Security Hub 权限策略 Security Hub 操作的 IAM 主体

Security Hub 票务集成的 KMS 密钥策略

将客户管理的 KMS 密钥与 Security Hub 票证集成一起使用时，需要向 KMS 密钥添加其他策略，以允许 Security Hub 与该密钥进行交互。此外，还需要添加策略，允许将密钥添加到 Security Hub 连接器的委托人访问密钥。

Security Hub 权限策略

以下策略概述了 Security Hub 访问和使用与您的 Jira 和 ServiceNow 连接器关联的 KMS 密钥所需的权限。需要将此策略添加到与 Security Hub 连接器关联的每个 KMS 密钥中。

该策略包含以下权限：

允许 Security Hub 使用密钥保护、临时访问或刷新用于与您的票务集成进行通信的令牌。权限仅限于与特定 Security Hub 连接器相关的操作，通过检查源 ARN 和加密上下文的条件块来实现。
通过允许DescribeKey操作，允许 Security Hub 读取有关 KMS 密钥的元数据。此权限是 Security Hub 验证密钥状态和配置所必需的。访问权限通过源 ARN 条件限制为特定 Security Hub 连接器。



{
    "Sid": "Allow Security Hub access to the customer managed key",
    "Effect": "Allow",
    "Principal": {
        "Service": "connector.securityhub.amazonaws.com"
    },
    "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt",
        "kms:ReEncrypt*"
    ],
    "Resource": "*",
    "Condition": {
        "ArnLike": {
            "aws:SourceArn": "arn:aws:securityhub:Region:AccountId:connectorv2/*"
        },
        "StringLike": {
            "kms:EncryptionContext:aws:securityhub:connectorV2Arn": "arn:aws:securityhub:Region:AccountId:connectorv2/*",
            "kms:EncryptionContext:aws:securityhub:providerName": "CloudProviderName"
        }
    }
},
{
    "Sid": "Allow Security Hub read access to the customer managed key",
    "Effect": "Allow",
    "Principal": {
        "Service": "connector.securityhub.amazonaws.com"
    },
    "Action": [
        "kms:DescribeKey"
    ],
    "Resource": "*",
    "Condition": {
        "ArnLike": {
            "aws:SourceArn": "arn:aws:securityhub:Region:AccountId:connectorv2/*"
        }
    }
}

通过替换策略示例中的以下值来编辑策略：

替换CloudProviderName为JIRA_CLOUD或 SERVICENOW
AccountId替换为您在其中创建 Security Hub 连接器的账户 ID。
Region替换为您Amazon所在的地区（例如，us-east-1）。

Security Hub 操作的 IAM 主体

任何要向 Security Hub 连接器分配客户管理的 KMS 密钥的委托人都需要拥有对要添加到连接器的密钥执行密钥操作（描述、生成、解密、重新加密和列出别名）的权限。这适用于CreateConnectorV2和CreateTicketV2 APIs。以下政策声明应作为任何将与之互动的委托人的政策的一部分包括在内 APIs。



{
    "Sid": "Allow permissions to access key through Security Hub",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::AccountId:role/RoleName"
    },
    "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt",
        "kms:ReEncrypt*"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "kms:ViaService": [
                "securityhub.Region.amazonaws.com"
            ]
        },
        "StringLike": {
            "kms:EncryptionContext:aws:securityhub:providerName": "CloudProviderName"
        }
    }
},
{
    "Sid": "Allow read permissions to access key through Security Hub",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::AccountId:role/RoleName"
    },
    "Action": [
        "kms:DescribeKey"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "kms:ViaService": [
                "securityhub.Region.amazonaws.com"
            ]
        }
    }
}

通过替换策略示例中的以下值来编辑策略：

RoleName替换为正在调用 Security Hub 的 IAM 角色的名称。
将 CloudProviderName 替换为 JIRA_CLOUD 或 SERVICENOW。
AccountId替换为您在其中创建 Security Hub 连接器的账户 ID。
Region替换为您Amazon所在的地区（例如，us-east-1）。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

查看 ServiceNow ITSM 集成的票证

测试工单集成