Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Service-linked Rollen für AWS Security Hub CSPM

AWS Security Hub CSPM verwendet eine dienstverknüpfte AWS Identity and Access Management (IAM) Rolle mit dem Namen. AWSServiceRoleForSecurityHub Bei dieser serviceverknüpften Rolle handelt es sich um eine IAM-Rolle, die direkt mit Security Hub CSPM verknüpft ist. Es ist von Security Hub CSPM vordefiniert und beinhaltet alle Berechtigungen, die Security Hub CSPM benötigt, um andere anzurufen AWS-Services und AWS Ressourcen in Ihrem Namen zu überwachen. Security Hub CSPM verwendet diese dienstbezogene Rolle in allen Bereichen, in AWS-Regionen denen Security Hub CSPM verfügbar ist.

Eine serviceverknüpfte Rolle erleichtert die Einrichtung von Security Hub CSPM, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. Security Hub CSPM definiert die Berechtigungen seiner dienstbezogenen Rolle, und sofern nicht anders definiert, kann nur Security Hub CSPM die Rolle übernehmen. Zu den definierten Berechtigungen gehören die Vertrauensrichtlinie und die Berechtigungsrichtlinie, und Sie können diese Berechtigungsrichtlinie keiner anderen IAM-Entität zuordnen.

Um die Details der serviceverknüpften Rolle zu überprüfen, können Sie die Security Hub CSPM-Konsole verwenden. Wählen Sie im Navigationsbereich unter Einstellungen die Option Allgemein aus. Wählen Sie dann im Abschnitt Dienstberechtigungen die Option Dienstberechtigungen anzeigen aus.

Sie können die dienstverknüpfte Rolle Security Hub CSPM erst löschen, nachdem Sie Security Hub CSPM in allen Regionen deaktiviert haben, in denen sie aktiviert ist. Dies schützt Ihre Security Hub CSPM-Ressourcen, da Sie nicht versehentlich Zugriffsberechtigungen entfernen können.

Informationen zu anderen Diensten, die dienstverknüpfte Rollen unterstützen, finden Sie im IAM-Benutzerhandbuch unter AWS Dienste, die mit IAM funktionieren. Suchen Sie in der Rollenspalte nach den Diensten, für die Ja steht. Service-linked Wählen Sie Ja mit einem Link aus, um die Dokumentation der dienstbezogenen Rollen für diesen Dienst zu lesen.

Service-linked Rollenberechtigungen für Security Hub CSPM

Security Hub CSPM verwendet die benannte dienstverknüpfte Rolle. AWSServiceRoleForSecurityHub Es handelt sich um eine dienstbezogene Rolle, die für den Zugriff AWS Security Hub CSPM auf Ihre Ressourcen erforderlich ist. Diese dienstbezogene Rolle ermöglicht es Security Hub CSPM, Aufgaben wie das Empfangen von Ergebnissen von anderen auszuführen AWS-Services und die erforderliche AWS Config Infrastruktur für die Durchführung von Sicherheitsprüfungen für Kontrollen zu konfigurieren. Die serviceverknüpfte Rolle AWSServiceRoleForSecurityHub vertraut dem Service securityhub.amazonaws.com, sodass dieser die Rolle annehmen kann.

Die serviceverknüpfte Rolle AWSServiceRoleForSecurityHub verwendet die verwaltete Richtlinie AWSSecurityHubServiceRolePolicy.

Sie müssen einer IAM-Identität (z. B. einer Rolle, Gruppe oder einem Benutzer) Berechtigungen erteilen, um eine dienstverknüpfte Rolle zu erstellen, zu bearbeiten oder zu löschen. Damit die AWSServiceRoleForSecurityHub serviceverknüpfte Rolle erfolgreich erstellt werden kann, muss die IAM-Identität, die Sie für den Zugriff auf Security Hub CSPM verwenden, über die erforderlichen Berechtigungen verfügen. Um die erforderlichen Berechtigungen zu erteilen, fügen Sie die folgende Richtlinie an die IAM-Identität an.

JSON

{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "securityhub:*",
            "Resource": "*"    
        },
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": "securityhub.amazonaws.com"
                }
            }
        }
    ]
}

Eine serviceverknüpfte Rolle für Security Hub CSPM erstellen

Die AWSServiceRoleForSecurityHub serviceverknüpfte Rolle wird automatisch erstellt, wenn Sie Security Hub CSPM zum ersten Mal aktivieren oder wenn Sie Security Hub CSPM in einer Region aktivieren, in der Sie es zuvor nicht aktiviert haben. Sie können die AWSServiceRoleForSecurityHub serviceverknüpfte Rolle auch manuell mithilfe der IAM-Konsole, der IAM-CLI oder der IAM-API erstellen. Weitere Informationen zum Erstellen von IAM-Rollen finden Sie unter Erstellen einer serviceverknüpften Rolle im IAM-Benutzerhandbuch.

Eine serviceverknüpfte Rolle für Security Hub CSPM bearbeiten

Security Hub CSPM erlaubt es Ihnen nicht, die AWSServiceRoleForSecurityHub serviceverknüpfte Rolle zu bearbeiten. Nachdem Sie eine serviceverknüpfte Rolle erstellt haben, können Sie den Namen der Rolle nicht mehr ändern, da verschiedene Entitäten auf die Rolle verweisen könnten. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter Bearbeiten einer serviceverknüpften Rolle im IAM-Benutzerhandbuch.

Löschen einer serviceverknüpften Rolle für Security Hub CSPM

Wenn Sie ein Feature oder einen Service nicht mehr benötigen, die bzw. der eine serviceverknüpfte Rolle erfordert, sollten Sie die Rolle löschen. Auf diese Weise ist keine ungenutzte Entität vorhanden, die nicht aktiv überwacht oder verwaltet wird.

Wenn Sie Security Hub CSPM deaktivieren, löscht Security Hub CSPM die AWSServiceRoleForSecurityHub dienstverknüpfte Rolle nicht automatisch für Sie. Wenn Sie Security Hub CSPM erneut aktivieren, kann der Dienst die bestehende dienstverknüpfte Rolle wieder verwenden. Wenn Sie Security Hub CSPM nicht mehr verwenden müssen, können Sie die serviceverknüpfte Rolle manuell löschen.

Um die AWSServiceRoleForSecurityHub serviceverknüpfte Rolle zu löschen, können Sie die IAM-Konsole, die IAM-CLI oder die IAM-API verwenden. Weitere Informationen finden Sie unter Löschen einer serviceverknüpften Rolle im IAM-Benutzerhandbuch.