在 Security Hub CSPM 中配置控件所需的权限

要查看有关安全控制的信息以及启用和禁用标准中的安全控制，用于访问 Security Hub CSPM 的 AWS Identity and Access Management (IAM) 角色需要调用 Sec AWS urity Hub CSPM API 的以下操作的权限。

要获得必要的权限，您可以使用 Sec urity Hub CSPM 托管策略。或者，您可以更新自定义 IAM policy 以包含这些操作的权限。

• BatchGetSecurityControls— 返回有关当前账户和的一批安全控制措施的信息 AWS 区域。

• ListSecurityControlDefinitions——返回有关适用于指定标准的安全控件的信息。

• ListStandardsControlAssociations——确定账户中每个启用的标准中当前是启用还是禁用了安全控件。

• BatchGetStandardsControlAssociations——对于一批安全控件，标识每个控件当前是在指定标准中启用还是禁用。

• BatchUpdateStandardsControlAssociations——用于在包含该控件的标准中启用安全控件，或禁用标准中的控件。这会批量替代现有 UpdateStandardsControl 操作。

• BatchUpdateStandardsControlAssociations – 用于在包含安全控件的标准中启用或禁用一批控件。这会批量替代现有 UpdateStandardsControl 操作。

• UpdateStandardsControl – 用于在包含安全控件的标准中启用或禁用单个安全控件

• DescribeStandardsControl – 返回有关指定的安全控件的详细信息。

除上述内容外 APIs，您还应添加调用BatchGetControlEvaluations您的 IAM 角色的权限。此权限是在 Security Hub CSPM 控制台上查看控件的启用和合规状态、控件的发现次数以及控件的总体安全评分所必需的。由于只有控制台调用BatchGetControlEvaluations，因此此权限并不直接对应于公开记录的 Security Hub CSPM APIs 或 AWS CLI 命令。