AWS Security Hub 的 受管政策 - AWS Security Hub
AWSSecurityHubFullAccessAWSSecurityHubReadOnlyAccess AWSSecurityHubOrganizationsAccess AWSSecurityHubServiceRolePolicyAWSSecurityHubV2ServiceRolePolicy政策更新

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS Security Hub 的 受管政策

AWS 受管政策是由 AWS AWS 受管政策建立和管理的獨立政策旨在為許多常用案例提供許可,以便您可以開始將許可指派給使用者、群組和角色。

請記住, AWS 受管政策可能不會授予特定使用案例的最低權限許可,因為這些許可可供所有 AWS 客戶使用。我們建議您定義使用案例專屬的客戶管理政策,以便進一步減少許可。

您無法變更 AWS 受管政策中定義的許可。如果 AWS 更新受 AWS 管政策中定義的許可,則更新會影響政策連接的所有委託人身分 (使用者、群組和角色)。 AWS 服務 當新的 啟動或新的 API 操作可用於現有服務時, AWS 最有可能更新 AWS 受管政策。

如需詳細資訊,請參閱《IAM 使用者指南》中的 AWS 受管政策

AWS 受管政策: AWSSecurityHubFullAccess

您可將 AWSSecurityHubFullAccess 政策連接到 IAM 身分。

此政策會授予管理許可,允許委託人完整存取所有 Security Hub CSPM 動作。此政策必須連接到委託人,才能為其帳戶手動啟用 Security Hub CSPM。例如,具有這些許可的主體可以檢視和更新調查結果的狀態。他們也可以設定自訂洞見、啟用整合,以及啟用和停用標準和控制項。管理員帳戶的主體也可以管理成員帳戶。

許可詳細資訊

此政策包含以下許可:

  • securityhub – 允許主體完整存取所有 Security Hub CSPM 動作。

  • guardduty – 允許主體取得 Amazon GuardDuty 中帳戶狀態的相關資訊。

  • iam – 允許主體為 Security Hub CSPM 和 Security Hub 建立服務連結角色。

  • inspector – 允許主體取得 Amazon Inspector 中帳戶狀態的相關資訊。

  • pricing – 允許主體取得 AWS 服務 和 產品的價目表。

若要檢閱此政策的許可,請參閱《 AWS 受管政策參考指南AWSSecurityHubFullAccess》中的 。

AWS 受管政策: AWSSecurityHubReadOnlyAccess

您可將 AWSSecurityHubReadOnlyAccess 政策連接到 IAM 身分。

此政策授予唯讀許可,允許使用者檢視 Security Hub CSPM 中的資訊。附加此政策的主體無法在 Security Hub CSPM 中進行任何更新。例如,具有這些許可的主體可以檢視與其帳戶相關聯的調查結果清單,但無法變更調查結果的狀態。他們可以檢視洞見的結果,但無法建立或設定自訂洞見。他們無法設定控制項或產品整合。

許可詳細資訊

此政策包含以下許可:

  • securityhub – 允許使用者執行傳回項目清單或項目詳細資訊的動作。這包括以 GetList或 開頭的 API 操作Describe

若要檢閱此政策的許可,請參閱《 AWS 受管政策參考指南AWSSecurityHubReadOnlyAccess》中的 。

AWS 受管政策: AWSSecurityHubOrganizationsAccess

您可將 AWSSecurityHubOrganizationsAccess 政策連接到 IAM 身分。

此政策授予管理許可,以為 中的組織啟用和管理 Security Hub 和 Security Hub CSPM AWS Organizations。此政策的許可允許組織管理帳戶指定 Security Hub 和 Security Hub CSPM 的委派管理員帳戶。它們也允許委派的管理員帳戶將組織帳戶啟用為成員帳戶。

此政策僅提供 的許可 AWS Organizations。組織管理帳戶和委派管理員帳戶也需要相關動作的許可。您可以使用 AWSSecurityHubFullAccess受管政策授予這些許可。

許可詳細資訊

此政策包含以下許可:

  • organizations:ListAccounts – 允許主體擷取屬於組織一部分的帳戶清單。

  • organizations:DescribeOrganization – 允許主體擷取組織的相關資訊。

  • organizations:ListRoots – 允許主體列出組織的根目錄。

  • organizations:ListDelegatedAdministrators – 允許主體列出組織的委派管理員。

  • organizations:ListAWSServiceAccessForOrganization – 允許主體列出 AWS 服務 組織使用的 。

  • organizations:ListOrganizationalUnitsForParent – 允許主體列出父 OU 的子組織單位 (OU)。

  • organizations:ListAccountsForParent – 允許主體列出父 OU 的子帳戶。

  • organizations:ListParents – 列出做為指定子 OUs 或帳戶的直接父項的根或組織單位 (OU)。

  • organizations:DescribeAccount – 允許主體擷取組織中帳戶的相關資訊。

  • organizations:DescribeOrganizationalUnit – 允許主體擷取組織中 OU 的相關資訊。

  • organizations:ListPolicies – 擷取組織中指定類型的所有政策清單。

  • organizations:ListPoliciesForTarget – 列出直接連接到指定目標根目錄、組織單位 (OU) 或帳戶的政策。

  • organizations:ListTargetsForPolicy – 列出指定政策連接的所有根目錄、組織單位 (OUs) 和帳戶。

  • organizations:EnableAWSServiceAccess – 允許主體啟用與 Organizations 的整合。

  • organizations:RegisterDelegatedAdministrator – 允許主體指定委派的管理員帳戶。

  • organizations:DeregisterDelegatedAdministrator – 允許主體移除委派的管理員帳戶。

  • organizations:DescribePolicy – 擷取政策的相關資訊。

  • organizations:DescribeEffectivePolicy – 傳回指定政策類型和帳戶的有效政策內容。

  • organizations:CreatePolicy – 建立可連接到根、組織單位 (OU) 或個別 AWS 帳戶之指定類型的政策。

  • organizations:UpdatePolicy – 使用新名稱、描述或內容更新現有政策。

  • organizations:DeletePolicy – 從您的組織刪除指定的政策。

  • organizations:AttachPolicy – 將政策連接至根帳戶、組織單位 (OU) 或個別帳戶。

  • organizations:DetachPolicy – 從目標根目錄、組織單位 (OU) 或帳戶分離政策。

  • organizations:EnablePolicyType – 在根目錄中啟用政策類型。

  • organizations:DisablePolicyType – 在根目錄中停用組織政策類型。

  • organizations:TagResource – 將一或多個標籤新增至指定的資源。

  • organizations:UntagResource – 從指定的資源移除具有指定金鑰的任何標籤。

  • organizations:ListTagsForResource – 列出連接至指定資源的標籤。

若要檢閱此政策的許可,請參閱《 AWS 受管政策參考指南AWSSecurityHubOrganizationsAccess》中的 。

AWS 受管政策: AWSSecurityHubServiceRolePolicy

您不得將 AWSSecurityHubServiceRolePolicy 連接到 IAM 實體。此政策會連接到服務連結角色,允許 Security Hub CSPM 代表您執行動作。如需詳細資訊,請參閱的服務連結角色 AWS Security Hub

此政策會授予管理許可,允許服務連結角色執行任務,例如執行 Security Hub CSPM 控制項的安全檢查。

許可詳細資訊

此政策包含以下許可:

  • cloudtrail – 擷取 CloudTrail 追蹤的相關資訊。

  • cloudwatch – 擷取目前的 CloudWatch 警示。

  • logs – 擷取 CloudWatch 日誌的指標篩選條件。

  • sns – 擷取 SNS 主題的訂閱清單。

  • config – 擷取組態記錄器、資源和 AWS Config 規則的相關資訊。也允許服務連結角色建立和刪除 AWS Config 規則,並根據規則執行評估。

  • iam – 擷取和產生帳戶的登入資料報告。

  • organizations – 擷取組織的帳戶和組織單位 (OU) 資訊。

  • securityhub – 擷取如何設定 Security Hub CSPM 服務、標準和控制項的相關資訊。

  • tag – 擷取資源標籤的相關資訊。

若要檢閱此政策的許可,請參閱《 AWS 受管政策參考指南AWSSecurityHubServiceRolePolicy》中的 。

AWS 受管政策: AWSSecurityHubV2ServiceRolePolicy

注意

Security Hub 處於預覽版本,可能會有所變更。

此政策允許 Security Hub 代表您管理組織和 的 AWS Config 規則和 Security Hub 資源。此政策會連接到服務連結角色,允許服務代表您執行動作。無法將此政策附接到 IAM 身分。如需詳細資訊,請參閱的服務連結角色 AWS Security Hub

許可詳細資訊

此政策包含以下許可:

  • config – 管理 Security Hub 資源的服務連結組態記錄器。

  • iam – 建立 的服務連結角色 AWS Config。

  • organizations – 擷取組織的帳戶和組織單位 (OU) 資訊。

  • securityhub – 管理 Security Hub 組態。

  • tag – 擷取資源標籤的相關資訊。

若要檢閱此政策的許可,請參閱《 AWS 受管政策參考指南AWSSecurityHubV2ServiceRolePolicy》中的 。

AWS 受管政策的 Security Hub 更新

下表提供自此服務開始追蹤這些變更以來, AWS Security Hub 和 Security Hub CSPM AWS 受管政策更新的詳細資訊。如需政策更新的自動提醒,請訂閱 Security Hub 文件歷史記錄頁面上的 RSS 摘要。

變更 描述 日期
AWSSecurityHubOrganizationsAccess – 更新現有政策 Security Hub 已將新許可新增至政策。許可允許組織管理為組織啟用和管理 Security Hub 和 Security Hub CSPM。 2025 年 6 月 17 日

AWSSecurityHubFullAccess – 更新現有政策

Security Hub CSPM 新增了允許主體為 Security Hub 建立服務連結角色的新許可。

 2025 年 6 月 17 日

AWSSecurityHubV2ServiceRolePolicy – 新政策

Security Hub 新增了新的政策,以允許 Security Hub 代表客戶管理客戶組織和 的 AWS Config 規則和 Security Hub 資源。Security Hub 處於預覽版本,可能會有所變更。

 2025 年 6 月 17 日
AWSSecurityHubFullAccess – 更新現有政策 Security Hub CSPM 已更新政策,以取得 AWS 服務 和 產品的定價詳細資訊。 2024 年 4 月 24 日
AWSSecurityHubReadOnlyAccess – 更新現有政策 Security Hub CSPM 透過新增Sid欄位來更新此受管政策。 2024 年 2 月 22 日
AWSSecurityHubFullAccess – 更新現有政策 Security Hub CSPM 已更新政策,因此可以判斷帳戶中是否啟用 Amazon GuardDuty 和 Amazon Inspector。這有助於客戶整合來自多個 的安全相關資訊 AWS 服務。 2023 年 11 月 16 日
AWSSecurityHubOrganizationsAccess – 更新現有政策 Security Hub CSPM 已更新政策,授予其他許可,以允許對委派管理員功能進行 AWS Organizations 唯讀存取。這包括根目錄、組織單位 OUs)、帳戶、組織結構和服務存取等詳細資訊。 2023 年 11 月 16 日
AWSSecurityHubServiceRolePolicy – 更新至現有政策 Security Hub CSPM 新增了 BatchGetSecurityControls、 和 UpdateSecurityControl許可DisassociateFromAdministratorAccount,以讀取和更新可自訂的安全控制屬性。 2023 年 11 月 26 日
AWSSecurityHubServiceRolePolicy – 更新至現有政策 Security Hub CSPM 新增了讀取與問題清單相關資源標籤的tag:GetResources許可。 2023 年 11 月 7 日
AWSSecurityHubServiceRolePolicy – 更新至現有政策 Security Hub CSPM 新增BatchGetStandardsControlAssociations了許可,以取得有關標準中控制項啟用狀態的資訊。 2023 年 9 月 27 日
AWSSecurityHubServiceRolePolicy – 更新至現有政策 Security Hub CSPM 新增了取得 AWS Organizations 資料以及讀取和更新 Security Hub CSPM 組態的新許可,包括標準和控制項。 2023 年 9 月 20 日
AWSSecurityHubServiceRolePolicy – 更新至現有政策 Security Hub CSPM 將現有config:DescribeConfigRuleEvaluationStatus許可移至政策中的不同陳述式。config:DescribeConfigRuleEvaluationStatus 許可現在會套用至所有資源。 2023 年 3 月 17 日
AWSSecurityHubServiceRolePolicy – 更新至現有政策 Security Hub CSPM 將現有config:PutEvaluations許可移至政策中的不同陳述式。config:PutEvaluations 許可現在會套用至所有資源。 2021 年 7 月 14 日
AWSSecurityHubServiceRolePolicy – 更新至現有政策 Security Hub CSPM 新增了允許服務連結角色交付評估結果的許可 AWS Config。 2021 年 6 月 29 日
AWSSecurityHubServiceRolePolicy – 已新增至受管政策清單 新增受管政策 AWSSecurityHubServiceRolePolicy 的相關資訊,該政策由 Security Hub CSPM 服務連結角色使用。 2021 年 6 月 11 日
AWSSecurityHubOrganizationsAccess – 新政策 Security Hub CSPM 新增了新的政策,授予 Security Hub CSPM 與 Organizations 整合所需的許可。 2021 年 3 月 15 日
Security Hub CSPM 已開始追蹤變更 Security Hub CSPM 開始追蹤其 AWS 受管政策的變更。 2021 年 3 月 15 日