AWS kebijakan terkelola untuk AWS Security Hub - AWS Security Hub
AWSSecurityHubFullAccessAWSSecurityHubReadOnlyAccess AWSSecurityHubOrganizationsAccess AWSSecurityHubServiceRolePolicyPembaruan kebijakan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

AWS kebijakan terkelola untuk AWS Security Hub

Kebijakan AWS terkelola adalah kebijakan mandiri yang dibuat dan dikelola oleh AWS. AWS Kebijakan terkelola dirancang untuk memberikan izin bagi banyak kasus penggunaan umum sehingga Anda dapat mulai menetapkan izin kepada pengguna, grup, dan peran.

Perlu diingat bahwa kebijakan AWS terkelola mungkin tidak memberikan izin hak istimewa paling sedikit untuk kasus penggunaan spesifik Anda karena tersedia untuk digunakan semua pelanggan. AWS Kami menyarankan Anda untuk mengurangi izin lebih lanjut dengan menentukan kebijakan yang dikelola pelanggan yang khusus untuk kasus penggunaan Anda.

Anda tidak dapat mengubah izin yang ditentukan dalam kebijakan AWS terkelola. Jika AWS memperbarui izin yang ditentukan dalam kebijakan AWS terkelola, pemutakhiran akan memengaruhi semua identitas utama (pengguna, grup, dan peran) yang dilampirkan kebijakan tersebut. AWS kemungkinan besar akan memperbarui kebijakan AWS terkelola saat baru Layanan AWS diluncurkan atau operasi API baru tersedia untuk layanan yang ada.

Untuk informasi selengkapnya, lihat AWS kebijakan yang dikelola dalam Panduan Pengguna IAM.

AWS kebijakan terkelola: AWSSecurityHubFullAccess

Anda dapat melampirkan kebijakan AWSSecurityHubFullAccess ke identitas IAM Anda.

Kebijakan ini memberikan izin administratif yang memungkinkan akses penuh utama ke semua tindakan Security Hub. Kebijakan ini harus dilampirkan ke prinsipal sebelum mengaktifkan Security Hub secara manual untuk akun mereka. Misalnya, kepala sekolah dengan izin ini dapat melihat dan memperbarui status temuan. Mereka dapat mengonfigurasi wawasan khusus, dan mengaktifkan integrasi. Mereka dapat mengaktifkan dan menonaktifkan standar dan kontrol. Prinsipal untuk akun administrator juga dapat mengelola akun anggota.

Detail izin

Kebijakan ini mencakup izin berikut.

  • securityhub— Memungkinkan kepala sekolah akses penuh ke semua tindakan Security Hub.

  • guardduty— Memungkinkan kepala sekolah untuk mendapatkan informasi tentang status akun di Amazon. GuardDuty

  • iam— Memungkinkan kepala sekolah untuk membuat peran terkait layanan.

  • inspector— Memungkinkan kepala sekolah untuk mendapatkan informasi tentang status akun di Amazon Inspector.

  • pricing— Memungkinkan kepala sekolah untuk mendapatkan daftar harga dan produk. Layanan AWS 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "SecurityHubAllowAll",
            "Effect": "Allow",
            "Action": "securityhub:*",
            "Resource": "*" 
        },
        {
            "Sid": "SecurityHubServiceLinkedRole",
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": "securityhub.amazonaws.com"
                }
            }
        },
        {
            "Sid": "OtherServicePermission",
            "Effect": "Allow",
            "Action": [
                "guardduty:GetDetector",
                "guardduty:ListDetectors",
                "inspector2:BatchGetAccountStatus",
                "pricing:GetProducts"
            ],
            "Resource": "*",
        }
    ]
}

Kebijakan terkelola Security Hub: AWSSecurityHubReadOnlyAccess

Anda dapat melampirkan kebijakan AWSSecurityHubReadOnlyAccess ke identitas IAM Anda.

Kebijakan ini memberikan izin hanya-baca yang memungkinkan pengguna melihat informasi di Security Hub. Prinsipal dengan kebijakan ini terlampir tidak dapat melakukan pembaruan apa pun di Security Hub. Misalnya, kepala sekolah dengan izin ini dapat melihat daftar temuan yang terkait dengan akun mereka, tetapi tidak dapat mengubah status temuan. Mereka dapat melihat hasil wawasan, tetapi tidak dapat membuat atau mengonfigurasi wawasan khusus. Mereka tidak dapat mengonfigurasi kontrol atau integrasi produk.

Detail izin

Kebijakan ini mencakup izin berikut.

  • securityhub – Mengizinkan pengguna melakukan tindakan yang mengembalikan daftar item atau detail tentang item. Ini termasuk operasi API yang dimulai denganGet,List, atauDescribe.

{
    "Version": "2012-10-17",
    "Statement": [ 
        {
            "Sid": "AWSSecurityHubReadOnlyAccess",
            "Effect": "Allow",
            "Action": [
                "securityhub:Get*",
                "securityhub:List*",
                "securityhub:BatchGet*",
                "securityhub:Describe*"
            ],
            "Resource": "*"
        }
    ]
}

AWS kebijakan terkelola: AWSSecurityHubOrganizationsAccess

Anda dapat melampirkan kebijakan AWSSecurityHubOrganizationsAccess ke identitas IAM Anda.

Kebijakan ini memberikan izin administratif AWS Organizations yang diperlukan untuk mendukung integrasi Security Hub dengan Organizations.

Izin ini memungkinkan akun manajemen organisasi menunjuk akun administrator yang didelegasikan untuk Security Hub. Mereka juga mengizinkan akun administrator Security Hub yang didelegasikan untuk mengaktifkan akun organisasi sebagai akun anggota.

Kebijakan ini hanya memberikan izin untuk Organizations. Akun manajemen organisasi dan akun administrator Security Hub yang didelegasikan juga memerlukan izin untuk tindakan terkait di Security Hub. Izin ini dapat diberikan menggunakan kebijakan AWSSecurityHubFullAccess terkelola.

Detail izin

Kebijakan ini mencakup izin berikut.

  • organizations:ListAccounts— Memungkinkan kepala sekolah untuk mengambil daftar akun yang merupakan bagian dari organisasi.

  • organizations:DescribeOrganization— Memungkinkan kepala sekolah untuk mengambil informasi tentang organisasi.

  • organizations:ListRoots— Memungkinkan kepala sekolah untuk membuat daftar akar organisasi.

  • organizations:ListDelegatedAdministrators— Memungkinkan kepala sekolah untuk membuat daftar administrator yang didelegasikan dari suatu organisasi.

  • organizations:ListAWSServiceAccessForOrganization— Memungkinkan kepala sekolah untuk membuat daftar Layanan AWS yang digunakan organisasi.

  • organizations:ListOrganizationalUnitsForParent— Memungkinkan kepala sekolah untuk membuat daftar unit organisasi anak (OU) dari OU orang tua.

  • organizations:ListAccountsForParent— Memungkinkan kepala sekolah untuk membuat daftar akun anak dari OU orang tua.

  • organizations:DescribeAccount— Memungkinkan kepala sekolah untuk mengambil informasi tentang akun di organisasi.

  • organizations:DescribeOrganizationalUnit— Memungkinkan kepala sekolah untuk mengambil informasi tentang OU dalam organisasi.

  • organizations:DescribeOrganization— Memungkinkan kepala sekolah untuk mengambil informasi tentang konfigurasi organisasi.

  • organizations:EnableAWSServiceAccess— Memungkinkan prinsipal untuk mengaktifkan integrasi Security Hub dengan Organizations.

  • organizations:RegisterDelegatedAdministrator— Memungkinkan kepala sekolah untuk menunjuk akun administrator yang didelegasikan untuk Security Hub.

  • organizations:DeregisterDelegatedAdministrator— Memungkinkan kepala sekolah untuk menghapus akun administrator yang didelegasikan untuk Security Hub.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "OrganizationPermissions",
            "Effect": "Allow",
            "Action": [
                "organizations:ListAccounts",
                "organizations:DescribeOrganization",
                "organizations:ListRoots",
                "organizations:ListDelegatedAdministrators",
                "organizations:ListAWSServiceAccessForOrganization",
                "organizations:ListOrganizationalUnitsForParent",
                "organizations:ListAccountsForParent",
                "organizations:DescribeAccount",
                "organizations:DescribeOrganizationalUnit"
            ],
            "Resource": "*"
        },
        {
            "Sid": "OrganizationPermissionsEnable",
            "Effect": "Allow",
            "Action": "organizations:EnableAWSServiceAccess",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "organizations:ServicePrincipal": "securityhub.amazonaws.com"
                }
            }
        },
        {
            "Sid": "OrganizationPermissionsDelegatedAdmin",
            "Effect": "Allow",
            "Action": [
                "organizations:RegisterDelegatedAdministrator",
                "organizations:DeregisterDelegatedAdministrator"
            ],
            "Resource": "arn:aws:organizations::*:account/o-*/*",
            "Condition": {
            "StringEquals": {
                "organizations:ServicePrincipal": "securityhub.amazonaws.com"
                }
            }
        }
    ]
}

AWS kebijakan terkelola: AWSSecurityHubServiceRolePolicy

Anda tidak dapat melampirkan AWSSecurityHubServiceRolePolicy ke entitas IAM Anda. Kebijakan ini dilampirkan pada peran terkait layanan yang memungkinkan Security Hub melakukan tindakan atas nama Anda. Untuk informasi selengkapnya, lihat Peran terkait layanan untuk Security Hub.

Kebijakan ini memberikan izin administratif yang memungkinkan peran terkait layanan untuk melakukan pemeriksaan keamanan untuk kontrol Security Hub.

Detail izin

Kebijakan ini mencakup izin untuk melakukan hal berikut:

  • cloudtrail— Ambil informasi tentang jalan CloudTrail setapak.

  • cloudwatch— Ambil CloudWatch alarm saat ini.

  • logs— Ambil filter metrik untuk CloudWatch log.

  • sns— Ambil daftar langganan ke topik SNS.

  • config— Mengambil informasi tentang perekam konfigurasi, sumber daya, dan AWS Config aturan. Juga memungkinkan peran terkait layanan untuk membuat dan menghapus AWS Config aturan, dan menjalankan evaluasi terhadap aturan.

  • iam— Dapatkan dan buat laporan kredensi untuk akun.

  • organizations— Mengambil informasi akun dan unit organisasi (OU) untuk suatu organisasi.

  • securityhub— Mengambil informasi tentang bagaimana layanan, standar, dan kontrol Security Hub dikonfigurasi.

  • tag— Mengambil informasi tentang tag sumber daya.

{
    "Version": "2012-10-17",
    "Statement": [ 
        {
            "Sid": "SecurityHubServiceRolePermissions",
            "Effect": "Allow",
            "Action": [
                "cloudtrail:DescribeTrails",
                "cloudtrail:GetTrailStatus",
                "cloudtrail:GetEventSelectors",
                "cloudwatch:DescribeAlarms",
                "cloudwatch:DescribeAlarmsForMetric",
                "logs:DescribeMetricFilters",
                "sns:ListSubscriptionsByTopic",
                "config:DescribeConfigurationRecorders",
                "config:DescribeConfigurationRecorderStatus",
                "config:DescribeConfigRules",
                "config:DescribeConfigRuleEvaluationStatus",
                "config:BatchGetResourceConfig",
                "config:SelectResourceConfig",
                "iam:GenerateCredentialReport",
                "organizations:ListAccounts",
                "config:PutEvaluations",
                "tag:GetResources",
                "iam:GetCredentialReport",
                "organizations:DescribeAccount",
                "organizations:DescribeOrganization",
                "organizations:ListChildren",
                "organizations:ListAWSServiceAccessForOrganization",
                "organizations:DescribeOrganizationalUnit",
                "securityhub:BatchDisableStandards",
                "securityhub:BatchEnableStandards",
                "securityhub:BatchUpdateStandardsControlAssociations",
                "securityhub:BatchGetSecurityControls",
                "securityhub:BatchGetStandardsControlAssociations",
                "securityhub:CreateMembers",
                "securityhub:DeleteMembers",
                "securityhub:DescribeHub",
                "securityhub:DescribeOrganizationConfiguration",
                "securityhub:DescribeStandards",
                "securityhub:DescribeStandardsControls",
                "securityhub:DisassociateFromAdministratorAccount",
                "securityhub:DisassociateMembers",
                "securityhub:DisableSecurityHub",
                "securityhub:EnableSecurityHub",
                "securityhub:GetEnabledStandards",
                "securityhub:ListStandardsControlAssociations",
                "securityhub:ListSecurityControlDefinitions",
                "securityhub:UpdateOrganizationConfiguration",
                "securityhub:UpdateSecurityControl",
                "securityhub:UpdateSecurityHubConfiguration",
                "securityhub:UpdateStandardsControl",
                "tag:GetResources"
            ],
            "Resource": "*"
        },
        {
            "Sid": "SecurityHubServiceRoleConfigPermissions",
            "Effect": "Allow",
            "Action": [
                "config:PutConfigRule",
                "config:DeleteConfigRule",
                "config:GetComplianceDetailsByConfigRule"
            ],
            "Resource": "arn:aws:config:*:*:config-rule/aws-service-rule/*securityhub*"
        },
        {
            "Sid": "SecurityHubServiceRoleOrganizationsPermissions",
            "Effect": "Allow",
            "Action": [
                "organizations:ListDelegatedAdministrators"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "organizations:ServicePrincipal": [
                        "securityhub.amazonaws.com"
                    ]
                }
            }
        }
    ]
}

Pembaruan Security Hub ke kebijakan AWS terkelola

Lihat detail tentang pembaruan kebijakan AWS terkelola untuk Security Hub sejak layanan ini mulai melacak perubahan ini. Untuk peringatan otomatis tentang perubahan pada halaman ini, berlangganan umpan RSS di halaman riwayat Dokumen Security Hub.

Perubahan Deskripsi Tanggal
AWSSecurityHubFullAccess— Perbarui ke kebijakan yang ada Security Hub memperbarui kebijakan untuk mendapatkan detail harga Layanan AWS dan produk. April 24, 2024
AWSSecurityHubReadOnlyAccess— Perbarui ke kebijakan yang ada Security Hub memperbarui kebijakan terkelola ini dengan menambahkan Sid bidang. Februari 22, 2024
AWSSecurityHubFullAccess— Perbarui ke kebijakan yang ada Security Hub memperbarui kebijakan sehingga dapat menentukan apakah Amazon GuardDuty dan Amazon Inspector diaktifkan di akun. Ini membantu pelanggan menyatukan informasi terkait keamanan dari beberapa. Layanan AWS 16 November 2023
AWSSecurityHubOrganizationsAccess— Perbarui ke kebijakan yang ada Security Hub memperbarui kebijakan untuk memberikan izin tambahan guna mengizinkan akses hanya-baca ke fungsionalitas administrator yang AWS Organizations didelegasikan. Ini termasuk detail seperti root, unit organisasi (OU), akun, struktur organisasi, dan akses layanan. 16 November 2023
AWSSecurityHubServiceRolePolicy – Pembaruan ke kebijakan yang ada Security Hub menambahkanBatchGetSecurityControls,DisassociateFromAdministratorAccount, dan UpdateSecurityControl izin untuk membaca dan memperbarui properti kontrol keamanan yang dapat disesuaikan. 26 November 2023
AWSSecurityHubServiceRolePolicy – Pembaruan ke kebijakan yang ada Security Hub menambahkan tag:GetResources izin untuk membaca tag sumber daya yang terkait dengan temuan. 7 November 2023
AWSSecurityHubServiceRolePolicy – Pembaruan ke kebijakan yang ada Security Hub menambahkan BatchGetStandardsControlAssociations izin untuk mendapatkan informasi tentang status pemberdayaan kontrol dalam standar. 27 September 2023
AWSSecurityHubServiceRolePolicy – Pembaruan ke kebijakan yang ada Security Hub menambahkan izin baru untuk mendapatkan AWS Organizations data dan membaca serta memperbarui konfigurasi Security Hub, termasuk standar dan kontrol. 20 September 2023
AWSSecurityHubServiceRolePolicy – Pembaruan ke kebijakan yang ada Security Hub memindahkan config:DescribeConfigRuleEvaluationStatus izin yang ada ke pernyataan lain dalam kebijakan. config:DescribeConfigRuleEvaluationStatusIzin sekarang diterapkan ke semua sumber daya. Maret 17, 2023
AWSSecurityHubServiceRolePolicy – Pembaruan ke kebijakan yang ada Security Hub memindahkan config:PutEvaluations izin yang ada ke pernyataan lain dalam kebijakan. config:PutEvaluationsIzin sekarang diterapkan ke semua sumber daya. 14 Juli 2021
AWSSecurityHubServiceRolePolicy – Pembaruan ke kebijakan yang ada Security Hub menambahkan izin baru untuk memungkinkan peran terkait layanan memberikan hasil evaluasi. AWS Config 29 Juni 2021
AWSSecurityHubServiceRolePolicy— Ditambahkan ke daftar kebijakan terkelola Menambahkan informasi tentang kebijakan terkelola AWSSecurityHubServiceRolePolicy, yang digunakan oleh peran terkait layanan Security Hub. 11 Juni 2021
AWSSecurityHubOrganizationsAccess— Kebijakan baru Security Hub menambahkan kebijakan baru yang memberikan izin yang diperlukan untuk integrasi Security Hub dengan Organizations. 15 Maret 2021
Security Hub mulai melacak perubahan Security Hub mulai melacak perubahan untuk kebijakan AWS terkelolanya. 15 Maret 2021