Politica delle autorizzazioni di Security Hub Accesso principale IAM per le operazioni del Security Hub

Politiche chiave KMS per le integrazioni di ticketing di Security Hub

Quando si utilizzano chiavi KMS gestite dal cliente con integrazioni di ticketing Security Hub, è necessario aggiungere politiche aggiuntive alla chiave KMS per consentire a Security Hub di interagire con la chiave. Inoltre, è necessario aggiungere politiche che consentano al principale che sta aggiungendo la chiave al connettore Security Hub le autorizzazioni di accedere alla chiave.

Politica delle autorizzazioni di Security Hub

La seguente politica delinea le autorizzazioni di cui Security Hub ha bisogno per poter accedere e utilizzare la chiave KMS associata a Jira e ai connettori. ServiceNow Questa politica deve essere aggiunta a ogni chiave KMS associata a un connettore Security Hub.

La politica contiene le seguenti autorizzazioni:

Consente a Security Hub di proteggere, accedere temporaneamente o aggiornare i token utilizzati per comunicare con le integrazioni di ticketing utilizzando la chiave. Le autorizzazioni sono limitate alle operazioni relative a specifici connettori di Security Hub tramite il blocco delle condizioni che controlla l'ARN di origine e il contesto di crittografia.
Consente a Security Hub di leggere i metadati sulla chiave KMS consentendone l'operazione. DescribeKey Questa autorizzazione è necessaria a Security Hub per verificare lo stato e la configurazione della chiave. L'accesso è limitato a connettori Security Hub specifici tramite la condizione ARN di origine.



{
    "Sid": "Allow Security Hub access to the customer managed key",
    "Effect": "Allow",
    "Principal": {
        "Service": "connector.securityhub.amazonaws.com"
    },
    "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt",
        "kms:ReEncrypt*"
    ],
    "Resource": "*",
    "Condition": {
        "ArnLike": {
            "aws:SourceArn": "arn:aws:securityhub:Region:AccountId:connectorv2/*"
        },
        "StringLike": {
            "kms:EncryptionContext:aws:securityhub:connectorV2Arn": "arn:aws:securityhub:Region:AccountId:connectorv2/*",
            "kms:EncryptionContext:aws:securityhub:providerName": "CloudProviderName"
        }
    }
},
{
    "Sid": "Allow Security Hub read access to the customer managed key",
    "Effect": "Allow",
    "Principal": {
        "Service": "connector.securityhub.amazonaws.com"
    },
    "Action": [
        "kms:DescribeKey"
    ],
    "Resource": "*",
    "Condition": {
        "ArnLike": {
            "aws:SourceArn": "arn:aws:securityhub:Region:AccountId:connectorv2/*"
        }
    }
}

Modifica la policy sostituendo i seguenti valori nell'esempio di policy:

Sostituisci CloudProviderName con JIRA_CLOUD o SERVICENOW
Sostituisci AccountId con l'ID dell'account in cui stai creando il connettore Security Hub.
Sostituiscilo Region con la tua AWS regione (ad esempio,us-east-1).

Accesso principale IAM per le operazioni del Security Hub

Qualsiasi principale che assegnerà chiavi KMS gestite dal cliente a un connettore Security Hub deve disporre delle autorizzazioni per eseguire operazioni chiave (descrivere, generare, decrittografare, ricrittografare ed elencare gli alias) per la chiave che viene aggiunta al connettore. Questo CreateConnectorV2vale per e. CreateTicketV2 APIs La seguente dichiarazione politica dovrebbe essere inclusa come parte della politica per tutti i principali che interagiranno con questi APIs.



{
    "Sid": "Allow permissions to access key through Security Hub",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::AccountId:role/RoleName"
    },
    "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt",
        "kms:ReEncrypt*"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "kms:ViaService": [
                "securityhub.Region.amazonaws.com"
            ]
        },
        "StringLike": {
            "kms:EncryptionContext:aws:securityhub:providerName": "CloudProviderName"
        }
    }
},
{
    "Sid": "Allow read permissions to access key through Security Hub",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::AccountId:role/RoleName"
    },
    "Action": [
        "kms:DescribeKey"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "kms:ViaService": [
                "securityhub.Region.amazonaws.com"
            ]
        }
    }
}

Modifica la politica sostituendo i seguenti valori nell'esempio della politica:

Sostituisci RoleName con il nome del ruolo IAM che effettua chiamate a Security Hub.
Sostituisci CloudProviderName con JIRA_CLOUD o SERVICENOW.
Sostituisci AccountId con l'ID dell'account in cui stai creando il connettore Security Hub.
Sostituiscilo Region con la tua AWS regione (ad esempio,us-east-1).

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Visualizzazione di un ticket per un'integrazione ServiceNow ITSM

Test delle integrazioni di ticketing