AWSSecurity Hub 的 受管政策 - AWSSecurity Hub
AWSSecurityHubFullAccessAWSSecurityHubReadOnlyAccess AWSSecurityHubOrganizationsAccess AWSSecurityHubV2ServiceRolePolicy政策更新

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWSSecurity Hub 的 受管政策

AWS受管政策是由 AWSAWS受管政策建立和管理的獨立政策旨在為許多常用案例提供許可,以便您可以開始將許可指派給使用者、群組和角色。

請記住,AWS受管政策可能不會授予特定使用案例的最低權限許可,因為這些許可可供所有AWS客戶使用。我們建議您定義特定於使用案例的客戶管理政策,以便進一步減少許可。

您無法變更 AWS受管政策中定義的許可。如果 AWS更新受AWS管政策中定義的許可,則更新會影響政策連接的所有主體身分 (使用者、群組和角色)。AWS 服務當新的 啟動或新的 API 操作可用於現有服務時, AWS最有可能更新AWS受管政策。

如需詳細資訊,請參閱 IAM 使用者指南中的 AWS 受管政策

AWS受管政策: AWSSecurityHubFullAccess

您可將 AWSSecurityHubFullAccess 政策連接到 IAM 身分。

此政策會授予管理許可,允許委託人完整存取所有 Security Hub 動作。此政策必須連接到委託人,才能為其帳戶手動啟用 Security Hub。例如,具有這些許可的主體可以檢視和更新調查結果的狀態。他們也可以設定自訂洞見、啟用整合,以及啟用和停用標準和控制項。管理員帳戶的主體也可以管理成員帳戶。

許可詳細資訊

此政策包含以下許可:

  • securityhub – 允許主體完整存取所有 Security Hub 動作。

  • guardduty – 允許主體取得 Amazon GuardDuty 中帳戶狀態的相關資訊。

  • iam – 允許主體為 Security Hub 建立服務連結角色。

  • inspector – 允許主體取得 Amazon Inspector 中帳戶狀態的相關資訊。

  • pricing – 允許主體取得 AWS 服務和 產品的價目表。

若要檢閱此政策的許可,請參閱《 AWS受管政策參考指南AWSSecurityHubFullAccess》中的 。

AWS受管政策: AWSSecurityHubReadOnlyAccess

您可將 AWSSecurityHubReadOnlyAccess 政策連接到 IAM 身分。

此政策授予唯讀許可,允許使用者檢視 Security Hub 中的資訊。附加此政策的委託人無法在 Security Hub 中進行任何更新。例如,具有這些許可的主體可以檢視與其帳戶相關聯的調查結果清單,但無法變更調查結果的狀態。他們可以檢視洞見的結果,但無法建立或設定自訂洞見。他們無法設定控制項或產品整合。

許可詳細資訊

此政策包含以下許可:

  • securityhub – 允許使用者執行傳回項目清單或項目詳細資訊的動作。這包括以 GetList或 開頭的 API 操作Describe

若要檢閱此政策的許可,請參閱《 AWS受管政策參考指南AWSSecurityHubReadOnlyAccess》中的 。

AWS受管政策: AWSSecurityHubOrganizationsAccess

您可將 AWSSecurityHubOrganizationsAccess 政策連接到 IAM 身分。

此政策授予管理許可,以啟用和管理 中組織的 Security HubAWS Organizations。此政策的許可允許組織管理帳戶指定 Security Hub 的委派管理員帳戶。它們也允許委派的管理員帳戶將組織帳戶啟用為成員帳戶。

此政策僅提供 的許可AWS Organizations。組織管理帳戶和委派管理員帳戶也需要相關聯動作的許可。您可以使用 AWSSecurityHubFullAccess受管政策授予這些許可。

許可詳細資訊

此政策包含以下許可:

  • organizations:ListAccounts – 允許主體擷取屬於組織一部分的帳戶清單。

  • organizations:DescribeOrganization – 允許主體擷取組織的相關資訊。

  • organizations:ListRoots – 允許主體列出組織的根目錄。

  • organizations:ListDelegatedAdministrators – 允許主體列出組織的委派管理員。

  • organizations:ListAWSServiceAccessForOrganization – 允許主體列出AWS 服務組織使用的 。

  • organizations:ListOrganizationalUnitsForParent – 允許主體列出父 OU 的子組織單位 (OU)。

  • organizations:ListAccountsForParent – 允許主體列出父 OU 的子帳戶。

  • organizations:ListParents – 列出做為指定子 OUs 或帳戶的直接父項的根或組織單位 (OU)。

  • organizations:DescribeAccount – 允許主體擷取組織中帳戶的相關資訊。

  • organizations:DescribeOrganizationalUnit – 允許主體擷取組織中 OU 的相關資訊。

  • organizations:ListPolicies – 擷取組織中指定類型的所有政策清單。

  • organizations:ListPoliciesForTarget – 列出直接連接到指定目標根目錄、組織單位 (OU) 或帳戶的政策。

  • organizations:ListTargetsForPolicy – 列出指定政策連接的所有根目錄、組織單位 (OUs) 和帳戶。

  • organizations:EnableAWSServiceAccess – 允許主體啟用與 Organizations 的整合。

  • organizations:RegisterDelegatedAdministrator – 允許主體指定委派的管理員帳戶。

  • organizations:DeregisterDelegatedAdministrator – 允許主體移除委派的管理員帳戶。

  • organizations:DescribePolicy – 擷取政策的相關資訊。

  • organizations:DescribeEffectivePolicy – 傳回指定政策類型和帳戶的有效政策內容。

  • organizations:CreatePolicy – 建立可連接至根目錄、組織單位 (OU) 或個別AWS帳戶之指定類型的政策。

  • organizations:UpdatePolicy – 使用新名稱、描述或內容更新現有政策。

  • organizations:DeletePolicy – 從您的組織刪除指定的政策。

  • organizations:AttachPolicy – 將政策連接至根帳戶、組織單位 (OU) 或個別帳戶。

  • organizations:DetachPolicy – 從目標根目錄、組織單位 (OU) 或帳戶分離政策。

  • organizations:EnablePolicyType – 在根目錄中啟用政策類型。

  • organizations:DisablePolicyType – 在根目錄中停用組織政策類型。

  • organizations:TagResource – 將一或多個標籤新增至指定的資源。

  • organizations:UntagResource – 從指定的資源移除具有指定金鑰的任何標籤。

  • organizations:ListTagsForResource – 列出連接至指定資源的標籤。

若要檢閱此政策的許可,請參閱《 AWS受管政策參考指南AWSSecurityHubOrganizationsAccess》中的 。

AWS受管政策: AWSSecurityHubV2ServiceRolePolicy

注意

Security Hub 處於預覽版本,可能會有所變更。

此政策允許 Security Hub 代表您管理組織的AWS Config規則和 Security Hub 資源。此政策會連接到服務連結角色,允許服務代表您執行動作。無法將此政策附接到 IAM 身分。如需詳細資訊,請參閱AWSSecurity Hub 的服務連結角色

許可詳細資訊

此政策包含以下許可:

  • config – 管理 Security Hub 資源的服務連結組態記錄器。

  • iam – 建立 的服務連結角色AWS Config。

  • organizations – 擷取組織的帳戶和組織單位 (OU) 資訊。

  • securityhub – 管理 Security Hub 組態。

  • tag – 擷取資源標籤的相關資訊。

若要檢閱此政策的許可,請參閱《 AWS受管政策參考指南AWSSecurityHubV2ServiceRolePolicy》中的 。

AWS受管政策的 Security Hub 更新

下表提供有關自此服務開始追蹤AWS這些變更以來 Security Hub AWS受管政策更新的詳細資訊。如需政策更新的自動提醒,請訂閱 Security Hub 文件歷史記錄頁面上的 RSS 摘要。

變更 描述 Date

AWSSecurityHubOrganizationsAccess – 更新的政策

Security Hub 已更新政策,新增描述資源政策以支援 Security Hub 功能的許可。Security Hub 處於預覽版本,可能會有所變更。

 2025 年 11 月 12 日

AWSSecurityHubFullAccess – 更新的政策

Security Hub 已更新政策,新增有關管理 GuardDuty、Amazon Inspector 和帳戶管理的功能,以支援 Security Hub 功能。Security Hub 處於預覽版本,可能會有所變更。

 2025 年 11 月 17 日

AWSSecurityHubV2ServiceRolePolicy – 已更新政策

Security Hub 已更新政策,為 Amazon Elastic Container Registry、Amazon CloudWatch AWS Lambda和 新增計量功能AWS Identity and Access Management,以支援 Security Hub 功能。更新也新增了對全域AWS Config記錄器的支援。Security Hub 處於預覽版本,可能會有所變更。

 2025 年 11 月 5 日
AWSSecurityHubOrganizationsAccess – 更新現有政策 Security Hub 已將新許可新增至政策。許可允許組織管理為組織啟用和管理 Security Hub 和 Security Hub CSPM。 2025 年 6 月 17 日

AWSSecurityHubFullAccess – 更新現有政策

Security Hub CSPM 新增了允許主體為 Security Hub 建立服務連結角色的新許可。

 2025 年 6 月 17 日

AWSSecurityHubV2ServiceRolePolicy – 新政策

Security Hub 新增了一項政策,以允許 Security Hub 代表客戶管理客戶組織和 的AWS Config規則和 Security Hub 資源。Security Hub 處於預覽版本,可能會有所變更。

 2025 年 6 月 17 日
AWSSecurityHubFullAccess – 更新現有政策 Security Hub CSPM 已更新政策,以取得 AWS 服務和 產品的定價詳細資訊。 2024 年 4 月 24 日
AWSSecurityHubReadOnlyAccess – 更新現有政策 Security Hub CSPM 透過新增Sid欄位來更新此受管政策。 2024 年 2 月 22 日
AWSSecurityHubFullAccess – 更新現有政策 Security Hub CSPM 已更新政策,因此可以判斷帳戶中是否啟用 Amazon GuardDuty 和 Amazon Inspector。這有助於客戶整合來自多個 的安全相關資訊AWS 服務。 2023 年 11 月 16 日
AWSSecurityHubOrganizationsAccess – 更新現有政策 Security Hub CSPM 已更新政策,授予其他許可,以允許對委派管理員功能進行AWS Organizations唯讀存取。這包括根目錄、組織單位 OUs)、帳戶、組織結構和服務存取等詳細資訊。 2023 年 11 月 16 日
AWSSecurityHubOrganizationsAccess – 新政策 Security Hub CSPM 新增了新的政策,授予 Security Hub CSPM 與 Organizations 整合所需的許可。 2021 年 3 月 15 日
Security Hub CSPM 已開始追蹤變更 Security Hub CSPM 開始追蹤其AWS受管政策的變更。 2021 年 3 月 15 日