AWS Security Hub 的操作、资源和条件键 - 服务授权参考
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AWS Security Hub 的操作、资源和条件键

AWS Security Hub(服务前缀:securityhub)提供以下服务特定的资源、操作和条件上下文键以在 IAM 权限策略中使用。

参考:

AWS Security Hub 定义的操作

您可以在 Action 策略语句的 IAM 元素中指定以下操作。可以使用策略授予在 AWS 中执行操作的权限。您在策略中使用一项操作时,通常使用相同的名称允许或拒绝对 API 操作或 CLI 命令的访问。但在某些情况下,单一动作可控制对多项操作的访问。还有某些操作需要多种不同的动作。

资源类型列指示每项操作是否支持资源级权限。如果该列没有任何值,您必须在策略语句的 Resource 元素中指定所有资源(“*”)。如果该列包含一种资源类型,则可以在含有该操作的语句中指定该类型的 ARN。必需资源在表中以星号 (*) 表示。如果在使用该操作的语句中指定资源级权限 ARN,则它必须属于该类型。某些操作支持多种资源类型。如果资源类型是可选的(未指示为必需),则可以选择使用一种类型而不使用其他类型。

有关下表中各列的详细信息,请参阅 操作表

操作 描述 访问级别 资源类型(* 为必需) 条件键 相关操作
AcceptAdministratorInvitation 授予权限以接受成为成员账户的 Security Hub 邀请 写入

hub

AcceptInvitation 授予权限以接受成为成员账户的 Security Hub 邀请 写入

hub

BatchDisableStandards 授予权限以在 Security Hub 中禁用标准 写入

hub

BatchEnableStandards 授予权限以在 Security Hub 中启用标准 写入

hub

BatchImportFindings 授予权限以将结果从集成产品导入 Security Hub 写入

product*

securityhub:TargetAccount

BatchUpdateFindings 授予权限以更新一组选定的 Security Hub 结果的客户控制字段 写入

hub

securityhub:ASFFSyntaxPath/${ASFFSyntaxPath}

CreateActionTarget 授予权限以在 Security Hub 中创建自定义操作 写入

hub

CreateInsight 授予权限以在 Security Hub 中创建洞察。洞察是相关结果的集合 写入

hub

CreateMembers 授予权限以在 Security Hub 中创建成员账户 写入

hub

DeclineInvitations 授予权限以拒绝成为成员账户的 Security Hub 邀请 写入

hub

DeleteActionTarget 授予权限以删除 Security Hub 中的自定义操作 写入

hub

DeleteInsight 授予权限以从 Security Hub 中删除洞察 写入

hub

DeleteInvitations 授予权限以删除成为成员账户的 Security Hub 邀请 写入

hub

DeleteMembers 授予权限以删除 Security Hub 成员账户 写入

hub

DescribeActionTargets 授予权限以使用 API 检索自定义操作列表 Read

hub

DescribeHub 授予权限以检索有关您的账户中的 Hub 资源的信息 Read

hub

DescribeOrganizationConfiguration 授予描述 Security Hub 组织配置的权限 Read

hub

DescribeProducts 授予权限以检索有关可用 Security Hub 产品集成的信息 Read

hub

DescribeStandards 授予权限以检索有关 Security Hub 标准的信息 Read

hub

DescribeStandardsControls 授予权限以检索有关 Security Hub 标准控件的信息 Read

hub

DisableImportFindingsForProduct 授予权限以禁用 Security Hub 集成产品的结果导入 写入

hub

DisableOrganizationAdminAccount 授予删除组织的 Security Hub 管理员帐户的权限 写入

hub

organizations:DescribeOrganization

DisableSecurityHub 授予权限以禁用 Security Hub 写入

hub

DisassociateFromAdministratorAccount 授予 Security Hub 成员账户权限以从关联的管理员账户中取消关联 写入

hub

DisassociateFromMasterAccount 授予对 Security Hub 成员账户的权限以从关联的主账户中取消关联 写入

hub

DisassociateMembers 授予权限以从关联的管理员账户中取消关联 Security Hub 成员账户 写入

hub

EnableImportFindingsForProduct 授予权限以启用 Security Hub 集成产品的结果导入 写入

hub

EnableOrganizationAdminAccount 授予指定组织的 Security Hub 管理员帐户的权限 写入

hub

organizations:DescribeOrganization

organizations:EnableAWSServiceAccess

organizations:RegisterDelegatedAdministrator

EnableSecurityHub 授予权限以启用 Security Hub 写入

hub

aws:RequestTag/${TagKey}

aws:TagKeys

GetAdhocInsightResults [仅权限] 授予权限以通过提供一组筛选器(而不是洞察 ARN)检索洞察结果 Read

hub

GetAdministratorAccount 授予权限以检索有关 Security Hub 管理员账户的详细信息 Read

hub

GetEnabledStandards 授予权限以检索在 Security Hub 中启用的标准列表 List

hub

GetFindings 授予权限以从 Security Hub 检索结果的列表 Read

hub

GetFreeTrialEndDate [仅权限] 授予权限以检索账户免费试用 Security Hub 的结束日期 Read

hub

GetFreeTrialUsage [仅权限] 授予权限以检索免费试用期内 Security Hub 使用情况的信息 Read

hub

GetInsightFindingTrend [仅权限] 授予权限以从 Security Hub 检索洞察发现趋势,从而生成图表 Read

hub

GetInsightResults 授予权限以从 Security Hub 检索洞察结果 Read

hub

GetInsights 授予权限以检索 Security Hub 洞察 List

hub

GetInvitationsCount 授予权限以检索发送到账户的 Security Hub 成员资格邀请的计数 Read

hub

GetMasterAccount 授予权限以检索有关 Security Hub 主账户的详细信息 Read

hub

GetMembers 授予权限以检索 Security Hub 成员账户的详细信息 Read

hub

GetUsage [仅权限] 授予权限以按账户检索有关 Security Hub 使用情况的信息 Read

hub

InviteMembers 授予权限以邀请其他 AWS 账户成为 Security Hub 成员账户 写入

hub

ListEnabledProductsForImport 授予权限以检索当前启用的 Security Hub 集成产品 List

hub

ListInvitations 授予权限以检索发送到账户的 Security Hub 邀请 List

hub

ListMembers 授予权限以检索与管理员账户关联的 Security Hub 成员账户的详细信息 List

hub

ListOrganizationAdminAccounts 授予列出组织的 Security Hub 管理员帐户的权限 List

hub

organizations:DescribeOrganization

ListTagsForResource 授予权限以列出与资源关联的标签 Read

hub*

SendFindingEvents [仅权限] 授予权限以使用自定义操作将 Security Hub 结果发送到 Amazon EventBridge Read

hub

SendInsightEvents [仅权限] 授予权限以使用自定义操作将 Security Hub 洞察发送到 Amazon EventBridge Read

hub

TagResource 授予权限以将标签添加到 Security Hub 资源 标记

hub*

UntagResource 授予权限以从 Security Hub 资源中删除标签 标记

hub*

UpdateActionTarget 授予权限以在 Security Hub 中更新自定义操作 写入

hub

UpdateFindings 授予权限以更新 Security Hub 结果 写入

hub

UpdateInsight 授予权限以在 Security Hub 中更新洞察 写入

hub

UpdateOrganizationConfiguration 授予更新 Security Hub 组织配置的权限 写入

hub

UpdateSecurityHubConfiguration 授予权限以更新 Security Hub 配置 写入

hub

UpdateStandardsControl 授予权限以更新 Security Hub 标准控件 写入

hub

AWS Security Hub 定义的资源类型

以下资源类型是由该服务定义的,可以在 IAM 权限策略语句的 Resource 元素中使用这些资源类型。操作表中的每个操作标识了可以使用该操作指定的资源类型。您也可以在策略中包含条件键,从而定义资源类型。这些键显示在表的最后一列。有关下表中各列的详细信息,请参阅 资源类型表

资源类型 ARN 条件键
hub arn:${Partition}:securityhub:${Region}:${Account}:hub/default

aws:ResourceTag/${TagKey}

product arn:${Partition}:securityhub:${Region}:${Account}:product/${Company}/${ProductId}

AWS Security Hub 的条件键

AWS Security Hub 定义以下可以在 IAM 策略的 Condition 元素中使用的条件键。您可以使用这些键进一步细化应用策略语句的条件。有关下表中各列的详细信息,请参阅 条件键表

要查看适用于所有服务的全局条件键,请参阅可用的全局条件键

条件键 描述 类型
aws:RequestTag/${TagKey} 根据在请求中是否具有标签键值对以筛选操作 字符串
aws:ResourceTag/${TagKey} 根据附加到资源的标签键值对筛选操作 字符串
aws:TagKeys 根据在请求中是否具有标签键以筛选操作 字符串
securityhub:ASFFSyntaxPath/${ASFFSyntaxPath} 根据请求中是否存在特定字段和值筛选访问 字符串
securityhub:TargetAccount 根据请求中是否存在 AwsAccountId 字段筛选访问 字符串