As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Funções vinculadas ao serviço para o Security Hub
AWS Security Hubusa uma função vinculada ao serviço AWS Identity and Access Management (IAM) chamada. AWSServiceRoleForSecurityHub Essa função vinculada ao serviço é uma função do IAM vinculada diretamente ao Security Hub. É predefinido pelo Security Hub e inclui todas as permissões que o Security Hub exige para chamar outras pessoas Serviços da AWS e monitorar AWS recursos em seu nome. O Security Hub usa essa função vinculada ao serviço em todos os Regiões da AWS lugares em que o Security Hub está disponível.
Uma função vinculada ao serviço facilita a configuração do Security Hub, já que não é preciso adicionar as permissões necessárias manualmente. O Security Hub define as permissões da função vinculada ao serviço e, a menos que definido em contrário, somente o Security Hub pode assumir a função. As permissões definidas incluem a política de confiança e a política de permissões, a qual não pode ser anexada a nenhuma outra entidade do IAM.
Para ver os detalhes da função vinculada ao serviço, na página Configurações do console do Security Hub, escolha Geral e, em seguida, Exibir permissões do serviço.
Você poderá excluir a função vinculada ao serviço do Security Hub somente depois de desabilitá-lo em todas as regiões em que estiver habilitado. Isso protege seus recursos do Security Hub, porque não é possível remover inadvertidamente as permissões para acessá-los.
Para informações sobre outros serviços que são compatíveis com as funções vinculadas ao serviço, consulte Serviços AWS compatíveis com o IAM no Guia do usuário do IAM e procure pelos serviços com Sim na coluna Função vinculada ao serviço. Escolha um Sim com um link para visualizar a documentação do perfil vinculado a esse serviço.
Tópicos
Permissões da função vinculada ao serviço do Security Hub
O Security Hub usa a função vinculada ao serviço chamada AWSServiceRoleForSecurityHub. É uma função vinculada ao serviço necessária do AWS Security Hub para acessar seus recursos. A função vinculada ao serviço permite que o Security Hub receba descobertas de outros Serviços da AWS e configure o requisito de infraestrutura do AWS Config necessário para executar verificações de segurança dos controles.
A função vinculada ao serviço AWSServiceRoleForSecurityHub confia nos seguintes serviços para aceitar a função:
-
securityhub.amazonaws.com
A função vinculada ao serviço AWSServiceRoleForSecurityHub usa a política gerenciada AWSSecurityHubServiceRolePolicy.
É necessário conceder permissões para permitir que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua uma função vinculada ao serviço. Para que a função vinculada ao serviço AWSServiceRoleForSecurityHub seja criada com êxito, a identidade do IAM usada por você para acessar o Security Hub ter as permissões necessárias. Para conceder as permissões necessárias, anexe a seguinte política ao usuário, grupo ou função do.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "securityhub:*", "Resource": "*" }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringLike": { "iam:AWSServiceName": "securityhub.amazonaws.com" } } } ] }
Criar uma função vinculada ao serviço no Security Hub
A função vinculada ao serviço AWSServiceRoleForSecurityHub é criada automaticamente quando você habilita o Security Hub pela primeira vez ou habilita o Security Hub em uma região compatível na qual ele não tenha sido habilitado anteriormente. Também é possível criar a função vinculada ao serviço AWSServiceRoleForSecurityHub manualmente usando o console do IAM, o IAM CLI ou o IAM API.
Importante
A função vinculada ao serviço criada para a conta de administrador do Security Hub não se aplica às contas-membro do Security Hub.
Para mais informações sobre a criação da função manualmente, consulte Criar uma função vinculada ao serviço no Guia do usuário do IAM.
Editar uma função vinculada ao serviço no Security Hub
O Security Hub não permite que você edite a função vinculada a serviço AWSServiceRoleForSecurityHub. Depois que você criar um perfil vinculado ao serviço, não poderá alterar o nome do perfil, pois várias entidades podem fazer referência ao perfil. No entanto, será possível editar a descrição da função usando o IAM. Para obter mais informações, consulte Editar uma função vinculada a serviço no Guia do usuário do IAM.
Excluir uma função vinculada ao serviço no Security Hub
Se você não precisar mais usar um recurso ou serviço que requer um perfil vinculado ao serviço, é recomendável excluí-lo. Dessa forma, você não terá uma entidade não utilizada e não monitorada ativamente ou mantida.
Importante
Para excluir a função vinculada ao serviço AWSServiceRoleForSecurityHub, primeiro desabilite o Security Hub em todas as regiões em que estiver habilitado.
Se o Security Hub não estiver desabilitado quando você tentar excluir a função vinculada ao serviço, haverá falha na exclusão. Para ter mais informações, consulte Desabilitar o Security Hub.
Quando você desabilitar o Security Hub, a função vinculada ao serviço AWSServiceRoleForSecurityHub não será automaticamente excluída. Se você habilitar o Security Hub novamente, ele começará usando a função vinculada ao serviço AWSServiceRoleForSecurityHub existente.
Como excluir manualmente o perfil vinculado ao serviço usando o IAM
Use o console, a CLI ou a API do IAM para excluir a função vinculada ao serviço AWSServiceRoleForSecurityHub. Para obter mais informações, consulte Excluir uma função vinculada ao serviço no Guia do usuário do IAM.
