Sec Amazon urity Hub 的服务相关角色 - AmazonSecurity Hub
Security Hub 的服务相关角色权限为 Security Hub 创建服务相关角色为 Security Hub 编辑服务相关角色为 Security Hub 删除服务相关角色
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Sec Amazon urity Hub 的服务相关角色

AmazonSecurity Hub 使用名AWSServiceRoleForSecurityHubV2为的 Amazon Identity and Access Management (IAM) 服务相关角色。服务相关角色是一种与 Security Hub 直接关联的 IAM 角色。它由 Security Hub 预定义,它包括 Security Hub 代表你调用其他资源Amazon Web Services 服务和监控Amazon资源所需的所有权限。Security Hub 在所有可用 Security Hub Amazon Web Services 区域 的地方都使用此服务相关角色。

您可以使用服务相关角色轻松设置 Security Hub,因为您不必手动添加所需的权限。Security Hub 定义其服务相关角色的权限,除非另有定义,否则只有 Security Hub 可以代入该角色。定义的权限包括信任策略和权限策略,您不能将该权限策略附加到任何其他 IAM 实体。

要查看服务相关角色的详细信息,您可以使用 Security Hub 控制台。在导航窗格中的设置下,选择常规。然后,在服务权限部分,选择查看服务权限

您必须首先在启用了 Security Hub 的所有区域中禁用它,然后才能删除 Security Hub 服务相关角色。这会保护您的 Security Hub 资源,因为您不会无意中删除这些资源的访问权限。

有关支持服务相关角色的其他服务的信息,请参阅《IAM 用户指南》使用 IAM 的 Amazon 服务,并查找服务相关角色列中显示为的服务。选择带有链接的可以查看该服务的服务相关角色文档。

Security Hub 的服务相关角色权限

Security Hub 使用名为 AWSServiceRoleForSecurityHubV2 的服务相关角色。这是 Sec Amazon urity Hub 访问您的资源所需的服务相关角色。此服务相关角色允许 Security Hub 执行任务,例如从他人那里接收调查结果Amazon Web Services 服务和配置必要的Amazon Config基础架构以运行安全检查以进行控制措施。AWSServiceRoleForSecurityHubV2 服务关联角色信任 securityhub.amazonaws.com 服务来代入角色。

AWSServiceRoleForSecurityHubV2 服务相关角色使用托管策略 AWSSecurityHubServiceRolePolicy

必须授予权限,允许 IAM 身份(如角色、组或用户)创建、编辑或删除服务相关角色。为了成功创建 AWSServiceRoleForSecurityHubV2 服务相关角色,用于访问 Security Hub 的 IAM 身份必须具有所需的权限。要授予所需的权限,请将以下策略附加到 IAM 身份。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "securityhub:*",
            "Resource": "*"    
        },
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": "securityhub.amazonaws.com"
                }
            }
        }
    ]
}

为 Security Hub 创建服务相关角色

当您首次启用 Security Hub 或在之前未启用过 Security Hub 的区域启用它时,系统会自动创建 AWSServiceRoleForSecurityHubV2 服务相关角色。您还可以使用 IAM 控制台、IAM API 或 IAM API 创建 AWSServiceRoleForSecurityHubV2 服务相关角色。有关手动创建角色的更多信息,请参阅 IAM 用户指南中的创建服务相关角色

重要

为 Security Hub 管理员账户创建的服务相关角色不适用于关联的 Security Hub 成员账户。

为 Security Hub 编辑服务相关角色

Security Hub 不允许您编辑 AWSServiceRoleForSecurityHubV2 服务相关角色。在创建服务相关角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。但是可以使用 IAM 编辑角色说明。有关更多信息,请参阅《IAM 用户指南》中的编辑服务相关角色

为 Security Hub 删除服务相关角色

如果您不再需要使用某个需要服务相关角色的功能或服务,我们建议您删除该角色。这样您就没有未被主动监控或维护的未使用实体。

禁用 Security Hub 时,Security Hub 不会自动为您删除 AWSServiceRoleForSecurityHubV2 服务相关角色。如果再次启用 Security Hub,该服务就可以再次开始使用现有的服务相关角色。如果您不再需要使用 Security Hub,则可以手动删除服务相关角色。

重要

在删除 AWSServiceRoleForSecurityHubV2 服务相关角色之前,您必须先在启用了 Security Hub 的所有区域禁用它。有关更多信息,请参阅 禁用 Security Hub。如果在您尝试删除服务相关角色时未禁用 Security Hub,删除将失败。

要删除 AWSServiceRoleForSecurityHubV2 服务相关角色,您可以使用 IAM 控制台、IAM CLI 或 IAM API。有关更多信息,请参阅《IAM 用户指南》中的删除服务关联角色