AWSpolíticas gestionadas para Security Hub - AWSSecurity Hub
AWSSecurityHubFullAccessAWSSecurityHubReadOnlyAccess AWSSecurityHubOrganizationsAccess AWSSecurityHubV2ServiceRolePolicyActualizaciones de políticas

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

AWSpolíticas gestionadas para Security Hub

Una política AWS administrada es una política independiente creada y administrada porAWS. AWSLas políticas administradas están diseñadas para proporcionar permisos para muchos casos de uso comunes, de modo que pueda empezar a asignar permisos a usuarios, grupos y funciones.

Ten en cuenta que es posible que las políticas AWS administradas no otorguen permisos con privilegios mínimos para tus casos de uso específicos, ya que están disponibles para que los usen todos los AWS clientes. Se recomienda definir políticas administradas por el cliente específicas para sus casos de uso a fin de reducir aún más los permisos.

No puedes cambiar los permisos definidos en AWS las políticas administradas. Si AWS actualiza los permisos definidos en una política AWS administrada, la actualización afecta a todas las identidades principales (usuarios, grupos y roles) a las que está asociada la política. AWSes más probable que actualice una política AWS administrada cuando Servicio de AWS se lance una nueva o cuando estén disponibles nuevas operaciones de API para los servicios existentes.

Para obtener más información, consulte Políticas administradas por AWS en la Guía del usuario de IAM.

AWSpolítica gestionada: AWSSecurityHubFullAccess

Puede asociar la política AWSSecurityHubFullAccess a las identidades de IAM.

Esta política otorga permisos administrativos que brindan a una entidad principal acceso completo a todas las acciones de Security Hub. Esta política debe adjuntarse a una entidad principal antes de que habiliten Security Hub manualmente para sus cuentas. Por ejemplo, las entidades principales con estos permisos pueden tanto ver como actualizar el estado de los resultados. También pueden configurar productos de información personalizadis, habilitar integraciones y habilitar o desactivar estándares y controles. Las entidades principales de una cuenta de administrador también pueden administrar cuentas miembro.

Detalles de los permisos

Esta política incluye los permisos siguientes:

  • securityhub: concede a las entidades principales acceso completo a todas las acciones de Security Hub.

  • guardduty— Permite a los directores obtener información sobre el estado de las cuentas en Amazon GuardDuty.

  • iam— Permite a los directores crear un rol vinculado a un servicio para Security Hub.

  • inspector: permite a las entidades principales obtener información acerca del estado de las cuentas de Amazon Inspector.

  • pricing— Permite a los directores obtener una lista de precios y productos. Servicios de AWS

Para revisar los permisos de esta política, consulte AWSSecurityHubFullAccess en la Guía de referencia de la política administrada de AWS.

AWSpolítica gestionada: AWSSecurityHubReadOnlyAccess

Puede asociar la política AWSSecurityHubReadOnlyAccess a las identidades de IAM.

Esta política otorga permisos de solo lectura que permiten a los usuarios ver información en Security Hub. Las entidades principales con esta política adjunta no pueden realizar ninguna actualización en Security Hub. Por ejemplo, las entidades principales con estos permisos pueden ver la lista de resultados asociados a su cuenta, pero no pueden cambiar el estado de un resultado. Pueden ver los resultados de las informaciones, pero no pueden crear ni configurar informaciones personalizadas. No pueden configurar controles ni integraciones de productos.

Detalles de los permisos

Esta política incluye los permisos siguientes:

  • securityhub: permite a los usuarios realizar acciones que devuelven una lista de elementos o detalles sobre un elemento. Esto incluye las operaciones de la API que comienzan con Get, List o Describe.

Para revisar los permisos de esta política, consulte AWSSecurityHubReadOnlyAccess en la Guía de referencia de la política administrada de AWS.

AWSpolítica gestionada: AWSSecurityHubOrganizationsAccess

Puede asociar la política AWSSecurityHubOrganizationsAccess a las identidades de IAM.

Esta política otorga permisos administrativos para habilitar y administrar Security Hub para una organización enAWS Organizations. Los permisos de esta política permiten a la cuenta de administración de la organización designar la cuenta de administrador delegado para Security Hub. También permiten que la cuenta de administrador delegado habilite las cuentas de la organización como cuentas de miembro.

Esta política solo proporciona permisos paraAWS Organizations. La cuenta de administración de la organización y la cuenta de administrador delegado también requieren permisos para las acciones asociadas. Estos permisos se pueden conceder mediante la política administrada de AWSSecurityHubFullAccess.

Detalles de los permisos

Esta política incluye los permisos siguientes:

  • organizations:ListAccounts: permite a las entidades principales recuperar la lista de cuentas que pertenecen a una organización.

  • organizations:DescribeOrganization: permite a las entidades principales recuperar información sobre la organización.

  • organizations:ListRoots: permite a las entidades principales enumerar la raíz de una organización.

  • organizations:ListDelegatedAdministrators: permite a las entidades principales enumerar el administrador delegado de una organización.

  • organizations:ListAWSServiceAccessForOrganization— Permite a los directores enumerar lo Servicios de AWS que usa una organización.

  • organizations:ListOrganizationalUnitsForParent: permite a las entidades principales enumerar las unidades organizativas (OU) secundarias de una unidad organizativa principal.

  • organizations:ListAccountsForParent: permite a las entidades principales enumerar las cuentas secundarias de una unidad organizativa principal.

  • organizations:ListParents— Muestra la raíz o las unidades organizativas (OUs) que actúan como matrices inmediatas de la unidad organizativa o cuenta secundaria especificada.

  • organizations:DescribeAccount: permite a las entidades principales recuperar información de sobre una cuenta en una organización.

  • organizations:DescribeOrganizationalUnit: permite a las entidades principales recuperar información sobre una unidad organizativa de la organización.

  • organizations:ListPolicies: recupera la lista de todas las políticas de una organización de un tipo especificado.

  • organizations:ListPoliciesForTarget: enumera las políticas que están asociadas directamente con la raíz de destino, la unidad organizativa (UO) o la cuenta especificada.

  • organizations:ListTargetsForPolicy— Muestra todas las raíces, unidades organizativas (OUs) y cuentas a las que está asociada la política especificada.

  • organizations:EnableAWSServiceAccess: permite que las entidades principales habiliten la integración con Organizations.

  • organizations:RegisterDelegatedAdministrator: permite que las entidades principales designen la cuenta de administrador delegado.

  • organizations:DeregisterDelegatedAdministrator: permite que las entidades principales eliminen la cuenta de administrador delegado.

  • organizations:DescribePolicy: recupera información sobre una política.

  • organizations:DescribeEffectivePolicy: devuelve el contenido de la política en vigor para el tipo de política y la cuenta especificados.

  • organizations:CreatePolicy— Crea una política de un tipo específico que se puede adjuntar a una cuenta raíz, a una unidad organizativa (OU) o a una AWS cuenta individual.

  • organizations:UpdatePolicy: actualiza una política existente con un nombre nuevo, una descripción nueva o contenido nuevo.

  • organizations:DeletePolicy: elimina la política especificada de la organización.

  • organizations:AttachPolicy: asocia una política a una raíz, una unidad organizativa (UO) o una cuenta individual.

  • organizations:DetachPolicy: desasocia una política de una raíz de destino, una unidad organizativa (UO) o una cuenta.

  • organizations:EnablePolicyType: habilita un tipo de política en una raíz.

  • organizations:DisablePolicyType: desactiva un tipo de política organizacional en una raíz.

  • organizations:TagResource: agrega uno o más etiquetas a un recurso especificado.

  • organizations:UntagResource: elimina cualquier etiqueta con las claves especificadas de un recurso indicado.

  • organizations:ListTagsForResource: enumera las etiquetas asociadas a un recurso especificado.

Para revisar los permisos de esta política, consulte AWSSecurityHubOrganizationsAccess en la Guía de referencia de la política administrada de AWS.

AWSpolítica gestionada: AWSSecurityHubV2ServiceRolePolicy

nota

Security Hub se encuentra en versión preliminar y está sujeto a cambios.

Esta política permite a Security Hub gestionar AWS Config las reglas y los recursos del Security Hub para su organización y en su nombre. Esta política está asociada a un rol vinculado a un servicio. Esto permite a dicho servicio realizar acciones por usted. No puede adjuntar esta política a las identidades de IAM. Para obtener más información, consulte Funciones vinculadas a servicios para Security Hub AWS.

Detalles de los permisos

Esta política incluye los permisos siguientes:

  • config: administrar los registradores de configuración vinculados al servicio para los recursos de Security Hub.

  • iam— Cree el rol vinculado al servicio para. AWS Config

  • organizations: recuperar información de cuentas y unidades organizativas (OU) de una organización.

  • securityhub: administrar la configuración de Security Hub.

  • tag: recuperar información sobre las etiquetas de recursos.

Para revisar los permisos de esta política, consulte AWSSecurityHubV2ServiceRolePolicy en la Guía de referencia de la política administrada de AWS.

Security Hub actualiza las políticas AWS gestionadas

La siguiente tabla proporciona detalles sobre las actualizaciones de las políticas AWS administradas para AWS Security Hub desde que este servicio comenzó a rastrear estos cambios. Para recibir alertas automáticas sobre actualizaciones en las políticas, suscríbase al canal RSS en la página del Historial de documentos de Security Hub.

Cambio Descripción Fecha

AWSSecurityHubOrganizationsAccess: política actualizada

Security Hub actualizó la política para añadir permisos que describan las políticas de recursos que admitan las funciones de Security Hub. Security Hub se encuentra en versión preliminar y está sujeto a cambios.

12 de noviembre de 2025

AWSSecurityHubFullAccess: política actualizada

Security Hub actualizó la política para añadir funciones relacionadas con la administración GuardDuty, Amazon Inspector y la administración de cuentas para admitir las funciones de Security Hub. Security Hub se encuentra en versión preliminar y está sujeto a cambios.

17 de noviembre de 2025

AWSSecurityHUBv2 ServiceRolePolicy: política actualizada

Security Hub actualizó la política para añadir capacidades de medición para Amazon Elastic Container Registry (Amazon CloudWatch) y AWS Identity and Access Management para admitir las funciones de Security Hub. AWS Lambda La actualización también agregó soporte para AWS Config grabadores globales. Security Hub se encuentra en versión preliminar y está sujeto a cambios.

5 de noviembre de 2025
AWSSecurityHubOrganizationsAccess: actualización de una política actual Security Hub agregó nuevos permisos a la política. Estos permisos permiten que la administración de la organización habilite y administre Security Hub y el CSPM de Security Hub para una organización. 17 de junio de 2025

AWSSecurityHubFullAccess: actualización de una política actual

El CSPM de Security Hub agregó nuevos permisos que permiten a las entidades principales crear un rol vinculado al servicio para Security Hub.

 17 de junio de 2025

AWSSecurityHUBv2 ServiceRolePolicy: nueva política

Security Hub agregó una nueva política que permite a Security Hub administrar AWS Config las reglas y los recursos del Security Hub para la organización de un cliente y en su nombre. Security Hub se encuentra en versión preliminar y está sujeto a cambios.

17 de junio de 2025
AWSSecurityHubFullAccess— Actualización de una política existente Security Hub CSPM actualizó la política para obtener información detallada sobre los precios Servicios de AWS y los productos. 24 de abril de 2024
AWSSecurityHubReadOnlyAccess— Actualización de una política existente El CSPM de Security Hub actualizó esta política administrada mediante la adición de un campo Sid. 22 de febrero de 2024
AWSSecurityHubFullAccess— Actualización a una política existente Security Hub CSPM actualizó la política para poder determinar si Amazon GuardDuty y Amazon Inspector están habilitados en una cuenta. Esto ayuda a los clientes a reunir información relacionada con la seguridad de múltiples fuentes. Servicios de AWS 16 de noviembre de 2023
AWSSecurityHubOrganizationsAccess— Actualización a una política existente El CSPM de Security Hub ha actualizado la política para conceder permisos adicionales a fin de permitir acceso de solo lectura a las funcionalidades de administrador delegado de AWS Organizations. Esto incluye detalles como la raíz, las unidades organizativas (OUs), las cuentas, la estructura organizativa y el acceso a los servicios. 16 de noviembre de 2023
AWSSecurityHubOrganizationsAccess— Nueva política El CSPM de Security Hub agregó una nueva política que otorga los permisos necesarios para la integración del CSPM de Security Hub con Organizations. 15 de marzo de 2021
El CSPM de Security Hub comenzó a hacer un seguimiento de los cambios Security Hub CSPM comenzó a realizar un seguimiento de los cambios en sus políticas AWS gestionadas. 15 de marzo de 2021