As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Funções vinculadas ao serviço para AWS o Security Hub
AWSO Security Hub usa uma função vinculada ao serviço AWS Identity and Access Management (IAM) chamada. AWSServiceRoleForSecurityHubV2 Um perfil vinculado ao serviço é um perfil do IAM que é vinculado diretamente ao Security Hub. É predefinido pelo Security Hub e inclui todas as permissões que o Security Hub exige para chamar outras pessoas Serviços da AWS e monitorar AWS recursos em seu nome. O Security Hub usa essa função vinculada ao serviço em todos os Regiões da AWS lugares em que o Security Hub está disponível.
Uma função vinculada ao serviço facilita a configuração do Security Hub, já que não é preciso adicionar as permissões necessárias manualmente. O Security Hub define as permissões do perfil vinculado ao serviço e, a menos que definido em contrário, somente o Security Hub pode assumir o perfil. As permissões definidas incluem a política de confiança e a política de permissões, a qual não pode ser anexada a nenhuma outra entidade do IAM.
Para revisar os detalhes do perfil vinculado ao serviço, é possível usar o console do Security Hub. No painel de navegação, escolha Geral em Configurações. Em seguida, na seção Permissões do serviço, escolha Exibir permissões do serviço.
Será possível excluir o perfil vinculado ao serviço do Security Hub somente depois de desabilitá-lo em todas as regiões em que estiver habilitado. Isso protege seus recursos do Security Hub, porque não é possível remover inadvertidamente as permissões para acessá-los.
Para obter informações sobre outros serviços que ofereçam suporte a perfis vinculados ao serviço, consulte Serviços da AWS que trabalham com o IAM no Guia do usuário do IAM e procure pelos serviços com Sim na coluna Perfis vinculados a serviços. Escolha um Sim com um link para revisar a documentação da função vinculada a esse serviço.
Tópicos
Permissões da função vinculada ao serviço do Security Hub
O Security Hub usa a função vinculada ao serviço chamada AWSServiceRoleForSecurityHubV2. É uma função vinculada ao serviço necessária para que o AWS Security Hub acesse seus recursos. Essa função vinculada ao serviço permite que o Security Hub execute tarefas como receber descobertas de outras pessoas Serviços da AWS e configurar a AWS Config infraestrutura necessária para executar verificações de segurança dos controles. O perfil vinculado ao serviço AWSServiceRoleForSecurityHubV2 confia no serviço securityhub.amazonaws.com para presumir o perfil.
A função vinculada ao serviço AWSServiceRoleForSecurityHubV2 usa a política gerenciada AWSSecurityHubServiceRolePolicy.
É necessário conceder permissões para permitir que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua uma função vinculada ao serviço. Para que a função vinculada ao serviço AWSServiceRoleForSecurityHubV2 seja criada com êxito, a identidade do IAM usada por você para acessar o Security Hub ter as permissões necessárias. Para conceder as permissões necessárias, anexe a política a seguir à identidade do IAM.
Criar uma função vinculada ao serviço no Security Hub
O perfil vinculado ao serviço AWSServiceRoleForSecurityHubV2 é criado automaticamente quando você habilita o Security Hub pela primeira vez ou habilita o Security Hub em uma região na qual ele não tenha sido habilitado anteriormente. Também é possível criar o perfil vinculado ao serviço AWSServiceRoleForSecurityHubV2 manualmente usando o console do IAM, a CLI do IAM ou a API do IAM. Para mais informações sobre a criação da função manualmente, consulte Criar uma função vinculada ao serviço no Guia do usuário do IAM.
Importante
O perfil vinculado ao serviço criado para a conta de administrador do Security Hub não se aplica às contas de membro associadas ao Security Hub.
Editar uma função vinculada ao serviço no Security Hub
O Security Hub não permite que você edite a função vinculada a serviço AWSServiceRoleForSecurityHubV2. Depois que você criar um perfil vinculado ao serviço, não poderá alterar o nome do perfil, pois várias entidades podem fazer referência ao perfil. No entanto, será possível editar a descrição da função usando o IAM. Para saber mais, consulte Editar um perfil vinculado ao serviço no Guia do usuário do IAM.
Excluir uma função vinculada ao serviço no Security Hub
Se você não precisar mais usar um recurso ou serviço que requer uma função vinculada a serviço, é recomendável excluí-la. Dessa forma, você não terá uma entidade não utilizada e não monitorada ativamente ou mantida.
Quando você desabilitar o Security Hub, o Security Hub não excluirá automaticamente o perfil vinculado ao serviço AWSServiceRoleForSecurityHubV2 para você. Se você habilitar o Security Hub novamente, o serviço poderá então começar a usar o perfil vinculado ao serviço existente mais uma vez. Se você não precisa mais usar o Security Hub, poderá excluir manualmente o perfil vinculado ao serviço.
Importante
Antes de excluir o perfil vinculado ao serviço AWSServiceRoleForSecurityHubV2, primeiro desabilite o Security Hub em todas as regiões em que ele estiver habilitado. Para obter mais informações, consulte Desabilitar o Security Hub. Se o Security Hub não estiver desabilitado quando você tentar excluir a função vinculada ao serviço, haverá falha na exclusão.
Para excluir o perfil vinculado ao serviço AWSServiceRoleForSecurityHubV2, é possível usar o console do IAM, a CLI do IAM ou a API do IAM. Para saber mais, consulte Excluir um perfil vinculado ao serviço no Guia do usuário do IAM.
