對 AWS Security Hub 身分與存取進行疑難排解 - AWS Security Hub
我沒有在安全中心執行動作的授權我沒有授權執行 iam:PassRole我想要以程式設計方式存取 Security Hub我是系統管理員,想要允許其他人存取 Security Hub我想允許我以外的人員存AWS 帳戶取我的 Security Hub 資源

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

對 AWS Security Hub 身分與存取進行疑難排解

使用下列資訊可協助您診斷和修正使用 Security Hub 和 IAM 時可能會遇到的常見問題。

我沒有在安全中心執行動作的授權

若 AWS Management Console 告知您並未獲得執行動作的授權,您必須聯絡您的管理員以取得協助。您的管理員是為您提供登入憑證的人員。

當使用者mateojackson嘗試使用主控台來檢視 Widget 的詳細資料,但沒有securityhub:GetWidget權限時,就會發生下列範例錯誤。

User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: securityhub:GetWidget on resource: my-example-widget

在此情況下,Mateo 會請求管理員更新他的政策,允許他使用 my-example-widget 動作存取 securityhub:GetWidget 資源。

我沒有授權執行 iam:PassRole

如果您收到未授權執行iam:PassRole動作的錯誤訊息,則必須更新您的原則,以允許您將角色傳遞至 Security Hub。

有些 AWS 服務 允許您傳遞現有的角色至該服務,而無須建立新的服務角色或服務連結角色。如需執行此作業,您必須擁有將角色傳遞至該服務的許可。

當名為的 IAM 使用者marymajor嘗試使用主控台在 Security Hub 中執行動作時,就會發生下列範例錯誤。但是,該動作要求服務具備服務角色授與的許可。Mary 沒有將角色傳遞至該服務的許可。

User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole

在這種情況下,Mary 的政策必須更新,允許她執行 iam:PassRole 動作。

如需任何協助,請聯絡您的 AWS​ 管理員。您的管理員提供您的登入憑證。

我想要以程式設計方式存取 Security Hub

若使用者想要與 AWS Management Console 之外的 AWS 互動,則需要程式設計存取權。授予程式設計存取權的方式取決於存取 AWS 的使用者類型。

若要授予使用者程式設計存取權,請選擇下列其中一個選項。

哪個使用者需要程式設計存取權? By

人力身分

(IAM Identity Center 中管理的使用者)

 使用臨時憑證簽署對 AWS CLI、AWS SDKs 或 AWS APIs 的程式設計請求。

請依照您要使用的介面所提供的指示操作。
IAM 使用臨時憑證簽署對 AWS CLI、AWS SDKs 或 AWS APIs 的程式設計請求。 請遵循 IAM 使用者指南使用臨時憑證搭配 AWS 資源 中的指示。
IAM

(不建議使用)

使用長期憑證簽署 AWS CLI、AWS SDKs 或 AWS APIs 的程式設計要求。

請依照您要使用的介面所提供的指示操作。

我是系統管理員,想要允許其他人存取 Security Hub

若要提供存取權,請新增權限至您的使用者、群組或角色:

  • AWS IAM Identity Center 中的使用者和群組:

    建立權限合集。請遵循 AWS IAM Identity Center 使用者指南建立權限合集 中的指示。

  • 透過身分提供者在 IAM 中管理的使用者:

    建立聯合身分的角色。請遵循 IAM 使用者指南為第三方身分提供者 (聯合) 建立角色 中的指示。

  • IAM 使用者:

我想允許我以外的人員存AWS 帳戶取我的 Security Hub 資源

您可以建立一個角色,讓其他帳戶中的使用者或您的組織外部的人員存取您的資源。您可以指定要允許哪些信任物件取得該角色。針對支援基於資源的政策或存取控制清單 (ACL) 的服務,您可以使用那些政策來授予人員存取您的資源的許可。

如需進一步了解,請參閱以下內容: