AWS kebijakan terkelola untuk Security Hub

Kebijakan AWS terkelola adalah kebijakan mandiri yang dibuat dan dikelola oleh AWS. AWS Kebijakan terkelola dirancang untuk memberikan izin bagi banyak kasus penggunaan umum sehingga Anda dapat mulai menetapkan izin kepada pengguna, grup, dan peran.

Perlu diingat bahwa kebijakan AWS terkelola mungkin tidak memberikan izin hak istimewa paling sedikit untuk kasus penggunaan spesifik Anda karena tersedia untuk digunakan semua pelanggan. AWS Kami menyarankan Anda untuk mengurangi izin lebih lanjut dengan menentukan kebijakan yang dikelola pelanggan yang khusus untuk kasus penggunaan Anda.

Anda tidak dapat mengubah izin yang ditentukan dalam kebijakan AWS terkelola. Jika AWS memperbarui izin yang ditentukan dalam kebijakan AWS terkelola, pemutakhiran akan memengaruhi semua identitas utama (pengguna, grup, dan peran) yang dilampirkan kebijakan tersebut. AWS kemungkinan besar akan memperbarui kebijakan AWS terkelola saat baru Layanan AWS diluncurkan atau operasi API baru tersedia untuk layanan yang ada.

Untuk informasi selengkapnya, lihat Kebijakan terkelola AWS dalam Panduan Pengguna IAM.

AWS kebijakan terkelola: AWSSecurityHubFullAccess

Anda dapat melampirkan kebijakan AWSSecurityHubFullAccess ke identitas IAM Anda.

Kebijakan ini memberikan izin administratif yang memungkinkan akses penuh utama ke semua tindakan Security Hub. Kebijakan ini harus dilampirkan ke prinsipal sebelum mengaktifkan Security Hub secara manual untuk akun mereka. Misalnya, kepala sekolah dengan izin ini dapat melihat dan memperbarui status temuan. Mereka juga dapat mengonfigurasi wawasan khusus, mengaktifkan integrasi, dan mengaktifkan serta menonaktifkan standar dan kontrol. Prinsipal untuk akun administrator juga dapat mengelola akun anggota.

Detail izin

Kebijakan ini mencakup izin berikut:

• securityhub— Memungkinkan kepala sekolah akses penuh ke semua tindakan Security Hub.

• guardduty— Memungkinkan kepala sekolah untuk mendapatkan informasi tentang status akun di Amazon. GuardDuty

• iam— Memungkinkan kepala sekolah untuk membuat peran terkait layanan untuk Security Hub.

• inspector— Memungkinkan kepala sekolah untuk mendapatkan informasi tentang status akun di Amazon Inspector.

• pricing— Memungkinkan kepala sekolah untuk mendapatkan daftar harga dan produk. Layanan AWS

Untuk meninjau izin kebijakan ini, lihat AWSSecurityHubFullAccessdi Panduan Referensi Kebijakan AWS Terkelola.

AWS kebijakan terkelola: AWSSecurityHubReadOnlyAccess

Anda dapat melampirkan kebijakan AWSSecurityHubReadOnlyAccess ke identitas IAM Anda.

Kebijakan ini memberikan izin hanya-baca yang memungkinkan pengguna melihat informasi di Security Hub. Prinsipal dengan kebijakan ini terlampir tidak dapat melakukan pembaruan apa pun di Security Hub. Misalnya, kepala sekolah dengan izin ini dapat melihat daftar temuan yang terkait dengan akun mereka, tetapi tidak dapat mengubah status temuan. Mereka dapat melihat hasil wawasan, tetapi tidak dapat membuat atau mengonfigurasi wawasan khusus. Mereka tidak dapat mengonfigurasi kontrol atau integrasi produk.

Detail izin

Kebijakan ini mencakup izin berikut:

• securityhub— Memungkinkan pengguna untuk melakukan tindakan yang mengembalikan daftar item atau rincian tentang item. Ini termasuk operasi API yang dimulai denganGet,List, atauDescribe.

Untuk meninjau izin kebijakan ini, lihat AWSSecurityHubReadOnlyAccessdi Panduan Referensi Kebijakan AWS Terkelola.

AWS kebijakan terkelola: AWSSecurityHubOrganizationsAccess

Anda dapat melampirkan kebijakan AWSSecurityHubOrganizationsAccess ke identitas IAM Anda.

Kebijakan ini memberikan izin administratif untuk mengaktifkan dan mengelola Security Hub untuk organisasi di. AWS Organizations Izin untuk kebijakan ini memungkinkan akun manajemen organisasi menunjuk akun administrator yang didelegasikan untuk Security Hub. Mereka juga mengizinkan akun administrator yang didelegasikan untuk mengaktifkan akun organisasi sebagai akun anggota.

Kebijakan ini hanya memberikan izin untuk AWS Organizations. Akun manajemen organisasi dan akun administrator yang didelegasikan juga memerlukan izin untuk tindakan terkait. Izin ini dapat diberikan menggunakan kebijakan AWSSecurityHubFullAccess terkelola.

Detail izin

Kebijakan ini mencakup izin berikut:

• organizations:ListAccounts— Memungkinkan kepala sekolah untuk mengambil daftar akun yang merupakan bagian dari organisasi.

• organizations:DescribeOrganization— Memungkinkan kepala sekolah untuk mengambil informasi tentang organisasi.

• organizations:ListRoots— Memungkinkan kepala sekolah untuk membuat daftar akar organisasi.

• organizations:ListDelegatedAdministrators— Memungkinkan kepala sekolah untuk membuat daftar administrator yang didelegasikan dari suatu organisasi.

• organizations:ListAWSServiceAccessForOrganization— Memungkinkan kepala sekolah untuk membuat daftar Layanan AWS yang digunakan organisasi.

• organizations:ListOrganizationalUnitsForParent— Memungkinkan kepala sekolah untuk membuat daftar unit organisasi anak (OU) dari OU orang tua.

• organizations:ListAccountsForParent— Memungkinkan kepala sekolah untuk membuat daftar akun anak dari OU orang tua.

• organizations:ListParents— Daftar root atau unit organisasi (OUs) yang berfungsi sebagai induk langsung dari OU atau akun anak yang ditentukan.

• organizations:DescribeAccount – Memungkinkan principal mengambil informasi tentang akun di organisasi.

• organizations:DescribeOrganizationalUnit— Memungkinkan kepala sekolah untuk mengambil informasi tentang OU dalam organisasi.

• organizations:ListPolicies— Mengambil daftar semua kebijakan dalam organisasi dari jenis tertentu.

• organizations:ListPoliciesForTarget— Daftar kebijakan yang secara langsung dilampirkan ke root target yang ditentukan, unit organisasi (OU), atau akun.

• organizations:ListTargetsForPolicy— Daftar semua akar, unit organisasi (OUs), dan akun yang dilampirkan kebijakan yang ditentukan.

• organizations:EnableAWSServiceAccess— Memungkinkan prinsipal untuk mengaktifkan integrasi dengan Organizations.

• organizations:RegisterDelegatedAdministrator— Memungkinkan kepala sekolah untuk menunjuk akun administrator yang didelegasikan.

• organizations:DeregisterDelegatedAdministrator— Memungkinkan kepala sekolah untuk menghapus akun administrator yang didelegasikan.

• organizations:DescribePolicy— Mengambil informasi tentang kebijakan.

• organizations:DescribeEffectivePolicy— Mengembalikan isi kebijakan efektif untuk jenis kebijakan dan akun tertentu.

• organizations:CreatePolicy— Membuat kebijakan dari jenis tertentu yang dapat Anda lampirkan ke root, unit organisasi (OU), atau AWS akun individu.

• organizations:UpdatePolicy— Memperbarui kebijakan yang ada dengan nama, deskripsi, atau konten baru.

• organizations:DeletePolicy— Menghapus kebijakan yang ditentukan dari organisasi Anda.

• organizations:AttachPolicy— Melampirkan kebijakan ke root, unit organisasi (OU), atau akun individu.

• organizations:DetachPolicyMelepaskan kebijakan dari akar target, unit organisasi (OU), atau akun.

• organizations:EnablePolicyType— Mengaktifkan jenis kebijakan di root.

• organizations:DisablePolicyType— Menonaktifkan jenis kebijakan organisasi di root.

• organizations:TagResource— Menambahkan satu atau lebih tag ke sumber daya tertentu.

• organizations:UntagResource— Menghapus tag apa pun dengan kunci yang ditentukan dari sumber daya tertentu.

• organizations:ListTagsForResource— Daftar tag yang dilampirkan ke sumber daya tertentu.

Untuk meninjau izin kebijakan ini, lihat AWSSecurityHubOrganizationsAccessdi Panduan Referensi Kebijakan AWS Terkelola.

AWS kebijakan terkelola: AWSSecurityHubV2ServiceRolePolicy

catatan

Security Hub dalam rilis pratinjau dan dapat berubah sewaktu-waktu.

Kebijakan ini memungkinkan Security Hub mengelola AWS Config aturan dan sumber daya Security Hub untuk organisasi Anda dan atas nama Anda. Kebijakan ini dilampirkan pada peran terkait layanan yang memungkinkan layanan melakukan tindakan atas nama Anda. Anda dapat melampirkan kebijakan ini ke identitas-identitas IAM Anda. Untuk informasi selengkapnya, lihat Peran terkait layanan untuk AWS Security Hub.

Detail izin

Kebijakan ini mencakup izin berikut:

• config— Kelola perekam konfigurasi terkait layanan untuk sumber daya Security Hub.

• iam— Buat peran terkait layanan untuk. AWS Config

• organizations— Mengambil informasi akun dan unit organisasi (OU) untuk suatu organisasi.

• securityhub— Kelola konfigurasi Security Hub.

• tag— Mengambil informasi tentang tag sumber daya.

Untuk meninjau izin kebijakan ini, lihat AWSSecurityHubV2ServiceRolePolicydi Panduan Referensi Kebijakan AWS Terkelola.

Pembaruan Security Hub ke kebijakan AWS terkelola

Tabel berikut memberikan detail tentang pembaruan kebijakan AWS terkelola untuk AWS Security Hub sejak layanan ini mulai melacak perubahan ini. Untuk peringatan otomatis tentang pembaruan kebijakan, berlangganan umpan RSS di halaman riwayat dokumen Security Hub.

Ubah	Deskripsi	Date
AWSSecurityHubOrganizationsAccess— Kebijakan yang diperbarui	Security Hub memperbarui kebijakan untuk menambahkan izin guna menjelaskan kebijakan sumber daya guna mendukung fitur Security Hub. Security Hub dalam rilis pratinjau dan dapat berubah sewaktu-waktu.	November 12, 2025
AWSSecurityHubFullAccess— Kebijakan yang diperbarui	Security Hub memperbarui kebijakan untuk menambahkan kemampuan seputar pengelolaan GuardDuty, Amazon Inspector, dan manajemen akun untuk mendukung fitur Security Hub. Security Hub dalam rilis pratinjau dan dapat berubah sewaktu-waktu.	November 17, 2025
AWSSecurityHUBv2 ServiceRolePolicy - Kebijakan yang diperbarui	Security Hub memperbarui kebijakan untuk menambahkan kemampuan pengukuran untuk Amazon Elastic Container Registry AWS Lambda, Amazon CloudWatch, dan AWS Identity and Access Management untuk mendukung fitur Security Hub. Pembaruan juga menambahkan dukungan untuk AWS Config perekam global. Security Hub dalam rilis pratinjau dan dapat berubah sewaktu-waktu.	November 5, 2025
AWSSecurityHubOrganizationsAccess – Pembaruan ke kebijakan yang ada	Security Hub menambahkan izin baru ke kebijakan. Izin memungkinkan manajemen organisasi untuk mengaktifkan dan mengelola Security Hub dan Security Hub CSPM untuk organisasi.	Juni 17, 2025
AWSSecurityHubFullAccess – Pembaruan ke kebijakan yang ada	Security Hub CSPM menambahkan izin baru yang memungkinkan prinsipal membuat peran terkait layanan untuk Security Hub.	Juni 17, 2025
AWSSecurityHUBv2 ServiceRolePolicy - Kebijakan baru	Security Hub menambahkan kebijakan baru untuk memungkinkan Security Hub mengelola AWS Config aturan dan sumber daya Security Hub untuk organisasi pelanggan dan atas nama pelanggan. Security Hub dalam rilis pratinjau dan dapat berubah sewaktu-waktu.	Juni 17, 2025
AWSSecurityHubFullAccess— Perbarui ke kebijakan yang ada	Security Hub CSPM memperbarui kebijakan untuk mendapatkan detail harga Layanan AWS dan produk.	April 24, 2024
AWSSecurityHubReadOnlyAccess— Perbarui ke kebijakan yang ada	Security Hub CSPM memperbarui kebijakan terkelola ini dengan menambahkan kolom. Sid	Februari 22, 2024
AWSSecurityHubFullAccess— Perbarui ke kebijakan yang ada	Security Hub CSPM memperbarui kebijakan sehingga dapat menentukan apakah Amazon GuardDuty dan Amazon Inspector diaktifkan di akun. Ini membantu pelanggan menyatukan informasi terkait keamanan dari beberapa. Layanan AWS	16 November 2023
AWSSecurityHubOrganizationsAccess— Perbarui ke kebijakan yang ada	Security Hub CSPM memperbarui kebijakan untuk memberikan izin tambahan guna mengizinkan akses hanya-baca ke fungsionalitas administrator yang didelegasikan. AWS Organizations Ini termasuk detail seperti root, unit organisasi (OUs), akun, struktur organisasi, dan akses layanan.	16 November 2023
AWSSecurityHubOrganizationsAccess— Kebijakan baru	Security Hub CSPM menambahkan kebijakan baru yang memberikan izin yang diperlukan untuk integrasi CSPM Security Hub dengan Organizations.	15 Maret 2021
Security Hub CSPM mulai melacak perubahan	Security Hub CSPM mulai melacak perubahan untuk kebijakan yang AWS dikelola.	15 Maret 2021