Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Buat kunci KMS untuk mengenkripsi kredensil
Prosedur integrasi di bagian ini memberi Anda opsi untuk mengenkripsi kredensil Anda dengan kunci yang AWS dimiliki atau kunci yang dikelola pelanggan. Kunci yang AWS dimiliki adalah kunci KMS yang tidak ada di Anda Akun AWS karena AWS layanan yang mengenkripsi kredensil Anda memiliki dan mengelola kunci KMS. Jika Anda ingin kontrol total atas kunci KMS yang digunakan untuk mengenkripsi kredensil Anda, buat kunci yang dikelola pelanggan. Kunci yang dikelola pelanggan adalah kunci KMS yang Anda miliki dan kelola.
Akses operasi enkripsi Security Hub
Pernyataan kebijakan ini memungkinkan Security Hub untuk menggunakan AWS KMS kunci untuk operasi enkripsi. Ini memungkinkan Security Hub untuk melindungi rahasia klien Anda menggunakan kunci ini. Izin dibatasi untuk operasi yang terkait dengan konektor Security Hub tertentu melalui blok kondisi yang memeriksa ARN sumber dan konteks enkripsi.
{ "Sid": "Allow Security Hub access to the customer managed key", "Effect": "Allow", "Principal": { "Service": "connector.securityhub.amazonaws.com" }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt", "kms:ReEncrypt*" ], "Resource": "*", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:securityhub:${Region}:${AccountId}:connectorv2/*" }, "StringLike": { "kms:EncryptionContext:aws:securityhub:connectorV2Arn": "arn:aws:securityhub:${Region}:${AccountId}:connectorv2/*", "kms:EncryptionContext:aws:securityhub:providerName": "${CloudProviderName}" } } }
catatan
UntukCloudProviderName, masukkan JIRA_CLOUD atauSERVICENOW. Untuk Region danAccountId, masukkan Wilayah AWS dan Akun AWS ID Anda.
Akses baca kunci Security Hub
Pernyataan kebijakan ini memungkinkan Security Hub membaca metadata tentang kunci KMS dengan mengizinkan pengoperasian. DescribeKey Izin ini diperlukan untuk Security Hub untuk memverifikasi status dan konfigurasi kunci. Akses terbatas pada konektor Security Hub tertentu melalui kondisi ARN sumber.
{ "Sid": "Allow Security Hub read access to the customer managed key", "Effect": "Allow", "Principal": { "Service": "connector.securityhub.amazonaws.com" }, "Action": [ "kms:DescribeKey" ], "Resource": "*", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:securityhub:${Region}:${AccountId}:connectorv2/*" } } }
catatan
Untuk Region danAccountId, masukkan Wilayah AWS dan Akun AWS ID Anda.
Akses utama IAM untuk operasi Security Hub
Pernyataan kebijakan ini memberikan izin peran IAM yang ditentukan untuk melakukan operasi kunci (mendeskripsikan, menghasilkan, mendekripsi, mengenkripsi ulang, dan mencantumkan alias) saat berinteraksi dengan Security Hub menggunakan V2 dan V2. CreateConnector CreateTicket APIs Kondisi ini memastikan operasi ini hanya dapat dilakukan melalui layanan Security Hub di wilayah yang ditentukan.
{ "Sid": "Allow permissions to access key through Security Hub", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::${AccountId}:role/${RoleName}" }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt", "kms:ReEncrypt*" ], "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": [ "securityhub.${Region}.amazonaws.com" ] }, StringLike": { "kms:EncryptionContext:aws:securityhub:providerName": "SERVICENOW" } } } { "Sid": "Allow read permissions to access key through Security Hub", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::${AccountId}:role/${RoleName}" }, "Action": [ "kms:DescribeKey" ], "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": [ "securityhub.${Region}.amazonaws.com" ] } } }
catatan
UntukRoleName, masukkan nama peran IAM yang melakukan panggilan ke Security Hub. Untuk Region danAccountId, masukkan Wilayah AWS dan Akun AWS ID Anda.
