Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Rôles liés à un service pour Security Hub
AWS Security Hubutilise un rôle lié à un service AWS Identity and Access Management (IAM) nommé. AWSServiceRoleForSecurityHub Ce rôle lié à un service est un rôle IAM directement lié à Security Hub. Il est prédéfini par Security Hub et inclut toutes les autorisations dont Security Hub a besoin pour appeler d'autres personnes Services AWS et surveiller les AWS ressources en votre nom. Security Hub utilise ce rôle lié au service partout Régions AWS où Security Hub est disponible.
Un rôle lié à un service facilite la configuration de Security Hub, car il n'est pas nécessaire d'ajouter manuellement les autorisations nécessaires. Security Hub définit les autorisations associées à son rôle lié au service, et sauf si les autorisations sont définies autrement, seul Security Hub peut assumer ce rôle. Les autorisations définies incluent la politique de confiance et la politique d'autorisations, et vous ne pouvez associer cette politique d'autorisations à aucune autre entité IAM.
Pour afficher les détails du rôle lié au service, sur la page Paramètres de la console Security Hub, choisissez Général, puis Afficher les autorisations de service.
Vous ne pouvez supprimer le rôle lié au service Security Hub qu'après avoir d'abord désactivé Security Hub dans toutes les régions où il est activé. Cela protège les ressources de votre Security Hub, car vous ne pouvez pas supprimer par inadvertance les autorisations permettant d'y accéder.
Pour plus d'informations sur les autres services qui prennent en charge les rôles liés à un service, consultez la section AWSServices compatibles avec IAM dans le Guide de l'utilisateur IAM et recherchez les services dont la valeur est Oui dans la colonne Rôle lié au service. Choisissez un Oui ayant un lien permettant de consulter les détails du rôle pour ce service.
Rubriques
Autorisations de rôle liées au service pour Security Hub
Security Hub utilise le rôle lié au service nommé. AWSServiceRoleForSecurityHub Il s'agit d'un rôle lié à un service requis pour accéder AWS Security Hub à vos ressources. Le rôle lié au service permet à Security Hub de recevoir les résultats d'autres utilisateurs Services AWS et de configurer l'AWS Configinfrastructure requise pour exécuter des contrôles de sécurité.
Le rôle lié à un service AWSServiceRoleForSecurityHub approuve les services suivants pour endosser le rôle :
-
securityhub.amazonaws.com
Le rôle lié à un service AWSServiceRoleForSecurityHub utilise la stratégie gérée par AWSSecurityHubServiceRolePolicy.
Vous devez accorder des autorisations pour permettre à une identité IAM (telle qu'un rôle, un groupe ou un utilisateur) de créer, modifier ou supprimer un rôle lié à un service. Pour que le rôle AWSServiceRoleForSecurityHub lié au service soit correctement créé, l'identité IAM que vous utilisez pour accéder à Security Hub doit disposer des autorisations requises. Pour accorder les autorisations requises, associez la politique suivante au rôle, au groupe ou à l'utilisateur.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "securityhub:*", "Resource": "*" }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringLike": { "iam:AWSServiceName": "securityhub.amazonaws.com" } } } ] }
Création d'un rôle lié à un service pour Security Hub
Le rôle AWSServiceRoleForSecurityHub lié au service est automatiquement créé lorsque vous activez Security Hub pour la première fois ou lorsque vous activez Security Hub dans une région prise en charge où il n'était pas activé auparavant. Vous pouvez également créer le rôle lié à un service AWSServiceRoleForSecurityHub manuellement, via la console IAM, la CLI IAM ou l'API IAM.
Important
Le rôle lié au service créé pour le compte administrateur du Security Hub ne s'applique pas aux comptes des membres du Security Hub.
Pour de plus amples informations sur la création manuelle d'un rôle, veuillez consulter Création d'un rôle lié à un service dans le Guide de l'utilisateur IAM.
Modification d'un rôle lié à un service pour Security Hub
Security Hub ne vous permet pas de modifier le rôle AWSServiceRoleForSecurityHub lié au service. Une fois que vous avez créé un rôle lié à un service, vous ne pouvez pas changer le nom du rôle, car plusieurs entités peuvent faire référence au rôle. Néanmoins, vous pouvez modifier la description du rôle à l’aide d’IAM. Pour en savoir plus, consultez Modification d’un rôle lié à un service dans le guide de l’utilisateur IAM.
Supprimer un rôle lié à un service pour Security Hub
Si vous n’avez plus besoin d’utiliser une fonction ou un service qui nécessite un rôle lié à un service, nous vous recommandons de supprimer ce rôle. De cette façon, vous n’avez aucune entité inutilisée qui n’est pas surveillée ou gérée activement.
Important
Pour supprimer le rôle AWSServiceRoleForSecurityHub lié au service, vous devez d'abord désactiver Security Hub dans toutes les régions où il est activé.
Si Security Hub n'est pas désactivé lorsque vous essayez de supprimer le rôle lié au service, la suppression échoue. Pour plus d’informations, consultez Désactivation de Security Hub.
Lorsque vous désactivez Security Hub, le rôle AWSServiceRoleForSecurityHub lié au service n'est pas automatiquement supprimé. Si vous réactivez Security Hub, celui-ci commence à utiliser le rôle AWSServiceRoleForSecurityHub lié au service existant.
Pour supprimer manuellement le rôle lié à un service à l’aide d’IAM
Utilisez la console IAM, l'interface de ligne de commande IAM ou l'API IAM pour supprimer le rôle lié à un service AWSServiceRoleForSecurityHub. Pour plus d’informations, consultez Suppression d’un rôle lié à un service dans le Guide de l’utilisateur IAM.
