Políticas clave de KMS para las integraciones de venta de entradas de Security Hub - AWSSecurity Hub
Política de permisos de Security HubAcceso de entidad principal de IAM para operaciones de Security Hub

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Políticas clave de KMS para las integraciones de venta de entradas de Security Hub

Cuando se utilizan claves de KMS administradas por el cliente con integraciones de venta de entradas de Security Hub, es necesario añadir políticas adicionales a la clave de KMS para permitir que Security Hub interactúe con la clave. Además, es necesario agregar políticas que permitan al director que agrega la clave al conector del Security Hub tener permisos para acceder a la clave.

Política de permisos de Security Hub

La siguiente política describe los permisos que Security Hub necesita para poder acceder y utilizar la clave KMS asociada a tu Jira y a tus ServiceNow conectores. Esta política debe agregarse a cada clave de KMS que esté asociada a un conector de Security Hub.

La política contiene los siguientes permisos:

  • Permite a Security Hub proteger, acceder temporalmente o actualizar los tokens utilizados para comunicarse con tus integraciones de venta de entradas mediante la clave. Los permisos se restringen a operaciones relacionadas con conectores específicos de Security Hub mediante el bloque de condición que verifica el ARN de origen y el contexto de cifrado.

  • Permite que Security Hub lea los metadatos sobre la clave KMS al permitir la DescribeKey operación. Este permiso es necesario para que Security Hub verifique el estado y la configuración de la clave. El acceso se restringe a conectores específicos de Security Hub mediante la condición del ARN de origen. 


{
    "Sid": "Allow Security Hub access to the customer managed key",
    "Effect": "Allow",
    "Principal": {
        "Service": "connector.securityhub.amazonaws.com"
    },
    "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt",
        "kms:ReEncrypt*"
    ],
    "Resource": "*",
    "Condition": {
        "ArnLike": {
            "aws:SourceArn": "arn:aws:securityhub:Region:AccountId:connectorv2/*"
        },
        "StringLike": {
            "kms:EncryptionContext:aws:securityhub:connectorV2Arn": "arn:aws:securityhub:Region:AccountId:connectorv2/*",
            "kms:EncryptionContext:aws:securityhub:providerName": "CloudProviderName"
        }
    }
},
{
    "Sid": "Allow Security Hub read access to the customer managed key",
    "Effect": "Allow",
    "Principal": {
        "Service": "connector.securityhub.amazonaws.com"
    },
    "Action": [
        "kms:DescribeKey"
    ],
    "Resource": "*",
    "Condition": {
        "ArnLike": {
            "aws:SourceArn": "arn:aws:securityhub:Region:AccountId:connectorv2/*"
        }
    }
}

Edite la política sustituyendo los siguientes valores en el ejemplo de política:

  • CloudProviderNameSustitúyalo JIRA_CLOUD por o SERVICENOW

  • AccountIdSustitúyalo por el ID de cuenta en el que estás creando el conector del Security Hub.

  • RegionSustitúyalo por tu AWS región (por ejemplo,us-east-1).

Acceso de entidad principal de IAM para operaciones de Security Hub

Cualquier director que vaya a asignar claves KMS administradas por el cliente a un conector de Security Hub debe tener permisos para realizar operaciones clave (describir, generar, descifrar, volver a cifrar y enumerar los alias) para la clave que se agrega al conector. CreateTicketV2 APIsEsto CreateConnectorV2se aplica a los campos y. La siguiente declaración de política debe incluirse como parte de la política de cualquier director que interactúe con ellos APIs. 


{
    "Sid": "Allow permissions to access key through Security Hub",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::AccountId:role/RoleName"
    },
    "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt",
        "kms:ReEncrypt*"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "kms:ViaService": [
                "securityhub.Region.amazonaws.com"
            ]
        },
        "StringLike": {
            "kms:EncryptionContext:aws:securityhub:providerName": "CloudProviderName"
        }
    }
},
{
    "Sid": "Allow read permissions to access key through Security Hub",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::AccountId:role/RoleName"
    },
    "Action": [
        "kms:DescribeKey"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "kms:ViaService": [
                "securityhub.Region.amazonaws.com"
            ]
        }
    }
}

Edite la política sustituyendo los siguientes valores en el ejemplo de política:

  • RoleNameSustitúyalo por el nombre del rol de IAM que realiza las llamadas a Security Hub.

  • Reemplace CloudProviderName por JIRA_CLOUD o SERVICENOW.

  • AccountIdSustitúyalo por el ID de cuenta en el que estás creando el conector del Security Hub.

  • RegionSustitúyalo por tu AWS región (por ejemplo,us-east-1).