As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Funções vinculadas a serviços para AWS Security Hub
AWS Security Hub usa uma função vinculada ao serviço AWS Identity and Access Management (IAM) chamada. AWSServiceRoleForSecurityHub Um perfil vinculado ao serviço é um perfil do IAM que é vinculado diretamente ao Security Hub. É predefinido pelo Security Hub e inclui todas as permissões que o Security Hub exige para chamar outras pessoas Serviços da AWS e monitorar AWS recursos em seu nome. O Security Hub usa essa função vinculada ao serviço em todos os Regiões da AWS lugares em que o Security Hub está disponível.
Uma função vinculada ao serviço facilita a configuração do Security Hub, já que não é preciso adicionar as permissões necessárias manualmente. O Security Hub define as permissões de sua função vinculada ao serviço e, a menos que seja definido de outra forma, somente o Security Hub pode assumir a função. As permissões definidas incluem a política de confiança e a política de permissões, a qual não pode ser anexada a nenhuma outra entidade do IAM.
Para revisar os detalhes da função vinculada ao serviço, você pode usar o console do Security Hub. No painel de navegação, escolha Geral em Configurações. Em seguida, na seção Permissões do serviço, escolha Exibir permissões do serviço.
Você pode excluir a função vinculada ao serviço do Security Hub somente depois de desativar o Security Hub em todas as regiões em que ela está ativada. Isso protege seus recursos do Security Hub, porque não é possível remover inadvertidamente as permissões para acessá-los.
Para obter informações sobre outros serviços que oferecem suporte a funções vinculadas a serviços, consulte AWS serviços que funcionam com o IAM no Guia do usuário do IAM e localize os serviços que têm Sim na coluna Funções vinculadas ao serviço. Escolha um Sim com um link para revisar a documentação da função vinculada a esse serviço.
Tópicos
Permissões da função vinculada ao serviço do Security Hub
O Security Hub usa a função vinculada ao serviço chamada AWSServiceRoleForSecurityHub. É uma função vinculada ao serviço necessária AWS Security Hub para acessar seus recursos. Essa função vinculada ao serviço permite que o Security Hub execute tarefas como receber descobertas de outras pessoas Serviços da AWS e configurar a AWS Config infraestrutura necessária para executar verificações de segurança dos controles. O perfil vinculado ao serviço AWSServiceRoleForSecurityHub confia no serviço securityhub.amazonaws.com para presumir o perfil.
A função vinculada ao serviço AWSServiceRoleForSecurityHub usa a política gerenciada AWSSecurityHubServiceRolePolicy.
É necessário conceder permissões para permitir que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua uma função vinculada ao serviço. Para que a função vinculada ao serviço AWSServiceRoleForSecurityHub seja criada com êxito, a identidade do IAM usada por você para acessar o Security Hub ter as permissões necessárias. Para conceder as permissões necessárias, anexe a política a seguir à identidade do IAM.
Criar uma função vinculada ao serviço no Security Hub
A função AWSServiceRoleForSecurityHub vinculada ao serviço é criada automaticamente quando você ativa o Security Hub pela primeira vez ou ativa o Security Hub em uma região onde não a habilitou anteriormente. Você também pode criar a função AWSServiceRoleForSecurityHub vinculada ao serviço manualmente usando o console do IAM, a CLI do IAM ou a API do IAM. Para mais informações sobre a criação da função manualmente, consulte Criar uma função vinculada ao serviço no Guia do usuário do IAM.
Importante
A função vinculada ao serviço criada para uma conta de administrador do Security Hub não se aplica às contas associadas de membros do Security Hub.
Editar uma função vinculada ao serviço no Security Hub
O Security Hub não permite que você edite a função vinculada a serviço AWSServiceRoleForSecurityHub. Depois que você criar um perfil vinculado ao serviço, não poderá alterar o nome do perfil, pois várias entidades podem fazer referência ao perfil. No entanto, será possível editar a descrição da função usando o IAM. Para obter mais informações, consulte Editar um perfil vinculado ao serviço no Guia do usuário do IAM.
Excluir uma função vinculada ao serviço no Security Hub
Se você não precisar mais usar um recurso ou serviço que requer uma função vinculada a serviço, é recomendável excluí-la. Dessa forma, você não terá uma entidade não utilizada e não monitorada ativamente ou mantida.
Quando você desativa o Security Hub, o Security Hub não exclui automaticamente a função AWSServiceRoleForSecurityHub vinculada ao serviço para você. Se você habilitar o Security Hub novamente, o serviço poderá começar a usar a função vinculada ao serviço existente novamente. Se você não precisar mais usar o Security Hub, poderá excluir manualmente a função vinculada ao serviço.
Importante
Antes de excluir a função AWSServiceRoleForSecurityHub vinculada ao serviço, você deve primeiro desativar o Security Hub em todas as regiões em que ela está ativada. Para obter mais informações, consulte Desativando o CSPM do Security Hub. Se o Security Hub não estiver desabilitado quando você tentar excluir a função vinculada ao serviço, haverá falha na exclusão.
Para excluir a função AWSServiceRoleForSecurityHub vinculada ao serviço, você pode usar o console do IAM, a CLI do IAM ou a API do IAM. Para obter mais informações, consulte Excluir um perfil vinculado ao serviço no Guia do usuário do IAM.
