对 AWS Security Hub 使用服务相关角色 - AWS Security Hub
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

对 AWS Security Hub 使用服务相关角色

AWS Security Hub 使用 AWS Identity and Access Management (IAM) 服务相关角色。服务相关角色是一种与 Security Hub 直接关联的独特类型的 IAM 角色。服务相关角色由 Security Hub 预定义,并包含 Security Hub 代表您调用其他 AWS 服务所需的一切权限。

服务相关角色使 Security Hub 的设置更轻松,因为您不必手动添加必要的权限。Security Hub 定义其服务相关角色的权限,除非另行定义权限,否则仅 Security Hub 可以代入该角色。定义的权限包括信任策略和权限策略,您不能将该权限策略附加到任何其他 IAM 实体。

Security Hub 支持在提供 Security Hub 的所有区域中使用服务相关角色。有关更多信息,请参阅 支持的 区域

您必须首先在启用了 Security Hub 的所有区域中禁用它,然后才能删除 Security Hub 服务相关角色。这会保护您的 Security Hub 资源,因为您不会无意中删除这些资源的访问权限。

有关支持服务相关角色的其他服务的信息,请参阅 IAM 用户指南 中的与 IAM 配合使用的 AWS 服务并查找在服务相关角色列中具有 Yes (是) 的服务。选择 Yes 与查看该服务的服务相关角色文档的链接。

适用于 Security Hub 的服务相关角色权限

Security Hub 使用名为 AWSServiceRoleForSecurityHub 的服务相关角色。这是一个service-linked role required for AWS Security Hub to access your resources.

AWSServiceRoleForSecurityHub 服务相关角色信任以下服务代入该角色:

  • securityhub.amazonaws.com

角色权限策略允许 Security Hub 对指定资源完成以下操作:

  • 操作:cloudtrail:DescribeTrails

  • 操作:cloudtrail:GetTrailStatus

  • 操作:cloudtrail:GetEventSelectors

  • 操作:cloudwatch:DescribeAlarms

  • 操作:logs:DescribeMetricFilters

  • 操作:sns:ListSubscriptionsByTopic

  • 操作:config:DescribeConfigurationRecorders

  • 操作:config:DescribeConfigurationRecorderStatus

  • 操作:config:DescribeConfigRules

  • 操作:config:BatchGetResourceConfig

  • 资源: *

And:

  • 操作:config:PutConfigRule

  • 操作:config:DeleteConfigRule

  • 操作:config:GetComplianceDetailsByConfigRule

  • 操作:config:DescribeConfigRuleEvaluationStatus

  • 资源: arn:aws:config:*:*:config-rule/aws-service-rule/*securityhub*

您必须配置权限以允许 IAM 实体(如用户、组或角色)创建、编辑或删除服务相关角色。为了能够成功创建 AWSServiceRoleForSecurityHub 服务相关角色,用于 Security Hub 的 IAM 身份必须具有所需的权限。要授予所需的权限,请将以下策略附加到此 IAM 用户、组或角色。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "securityhub:*", "Resource": "*" }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringLike": { "iam:AWSServiceName": "securityhub.amazonaws.com" } } } ] }

创建 Security Hub 的服务相关角色

在您首次启用 Security Hub 时,或者在以前未启用 Security Hub 的支持区域中启用它时,将自动创建 AWSServiceRoleForSecurityHub 服务相关角色。您还可以使用 IAM 控制台、IAM CLI 或 IAM API 来创建 AWSServiceRoleForSecurityHub 服务相关角色。

重要

为 Security Hub 主账户创建的服务相关角色不应用到 Security Hub 成员账户。

有关手动创建角色的更多信息,请参阅 IAM 用户指南 中的创建服务相关角色

编辑 Security Hub 的服务相关角色

Security Hub 不允许您编辑 AWSServiceRoleForSecurityHub 服务相关角色。在创建服务相关角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。但是,您可以使用 IAM 编辑角色的说明。有关更多信息,请参阅 IAM 用户指南 中的编辑服务相关角色

删除 Security Hub 的服务相关角色

如果您不再需要使用某个需要服务相关角色的功能或服务,我们建议您删除该角色。这样您就没有未被主动监控或维护的未使用实体。

重要

要删除 AWSServiceRoleForSecurityHub 服务相关角色,您必须先在启用了 Security Hub 的所有区域中禁用它。

如果在您尝试删除服务相关角色时未禁用 Security Hub,删除将失败。有关更多信息,请参阅 禁用 AWS Security Hub

当您禁用 Security Hub 时,不会 自动删除 AWSServiceRoleForSecurityHub 服务相关角色。如果您再次启用 Security Hub,它会开始使用现有的 AWSServiceRoleForSecurityHub 服务相关角色。

使用 IAM 手动删除服务相关角色

使用 IAM 控制台、IAM CLI 或 IAM API 删除 AWSServiceRoleForSecurityHub 服务相关角色。有关更多信息,请参阅 IAM 用户指南 中的删除服务相关角色