AWSpolitiques gérées pour Security Hub - AWSSecurity Hub
AWSSecurityHubFullAccessAWSSecurityHubReadOnlyAccess AWSSecurityHubOrganizationsAccess AWSSecurityHubV2ServiceRolePolicyMises à jour des politiques

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWSpolitiques gérées pour Security Hub

Une politique AWS gérée est une politique autonome créée et administrée parAWS. AWSles politiques gérées sont conçues pour fournir des autorisations pour de nombreux cas d'utilisation courants afin que vous puissiez commencer à attribuer des autorisations aux utilisateurs, aux groupes et aux rôles.

N'oubliez pas que les politiques AWS gérées peuvent ne pas accorder d'autorisations de moindre privilège pour vos cas d'utilisation spécifiques, car elles sont accessibles à tous les AWS clients. Nous vous recommandons de réduire encore les autorisations en définissant des politiques gérées par le client qui sont propres à vos cas d’utilisation.

Vous ne pouvez pas modifier les autorisations définies dans les politiques AWS gérées. Si les autorisations définies dans une politique AWS gérée sont AWS mises à jour, la mise à jour affecte toutes les identités principales (utilisateurs, groupes et rôles) auxquelles la politique est attachée. AWSest le plus susceptible de mettre à jour une politique AWS gérée lorsqu'une nouvelle politique Service AWS est lancée ou lorsque de nouvelles opérations d'API sont disponibles pour les services existants.

Pour plus d’informations, consultez Politiques gérées par AWS dans le Guide de l’utilisateur IAM.

AWSpolitique gérée : AWSSecurityHubFullAccess

Vous pouvez associer la politique AWSSecurityHubFullAccess à vos identités IAM.

Cette politique accorde des autorisations administratives qui permettent un accès complet principal à toutes les actions du Security Hub. Cette politique doit être attachée à un mandant avant qu'il n'active Security Hub manuellement pour son compte. Par exemple, les responsables disposant de ces autorisations peuvent à la fois consulter et mettre à jour l'état des résultats. Ils peuvent également configurer des informations personnalisées, activer les intégrations et activer et désactiver les normes et les contrôles. Les titulaires d'un compte administrateur peuvent également gérer les comptes des membres.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes :

  • securityhub— Permet aux principaux un accès complet à toutes les actions du Security Hub.

  • guardduty— Permet aux principaux d'obtenir des informations sur l'état du compte sur Amazon GuardDuty.

  • iam— Permet aux principaux de créer un rôle lié à un service pour Security Hub.

  • inspector— Permet aux principaux d'obtenir des informations sur l'état du compte dans Amazon Inspector.

  • pricing— Permet aux donneurs d'ordre d'obtenir une liste de prix Services AWS et de produits.

Pour consulter les autorisations associées à cette politique, consultez AWSSecurityHubFullAccessle Guide de référence des politiques AWS gérées.

AWSpolitique gérée : AWSSecurityHubReadOnlyAccess

Vous pouvez associer la politique AWSSecurityHubReadOnlyAccess à vos identités IAM.

Cette politique accorde des autorisations en lecture seule qui permettent aux utilisateurs de consulter les informations dans Security Hub. Les responsables auxquels cette politique est attachée ne peuvent effectuer aucune mise à jour dans Security Hub. Par exemple, les directeurs disposant de ces autorisations peuvent consulter la liste des résultats associés à leur compte, mais ne peuvent pas modifier le statut d'un résultat. Ils peuvent consulter les résultats des informations, mais ne peuvent pas créer ou configurer des informations personnalisées. Ils ne peuvent pas configurer les contrôles ou les intégrations de produits.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes :

  • securityhub— Permet aux utilisateurs d'effectuer des actions qui renvoient une liste d'éléments ou des détails sur un élément. Cela inclut les opérations d'API qui commencent par GetList, ouDescribe.

Pour consulter les autorisations associées à cette politique, consultez AWSSecurityHubReadOnlyAccessle Guide de référence des politiques AWS gérées.

AWSpolitique gérée : AWSSecurityHubOrganizationsAccess

Vous pouvez associer la politique AWSSecurityHubOrganizationsAccess à vos identités IAM.

Cette politique accorde des autorisations administratives pour activer et gérer Security Hub pour une organisation dansAWS Organizations. Les autorisations associées à cette politique permettent au compte de gestion de l'organisation de désigner le compte d'administrateur délégué pour Security Hub. Ils permettent également au compte administrateur délégué d'activer les comptes de l'organisation en tant que comptes de membres.

Cette politique fournit uniquement des autorisations pourAWS Organizations. Le compte de gestion de l'organisation et le compte d'administrateur délégué nécessitent également des autorisations pour les actions associées. Ces autorisations peuvent être accordées à l'aide de la politique AWSSecurityHubFullAccess gérée.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes :

  • organizations:ListAccounts— Permet aux principaux de récupérer la liste des comptes faisant partie d'une organisation.

  • organizations:DescribeOrganization— Permet aux directeurs de récupérer des informations sur l'organisation.

  • organizations:ListRoots— Permet aux directeurs de répertorier la racine d'une organisation.

  • organizations:ListDelegatedAdministrators— Permet aux principaux de répertorier l'administrateur délégué d'une organisation.

  • organizations:ListAWSServiceAccessForOrganization— Permet aux directeurs de répertorier les informations Services AWS utilisées par une organisation.

  • organizations:ListOrganizationalUnitsForParent— Permet aux directeurs de répertorier les unités organisationnelles (UO) enfants d'une UO parent.

  • organizations:ListAccountsForParent— Permet aux directeurs de répertorier les comptes enfants d'une unité d'organisation parent.

  • organizations:ListParents— Répertorie la racine ou les unités organisationnelles (OUs) qui servent de parent immédiat à l'unité d'organisation ou au compte enfant spécifié.

  • organizations:DescribeAccount : autorise les principaux à extraire des informations sur un compte dans l’organisation.

  • organizations:DescribeOrganizationalUnit— Permet aux directeurs de récupérer des informations sur une unité organisationnelle de l'organisation.

  • organizations:ListPolicies— Récupère la liste de toutes les politiques d'une organisation d'un type spécifique.

  • organizations:ListPoliciesForTarget— Répertorie les politiques directement associées à la racine, à l'unité organisationnelle (UO) ou au compte cible spécifié.

  • organizations:ListTargetsForPolicy— Répertorie toutes les racines, les unités organisationnelles (OUs) et les comptes auxquels la politique spécifiée est attachée.

  • organizations:EnableAWSServiceAccess— Permet aux directeurs d'activer l'intégration avec les Organizations.

  • organizations:RegisterDelegatedAdministrator— Permet aux principaux de désigner le compte d'administrateur délégué.

  • organizations:DeregisterDelegatedAdministrator— Permet aux principaux de supprimer le compte d'administrateur délégué.

  • organizations:DescribePolicy— Récupère les informations relatives à une politique.

  • organizations:DescribeEffectivePolicy— Renvoie le contenu de la politique effective pour le type de politique et le compte spécifiés.

  • organizations:CreatePolicy— Crée une politique d'un type spécifique que vous pouvez associer à une racine, à une unité organisationnelle (UO) ou à un AWS compte individuel.

  • organizations:UpdatePolicy— Met à jour une politique existante avec un nouveau nom, une nouvelle description ou un nouveau contenu.

  • organizations:DeletePolicy— Supprime la politique spécifiée de votre organisation.

  • organizations:AttachPolicy— Attache une politique à une racine, à une unité organisationnelle (UO) ou à un compte individuel.

  • organizations:DetachPolicy— Détache une politique d'une racine, d'une unité organisationnelle (UO) ou d'un compte cible.

  • organizations:EnablePolicyType— Active un type de politique dans une racine.

  • organizations:DisablePolicyType— Désactive un type de politique organisationnelle dans une racine.

  • organizations:TagResource— Ajoute une ou plusieurs balises à une ressource spécifiée.

  • organizations:UntagResource— Supprime toutes les balises contenant les clés spécifiées d'une ressource spécifiée.

  • organizations:ListTagsForResource— Répertorie les balises associées à une ressource spécifiée.

Pour consulter les autorisations associées à cette politique, consultez AWSSecurityHubOrganizationsAccessle Guide de référence des politiques AWS gérées.

AWSpolitique gérée : AWSSecurityHubV2ServiceRolePolicy

Note

Security Hub est en version préliminaire et peut faire l'objet de modifications.

Cette politique permet à Security Hub de gérer les AWS Config règles et les ressources du Security Hub pour votre organisation et en votre nom. Cette politique est associée à un rôle lié au service qui permet au service d'effectuer des actions en votre nom. Vous ne pouvez pas associer cette politique à vos identités IAM. Pour de plus amples informations, veuillez consulter Rôles liés à un service pour Security Hub AWS.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes :

  • config— Gérez les enregistreurs de configuration liés aux services pour les ressources du Security Hub.

  • iam— Créez le rôle lié au service pour. AWS Config

  • organizations— Récupérez les informations relatives au compte et à l'unité organisationnelle (UO) d'une organisation.

  • securityhub— Gérez la configuration du Security Hub.

  • tag— Récupère des informations sur les balises de ressources.

Pour consulter les autorisations associées à cette politique, consultez AWSSecurityHubV2ServiceRolePolicyle Guide de référence des politiques AWS gérées.

Mises à jour des politiques AWS gérées par Security Hub

Le tableau suivant fournit des informations détaillées sur les mises à jour apportées aux politiques AWS gérées pour AWS Security Hub depuis que ce service a commencé à suivre ces modifications. Pour recevoir des alertes automatiques concernant les mises à jour des politiques, abonnez-vous au flux RSS sur la page d'historique des documents du Security Hub.

Modifier Description Date

AWSSecurityHubOrganizationsAccess— Politique mise à jour

Security Hub a mis à jour la politique afin d'ajouter des autorisations permettant de décrire les politiques de ressources destinées à prendre en charge les fonctionnalités de Security Hub. Security Hub est en version préliminaire et peut faire l'objet de modifications.

12 novembre 2025

AWSSecurityHubFullAccess— Politique mise à jour

Security Hub a mis à jour la politique afin d'ajouter des fonctionnalités relatives à la gestion GuardDuty, à Amazon Inspector et à la gestion des comptes afin de prendre en charge les fonctionnalités de Security Hub. Security Hub est en version préliminaire et peut faire l'objet de modifications.

17 novembre 2025

AWSSecurityHubV2 ServiceRolePolicy — Politique mise à jour

Security Hub a mis à jour la politique afin d'ajouter des fonctionnalités de mesure pour Amazon Elastic Container RegistryAWS Lambda, Amazon CloudWatch, et Gestion des identités et des accès AWS pour prendre en charge les fonctionnalités de Security Hub. La mise à jour a également ajouté la prise en charge des AWS Config enregistreurs mondiaux. Security Hub est en version préliminaire et peut faire l'objet de modifications.

5 novembre 2025
AWSSecurityHubOrganizationsAccess : mise à jour d’une politique existante Security Hub a ajouté de nouvelles autorisations à la politique. Les autorisations permettent à la direction de l'organisation d'activer et de gérer Security Hub et Security Hub CSPM pour une organisation. 17 juin 2025

AWSSecurityHubFullAccess : mise à jour d’une politique existante

Security Hub CSPM a ajouté de nouvelles autorisations qui permettent aux principaux de créer un rôle lié à un service pour Security Hub.

 17 juin 2025

AWSSecurityHubV2 ServiceRolePolicy — Nouvelle politique

Security Hub a ajouté une nouvelle politique permettant à Security Hub de gérer les AWS Config règles et les ressources du Security Hub pour l'organisation d'un client et pour le compte du client. Security Hub est en version préliminaire et peut faire l'objet de modifications.

17 juin 2025
AWSSecurityHubFullAccess— Mise à jour d'une politique existante Security Hub CSPM a mis à jour la politique afin d'obtenir des informations sur les prix Services AWS et les produits. 24 avril 2024
AWSSecurityHubReadOnlyAccess— Mise à jour d'une politique existante Security Hub CSPM a mis à jour cette politique gérée en ajoutant un Sid champ. 22 février 2024
AWSSecurityHubFullAccess— Mise à jour d'une politique existante Security Hub CSPM a mis à jour la politique afin de déterminer si Amazon GuardDuty et Amazon Inspector sont activés dans un compte. Cela permet aux clients de rassembler des informations relatives à la sécurité provenant de plusieurs sources. Services AWS 16 novembre 2023
AWSSecurityHubOrganizationsAccess— Mise à jour d'une politique existante Security Hub CSPM a mis à jour la politique afin d'accorder des autorisations supplémentaires afin de permettre un accès en lecture seule aux AWS Organizations fonctionnalités d'administrateur délégué. Cela inclut des détails tels que la racine, les unités organisationnelles (OUs), les comptes, la structure organisationnelle et l'accès aux services. 16 novembre 2023
AWSSecurityHubOrganizationsAccess— Nouvelle politique Security Hub CSPM a ajouté une nouvelle politique qui accorde les autorisations nécessaires à l'intégration du Security Hub CSPM aux Organizations. 15 mars 2021
Security Hub CSPM a commencé à suivre les modifications Security Hub CSPM a commencé à suivre les modifications apportées à ses politiques AWS gérées. 15 mars 2021