使用 IAM 策略将对 Security Hub 的访问权限委派给 IAM 身份 - AWS Security Hub
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 IAM 策略将对 Security Hub 的访问权限委派给 IAM 身份

默认情况下,对 Security Hub 资源的访问权限制为创建资源时,该资源所在账户的所有者。

如果您是所有者,则可以选择将对 Security Hub 的完整或有限访问权限授给账户中的不同 IAM 身份。有关创建 IAM 访问策略的更多信息,请参阅使用策略控制访问

适用于 Security Hub 的 AWS 托管(预定义)策略

通过提供 AWS 创建和管理的单独 IAM 策略,AWS 可以满足很多常见使用案例的要求。这些托管策略 可针对常见使用情形授予必要的权限,使您不必调查需要哪些权限。有关更多信息,请参阅 AWS 管理策略IAM 用户指南.

以下 AWS 托管策略(可附加到账户中的用户)特定于 Security Hub:

  • AWSSecurityHubFullAccess – - 提供所有 Security Hub 功能的访问权限

  • AWSSecurityHubReadOnlyAccess – 提供对 Security Hub 的只读访问权限

由 Security Hub 定义的资源

以下资源类型是由该服务定义的,可以在 IAM 权限策略语句的 Resource 元素中使用这些资源类型。

资源类型

进行筛选

hub

arn:${Partition}:securityhub:${Region}:${Account}:hub/default

product

arn:${Partition}:securityhub:${Region}:${Account}:product/${Company}/${ProductId}

由 Security Hub 定义的条件键

Security Hub 定义以下可在 IAM 策略的 Condition 元素中使用的条件键。

您可以使用这些键进一步细化应用策略语句的条件。

条件键

Description

Type

securityhub:TargetAccount

的ID AWS 与查找关联的帐户。

在 AWS 安全查找格式(ASFF),这 AwsAccountId 字段。

String

securityhub:ASFFSyntaxPath/${ASFFSyntaxPath}

用于限制更新的ASFF字段的路径 BatchUpdateFindings.

String