排查 Amazon Security Hub CSPM 身份和访问问题 - Amazon Security Hub
我无权在 Security Hub 中执行操作我无权执行 iam:PassRole我想以编程方式访问 Security Hub我是管理员并希望允许其他人访问 Security Hub我希望允许我的 Amazon Web Services 账户 以外的人访问我的 Security Hub 资源
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

排查 Amazon Security Hub CSPM 身份和访问问题

使用以下信息可帮助您诊断和修复在使用 Amazon Security Hub CSPM 和 IAM 时可能遇到的常见问题。

我无权在 Security Hub 中执行操作

如果 Amazon Web Services 管理控制台 告诉您,您无权执行某个操作,则必须联系您的管理员寻求帮助。管理员是向您提供登录凭证的人。

当用户 mateojackson 尝试使用控制台查看有关 widget 的详细信息但不具有 securityhub:GetWidget 权限时,会发生以下示例错误。

User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: securityhub:GetWidget on resource: my-example-widget

在这种情况下,Mateo 请求他的管理员更新其策略,以允许他使用 securityhub:GetWidget 操作访问 my-example-widget 资源。

我无权执行 iam:PassRole

如果您收到一个错误,表明您无权执行 iam:PassRole 操作,则必须更新策略以允许您将角色传递给 Security Hub。

有些 Amazon Web Services 服务 允许将现有角色传递到该服务,而不是创建新服务角色或服务相关角色。为此,您必须具有将角色传递到服务的权限。

当名为 marymajor 的 IAM 用户尝试使用控制台在 Security Hub 中执行操作时,会发生以下示例错误。但是,服务必须具有服务角色所授予的权限才可执行此操作。Mary 不具有将角色传递到服务的权限。

User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole

在这种情况下,必须更新 Mary 的策略以允许她执行 iam:PassRole 操作。

如果您需要帮助,请联系 Amazon 管理员。您的管理员是提供登录凭证的人。

我想以编程方式访问 Security Hub

如果用户需要在 Amazon Web Services 管理控制台之外与 Amazon 交互,则需要编程式访问权限。Amazon API 和 Amazon Command Line Interface 需要访问密钥。可能的话,创建临时凭证,该凭证由一个访问密钥 ID、一个秘密访问密钥和一个指示凭证何时到期的安全令牌组成。

要向用户授予编程式访问权限,请选择以下选项之一。

哪个用户需要编程式访问权限? 目的 方式
IAM 使用短期凭证签署对 Amazon CLI 或 Amazon API 的编程式请求(直接或使用 Amazon SDK)。 按照《IAM 用户指南》将临时凭证用于 Amazon 资源中的说明进行操作。
IAM

(不推荐使用)

使用长期凭证签署对 Amazon CLI 或 Amazon API 的编程式请求(直接或使用 Amazon SDK)。		 按照《IAM 用户指南》管理 IAM 用户的访问密钥中的说明进行操作。

我是管理员并希望允许其他人访问 Security Hub

要提供访问权限,请为您的用户、组或角色添加权限:

我希望允许我的 Amazon Web Services 账户 以外的人访问我的 Security Hub 资源

您可以创建一个角色,以便其他账户中的用户或您组织外的人员可以使用该角色来访问您的资源。您可以指定谁值得信赖,可以代入角色。对于支持基于资源的策略或访问控制列表(ACL)的服务,您可以使用这些策略向人员授予对您的资源的访问权。

要了解更多信息,请参阅以下内容: