Security Hub 的服務連結角色 - AWS Security Hub
Security Hub 的服務連結角色權限建立 Security Hub 的服務連結角色編輯 Security Hub 的服務連結角色刪除 Security Hub 的服務連結角色

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Security Hub 的服務連結角色

AWS Security Hub使用名AWSServiceRoleForSecurityHub為的 AWS Identity and Access Management (IAM) 服務連結角色。此服務連結角色是直接連結至 Security Hub 的 IAM 角色。它是由 Security Hub 預先定義的,它包括 Security Hub 呼叫其他AWS 服務並代表您監視AWS資源所需的所有權限。Security Hub 會在所有可用的安全中心使用此服務連結的角色。AWS 區域

服務連結角色可讓您輕鬆設定 Security Hub,因為您不需要手動新增必要的權限。資訊安全中心定義其服務連結角色的權限,除非權限另有定義,否則只有 Security Hub 可以擔任該角色。定義的許可包括信任政策和許可政策,而且您無法將該許可政策附加到任何其他 IAM 實體。

若要檢視服務連結角色的詳細資料,請在 Security Hub 主控台的 [設定] 頁面上,選擇 [一般],然後選擇 [檢視服務權限]。

您只能刪除 Security Hub 服務連結的角色,只有在已啟用資訊安全中心的所有區域中第一次停用資訊安全中心後。這樣可以保護您的 Security Hub 資源,因為您無法不小心移除存取這些資源的權限。

如需其他支援服務連結角色之服AWS務的相關資訊,請參閱 IAM 使用者指南中的與 IAM 搭配使用的服務,並在服務連結角色欄中找出具有的服務。選擇具有連結的,以檢視該服務的服務連結角色文件。

Security Hub 的服務連結角色權限

Security Hub 使用名為AWSServiceRoleForSecurityHub的服務連結角色。這是存取資源所需的AWS Security Hub服務連結角色。服務連結角色可讓 Security Hub 接收來自其他人的發現項目,AWS 服務並設定必要的AWS Config基礎結構以執行控制項的安全性檢查。

AWSServiceRoleForSecurityHub 服務連結角色信任下列服務以擔任角色:

  • securityhub.amazonaws.com

AWSServiceRoleForSecurityHub 服務連結角色使用受管政策 AWSSecurityHubServiceRolePolicy

您必須授與權限,才能允許 IAM 身分 (例如角色、群組或使用者) 建立、編輯或刪除服務連結角色。若要成功建立AWSServiceRoleForSecurityHub服務連結角色,您用來存取 Security Hub 的 IAM 身分必須具有必要的權限。若要授與必要權限,請將下列原則附加至角色、群組或使用者。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "securityhub:*",
            "Resource": "*"    
        },
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": "securityhub.amazonaws.com"
                }
            }
        }
    ]
}

建立 Security Hub 的服務連結角色

當您第一次啟用 Security Hub,或在先前未啟用的支援區域中啟用 Security Hub 時,會自動建立AWSServiceRoleForSecurityHub服務連結角色。您也可以使用 IAM 主控台、IAM CLI 或 IAM API 來手動建立 AWSServiceRoleForSecurityHub 服務連結角色。

重要

針對 Security Hub 系統管理員帳戶建立的服務連結角色不適用於 Security Hub 成員帳戶。

如需有關手動建立角色的詳細資訊,請參閱《IAM 使用者指南》中的建立服務連結角色

編輯 Security Hub 的服務連結角色

Security Hub 不允許您編輯AWSServiceRoleForSecurityHub服務連結的角色。因為可能有各種實體會參考服務連結角色,所以您無法在建立角色之後變更其名稱。然而,您可使用 IAM 來編輯角色描述。如需詳細資訊,請參閱 IAM 使用者指南中的編輯服務連結角色

刪除 Security Hub 的服務連結角色

若您不再使用需要服務連結角色的功能或服務,我們建議您刪除該角色。這樣就不會有未積極監控或維護的未使用實體。

重要

若要刪除AWSServiceRoleForSecurityHub服務連結角色,您必須先停用所有已啟用資訊安全中心的區域中的資訊安全中心。

如果在嘗試刪除服務連結角色時未停用 Security Hub,則刪除會失敗。如需詳細資訊,請參閱 停用 Security Hub

當您停用 Security Hub 時,會自動刪除AWSServiceRoleForSecurityHub服務連結的角色。如果您再次啟用 Security Hub,它會開始使用現有的AWSServiceRoleForSecurityHub服務連結角色。

使用 IAM 手動刪除服務連結角色

使用 IAM 主控台、IAM CLI 或 IAM API 刪除 AWSServiceRoleForSecurityHub 服務連結角色。如需詳細資訊,請參閱《IAM 使用者指南》中的刪除服務連結角色