本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
在 Security Hub CSPM 中配置控件所需的权限
要查看有关安全控制的信息以及启用和禁用标准中的安全控制,用于访问 Security Hub CSPM 的 Amazon Identity and Access Management (IAM) 角色需要调用 Sec Amazon urity Hub CSPM API 的以下操作的权限。
要获得必要的权限,您可以使用 Security Hub CSPM 托管策略。或者,您可以更新自定义 IAM policy 以包含这些操作的权限。
-
BatchGetSecurityControls— 返回有关当前账户和的一批安全控制措施的信息 Amazon Web Services 区域。
-
ListSecurityControlDefinitions——返回有关适用于指定标准的安全控件的信息。
-
ListStandardsControlAssociations——确定账户中每个启用的标准中当前是启用还是禁用了安全控件。
-
BatchGetStandardsControlAssociations——对于一批安全控件,标识每个控件当前是在指定标准中启用还是禁用。
-
BatchUpdateStandardsControlAssociations——用于在包含该控件的标准中启用安全控件,或禁用标准中的控件。这会批量替代现有
UpdateStandardsControl操作。 -
BatchUpdateStandardsControlAssociations – 用于在包含安全控件的标准中启用或禁用一批控件。这会批量替代现有
UpdateStandardsControl操作。 -
UpdateStandardsControl – 用于在包含安全控件的标准中启用或禁用单个安全控件
-
DescribeStandardsControl – 返回有关指定的安全控件的详细信息。
除上述内容外 APIs,您还应添加调用BatchGetControlEvaluations您的 IAM 角色的权限。要在 Security Hub CSPM 控制台上查看控件的启用和合规性状态、控件的调查发现计数以及控件的总体安全评分,需要此权限。由于只有控制台调用BatchGetControlEvaluations,因此此权限并不直接对应于公开记录的 Security Hub CSPM APIs 或 Amazon CLI 命令。