Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Rôles liés à un service pour AWS Security Hub
AWS Security Hub utilise un rôle lié à un service AWS Identity and Access Management (IAM) nommé. AWSServiceRoleForSecurityHub Ce rôle lié à un service est un rôle IAM directement lié à Security Hub. Il est prédéfini par Security Hub et inclut toutes les autorisations dont Security Hub a besoin pour appeler d'autres personnes Services AWS et surveiller les AWS ressources en votre nom. Security Hub utilise ce rôle lié au service partout Régions AWS où Security Hub est disponible.
Un rôle lié à un service facilite la configuration de Security Hub, car il n'est pas nécessaire d'ajouter manuellement les autorisations nécessaires. Security Hub définit les autorisations associées à son rôle lié au service et, sauf indication contraire, seul Security Hub peut assumer ce rôle. Les autorisations définies incluent la politique de confiance et la politique d'autorisations, et vous ne pouvez associer cette politique d'autorisations à aucune autre entité IAM.
Pour consulter les détails du rôle lié au service, vous pouvez utiliser la console Security Hub. Dans le volet de navigation, sélectionnez Général sous Paramètres. Ensuite, dans la section Autorisations de service, choisissez Afficher les autorisations de service.
Vous ne pouvez supprimer le rôle lié au service Security Hub qu'après avoir désactivé Security Hub dans toutes les régions où il est activé. Cela protège les ressources de votre Security Hub, car vous ne pouvez pas supprimer par inadvertance les autorisations permettant d'y accéder.
Pour plus d'informations sur les autres services qui prennent en charge les rôles liés à un service, consultez la section AWS Services compatibles avec IAM dans le Guide de l'utilisateur IAM et recherchez les services dont la valeur est Oui dans la colonne Rôles liés au service. Cliquez sur Oui avec un lien pour consulter la documentation relative aux rôles liés à un service pour ce service.
Rubriques
Autorisations de rôle liées au service pour Security Hub
Security Hub utilise le rôle lié au service nommé. AWSServiceRoleForSecurityHub Il s'agit d'un rôle lié à un service requis pour accéder AWS Security Hub à vos ressources. Ce rôle lié au service permet à Security Hub d'effectuer des tâches telles que la réception des résultats d'autres utilisateurs Services AWS et la configuration de l' AWS Config infrastructure requise pour exécuter des contrôles de sécurité. Le rôle lié à un service AWSServiceRoleForSecurityHub fait confiance au service securityhub.amazonaws.com pour endosser le rôle.
Le rôle lié à un service AWSServiceRoleForSecurityHub utilise la stratégie gérée par AWSSecurityHubServiceRolePolicy.
Vous devez accorder des autorisations pour permettre à une identité IAM (telle qu'un rôle, un groupe ou un utilisateur) de créer, modifier ou supprimer un rôle lié à un service. Pour que le rôle AWSServiceRoleForSecurityHub lié au service soit correctement créé, l'identité IAM que vous utilisez pour accéder à Security Hub doit disposer des autorisations requises. Pour accorder les autorisations requises, associez la stratégie suivante à l'identité IAM.
Création d'un rôle lié à un service pour Security Hub
Le rôle AWSServiceRoleForSecurityHub lié au service est créé automatiquement lorsque vous activez Security Hub pour la première fois ou lorsque vous activez Security Hub dans une région où vous ne l'avez pas activé auparavant. Vous pouvez également créer le rôle AWSServiceRoleForSecurityHub lié à un service manuellement à l'aide de la console IAM, de la CLI IAM ou de l'API IAM. Pour de plus amples informations sur la création manuelle d'un rôle, veuillez consulter Création d'un rôle lié à un service dans le Guide de l'utilisateur IAM.
Important
Le rôle lié au service créé pour un compte administrateur du Security Hub ne s'applique pas aux comptes membres du Security Hub associés.
Modification d'un rôle lié à un service pour Security Hub
Security Hub ne vous permet pas de modifier le rôle AWSServiceRoleForSecurityHub lié au service. Une fois que vous avez créé un rôle lié à un service, vous ne pouvez pas changer le nom du rôle, car plusieurs entités peuvent faire référence au rôle. Néanmoins, vous pouvez modifier la description du rôle à l’aide d’IAM. Pour plus d’informations, consultez Modification d’un rôle lié à un service dans le IAM Guide de l’utilisateur.
Supprimer un rôle lié à un service pour Security Hub
Si vous n'avez plus besoin d'utiliser une fonction ou un service qui nécessite un rôle lié à un service, nous vous recommandons de supprimer ce rôle. De cette façon, vous n’avez aucune entité inutilisée qui n’est pas surveillée ou gérée activement.
Lorsque vous désactivez Security Hub, Security Hub ne supprime pas automatiquement le rôle AWSServiceRoleForSecurityHub lié au service pour vous. Si vous réactivez Security Hub, le service peut recommencer à utiliser le rôle lié au service existant. Si vous n'avez plus besoin d'utiliser Security Hub, vous pouvez supprimer manuellement le rôle lié au service.
Important
Avant de supprimer le rôle AWSServiceRoleForSecurityHub lié au service, vous devez d'abord désactiver Security Hub dans toutes les régions où il est activé. Pour de plus amples informations, veuillez consulter Désactivation du Security Hub CSPM. Si Security Hub n'est pas désactivé lorsque vous essayez de supprimer le rôle lié au service, la suppression échoue.
Pour supprimer le rôle AWSServiceRoleForSecurityHub lié à un service, vous pouvez utiliser la console IAM, la CLI IAM ou l'API IAM. Pour plus d’informations, consultez Suppression d’un rôle lié à un service dans le Guide de l’utilisateur IAM.
