Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Funciones vinculadas al servicio para AWS Security Hub
AWS Security Hub utiliza un rol vinculado a un servicio AWS Identity and Access Management (IAM) denominado. AWSServiceRoleForSecurityHub Este rol vinculado al servicio es un rol de IAM que está vinculado directamente a Security Hub. Está predefinido por Security Hub e incluye todos los permisos que Security Hub necesita para llamar a otros AWS recursos Servicios de AWS y supervisarlos en su nombre. Security Hub utiliza esta función vinculada a un servicio en todos los lugares en los Regiones de AWS que Security Hub esté disponible.
Un rol vinculado a un servicio simplifica la configuración de Security Hub porque ya no tendrá que agregar de forma manual los permisos necesarios. Security Hub define los permisos de su función vinculada al servicio y, a menos que se defina lo contrario, solo Security Hub puede asumir la función. Los permisos definidos incluyen las políticas de confianza y de permisos, y no puede asociar esa política de permisos a ninguna otra entidad de IAM.
Para revisar los detalles del rol vinculado al servicio, puede usar la consola de Security Hub. En el panel de navegación, seleccione General en Configuración. A continuación, en la sección Permisos de servicio, selecciona Ver permisos de servicio.
Puede eliminar la función vinculada al servicio Security Hub solo después de deshabilitar Security Hub en todas las regiones en las que está habilitada. De esta forma se protegen los recursos de Security Hub, ya que evita que se puedan eliminar accidentalmente permisos de acceso a estos recursos.
Para obtener información sobre otros servicios que admiten funciones vinculadas a servicios, consulte los AWS servicios que funcionan con IAM en la Guía del usuario de IAM y localice los servicios que tienen la opción Sí en la columna Funciones vinculadas a servicios. Seleccione una opción Sí con una conexión para revisar la documentación acerca del rol vinculado a un servicio en cuestión.
Temas
Permisos de roles vinculados a servicios de Security Hub
Security Hub usa el rol vinculado a un servicio denominado AWSServiceRoleForSecurityHub. Es un rol vinculado a un servicio necesario para acceder a tus recursos. AWS Security Hub Esta función vinculada a un servicio permite a Security Hub realizar tareas como recibir las conclusiones de otros usuarios Servicios de AWS y configurar la AWS Config infraestructura necesaria para ejecutar comprobaciones de seguridad de los controles. El rol vinculado a servicios AWSServiceRoleForSecurityHub confía en el servicio securityhub.amazonaws.com para asumir el rol.
El rol vinculado al servicio AWSServiceRoleForSecurityHub utiliza la política administrada de AWSSecurityHubServiceRolePolicy.
Debe conceder permisos para permitir a una identidad de IAM (como un rol, grupo o usuario) crear, editar o eliminar un rol vinculado a un servicio. Para que el rol vinculado al servicio AWSServiceRoleForSecurityHub se cree correctamente, la identidad de IAM que usa para acceder a Security Hub debe tener los permisos necesarios. Para conceder los permisos necesarios, asocie la siguiente política a la identidad de IAM.
Creación de un rol vinculado a un servicio de Security Hub
El rol AWSServiceRoleForSecurityHub vinculado al servicio se crea automáticamente al habilitar Security Hub por primera vez o al habilitar Security Hub en una región en la que no lo habilitó anteriormente. También puede crear el rol AWSServiceRoleForSecurityHub vinculado al servicio manualmente mediante la consola de IAM, la CLI de IAM o la API de IAM. Para obtener más información acerca de cómo crear un rol manualmente, consulte Crear un rol vinculado a un servicio en la Guía del usuario de IAM.
importante
El rol vinculado a un servicio que se crea para una cuenta de administrador de Security Hub no se aplica a las cuentas de miembros de Security Hub asociadas.
Edición de un rol vinculado a un servicio de Security Hub
Security Hub no le permite modificar el rol vinculado al servicio AWSServiceRoleForSecurityHub. Después de crear un rol vinculado a un servicio, no puede cambiarle el nombre, ya que varias entidades pueden hacer referencia a él. Sin embargo, puede editar la descripción del rol mediante IAM. Para obtener más información, consulte Edición de un rol vinculado a un servicio en la Guía del usuario de IAM.
Eliminación de un rol vinculado a un servicio de Security Hub
Si ya no necesita utilizar una característica o servicio que requiere un rol vinculado a un servicio, le recomendamos que elimine el rol. De esta forma, no tendrá una entidad no utilizada cuya supervisión o mantenimiento no se realizan de forma activa.
Al deshabilitar Security Hub, Security Hub no elimina automáticamente el rol AWSServiceRoleForSecurityHub vinculado al servicio. Si vuelve a habilitar Security Hub, el servicio podrá volver a utilizar la función vinculada al servicio existente. Si ya no necesita usar Security Hub, puede eliminar manualmente el rol vinculado al servicio.
importante
Antes de eliminar el rol AWSServiceRoleForSecurityHub vinculado al servicio, primero debe deshabilitar Security Hub en todas las regiones en las que esté habilitado. Para obtener más información, consulte Desactivación de Security Hub CSPM. Si Security Hub está habilitado cuando intenta eliminar el rol vinculado al servicio, el rol no se eliminará.
Para eliminar el rol AWSServiceRoleForSecurityHub vinculado al servicio, puede usar la consola de IAM, la CLI de IAM o la API de IAM. Para obtener más información, consulte Eliminación de un rol vinculado a un servicio en la Guía del usuario de IAM.
