Acciones, recursos y claves de condición para AWS Security Hub - Referencia de autorizaciones de servicio

Acciones, recursos y claves de condición para AWS Security Hub

AWS Security Hub (prefijo de servicio: securityhub) proporciona los siguientes recursos, acciones y claves de contexto de condición específicos del servicio para su uso en las políticas de permisos de IAM.

Referencias:

Acciones definidas por AWS Security Hub

Puede especificar las siguientes acciones en el elemento Action de una declaración de política de IAM. Utilice políticas para conceder permisos para realizar una operación en AWS. Cuando utiliza una acción en una política, normalmente permite o deniega el acceso a la operación de la API o comandos de la CLI con el mismo nombre. No obstante, en algunos casos, una sola acción controla el acceso a más de una operación. Asimismo, algunas operaciones requieren varias acciones diferentes.

La columna Resource types (Tipos de recurso) indica si la acción admite permisos de nivel de recursos. Si no hay ningún valor para esta columna, debe especificar todos los recursos ("*") en el elemento Resource de la instrucción de la política. Si la columna incluye un tipo de recurso, puede especificar un ARN de ese tipo en una instrucción con dicha acción. Los recursos necesarios se indican en la tabla con un asterisco (*). Si especifica un ARN de permiso de recursos en una instrucción mediante esta acción, deberá ser de este tipo. Algunas acciones admiten varios tipos de recursos. Si el tipo de recurso es opcional (no se indica como obligatorio), puede elegir utilizar uno pero no el otro.

Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Acciones.

Acciones Descripción Nivel de acceso Tipos de recursos (*necesarios) Claves de condición Acciones dependientes
AcceptAdministratorInvitation Concede permiso para aceptar invitaciones de Security Hub para convertirse en una cuenta de miembro. Write

hub

AcceptInvitation Concede permiso para aceptar invitaciones de Security Hub para convertirse en una cuenta de miembro. Write

hub

BatchDisableStandards Concede permiso para desactivar estándares en Security Hub. Write

hub

BatchEnableStandards Concede permiso para habilitar estándares en Security Hub. Escritura

hub

BatchGetStandardsControlAssociations [solo permiso] Concede permiso para obtener la asociación entre una lista de controles de seguridad y estándares en lotes Lectura
BatchImportFindings Concede permiso para importar resultados en Security Hub desde un producto integrado. Write

product*

securityhub:TargetAccount

BatchUpdateFindings Concede permiso para actualizar campos controlados por el cliente para un conjunto seleccionado de hallazgos de Security Hub Escritura

hub

securityhub:ASFFSyntaxPath/${ASFFSyntaxPath}

BatchUpdateStandardsControlAssociations [solo permiso] Concede permiso para actualizar la asociación entre una lista de controles de seguridad y estándares en lotes Escritura
CreateActionTarget Concede permiso para crear acciones personalizadas en Security Hub. Escritura

hub

CreateFindingAggregator Concede permiso para crear un agregador de búsquedas, que contiene la configuración de agregación de búsquedas entre regiones. Escritura
CreateInsight Concede permiso para crear información en Security Hub. Las observaciones son colecciones de hallazgos relacionados. Write

hub

CreateMembers Concede permiso para crear cuentas de miembros en Security Hub. Write

hub

DeclineInvitations Concede permiso para rechazar las invitaciones de Security Hub para convertirse en una cuenta de miembro. Write

hub

DeleteActionTarget Concede permiso para eliminar acciones personalizadas en Security Hub. Escritura

hub

DeleteFindingAggregator Concede permiso para eliminar un agregador de búsquedas, que desactiva la búsqueda de agregación en todas las regiones. Escritura

finding-aggregator*

DeleteInsight Concede permiso para eliminar información de Security Hub. Write

hub

DeleteInvitations Concede permiso para eliminar invitaciones de Security Hub para convertirse en una cuenta miembro. Write

hub

DeleteMembers Concede permiso para eliminar cuentas de miembros de Security Hub. Write

hub

DescribeActionTargets Concede permiso para recuperar una lista de acciones personalizadas mediante la API. Read

hub

DescribeHub Concede permiso para recuperar información sobre el recurso Hub en su cuenta. Read

hub

DescribeOrganizationConfiguration Concede el permiso para describir la configuración de la organización para Security Hub. Read

hub

DescribeProducts Concede permiso para recuperar información sobre las integraciones de productos de Security Hub disponibles. Read

hub

DescribeStandards Concede permiso para recuperar información acerca de los estándares de Security Hub. Read

hub

DescribeStandardsControls Concede permiso para recuperar información acerca de los controles de estándares de Security Hub. Read

hub

DisableImportFindingsForProduct Concede permiso para desactivar la importación de resultados para un producto integrado de Security Hub. Write

hub

DisableOrganizationAdminAccount Concede el permiso para quitar la cuenta de administrador para su Security Hub de su organización. Write

hub

organizations:DescribeOrganization

DisableSecurityHub Concede permiso para desactivar Security Hub. Write

hub

DisassociateFromAdministratorAccount Concede permiso a una cuenta miembro de Security Hub para desvincular de la cuenta del administrador asociada. Write

hub

DisassociateFromMasterAccount Concede permiso a una cuenta miembro de Security Hub para desvincular de la cuenta maestra asociada. Write

hub

DisassociateMembers Concede permiso para desasociar las cuentas de miembros de Security Hub de la cuenta del administrador asociada Write

hub

EnableImportFindingsForProduct Concede permiso para habilitar la importación de resultados para un producto integrado de Security Hub. Write

hub

EnableOrganizationAdminAccount Concede el permiso para designar una cuenta de administrador de Security Hub para su organización. Write

hub

organizations:DescribeOrganization

organizations:EnableAWSServiceAccess

organizations:RegisterDelegatedAdministrator

EnableSecurityHub Concede permiso para habilitar Security Hub. Write

hub

aws:RequestTag/${TagKey}

aws:TagKeys

GetAdhocInsightResults [solo permiso] Concede permiso para recuperar resultados de conocimiento mediante un conjunto de filtros en lugar de un ARN de conocimiento. Read

hub

GetAdministratorAccount Concede permiso para recuperar detalles sobre la cuenta de administrador de Security Hub Read

hub

GetControlFindingSummary [solo permiso] Concede permiso para recuperar una puntuación de seguridad y recuentos de los estados de búsqueda y control para un estándar de seguridad. Read

hub

GetEnabledStandards Concede permiso para recuperar una lista de los estándares habilitados en Security Hub. List

hub

GetFindingAggregator Concede permiso para recuperar detalles de un agregador de búsquedas, que configura la agregación de búsqueda en todas las regiones. Lectura

finding-aggregator*

GetFindings Concede permiso para recuperar una lista de hallazgos de Security Hub. Read

hub

GetFreeTrialEndDate [solo permiso] Concede permiso para recuperar la fecha de finalización de la prueba gratuita de una cuenta de Security Hub Read

hub

GetFreeTrialUsage [solo permiso] Concede permiso para recuperar información sobre el uso de Security Hub durante el periodo de prueba gratuito Read

hub

GetInsightFindingTrend [solo permiso] Concede permiso para recuperar una tendencia de búsqueda de conocimiento desde Security Hub con el fin de generar un gráfico Read

hub

GetInsightResults Concede permiso para recuperar los resultados de información de Security Hub. Read

hub

GetInsights Concede permiso para recuperar información de Security Hub. List

hub

GetInvitationsCount Concede permiso para recuperar el recuento de invitaciones para hacerse miembro de Security Hub enviadas a la cuenta. Read

hub

GetMasterAccount Concede permiso para recuperar detalles sobre la cuenta maestra de Security Hub. Read

hub

GetMembers Concede permiso para recuperar los detalles de las cuentas de miembros de Security Hub. Read

hub

GetUsage [solo permiso] Concede permiso para recuperar información acerca del uso de cuentas de Security Hub. Read

hub

InviteMembers Concede permiso para invitar a otras cuentas de AWS a que se conviertan en cuentas de miembros de Security Hub. Write

hub

ListControlEvaluationSummaries [solo permiso] Concede permiso para recuperar una lista de controles para un estándar, incluidos los ID de control, los estados y los recuentos de búsqueda. Read

hub

ListEnabledProductsForImport Concede permiso para recuperar los productos integrados de Security Hub que están habilitados actualmente. List

hub

ListFindingAggregators Concede permiso para recuperar una lista de agregadores de búsqueda, que contienen la configuración de agregación de búsqueda entre regiones. List
ListInvitations Concede permiso para recuperar las invitaciones de Security Hub enviadas a la cuenta. List

hub

ListMembers Concede permiso para recuperar detalles sobre las cuentas de miembros de Security Hub asociadas a la cuenta de administrador List

hub

ListOrganizationAdminAccounts Concede el permiso para enumerar las cuentas de administrador de Security Hub para su organización. List

hub

organizations:DescribeOrganization

ListSecurityControlDefinitions [solo permiso] Concede permiso para recuperar una lista de definiciones de control de seguridad, que contienen detalles de control entre regiones para controles de seguridad List
ListTagsForResource Concede permiso para mostrar las etiquetas asociadas a un recurso. Read

hub*

SendFindingEvents [solo permiso] Concede permiso para utilizar una acción personalizada para enviar los resultados de Security Hub a Amazon EventBridge Read

hub

SendInsightEvents [solo permiso] Concede permiso para utilizar una acción personalizada para enviar información sobre Security Hub a Amazon EventBridge Read

hub

TagResource Concede permiso para agregar etiquetas a un recurso de Security Hub. Etiquetado

hub*

UntagResource Concede permiso para eliminar etiquetas de un recurso de Security Hub. Etiquetado

hub*

UpdateActionTarget Concede permiso para actualizar acciones personalizadas en Security Hub. Escritura

hub

UpdateFindingAggregator Concede permiso para actualizar un agregador de búsquedas, que contiene la configuración de agregación de búsquedas entre regiones. Escritura

finding-aggregator*

UpdateFindings Concede permiso para actualizar los resultados de Security Hub. Write

hub

UpdateInsight Concede permiso para actualizar información en Security Hub. Write

hub

UpdateOrganizationConfiguration Concede el permiso para actualizar la configuración de la organización para Security Hub. Write

hub

UpdateSecurityHubConfiguration Concede permiso para actualizar la configuración de Security Hub Write

hub

UpdateStandardsControl Concede permiso para actualizar los controles de estándares de Security Hub. Write

hub

Tipos de recursos definidos por AWS Security Hub

Los siguientes tipos de recurso están definidos por este servicio y se pueden utilizar en el elemento Resource de las instrucciones de política de permisos de IAM. Cada acción de la tabla Acciones identifica los tipos de recursos que se pueden especificar con dicha acción. Un tipo de recurso también puede definir qué claves de condición se pueden incluir en una política. Estas claves se muestran en la última columna de la tabla. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Tipos de recurso.

Tipos de recurso ARN Claves de condición
hub arn:${Partition}:securityhub:${Region}:${Account}:hub/default

aws:ResourceTag/${TagKey}

product arn:${Partition}:securityhub:${Region}:${Account}:product/${Company}/${ProductId}
finding-aggregator arn:${Partition}:securityhub:${Region}:${Account}:finding-aggregator/${FindingAggregatorId}

Claves de condición para AWS Security Hub

AWS Security Hub define las siguientes claves de condición que pueden utilizarse en el elemento Condition de una política de IAM. Puede utilizar estas claves para ajustar más las condiciones en las que se aplica la instrucción de política. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla de Claves de condición.

Para ver las claves de condición globales que están disponibles para todos los servicios, consulte Claves de condición globales disponibles.

Claves de condición Descripción Tipo
aws:RequestTag/${TagKey} Filtra el acceso mediante acciones en función de la presencia de pares de clave-valor de etiqueta en la solicitud. Cadena
aws:ResourceTag/${TagKey} Filtra el acceso mediante acciones en función de pares de clave-valor asociados al recurso. Cadena
aws:TagKeys Filtra el acceso mediante acciones en función de la presencia de claves de etiqueta en la solicitud. ArrayOfString
securityhub:ASFFSyntaxPath/${ASFFSyntaxPath} Filtra el acceso mediante los campos y valores específicos en la solicitud. Cadena
securityhub:TargetAccount Filtra el acceso mediante el campo AwsAccountId especificado en la solicitud. Cadena