings, Security Hub admitesecurityhub.ASFFSyntaxPathClave de condición Para obtener información detallada sobre la configuración del accesoBatchUpdateFindings, consulteConfiguración del acceso a.BatchUpdateFindings.

Para ver una lista de claves de condición de Security Hub, consulteClaves de condición deAWS Security Huben laReferencia de autorizaciones de servicio. Para obtener más información acerca de con qué acciones y recursos puede utilizar una clave de condición, consulteAcciones definidas porAWS Security Hub.

Políticas de basadas en recursos de Security Hub (no compatibles)

Security Hub no admite las políticas basadas en recursos.

Autorización basada en etiquetas de Security Hub

Puede añadir etiquetas a los recursos de Security Hub o transferirlas en una solicitud a Security Hub. Para controlar el acceso en función de etiquetas, debe proporcionar información de las etiquetas en el elemento de condición de una política utilizando las claves de condición securityhub:ResourceTag/key-name, aws:RequestTag/key-name o aws:TagKeys.

Funciones de Security Hub

Un rol de IAM es una entidad de la cuenta de AWS que dispone de permisos específicos.

Uso de credenciales temporales con Security Hub

Puede utilizar credenciales temporales para iniciar sesión con federación, asumir un rol de IAM o asumir un rol de acceso entre cuentas. Para obtener las credenciales de seguridad temporales debe llamarAWS STSOperaciones de la API de, comoAssumeRoleoGetFederationToken.

Security Hub admite el uso de credenciales temporales.

Roles vinculados a servicios

Los roles vinculados a servicios permiten a los servicios de AWS obtener acceso a los recursos de otros servicios para completar una acción en su nombre. Los roles vinculados a servicios aparecen en la cuenta de IAM y son propiedad del servicio. Un administrador de IAM puede ver, pero no editar, los permisos de los roles vinculados a servicios.

Security Hub admite roles vinculados a servicios.

Roles de servicio

Esta característica permite que un servicio asuma un rol de servicio en su nombre. Este rol permite que el servicio obtenga acceso a los recursos de otros servicios para completar una acción en su nombre. Los roles de servicio aparecen en su cuenta de IAM y son propiedad de la cuenta. Esto significa que un administrador de IAM puede cambiar los permisos de este rol. Sin embargo, hacerlo podría deteriorar la funcionalidad del servicio.

Security Hub admite roles de servicio.

Ejemplos de políticas basadas en identidad de AWS Security Hub

De forma predeterminada, los usuarios y roles de IAM no tienen permiso para crear ni modificar los recursos de Security Hub. Tampoco pueden realizar tareas mediante la AWS Management Console, la AWS CLI, o la API de AWS. Un administrador de IAM debe crear políticas de IAM que concedan permisos a los usuarios y a los roles para realizar operaciones de la API concretas en los recursos especificados que necesiten. El administrador debe adjuntar esas políticas a los usuarios o grupos de IAM que necesiten esos permisos.

Para obtener información acerca de cómo crear una política basada en identidad de IAM con estos documentos de políticas JSON de ejemplo, consulte Creación de políticas en la pestaña JSON en la Guía del usuario de IAM.

Prácticas recomendadas relativas a políticas

Las políticas basadas en identidades determinan si alguien puede crear, acceder o eliminar los recursos de Security Hub de su cuenta. Estas acciones pueden generar costes adicionales para su Cuenta de AWS. Siga estas directrices y recomendaciones al crear o editar políticas basadas en identidad:

  • Introducción aAWSPolíticas de Administración y el objetivo de los permisos de privilegios mínimos: para empezar a conceder permisos a los usuarios y las cargas de trabajo, utilice laAWSpolíticas administradasque conceden permisos para muchos casos de uso comunes. Están disponibles en la Cuenta de AWS. Le recomendamos que reduzca aún más los permisos medianteAWSpolíticas administradas por el cliente que son específicas para sus casos de uso. Para obtener más información, consulteAWSpolíticas administradasoAWSManaged Policies de para funciones de trabajoen laIAM User Guide.

  • Aplicar permisos de privilegios mínimos: al establecer permisos con políticas de IAM, conceda solo los permisos necesarios para llevar a cabo una tarea. Para ello, debe definir las acciones que se pueden llevar a cabo en determinados recursos en condiciones específicas, también conocidos como permisos de privilegios mínimos. Para obtener más información sobre cómo utilizar IAM para aplicar permisos, consultePolíticas y permisos en IAMen laIAM User Guide.

  • Utilizar condiciones en las políticas de IAM para restringir aún más el acceso— Puedes añadir una condición a tus políticas para limitar el acceso a las acciones y los recursos. Por ejemplo, puede escribir una condición de política para especificar que todas las solicitudes deben enviarse utilizando SSL. También puede utilizar condiciones para conceder acceso a acciones de servicio si se utilizan a través de un determinadoServicio de AWS, como, por ejemplo,AWS CloudFormation. Para obtener más información, consulteElemento de la política de JSON de Condiciónen laIAM User Guide.

  • Utilizar IAM Access Analyzer para validar las políticas de IAM con objeto de garantizar la seguridad y funcionalidad de los permisos— IAM Access Analyzer valida las políticas nuevas y existentes de forma que respeten el lenguaje de las políticas de IAM (JSON) y las prácticas recomendadas para IAM. IAM Access Analyzer proporciona más de 100 verificaciones de políticas y recomendaciones procesables para ayudar a crear políticas seguras y funcionales. Para obtener más información, consultepolítica de validación de políticas de análisis de accesoen laIAM User Guide.

  • Exigir autenticación multifactor (MFA): si tiene un escenario que requiere usuarios raíz o de IAM en la cuenta, active MFA para mayor seguridad. Para solicitar la MFA cuando se llaman a las operaciones de la API, agrega condiciones de MFA a tus políticas. Para obtener más información, consulteConfiguración del acceso a una API protegido por MFAen laIAM User Guide.

Para obtener más información acerca de las prácticas recomendadas en la IAM, consultePrácticas recomendadas de seguridad en IAMen laIAM User Guide.

Uso de la consola de Security Hub

Para acceder a la consola de AWS Security Hub, debe tener un conjunto mínimo de permisos. Estos permisos deben permitirle registrar y consultar los detalles acerca de los recursos de Security Hub en suAWSaccount. Si crea una política basada en identidad que sea más restrictiva que el mínimo de permisos necesarios, la consola no funcionará del modo esperado para las entidades (usuarios o roles de IAM) que tengan esa política.

Para asegurarse de que esas entidades puedan seguir usando la consola de Security Hub, asocie también lo siguiente:AWSpolítica administrada a las entidades. Para obtener más información, consulte Agregar de permisos a un usuario en la Guía del usuario de IAM:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "securityhub:*", "Resource": "*" }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringLike": { "iam:AWSServiceName": "securityhub.amazonaws.com" } } } ] }

No es necesario que conceda permisos mínimos para la consola a los usuarios que solo realizan llamadas a la AWS CLI o a la API de AWS. En su lugar, permite acceso únicamente a las acciones que coincidan con la operación de API que intenta realizar.

Solución de problemas de identidades y accesos en AWS Security Hub

Utilice la información siguiente para diagnosticar y solucionar los problemas comunes que puedan surgir cuando trabaje con Security Hub e IAM.

No tengo autorización para realizar una acción en Security Hub

Si la AWS Management Console le indica que no está autorizado para llevar a cabo una acción, debe ponerse en contacto con su administrador para recibir ayuda. Su administrador es la persona que le facilitó su nombre de usuario y contraseña.

En el siguiente ejemplo, el error se produce cuando el usuario mateojackson de IAM, intenta utilizar la consola para ver detalles sobre un widget, pero no tiene permisos securityhub:GetWidget.

User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: securityhub:GetWidget on resource: my-example-widget

En este caso, Mateo pide a su administrador que actualice sus políticas de forma que pueda obtener acceso al recurso my-example-widget mediante la acción securityhub:GetWidget.

No tengo autorización para realizar la operaciónPassRole

Si recibe un error que indica que no está autorizado para realizar laiam:PassRole, sus políticas deben actualizarse para transferir un rol a Security Hub.

AlgunoServicios de AWSle permiten transferir un rol existente a dicho servicio en lugar de crear un nuevo rol de servicio o uno vinculado al servicio. Para ello, debe tener permisos para transferir el rol al servicio.

En el siguiente ejemplo, el error se produce cuando un usuario de IAM denominadomarymajorintenta utilizar la consola para realizar una acción en Security Hub. No obstante, la acción requiere que el servicio cuente con permisos otorgados por un rol de servicio. Mary no tiene permisos para transferir el rol al servicio.

User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole

En este caso, las políticas de Mary se deben actualizar para que pueda realizar laiam:PassRoleaction.

Si necesita más ayuda, póngase en contacto conAWSadministrator Su administrador es la persona que le facilitó sus credenciales de inicio de sesión.

Quiero ver mis claves de acceso

Después de crear sus claves de acceso de usuario de IAM, puede ver su ID de clave de acceso en cualquier momento. Sin embargo, no puede volver a ver su clave de acceso secreta. Si pierde la clave de acceso secreta, debe crear un nuevo par de claves de acceso.

Las claves de acceso se componen de dos partes: un ID de clave de acceso (por ejemplo, AKIAIOSFODNN7EXAMPLE) y una clave de acceso secreta (por ejemplo, wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY). El ID de clave de acceso y la clave de acceso secreta se utilizan juntos, como un nombre de usuario y contraseña, para autenticar sus solicitudes. Administre sus claves de acceso con el mismo nivel de seguridad que para el nombre de usuario y la contraseña.

importante

No proporcione las claves de acceso a terceros, ni siquiera para que le ayuden a buscar el ID de usuario canónico. Si lo hace, podría conceder a otra persona acceso permanente a su cuenta.

Cuando cree un par de claves de acceso, se le pide que guarde el ID de clave de acceso y la clave de acceso secreta en un lugar seguro. La clave de acceso secreta solo está disponible en el momento de su creación. Si pierde la clave de acceso secreta, debe agregar nuevas claves de acceso a su usuario de IAM. Puede tener un máximo de dos claves de acceso. Si ya cuenta con dos, debe eliminar un par de claves antes de crear uno nuevo. Para consultar las instrucciones, consulte Administración de claves de acceso en la Guía del usuario de IAM.

Soy administrador y deseo permitir que otros obtengan acceso a Security Hub

Para permitir que otros accedan a Security Hub, debe crear una entidad de IAM (usuario o rol) para la persona o aplicación que necesita acceso. Esta persona utilizará las credenciales de la entidad para acceder a AWS. A continuación, debe asociar una política a la entidad que le conceda los permisos correctos en Security Hub.

Para comenzar de inmediato, consulte Creación del primer grupo y usuario delegado de IAM en la Guía del usuario de IAM.

Quiero permitir a personas externas aAWScuenta para acceder a mis recursos de Security Hub

Puede crear un rol que los usuarios de otras cuentas o las personas externas a la organización puedan utilizar para acceder a sus recursos. Puede especificar una persona de confianza para que asuma el rol. En el caso de los servicios que admitan las políticas basadas en recursos o las listas de control de acceso (ACL), puede utilizar dichas políticas para conceder a las personas acceso a sus recursos.

Para obtener más información, consulte lo siguiente: