对Amazon Security Hub CSPM身份和访问进行故障排除 - AmazonSecurity Hub
我无权在 Security Hub CSPM 中执行操作我无权执行 iam:PassRole我想以编程方式访问 Security Hub CSPM我是一名管理员,想允许其他人访问 Security Hub CSPM我想允许我以外的人访问我Amazon Web Services 账户的 Security Hub CSPM 资源
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

对Amazon Security Hub CSPM身份和访问进行故障排除

使用以下信息来帮助您诊断和修复在使用Amazon Security Hub CSPM和 IAM 时可能遇到的常见问题。

我无权在 Security Hub CSPM 中执行操作

如果Amazon Web Services 管理控制台告诉您您无权执行某项操作,则必须联系管理员寻求帮助。管理员是向您提供登录凭证的人。

当用户mateojackson尝试使用控制台查看有关某的详细信息widget但没有securityhub:GetWidget权限时,就会出现以下示例错误。

User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: securityhub:GetWidget on resource: my-example-widget

在这种情况下,Mateo 请求他的管理员更新其策略,以允许他使用 securityhub:GetWidget 操作访问 my-example-widget 资源。

我无权执行 iam:PassRole

如果您收到一个错误,表明您无权执行 iam:PassRole 操作,则必须更新策略以允许您将角色传递给 Security Hub。

有些Amazon Web Services 服务允许您将现有角色传递给该服务,而不是创建新的服务角色或服务相关角色。为此,您必须具有将角色传递到服务的权限。

当名为 marymajor 的 IAM 用户尝试使用控制台在 Security Hub 中执行操作时,会发生以下示例错误。但是,服务必须具有服务角色所授予的权限才可执行此操作。Mary 不具有将角色传递到服务的权限。

User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole

在这种情况下,必须更新 Mary 的策略以允许她执行 iam:PassRole 操作。

如果您需要帮助,请联系您的Amazon管理员。您的管理员是提供登录凭证的人。

我想以编程方式访问 Security Hub CSPM

如果用户想在Amazon外部进行交互,则需要编程访问权限Amazon Web Services 管理控制台。AmazonAPIs 和Amazon Command Line Interface需要访问密钥。可能的话,创建临时凭证,该凭证由一个访问密钥 ID、一个秘密访问密钥和一个指示凭证何时到期的安全令牌组成。

要向用户授予编程式访问权限,请选择以下选项之一。

哪个用户需要编程式访问权限? 目的 方式
IAM 使用短期证书签署对Amazon CLI或的编程请求 AmazonAPIs(直接或使用 AmazonSDKs)。 按照 IAM 用户指南中的将临时证书与Amazon资源配合使用中的说明进行操作。
IAM

(不推荐使用)

使用长期证书签署对Amazon CLI或的编程请求 AmazonAPIs(直接或使用 AmazonSDKs)。		 按照《IAM 用户指南》管理 IAM 用户的访问密钥中的说明进行操作。

我是一名管理员,想允许其他人访问 Security Hub CSPM

要提供访问权限,请为您的用户、组或角色添加权限:

我想允许我以外的人访问我Amazon Web Services 账户的 Security Hub CSPM 资源

您可以创建一个角色,以便其他账户中的用户或您组织外的人员可以使用该角色来访问您的资源。您可以指定谁值得信赖,可以代入角色。对于支持基于资源的策略或访问控制列表 (ACLs) 的服务,您可以使用这些策略向人们授予访问您的资源的权限。

要了解更多信息,请参阅以下内容: