Amazon Security Hub 的操作、资源和条件键 - 服务授权参考
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon Security Hub 的操作、资源和条件键

Amazon Security Hub(服务前缀:securityhub)提供以下特定于服务的资源、操作和条件上下文密钥,用于 IAM 权限策略。

参考:

Amazon Security Hub 定义的操作

您可以在 IAM 策略语句的 Action 元素中指定以下操作。可以使用策略授予在 Amazon中执行操作的权限。您在策略中使用一项操作时,通常使用相同的名称允许或拒绝对 API 操作或 CLI 命令的访问。但在某些情况下,单一动作可控制对多项操作的访问。还有某些操作需要多种不同的动作。

“操作” 表的 “访问级别” 列描述了如何对操作进行分类(列出、读取、权限管理或标记)。此分类可以帮助您了解当您在策略中使用操作时,相应操作授予的访问级别。有关访问级别的更多信息,请参阅策略摘要中的访问级别

操作表的资源类型列指示每项操作是否支持资源级权限。如果该列没有任何值,您必须在策略语句的 Resource 元素中指定策略应用的所有资源(“*”)。通过在 IAM policy 中使用条件来筛选访问权限,以控制是否可以在资源或请求中使用特定标签键。如果操作具有一个或多个必需资源,则调用方必须具有使用这些资源来使用该操作的权限。必需资源在表中以星号 (*) 表示。如果您在 IAM policy 中使用 Resource 元素限制资源访问权限,则必须为每种必需的资源类型添加 ARN 或模式。某些操作支持多种资源类型。如果资源类型是可选的(未指示为必需),则可以选择使用一种可选资源类型。

操作表的条件键列包括可以在策略语句的 Condition 元素中指定的键。有关与服务资源关联的条件键的更多信息,请参阅资源类型表的条件键列。

注意

资源条件键在资源类型表中列出。您可以在操作表的资源类型(* 为必需)列中找到应用于某项操作的资源类型的链接。资源类型表中的资源类型包括条件密钥列,这是应用于操作表中操作的资源条件键。

有关下表中各列的详细信息,请参阅操作表

操作 描述 访问级别 资源类型(* 为必需) 条件键 相关操作
AcceptAdministratorInvitation 授予权限以接受成为成员账户的 Security Hub 邀请 Write

hub

AcceptInvitation 授予权限以接受成为成员账户的 Security Hub 邀请 写入

hub

BatchDeleteAutomationRules 授予权限以删除 Security Hub 中的一个或多个自动化规则 写入

automation-rule*

BatchDisableStandards 授予权限以在 Security Hub 中禁用标准 Write

hub

BatchEnableStandards 授予权限以在 Security Hub 中启用标准 写入

hub

BatchGetAutomationRules 根据规则 Amazon 资源名称 (ARNs) 授予从 Security Hub 检索自动化规则详情列表的权限 读取

automation-rule*

BatchGetConfigurationPolicyAssociations 授予检索与调用账户所在组织的特定成员账户列表和组织单位关联的配置策略信息的权限 读取
BatchGetControlEvaluations [仅权限] 授予权限以获取控件的启用和合规性状态、控件的调查发现计数以及 Security Hub 控制台上控件的总体安全性评分 读取

hub

BatchGetSecurityControls 授予权限以获取通过 ID 或 ARN 标识的特定安全控件的详细信息 读取

securityhub:DescribeStandardsControls

BatchGetStandardsControlAssociations 授予权限以获取标准中一批安全控件的启用状态 读取

securityhub:DescribeStandardsControls

BatchImportFindings 授予权限以将结果从集成产品导入 Security Hub 写入

product*

securityhub:TargetAccount

BatchUpdateAutomationRules 根据规则 Amazon 资源名称 (ARNs) 和输入参数授予从 Security Hub 更新一条或多条自动化规则的权限 写入

automation-rule*

BatchUpdateFindings 授予权限以更新一组选定的 Security Hub 结果的客户控制字段 写入

hub

hubv2

securityhub:ASFFSyntaxPath/${ASFFSyntaxPath}

securityhub:OCSFSyntaxPath/${OCSFSyntaxPath}

BatchUpdateStandardsControlAssociations 授予权限以更新标准中一批安全控件的启用状态 写入

securityhub:UpdateStandardsControl

ConnectorRegistrationsV2 根据输入参数授予完成 OAuth 2.0 授权码流程的权限 写入

connectorv2*

CreateActionTarget 授予权限以在 Security Hub 中创建自定义操作 写入

hub

CreateAggregatorV2 授予创建 AggregatorV2 的权限,该版本可配置跨区域的数据聚合 写入
CreateAutomationRule 授予权限以基于输入参数创建自动化规则 写入

aws:RequestTag/${TagKey}

aws:TagKeys

CreateAutomationRuleV2 授予基于输入参数创建自动化规则 V2 的权限 写入

aws:RequestTag/${TagKey}

aws:TagKeys

CreateConfigurationPolicy 授予在 Security Hub 中创建配置策略以管理组织成员设置的权限 写入

aws:RequestTag/${TagKey}

aws:TagKeys

CreateConnectorV2 授予基于输入参数创建连接器 V2 的权限 写入

aws:RequestTag/${TagKey}

aws:TagKeys

CreateFindingAggregator 授予权限以创建结果聚合器,其中包含跨区域结果聚合配置 写入
CreateInsight 授予权限以在 Security Hub 中创建洞察。洞察是相关结果的集合 Write

hub

CreateMembers 授予权限以在 Security Hub 中创建成员账户 写入

hub

CreateTicketV2 授予为选定的 OCSF 发现创建票证的权限 写入

hub

hubv2

DeclineInvitations 授予权限以拒绝成为成员账户的 Security Hub 邀请 Write

hub

DeleteActionTarget 授予权限以删除 Security Hub 中的自定义操作 写入

hub

DeleteAggregatorV2 授予删除 AggregatorV2 的权限,该版本可配置跨区域的数据聚合 写入

aggregatorv2*

DeleteAutomationRuleV2 授予在 Security Hub 中删除自动化规则 V2 的权限 写入

automation-rulev2*

DeleteConfigurationPolicy 授予删除现有配置策略的权限 写入

configuration-policy*

DeleteConnectorV2 授予在 Security Hub 中删除连接器 V2 的权限 写入

connectorv2*

DeleteFindingAggregator 授予权限以删除结果聚合器,这将禁用跨区域结果聚合 写入

finding-aggregator*

DeleteInsight 授予权限以从 Security Hub 中删除洞察 Write

hub

DeleteInvitations 授予权限以删除成为成员账户的 Security Hub 邀请 Write

hub

DeleteMembers 授予权限以删除 Security Hub 成员账户 Write

hub

DescribeActionTargets 授予权限以使用 API 检索自定义操作列表 Read

hub

DescribeHub 授予权限以检索有关您的账户中的 Hub 资源的信息 Read

hub

DescribeOrganizationConfiguration 授予描述 Security Hub 组织配置的权限 Read

hub

DescribeProducts 授予权限以检索有关可用 Security Hub 产品集成的信息 读取

hub

DescribeProductsV2 授予检索有关可用 Security Hub V2 产品集成信息的权限 读取

hubv2

DescribeSecurityHubV2 授予在您的账户中检索有关 Hub V2 资源信息的权限 读取
DescribeStandards 授予权限以检索有关 Security Hub 标准的信息 Read

hub

DescribeStandardsControls 授予权限以检索有关 Security Hub 标准控件的信息 Read

hub

DisableImportFindingsForProduct 授予权限以禁用 Security Hub 集成产品的结果导入 Write

hub

DisableOrganizationAdminAccount 授予删除组织的 Security Hub 管理员帐户的权限 Write

hub

organizations:DeregisterDelegatedAdministrator

organizations:DescribeOrganization

organizations:ListDelegatedAdministrators

DisableSecurityHub 授予权限以禁用 Security Hub 写入

hub

DisableSecurityHubV2 授予禁用 Security Hub V2 的权限 写入
DisassociateFromAdministratorAccount 授予 Security Hub 成员账户从关联的管理员账户中取消关联的权限 Write

hub

DisassociateFromMasterAccount 授予对 Security Hub 成员账户的权限以从关联的主账户中取消关联 Write

hub

DisassociateMembers 授予从关联的管理员账户中取消关联 Security Hub 成员账户的权限 Write

hub

EnableImportFindingsForProduct 授予权限以启用 Security Hub 集成产品的结果导入 Write

hub

EnableOrganizationAdminAccount 授予指定组织的 Security Hub 管理员帐户的权限 Write

hub

organizations:DescribeOrganization

organizations:EnableAWSServiceAccess

organizations:ListAWSServiceAccessForOrganization

organizations:ListDelegatedAdministrators

organizations:RegisterDelegatedAdministrator

EnableSecurityHub 授予权限以启用 Security Hub 写入

hub

aws:RequestTag/${TagKey}

aws:TagKeys

EnableSecurityHubV2 授予启用 Security Hub V2 的权限 写入

aws:RequestTag/${TagKey}

aws:TagKeys

GetAdhocInsightResults [仅权限] 授予检索有关调查结果的汇总统计数据的权限 读取

hub

hubv2

GetAdministratorAccount 授予权限以检索有关 Security Hub 管理员账户的详细信息 读取

hub

GetAggregatorV2 授予检索 AggregatorV2 详细信息的权限,该版本配置跨区域的数据聚合 读取

aggregatorv2*

GetAutomationRuleV2 根据规则亚马逊资源名称 (ARN) 授予从 Security Hub 检索自动化规则 V2 详细信息的权限 读取

automation-rulev2*

GetConfigurationPolicy 授予获取调用账户所创建一项配置策略的完整概览的权限 读取

configuration-policy*

GetConfigurationPolicyAssociation 授予检索与调用账户所在组织的某个成员账户或组织单位关联的某个配置策略信息的权限 读取
GetConnectorV2 授予根据连接器 ID 从 Security Hub 检索连接器 V2 详细信息的权限 读取

connectorv2*

GetControlFindingSummary [仅权限] 授予检索安全评分以及安全标准状态的调查结果计数和控件状态的权限 Read

hub

GetEnabledStandards 授予权限以检索在 Security Hub 中启用的标准列表 列表

hub

GetFindingAggregator 授予权限以检索结果聚合器的详细信息,这将配置跨区域结果聚合 读取

finding-aggregator*

GetFindingHistory 授予权限以从 Security Hub 检索调查发现历史记录的列表 读取

hub

GetFindings 授予权限以从 Security Hub 检索结果的列表 Read

hub

hubv2

GetFreeTrialEndDate [仅权限] 授予权限以检索账户免费试用 Security Hub 的结束日期 Read

hub

GetFreeTrialUsage [仅权限] 授予权限以检索免费试用期内 Security Hub 使用情况的信息 Read

hub

GetInsightFindingTrend [仅权限] 授予权限以从 Security Hub 检索洞察发现趋势,从而生成图表 Read

hub

GetInsightResults 授予权限以从 Security Hub 检索洞察结果 Read

hub

GetInsights 授予权限以检索 Security Hub 洞察 List

hub

GetInvitationsCount 授予权限以检索发送到账户的 Security Hub 成员资格邀请的计数 Read

hub

GetMasterAccount 授予权限以检索有关 Security Hub 主账户的详细信息 Read

hub

GetMembers 授予权限以检索 Security Hub 成员账户的详细信息 读取

hub

GetResourceStatisticsV2 授予检索资源汇总统计数据的权限 读取

hubv2

GetResourcesV2 授予检索资源列表的权限 读取

hubv2

GetSecurityControlDefinition 授予获取用 ID 标识的特定安全控件详细信息的权限 读取

securityhub:DescribeStandardsControls

GetUsage [仅权限] 授予权限以按账户检索有关 Security Hub 使用情况的信息 读取

hub

InviteMembers 授予邀请其他 Amazon 账户成为 Security Hub 成员账户的权限 写入

hub

ListAggregatorV2s 授予检索 AggregatorSv2 列表的权限,该列表用于配置跨区域的数据聚合 列表
ListAutomationRules 授予权限以从 Security Hub 检索呼叫账户的自动化规则列表及其元数据 列表
ListAutomationRulesV2 授予从 Security Hub 检索调用账户的自动化规则 V2 列表及其元数据的权限 列表
ListConfigurationPolicies 授予列出调用账户所创建所有配置策略的摘要的权限 列表
ListConfigurationPolicyAssociations 授予检索与调用账户所在组织的所有成员账户和组织单位关联的所有配置策略信息的权限 列表
ListConnectorsV2 授予从 Security Hub 检索主叫账户的连接器 V2 列表及其元数据的权限 列表
ListControlEvaluationSummaries [仅权限] 授予检索标准控件列表的权限,包括控件 IDs、状态和查找次数 读取

hub

ListEnabledProductsForImport 授予权限以检索当前启用的 Security Hub 集成产品 列表

hub

ListFindingAggregators 授予权限以检索结果聚合器的列表,其中包含跨区域结果聚合配置 列表
ListInvitations 授予权限以检索发送到账户的 Security Hub 邀请 List

hub

ListMembers 授予权限以检索与管理员账户关联的 Security Hub 成员账户的详细信息 List

hub

ListOrganizationAdminAccounts 授予列出组织的 Security Hub 管理员帐户的权限 列表

hub

organizations:DescribeOrganization

organizations:ListDelegatedAdministrators

ListSecurityControlDefinitions 授予权限以检索安全控件定义列表,其中包含当前区域中安全控件的详细信息 列表
ListStandardsControlAssociations 授予权限以列出标准中安全控件的启用状态 列表

securityhub:DescribeStandardsControls

ListTagsForResource 授予权限以列出与资源关联的标签 Read

automation-rule

configuration-policy

hub

SendFindingEvents [仅权限] 授予使用自定义操作向亚马逊发送 Security Hub 调查结果的权限 EventBridge 读取

hub

SendInsightEvents [仅权限] 授予使用自定义操作向亚马逊发送 Security Hub 见解的权限 EventBridge 读取

hub

StartConfigurationPolicyAssociation 授予将某个配置策略关联到调用账户所在组织的某个成员账户或组织单位的权限 写入

configuration-policy

StartConfigurationPolicyDisassociation 授予从调用账户所在组织的某个成员账户或组织单位移除某个配置策略的权限 写入

configuration-policy

TagResource 授予权限以将标签添加到 Security Hub 资源 Tagging

automation-rule

automation-rulev2

configuration-policy

connectorv2

hub

hubv2

UntagResource 授予权限以从 Security Hub 资源中删除标签 Tagging

automation-rule

automation-rulev2

configuration-policy

connectorv2

hub

hubv2

UpdateActionTarget 授予权限以在 Security Hub 中更新自定义操作 写入

hub

UpdateAggregatorV2 授予更新 AggregatorV2 的权限,该版本可配置跨区域的数据聚合 写入

aggregatorv2*

UpdateAutomationRuleV2 根据规则亚马逊资源名称 (ARN) 和输入参数授予在 Security Hub 中更新自动化规则 V2 的权限 写入

automation-rulev2*

UpdateConfigurationPolicy 授予更新现有配置策略的权限 写入

configuration-policy*

UpdateConnectorV2 根据连接器 ID 和输入参数授予在 Security Hub 中更新连接器 V2 的权限 写入

connectorv2*

UpdateFindingAggregator 授予权限以更新结果聚合器,其中包含跨区域结果聚合配置 写入

finding-aggregator*

UpdateFindings 授予权限以更新 Security Hub 结果 Write

hub

UpdateInsight 授予权限以在 Security Hub 中更新洞察 Write

hub

UpdateOrganizationConfiguration 授予更新 Security Hub 组织配置的权限 写入

hub

UpdateSecurityControl 授予更新用 ID 或 ARN 标识的特定安全控件的属性的权限 写入

securityhub:UpdateStandardsControl

UpdateSecurityHubConfiguration 授予权限以更新 Security Hub 配置 Write

hub

UpdateStandardsControl 授予权限以更新 Security Hub 标准控件 Write

hub

Amazon Security Hub 定义的资源类型

以下资源类型是由该服务定义的,可以在 IAM 权限策略语句的 Resource 元素中使用这些资源类型。操作表中的每个操作指定了可以使用该操作指定的资源类型。您也可以在策略中包含条件键,从而定义资源类型。这些键显示在资源类型表的最后一列。有关下表中各列的详细信息,请参阅资源类型表

资源类型 ARN 条件键
hub arn:${Partition}:securityhub:${Region}:${Account}:hub/default

aws:ResourceTag/${TagKey}

hubv2 arn:${Partition}:securityhub:${Region}:${Account}:hubv2/${HubV2Id}

aws:ResourceTag/${TagKey}

product arn:${Partition}:securityhub:${Region}:${Account}:product/${Company}/${ProductId}
finding-aggregator arn:${Partition}:securityhub:${Region}:${Account}:finding-aggregator/${FindingAggregatorId}
aggregatorv2 arn:${Partition}:securityhub:${Region}:${Account}:aggregatorv2/${AggregatorV2Id}
automation-rule arn:${Partition}:securityhub:${Region}:${Account}:automation-rule/${AutomationRuleId}
automation-rulev2 arn:${Partition}:securityhub:${Region}:${Account}:automation-rulev2/${AutomationRuleV2Id}

aws:ResourceTag/${TagKey}

configuration-policy arn:${Partition}:securityhub:${Region}:${Account}:configuration-policy/${ConfigurationPolicyId}
connectorv2 arn:${Partition}:securityhub:${Region}:${Account}:connectorv2/${ConnectorV2Id}

aws:ResourceTag/${TagKey}

Amazon Security Hub 的条件键

Amazon Security Hub 定义了以下条件键,这些条件键可用于 IAM 策略的Condition元素。您可以使用这些键进一步细化应用策略语句的条件。有关下表中各列的详细信息,请参阅条件键表

要查看适用于所有服务的全局条件密钥,请参阅Amazon 全局条件上下文密钥

条件键 描述 类型
aws:RequestTag/${TagKey} 根据在请求中是否具有标签键值对来按照操作筛选访问权限 字符串
aws:ResourceTag/${TagKey} 根据附加到资源的标签键值对来按操作筛选访问权限 字符串
aws:TagKeys 根据在请求中是否具有标签键来按操作筛选访问权限 ArrayOfString
securityhub:ASFFSyntaxPath/${ASFFSyntaxPath} 根据请求中的指定字段和值筛选访问权限 字符串
securityhub:OCSFSyntaxPath/${OCSFSyntaxPath} 根据请求中的指定字段和值筛选访问权限 字符串
securityhub:TargetAccount 按请求中指定的 AwsAccountId 字段筛选访问权限 字符串