本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
用于配置标准和控件的 IAM 权限
要查看有关安全控制的信息以及启用和禁用标准中的安全控制,用于访问的 Amazon Identity and Access Management (IAM) 角色 Amazon Security Hub 需要调用以下 API 操作的权限。如果不为这些操作添加权限,则无法调用这些 API。要获得必要的权限,您可以使用 Security Hub 托管策略。或者,您可以更新自定义 IAM policy 以包含这些操作的权限。自定义策略还应包括 DescribeStandardsControls
和 UpdateStandardsControl
API 的权限。
-
— 返回有关当前账户和的一批安全控制措施的信息 Amazon Web Services 区域。BatchGetSecurityControls
-
——确定账户中每个启用的标准中当前是启用还是禁用了安全控件。ListStandardsControlAssociations
-
——对于一批安全控件,标识每个控件当前是在指定标准中启用还是禁用。BatchGetStandardsControlAssociations
-
——用于在包含该控件的标准中启用安全控件,或禁用标准中的控件。如果管理员不想允许成员账户启用或禁用控件,则可以批量替代现有BatchUpdateStandardsControlAssociations
UpdateStandardsControl
API。
除了前面的 API 之外,您还应该添加调用 BatchGetControlEvaluations
的权限至 IAM 角色。要在 Security Hub 控制台上查看控件的启用和合规性状态、控件的调查发现计数以及控件的总体安全评分,需要此权限。由于只有控制台调用 BatchGetControlEvaluations
,因此此 IAM 权限并不直接对应于公开记录的 Security Hub API 或 Amazon CLI 命令。
有关控件和标准相关的 API 的更多信息,请参阅 Amazon Security Hub API 参考。