Kebijakan utama KMS untuk integrasi tiket Security Hub - AWSSecurity Hub
Kebijakan izin Security HubAkses utama IAM untuk operasi Security Hub

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Kebijakan utama KMS untuk integrasi tiket Security Hub

Saat menggunakan kunci KMS yang dikelola pelanggan dengan integrasi tiket Security Hub, kebijakan tambahan perlu ditambahkan ke kunci KMS untuk memungkinkan Security Hub berinteraksi dengan kunci tersebut. Selain itu, kebijakan perlu ditambahkan yang memungkinkan prinsipal yang menambahkan kunci ke izin konektor Security Hub untuk mengakses kunci.

Kebijakan izin Security Hub

Kebijakan berikut menguraikan izin yang dibutuhkan Security Hub untuk dapat mengakses dan menggunakan kunci KMS yang terkait dengan Jira dan konektor Anda. ServiceNow Kebijakan ini perlu ditambahkan ke setiap kunci KMS yang terkait dengan konektor Security Hub.

Kebijakan ini berisi izin berikut:

  • Memungkinkan Security Hub untuk melindungi, akses sementara, atau menyegarkan token yang digunakan untuk berkomunikasi dengan integrasi tiket Anda, menggunakan kunci. Izin dibatasi untuk operasi yang terkait dengan konektor Security Hub tertentu melalui blok kondisi yang memeriksa ARN sumber dan konteks enkripsi.

  • Memungkinkan Security Hub untuk membaca metadata tentang kunci KMS dengan mengizinkan operasi. DescribeKey Izin ini diperlukan untuk Security Hub untuk memverifikasi status dan konfigurasi kunci. Akses terbatas pada konektor Security Hub tertentu melalui kondisi ARN sumber. 


{
    "Sid": "Allow Security Hub access to the customer managed key",
    "Effect": "Allow",
    "Principal": {
        "Service": "connector.securityhub.amazonaws.com"
    },
    "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt",
        "kms:ReEncrypt*"
    ],
    "Resource": "*",
    "Condition": {
        "ArnLike": {
            "aws:SourceArn": "arn:aws:securityhub:Region:AccountId:connectorv2/*"
        },
        "StringLike": {
            "kms:EncryptionContext:aws:securityhub:connectorV2Arn": "arn:aws:securityhub:Region:AccountId:connectorv2/*",
            "kms:EncryptionContext:aws:securityhub:providerName": "CloudProviderName"
        }
    }
},
{
    "Sid": "Allow Security Hub read access to the customer managed key",
    "Effect": "Allow",
    "Principal": {
        "Service": "connector.securityhub.amazonaws.com"
    },
    "Action": [
        "kms:DescribeKey"
    ],
    "Resource": "*",
    "Condition": {
        "ArnLike": {
            "aws:SourceArn": "arn:aws:securityhub:Region:AccountId:connectorv2/*"
        }
    }
}

Edit kebijakan dengan mengganti nilai berikut dalam contoh kebijakan:

  • Ganti CloudProviderName dengan JIRA_CLOUD atau SERVICENOW

  • Ganti AccountId dengan ID akun tempat Anda membuat konektor Security Hub.

  • Ganti Region dengan AWS wilayah Anda (misalnya,us-east-1).

Akses utama IAM untuk operasi Security Hub

Setiap prinsipal yang akan menetapkan kunci KMS yang dikelola pelanggan ke konektor Security Hub harus memiliki izin untuk melakukan operasi kunci (mendeskripsikan, menghasilkan, mendekripsi, mengenkripsi ulang, dan mencantumkan alias) untuk kunci yang ditambahkan ke konektor. Ini berlaku untuk CreateConnectorV2dan CreateTicketV2 APIs. Pernyataan kebijakan berikut harus dimasukkan sebagai bagian dari kebijakan untuk setiap prinsipal yang akan berinteraksi dengan ini APIs. 


{
    "Sid": "Allow permissions to access key through Security Hub",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::AccountId:role/RoleName"
    },
    "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt",
        "kms:ReEncrypt*"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "kms:ViaService": [
                "securityhub.Region.amazonaws.com"
            ]
        },
        "StringLike": {
            "kms:EncryptionContext:aws:securityhub:providerName": "CloudProviderName"
        }
    }
},
{
    "Sid": "Allow read permissions to access key through Security Hub",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::AccountId:role/RoleName"
    },
    "Action": [
        "kms:DescribeKey"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "kms:ViaService": [
                "securityhub.Region.amazonaws.com"
            ]
        }
    }
}

Edit kebijakan dengan mengganti nilai berikut dalam contoh kebijakan:

  • Ganti RoleName dengan nama peran IAM yang melakukan panggilan ke Security Hub.

  • Ganti CloudProviderName dengan JIRA_CLOUD atauSERVICENOW.

  • Ganti AccountId dengan ID akun tempat Anda membuat konektor Security Hub.

  • Ganti Region dengan AWS wilayah Anda (misalnya,us-east-1).