本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS Security Hub 的動作、資源和條件索引鍵
AWS Security Hub (服務字首:securityhub) 提供下列服務特有的資源、動作和條件內容索引鍵,可用於 IAM 許可政策。
參考資料:
-
了解如何設定此服務。
-
檢視可供此服務使用的 API 操作清單。
-
了解如何使用 IAM 許可政策來保護此服務及其資源。
AWS Security Hub 定義的動作
您可在 IAM 政策陳述式的 Action 元素中指定以下動作。使用政策來授予在 AWS 中執行操作的許可。在政策中使用動作時,通常會允許或拒絕存取相同名稱的 API 操作或 CLI 命令。不過,在某些情況下,單一動作可控制對多個操作的存取。或者,某些操作需要多種不同的動作。
「動作」資料表的資源類型欄會指出每個動作是否支援資源層級的許可。如果此欄沒有值,您必須在政策陳述式的 Resource 元素中指定政策適用的所有資源 ("*")。如果資料欄包含資源類型,則您可以在具有該動作的陳述式中指定該類型的 ARN。如果動作具有一或多個必要資源,呼叫者必須具有對這些資源使用動作的許可。表格中的必要資源會以星號 (*) 表示。如果您使用 IAM 政策中的 Resource 元素限制資源存取,則每種必要的資源類型必須要有 ARN 或模式。某些動作支援多種資源類型。如果資源類型是選用 (未顯示為必要),則您可以選擇使用其中一種選用資源類型。
「動作」資料表的條件索引鍵欄包含您可以在政策陳述式的 Condition 元素中指定的索引鍵。如需有關與服務資源相關聯之條件索引鍵的詳細資訊,請參閱「資源類型」資料表的條件索引鍵欄。
注意
資源條件索引鍵會列在資源類型資料表中。您可以在「動作」資料表的資源類型 (*必填) 欄中找到適用於動作的資源類型連結。「資源類型」資料表中的資源類型包括條件索引鍵欄,其中包含套用至「動作」資料表中動作的資源條件索引鍵。
如需下表各欄的詳細資訊,請參閱動作資料表。
| 動作 | 描述 | 存取層級 | 資源類型 (*必填項目) | 條件索引鍵 | 相依動作 |
|---|---|---|---|---|---|
| AcceptAdministratorInvitation | 准許接受 Security Hub 成為成員帳戶的邀請 | 寫入 | |||
| AcceptInvitation | 准許接受 Security Hub 成為成員帳戶的邀請 | 寫入 | |||
| BatchDeleteAutomationRules | 准許刪除 Security Hub 中的一個或多個自動化規則 | 寫入 | |||
| BatchDisableStandards | 准許停用 Security Hub 的標準 | 寫入 | |||
| BatchEnableStandards | 准許啟用 Security Hub 的標準 | 寫入 | |||
| BatchGetAutomationRules | 准許根據 Amazon Resource Name (ARN) 規則從 Security Hub 中擷取自動化規則清單 | 讀取 | |||
| BatchGetConfigurationPolicyAssociations | 准許擷取與呼叫帳戶組織之特定成員帳戶和組織單位清單相關聯的組態政策相關資訊 | 讀取 | |||
| BatchGetControlEvaluations [僅限許可] | 准許取得控制項的啟用和合規狀態、控制項的調查結果計數,以及 Security Hub 主控台上控制項的整體安全分數 | 讀取 | |||
| BatchGetSecurityControls | 准許取得由 ID 或 ARN 識別的特定安全控制的詳細資訊 | 讀取 |
securityhub:DescribeStandardsControls |
||
| BatchGetStandardsControlAssociations | 准許在標準中取得批次安全控制的啟用狀態 | 讀取 |
securityhub:DescribeStandardsControls |
||
| BatchImportFindings | 授予許可,將整合產品的問題清單匯入 Security Hub | 寫入 | |||
| BatchUpdateAutomationRules | 准許根據 Amazon Resource Name (ARN) 規則和輸入參數從 Security Hub 中更新一個或多個自動化規則 | 寫入 | |||
| BatchUpdateFindings | 准許更新選取的 Security Hub 發現項目集合的客戶控制欄位 | 寫入 | |||
| BatchUpdateStandardsControlAssociations | 准許在標準中更新批次安全控制的啟用狀態 | 寫入 |
securityhub:UpdateStandardsControl |
||
| CreateActionTarget | 准許在 Security Hub 中建立自訂動作 | 寫入 | |||
| CreateAutomationRule | 准許根據輸入參數建立自動化規則 | 寫入 | |||
| CreateConfigurationPolicy | 准許建立組態政策以管理 Security Hub 中的組織成員設定 | 寫入 | |||
| CreateFindingAggregator | 准許建立問題清單彙整工具,包含跨區域問題清單彙整組態 | 寫入 | |||
| CreateInsight | 准許在 Security Hub 中建立詳情。詳情是相關問題清單的集合 | 寫入 | |||
| CreateMembers | 准許在 Security Hub 中建立成員帳戶 | 寫入 | |||
| DeclineInvitations | 准許拒絕 Security Hub 成為成員帳戶的邀請 | 寫入 | |||
| DeleteActionTarget | 准許在 Security Hub 中刪除自訂動作 | 寫入 | |||
| DeleteConfigurationPolicy | 准許刪除現有的組態政策 | 寫入 | |||
| DeleteFindingAggregator | 准許刪除問題清單彙整工具,這會停用跨區域問題清單彙整 | 寫入 | |||
| DeleteInsight | 准許刪除 Security Hub 中的洞見。 | 寫入 | |||
| DeleteInvitations | 准許刪除 Security Hub 成為成員帳戶的邀請 | 寫入 | |||
| DeleteMembers | 准許刪除 Security Hub 成員帳戶 | 寫入 | |||
| DescribeActionTargets | 授予許可來使用 API 擷取自訂動作清單 | 讀取 | |||
| DescribeHub | 准許擷取您帳戶中的 Hub 資源資訊 | 讀取 | |||
| DescribeOrganizationConfiguration | 准許描述 Security Hub 組織組態 | 讀取 | |||
| DescribeProducts | 准許擷取可用的 Security Hub 產品整合資訊 | 讀取 | |||
| DescribeStandards | 准許擷取 Security Hub 標準的資訊 | 讀取 | |||
| DescribeStandardsControls | 准許擷取 Security Hub 標準控制項的資訊 | 讀取 | |||
| DisableImportFindingsForProduct | 准許停用 Security Hub 整合產品的問題清單匯入功能 | 寫入 | |||
| DisableOrganizationAdminAccount | 准許移除組織的 Security Hub 管理員帳戶 | 寫入 |
organizations:DescribeOrganization |
||
| DisableSecurityHub | 准許停用 Security Hub | 寫入 | |||
| DisassociateFromAdministratorAccount | 准許 Security Hub 成員帳戶取消與相關聯的管理員帳戶的關聯 | 寫入 | |||
| DisassociateFromMasterAccount | 授予 Security Hub 成員帳戶許可,使其能與相關聯的主帳戶取消關聯 | 寫入 | |||
| DisassociateMembers | 准許讓 Security Hub 成員帳戶與相關聯的管理員帳戶取消關聯 | 寫入 | |||
| EnableImportFindingsForProduct | 准許啟用 Security Hub 整合產品的問題清單匯入功能 | 寫入 | |||
| EnableOrganizationAdminAccount | 准許為組織指定 Security Hub 管理員帳戶 | 寫入 |
organizations:DescribeOrganization organizations:EnableAWSServiceAccess organizations:RegisterDelegatedAdministrator |
||
| EnableSecurityHub | 准許啟用 Security Hub | 寫入 | |||
| GetAdhocInsightResults [僅限許可] | 准許透過提供一組篩選條件而非洞見 ARN 來擷取洞見結果 | 讀取 | |||
| GetAdministratorAccount | 准許擷取 Security Hub 管理員帳戶的詳細資訊 | 讀取 | |||
| GetConfigurationPolicy | 准許取得呼叫帳戶所建立之一個組態政策的完整概觀 | 讀取 | |||
| GetConfigurationPolicyAssociation | 准許擷取與呼叫帳戶組織之成員帳戶或組織單位相關聯的組態政策相關資訊 | 讀取 | |||
| GetControlFindingSummary [僅限許可] | 准許擷取安全分數及某項安全標準的發現結果計數和控制狀態 | 讀取 | |||
| GetEnabledStandards | 准許擷取 Security Hub 中已啟用的標準清單 | 列出 | |||
| GetFindingAggregator | 准許擷取問題清單彙整工具的詳細資訊,這可設定跨區域問題清單彙整 | 讀取 | |||
| GetFindingHistory | 准許從 Security Hub 擷取調查結果歷程記錄的清單 | 讀取 | |||
| GetFindings | 准許擷取 Security Hub 問題清單的清單 | 讀取 | |||
| GetFreeTrialEndDate [僅限許可] | 准許擷取帳戶 Security Hub 免費試用的結束日期 | 讀取 | |||
| GetFreeTrialUsage [僅限許可] | 准許在免費試用期間擷取 Security Hub 用量的相關資訊 | 讀取 | |||
| GetInsightFindingTrend [僅限許可] | 准許從 Security Hub 擷取洞見問題清單趨勢以產生圖形 | 讀取 | |||
| GetInsightResults | 准許擷取 Security Hub 的詳情結果 | 讀取 | |||
| GetInsights | 准許擷取 Security Hub 洞見 | 列出 | |||
| GetInvitationsCount | 准許擷取傳送至帳戶的 Security Hub 成員資格邀請計數 | 讀取 | |||
| GetMasterAccount | 准許擷取 Security Hub 主帳戶的詳細資訊 | 讀取 | |||
| GetMembers | 准許擷取 Security Hub 成員帳戶的詳細資訊 | 讀取 | |||
| GetSecurityControlDefinition | 准許取得由 ID 識別的特定安全控制的定義詳細資訊 | 讀取 |
securityhub:DescribeStandardsControls |
||
| GetUsage [僅限許可] | 准許依帳戶擷取 Security Hub 用量的相關資訊 | 讀取 | |||
| InviteMembers | 准許邀請其他 AWS 帳戶成為 Security Hub 成員帳戶 | 寫入 | |||
| ListAutomationRules | 准許從 Security Hub 中擷取用於呼叫帳戶的自動化規則及其中繼資料 | 清單 | |||
| ListConfigurationPolicies | 准許列出呼叫帳戶建立之所有組態政策的摘要 | 清單 | |||
| ListConfigurationPolicyAssociations | 准許擷取與呼叫帳戶組織之所有成員帳戶和組織單位相關聯的所有組態政策相關資訊 | 清單 | |||
| ListControlEvaluationSummaries [僅限許可] | 准許針對某項標準擷取控制項清單,包括控制項 ID、狀態和發現結果計數 | 讀取 | |||
| ListEnabledProductsForImport | 授予許可,擷取目前已啟用的 Security Hub 整合產品 | 列出 | |||
| ListFindingAggregators | 准許擷取問題清單彙整工具清單,包含跨區域問題清單彙整組態 | 列出 | |||
| ListInvitations | 准許擷取傳送至帳戶的 Security Hub 邀請 | 列出 | |||
| ListMembers | 准許擷取與管理員帳戶關聯之 Security Hub 成員帳戶的詳細資訊 | 列出 | |||
| ListOrganizationAdminAccounts | 准許列出組織的 Security Hub 管理員帳戶 | 清單 |
organizations:DescribeOrganization |
||
| ListSecurityControlDefinitions | 准許擷取安全控制定義的清單,其中包含目前區域內安全控制的詳細資訊 | 清單 | |||
| ListStandardsControlAssociations | 准許在標準中列出安全控制的啟用狀態 | 清單 |
securityhub:DescribeStandardsControls |
||
| ListTagsForResource | 授予許可以列出與資源關聯的標籤清單 | 讀取 | |||
| SendFindingEvents [僅限許可] | 授予使用自訂動作將 Security Hub 發現項目傳送給 Amazon 的權限 EventBridge | 讀取 | |||
| SendInsightEvents [僅限許可] | 授予使用自訂動作將 Security Hub 見解傳送給 Amazon 的權限 EventBridge | 讀取 | |||
| StartConfigurationPolicyAssociation | 准許建立組態政策與呼叫帳戶組織中的成員帳戶或組織單位的關聯 | 寫入 | |||
| StartConfigurationPolicyDisassociation | 准許從呼叫帳戶組織中的成員帳戶或組織單位移除組態政策關聯 | 寫入 | |||
| TagResource | 准許將標籤新增至 Security Hub 資源 | 標記 | |||
| UntagResource | 准許移除 Security Hub 資源中的標籤 | 標記 | |||
| UpdateActionTarget | 准許更新 Security Hub 中的自訂動作 | 寫入 | |||
| UpdateConfigurationPolicy | 准許更新現有組態政策 | 寫入 | |||
| UpdateFindingAggregator | 准許更新問題清單彙整工具,包含跨區域問題清單彙整組態 | 寫入 | |||
| UpdateFindings | 准許更新 Security Hub 問題清單 | 寫入 | |||
| UpdateInsight | 准許更新 Security Hub 的詳情 | 寫入 | |||
| UpdateOrganizationConfiguration | 准許更新 Security Hub 的組織組態 | 寫入 | |||
| UpdateSecurityControl | 准許更新由 ID 或 ARN 識別之特定安全控制的屬性 | 寫入 |
securityhub:UpdateStandardsControl |
||
| UpdateSecurityHubConfiguration | 准許更新 Security Hub 組態 | 寫入 | |||
| UpdateStandardsControl | 准許更新 Security Hub 標準控制項 | 寫入 |
AWS Security Hub 定義的資源類型
此服務會定義下列資源類型,並可用在 IAM 許可政策陳述式的 Resource 元素中。動作資料表中的每個動作都會指明可使用該動作指定的資源類型。資源類型也能定義您可以在政策中包含哪些條件索引鍵。這些索引鍵都會顯示在「資源類型」資料表的最後一欄。如需下表各欄的詳細資訊,請參閱資源類型資料表。
| 資源類型 | ARN | 條件索引鍵 |
|---|---|---|
| hub |
arn:${Partition}:securityhub:${Region}:${Account}:hub/default
|
|
| product |
arn:${Partition}:securityhub:${Region}:${Account}:product/${Company}/${ProductId}
|
|
| finding-aggregator |
arn:${Partition}:securityhub:${Region}:${Account}:finding-aggregator/${FindingAggregatorId}
|
|
| automation-rule |
arn:${Partition}:securityhub:${Region}:${Account}:automation-rule/${AutomationRuleId}
|
|
| configuration-policy |
arn:${Partition}:securityhub:${Region}:${Account}:configuration-policy/${ConfigurationPolicyId}
|
AWS Security Hub 的條件索引鍵
AWS Security Hub 定義了下列條件索引鍵,可用於 IAM 政策的 Condition 元素。您可以使用這些索引鍵來縮小套用政策陳述式的條件。如需下表各欄的詳細資訊,請參閱條件索引鍵資料表。
若要檢視所有服務都可使用的全域條件索引鍵,請參閱可用全域條件索引鍵。
| 條件索引鍵 | 描述 | Type |
|---|---|---|
| aws:RequestTag/${TagKey} | 根據請求中的標籤鍵值對是否存在,依動作篩選存取權 | 字串 |
| aws:ResourceTag/${TagKey} | 根據連線到資源的標籤鍵值對,依動作篩選存取權 | 字串 |
| aws:TagKeys | 根據請求中的標籤索引鍵是否存在,依動作篩選存取權 | ArrayOfString |
| securityhub:ASFFSyntaxPath/${ASFFSyntaxPath} | 依請求中指定的欄位和值篩選存取權 | 字串 |
| securityhub:TargetAccount | 依要求中指定的 AwsAccountId 欄位篩選存取 | 字串 |
