在 Security Hub CSPM 中設定控制項所需的許可

若要檢視安全控制的相關資訊，並在標準中啟用和停用安全控制，您用來存取 AWS Security Hub CSPM 的 AWS Identity and Access Management (IAM) 角色需要許可，才能呼叫 Security Hub CSPM API 的下列操作。

若要取得必要的許可，您可以使用 Security Hub CSPM 受管政策。或者，您可以更新自訂 IAM 政策，以包含這些動作的許可。

• BatchGetSecurityControls – 傳回目前帳戶和 之安全控制批次的相關資訊 AWS 區域。

• ListSecurityControlDefinitions – 傳回適用於指定標準之安全控制的相關資訊。

• ListStandardsControlAssociations – 識別安全控制目前是否在帳戶中的每個已啟用標準中啟用或停用。

• BatchGetStandardsControlAssociations – 對於一批安全控制項， 會識別每個控制項目前是否在指定的標準中啟用或停用。

• BatchUpdateStandardsControlAssociations – 用來在包含控制項的標準中啟用安全控制項，或在標準中停用控制項。這是現有UpdateStandardsControl操作的批次取代。

• BatchUpdateStandardsControlAssociations – 用來啟用或停用包含控制項之標準中的一批安全控制項。這是現有UpdateStandardsControl操作的批次取代。

• UpdateStandardsControl – 用來啟用或停用包含控制項之標準中的單一安全控制項

• DescribeStandardsControl – 傳回指定安全控制的詳細資訊。

除了上述 APIs，您應該新增呼叫 BatchGetControlEvaluations IAM 角色的許可。此許可是檢視控制項的啟用和合規狀態、控制項的問題清單計數，以及 Security Hub CSPM 主控台上控制項的整體安全分數的必要許可。由於只有主控台呼叫 BatchGetControlEvaluations，此許可不會直接對應至公開記載的 Security Hub CSPM APIs 或 AWS CLI 命令。