AWSpolíticas gerenciadas para o Security Hub - AWSSecurity Hub
AWSSecurityHubFullAccessAWSSecurityHubReadOnlyAccess AWSSecurityHubOrganizationsAccess AWSSecurityHubV2ServiceRolePolicyAtualizações da política

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWSpolíticas gerenciadas para o Security Hub

Uma política AWS gerenciada é uma política autônoma criada e administrada porAWS. AWSas políticas gerenciadas são projetadas para fornecer permissões para muitos casos de uso comuns, para que você possa começar a atribuir permissões a usuários, grupos e funções.

Lembre-se de que as políticas AWS gerenciadas podem não conceder permissões de privilégio mínimo para seus casos de uso específicos porque estão disponíveis para uso de todos os AWS clientes. Recomendamos que você reduza ainda mais as permissões definindo as políticas gerenciadas pelo cliente que são específicas para seus casos de uso.

Você não pode alterar as permissões definidas nas políticas AWS gerenciadas. Se AWS atualizar as permissões definidas em uma política AWS gerenciada, a atualização afetará todas as identidades principais (usuários, grupos e funções) às quais a política está anexada. AWSé mais provável que atualize uma política AWS gerenciada quando uma nova AWS service (Serviço da AWS) é lançada ou novas operações de API são disponibilizadas para serviços existentes.

Para saber mais, consulte AWSPolíticas gerenciadas pela no Guia do usuário do IAM.

AWSpolítica gerenciada: AWSSecurityHubFullAccess

É possível anexar a política AWSSecurityHubFullAccess às suas identidades do IAM.

Essa política concede permissões administrativas que oferecem às entidades principais acesso total a todas as ações do Security Hub. Essa política deve ser anexada a uma entidade principal antes que ele habilite o Security Hub manualmente para sua conta. Por exemplo, entidades principais com essas permissões podem visualizar e atualizar o status das descobertas. Elas também podem configurar insights personalizados, habilitar integrações e habilitar e desabilitar padrões e controles. As entidades principais de uma conta de administrador também podem gerenciar contas de membro.

Detalhes de permissões

Esta política inclui as seguintes permissões:

  • securityhub – Permite que as entidades principais acessem totalmente todas as ações do Security Hub.

  • guardduty— Permite que os diretores obtenham informações sobre o status da conta na Amazon GuardDuty.

  • iam— Permite que os diretores criem uma função vinculada ao serviço para o Security Hub.

  • inspector: permite que as entidades principais obtenham informações sobre o status da conta no Amazon Inspector.

  • pricing— Permite que os diretores obtenham uma lista de preços Serviços da AWS e produtos.

Para verificar as permissões para esta política, consulte AWSSecurityHubFullAccess no Guia de referência de políticas gerenciadas pela AWS.

AWSpolítica gerenciada: AWSSecurityHubReadOnlyAccess

É possível anexar a política AWSSecurityHubReadOnlyAccess às suas identidades do IAM.

Essa política concede permissões de acesso somente para leitura que permitem que os usuários visualizem informações no Security Hub. As entidades principais com esta política anexada não podem fazer nenhuma atualização no Security Hub. Por exemplo, entidades principais com essas permissões podem ver a lista de descobertas associadas à conta, mas não podem alterar o status de uma descoberta. Elas podem ver os resultados dos insights, mas não podem criar ou configurar insights personalizados. Também não podem configurar controles ou integrações de produtos.

Detalhes de permissões

Esta política inclui as seguintes permissões:

  • securityhub: permite que os usuários realizem ações que retornem uma lista de itens ou detalhes sobre um item. Isso inclui operações de API que começam com Get, List ou Describe.

Para verificar as permissões para esta política, consulte AWSSecurityHubReadOnlyAccess no Guia de referência de políticas gerenciadas pela AWS.

AWSpolítica gerenciada: AWSSecurityHubOrganizationsAccess

É possível anexar a política AWSSecurityHubOrganizationsAccess às suas identidades do IAM.

Essa política concede permissões administrativas para habilitar e gerenciar o Security Hub para uma organização emAWS Organizations. As permissões para essa política permitem que a conta de gerenciamento da organização designe a conta de administrador delegado para o Security Hub. Elas também permitem que a conta de administrador delegado habilite outras contas da organização como sendo contas de membro.

Essa política só fornece permissões paraAWS Organizations. A conta gerencial da organização e a conta de administrador delegado também exigem permissões para as ações associadas. Essas permissões podem ser concedidas usando a política gerenciada do AWSSecurityHubFullAccess.

Detalhes de permissões

Esta política inclui as seguintes permissões:

  • organizations:ListAccounts: permite que as entidades principais recuperem a lista de contas que sejam parte de uma organização.

  • organizations:DescribeOrganization: permite que as entidades principais recuperem informações sobre a organização.

  • organizations:ListRoots: permite que as entidades principais listem a raiz de uma organização.

  • organizations:ListDelegatedAdministrators: permite que as entidades principais listem o administrador delegado de uma organização.

  • organizations:ListAWSServiceAccessForOrganization— Permite que os diretores listem o Serviços da AWS que uma organização usa.

  • organizations:ListOrganizationalUnitsForParent: permite que as entidades principais listem as unidades organizacionais (UO) filha de uma UO pai.

  • organizations:ListAccountsForParent: permite que as entidades principais listem as contas filhas de uma UO pai.

  • organizations:ListParents— Lista as unidades raiz ou organizacionais (OUs) que servem como mãe imediata da OU ou conta secundária especificada.

  • organizations:DescribeAccount: permite que as entidades principais recuperem informações sobre uma conta na organização.

  • organizations:DescribeOrganizationalUnit: permite que as entidades principais recuperem informações sobre uma UO na organização.

  • organizations:ListPolicies: recupera a lista de todas as políticas de um tipo especificado de uma organização.

  • organizations:ListPoliciesForTarget: lista as políticas que são anexadas diretamente à raiz do destino, unidade organizacional (UO) ou conta especificada.

  • organizations:ListTargetsForPolicy— Lista todas as raízes, unidades organizacionais (OUs) e contas às quais a política especificada está anexada.

  • organizations:EnableAWSServiceAccess: permite que as entidades principais habilitem a integração com o Organizations.

  • organizations:RegisterDelegatedAdministrator: permite que as entidades principais designem a conta de administrador delegado.

  • organizations:DeregisterDelegatedAdministrator: permite que as entidades principais removam a conta de administrador delegado.

  • organizations:DescribePolicy: recupera as informações sobre uma política.

  • organizations:DescribeEffectivePolicy: retorna o conteúdo da política efetiva para o tipo de política e conta especificados.

  • organizations:CreatePolicy— Cria uma política de um tipo específico que você pode anexar a uma raiz, a uma unidade organizacional (OU) ou a uma AWS conta individual.

  • organizations:UpdatePolicy: atualiza uma política existente com um novo nome, descrição ou conteúdo.

  • organizations:DeletePolicy: exclui a política especificada de sua organização.

  • organizations:AttachPolicy: anexa uma política a uma raiz, uma unidade organizacional (UO) ou uma conta individual.

  • organizations:DetachPolicy: desanexa uma política de uma raiz, de uma unidade organizacional (UO) ou de uma conta de destino.

  • organizations:EnablePolicyType: habilita um tipo de política em uma raiz.

  • organizations:DisablePolicyType: desabilita um tipo de política organizacional em uma raiz.

  • organizations:TagResource: adiciona uma ou mais tags a um recurso especificado.

  • organizations:UntagResource: remove todas as tags com as chaves especificadas de um recurso especificado.

  • organizations:ListTagsForResource: lista as tags que estão anexadas a um recurso especificado.

Para verificar as permissões para esta política, consulte AWSSecurityHubOrganizationsAccess no Guia de referência de políticas gerenciadas pela AWS.

AWSpolítica gerenciada: AWSSecurityHubV2ServiceRolePolicy

nota

O Security Hub está em uma versão de pré-visualização, sujeito à alterações.

Essa política permite que o Security Hub gerencie AWS Config regras e recursos do Security Hub para sua organização e em seu nome. Essa política é vinculada a uma função associada a um serviço, o que possibilita que este serviço execute ações em seu próprio nome. Não é possível anexar essa política às suas identidades do IAM. Para obter mais informações, consulte Funções vinculadas ao serviço para AWS o Security Hub.

Detalhes de permissões

Esta política inclui as seguintes permissões:

  • config: gerencia gravadores de configuração vinculados a serviços para recursos do Security Hub.

  • iam— Crie a função vinculada ao serviço para. AWS Config

  • organizations: recupera as informações da conta e da unidade organizacional (UO) de uma organização.

  • securityhub: gerencia a configuração do Security Hub.

  • tag: recupera informações sobre tags de recursos.

Para verificar as permissões para esta política, consulte AWSSecurityHubV2ServiceRolePolicy no Guia de referência de políticas gerenciadas pela AWS.

Atualizações do Security Hub para políticas AWS gerenciadas

A tabela a seguir fornece detalhes sobre as atualizações das políticas AWS gerenciadas do AWS Security Hub desde que esse serviço começou a rastrear essas alterações. Para receber alertas automáticos sobre atualizações dessas políticas, inscreva-se no feed RSS na página Histórico de documentos do Security Hub.

Alteração Descrição Data

AWSSecurityHubOrganizationsAccess: política atualizada

O Security Hub atualizou a política para adicionar permissões para descrever as políticas de recursos para oferecer suporte aos recursos do Security Hub. O Security Hub está em uma versão de pré-visualização, sujeito à alterações.

12 de novembro de 2025

AWSSecurityHubFullAccess: política atualizada

O Security Hub atualizou a política para adicionar recursos de gerenciamento GuardDuty, Amazon Inspector e gerenciamento de contas para oferecer suporte aos recursos do Security Hub. O Security Hub está em uma versão de pré-visualização, sujeito à alterações.

17 de novembro de 2025

AWSSecurityHubV2 ServiceRolePolicy — Política atualizada

O Security Hub atualizou a política para adicionar recursos de medição para o Amazon Elastic Container Registry, Amazon AWS Lambda CloudWatch, e AWS Identity and Access Management para oferecer suporte aos recursos do Security Hub. A atualização também adicionou suporte para AWS Config gravadores globais. O Security Hub está em uma versão de pré-visualização, sujeito à alterações.

5 de novembro de 2025
AWSSecurityHubOrganizationsAccess – atualização para uma política existente O Security Hub adicionou novas permissões à política. As permissões permitem que o gerenciamento da organização habilite e gerencie o Security Hub e o CSPM do Security Hub para uma organização. 17 de junho de 2025

AWSSecurityHubFullAccess – atualização para uma política existente

O CSPM do Security Hub adicionou novas permissões que permitem que as entidades principais criem um perfil vinculado ao serviço para o Security Hub.

 17 de junho de 2025

AWSSecurityHubV2 ServiceRolePolicy — Nova política

O Security Hub adicionou uma nova política para permitir que o Security Hub gerencie AWS Config regras e recursos do Security Hub para a organização de um cliente e em nome do cliente. O Security Hub está em uma versão de pré-visualização, sujeito à alterações.

17 de junho de 2025
AWSSecurityHubFullAccess— Atualização de uma política existente O Security Hub CSPM atualizou a política para obter detalhes de preços Serviços da AWS e produtos. 24 de abril de 2024
AWSSecurityHubReadOnlyAccess— Atualização de uma política existente O CSPM do Security Hub atualizou essa política gerenciada adicionando um campo Sid. 22 de fevereiro de 2024
AWSSecurityHubFullAccess— Atualização de uma política existente O Security Hub CSPM atualizou a política para determinar se a Amazon GuardDuty e o Amazon Inspector estão habilitados em uma conta. Isso ajuda os clientes a reunir informações relacionadas à segurança de várias. Serviços da AWS 16 de novembro de 2023
AWSSecurityHubOrganizationsAccess— Atualização de uma política existente O CSPM do Security Hub atualizou a política para conceder permissões adicionais para permitir acesso somente para leitura à funcionalidade do administrador delegado do AWS Organizations. Isso inclui detalhes como raiz, unidades organizacionais (OUs), contas, estrutura organizacional e acesso ao serviço. 16 de novembro de 2023
AWSSecurityHubOrganizationsAccess— Nova política O CSPM do Security Hub adicionou uma nova política que concede as permissões necessárias para a integração do CSPM do Security Hub com o Organizations. 15 de março de 2021
O CSPM do Security Hub começou a monitorar alterações O Security Hub CSPM começou a monitorar as mudanças em suas políticas AWS gerenciadas. 15 de março de 2021