Security Hub 票證整合的 KMS 金鑰政策 - AWS Security Hub
Security Hub 許可政策Security Hub 操作的 IAM 主體存取

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Security Hub 票證整合的 KMS 金鑰政策

搭配 Security Hub 票證整合使用客戶受管 KMS 金鑰時,需要將其他政策新增至 KMS 金鑰,以允許 Security Hub 與金鑰互動。此外,需要新增政策,以允許將金鑰新增至 Security Hub 連接器許可的主體存取金鑰。

Security Hub 許可政策

下列政策概述 Security Hub 能夠存取和使用與 Jira 和 ServiceNow 連接器相關聯的 KMS 金鑰所需的許可。此政策需要新增至與 Security Hub 連接器相關聯的每個 KMS 金鑰。

政策包含下列許可:

  • 允許 Security Hub 使用 金鑰來保護、暫時存取或重新整理用於與您的票證整合通訊的字符。透過檢查來源 ARN 和加密內容的條件區塊,許可僅限於與特定 Security Hub 連接器相關的操作。

  • 允許 Security Hub 透過允許 DescribeKey操作來讀取有關 KMS 金鑰的中繼資料。Security Hub 必須具備此許可,才能驗證金鑰的狀態和組態。存取僅限於透過來源 ARN 條件的特定 Security Hub 連接器。


{
    "Sid": "Allow Security Hub access to the customer managed key",
    "Effect": "Allow",
    "Principal": {
        "Service": "connector.securityhub.amazonaws.com"
    },
    "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt",
        "kms:ReEncrypt*"
    ],
    "Resource": "*",
    "Condition": {
        "ArnLike": {
            "aws:SourceArn": "arn:aws:securityhub:Region:AccountId:connectorv2/*"
        },
        "StringLike": {
            "kms:EncryptionContext:aws:securityhub:connectorV2Arn": "arn:aws:securityhub:Region:AccountId:connectorv2/*",
            "kms:EncryptionContext:aws:securityhub:providerName": "CloudProviderName"
        }
    }
},
{
    "Sid": "Allow Security Hub read access to the customer managed key",
    "Effect": "Allow",
    "Principal": {
        "Service": "connector.securityhub.amazonaws.com"
    },
    "Action": [
        "kms:DescribeKey"
    ],
    "Resource": "*",
    "Condition": {
        "ArnLike": {
            "aws:SourceArn": "arn:aws:securityhub:Region:AccountId:connectorv2/*"
        }
    }
}

透過取代政策範例中的下列值來編輯政策:

  • CloudProviderName 取代為 JIRA_CLOUDSERVICENOW

  • AccountId 取代為您建立 Security Hub 連接器的帳戶 ID。

  • 區域取代為您的 AWS 區域 (例如 us-east-1)。

Security Hub 操作的 IAM 主體存取

將客戶受管 KMS 金鑰指派給 Security Hub 連接器的任何委託人都需要具有許可,才能為要新增至連接器的金鑰執行金鑰操作 (描述、產生、解密、重新加密和列出別名)。這適用於 CreateConnectorV2CreateTicketV2 APIs。對於將與這些 APIs 互動的任何委託人,下列政策陳述式應包含在政策中。


{
    "Sid": "Allow permissions to access key through Security Hub",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::AccountId:role/RoleName"
    },
    "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt",
        "kms:ReEncrypt*"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "kms:ViaService": [
                "securityhub.Region.amazonaws.com"
            ]
        },
        "StringLike": {
            "kms:EncryptionContext:aws:securityhub:providerName": "CloudProviderName"
        }
    }
},
{
    "Sid": "Allow read permissions to access key through Security Hub",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::AccountId:role/RoleName"
    },
    "Action": [
        "kms:DescribeKey"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "kms:ViaService": [
                "securityhub.Region.amazonaws.com"
            ]
        }
    }
}

透過取代政策範例中的下列值來編輯政策:

  • RoleName 取代為呼叫 Security Hub 的 IAM 角色名稱。

  • CloudProviderName 取代為 JIRA_CLOUDSERVICENOW

  • AccountId 取代為您建立 Security Hub 連接器的帳戶 ID。

  • 區域取代為您的 AWS 區域 (例如 us-east-1)。