AWSPolíticas administradas por para Security Hub
Una política administrada de AWS es una política independiente que AWS crea y administra. Las políticas administradas de AWS se diseñan para ofrecer permisos para muchos casos de uso comunes, por lo que puede empezar a asignar permisos a los usuarios, grupos y roles.
Considere que es posible que las políticas administradas de AWS no concedan permisos de privilegio mínimo para los casos de uso concretos, ya que están disponibles para que las utilicen todos los clientes de AWS. Se recomienda definir políticas administradas por el cliente específicas para sus casos de uso a fin de reducir aún más los permisos.
No puede cambiar los permisos definidos en las políticas administradas de AWS. Si AWS actualiza los permisos definidos en una política administrada de AWS, la actualización afecta a todas las identidades de entidades principales (usuarios, grupos y roles) a las que está adjunta la política. Lo más probable es que AWS actualice una política administrada de AWS cuando se lance un nuevo Servicio de AWS o las operaciones de la API nuevas estén disponibles para los servicios existentes.
Para obtener más información, consulte Políticas administradas por AWS en la Guía del usuario de IAM.
Política administrada de AWS: AWSSecurityHubFullAccess
Puede adjuntar la política AWSSecurityHubFullAccess a las identidades de IAM.
Esta política otorga permisos administrativos que permiten a una entidad principal obtener acceso completo a todas las acciones del CSPM de Security Hub. Esta política se debe asociar a una entidad principal antes de habilitar manualmente el CSPM de Security Hub para la cuenta. Por ejemplo, las entidades principales con estos permisos pueden tanto ver como actualizar el estado de los resultados. También pueden configurar productos de información personalizadis, habilitar integraciones y habilitar o desactivar estándares y controles. Las entidades principales de una cuenta de administrador también pueden administrar cuentas miembro.
Detalles de los permisos
Esta política incluye los permisos siguientes:
-
securityhub: concede a las entidades principales acceso completo a todas las acciones del CSPM de Security Hub. -
guardduty: permite a las entidades principales obtener información acerca del estado de las cuentas de Amazon GuardDuty. -
iam: permite que las entidades principales obtengan acceso completo a todas las acciones del CSPM de Security Hub. -
inspector: permite a las entidades principales obtener información acerca del estado de las cuentas de Amazon Inspector. -
pricing: permite a las entidades principales obtener una lista de precios de los productos y los Servicios de AWS.
Para revisar los permisos de esta política, consulte AWSSecurityHubFullAccess en la Guía de referencia de la política administrada de AWS.
AWS Política administrada de: AWSSecurityHubReadOnlyAccess
Puede adjuntar la política AWSSecurityHubReadOnlyAccess a las identidades de IAM.
Esta política otorga permisos de solo lectura que permiten a los usuarios ver información en el CSPM de Security Hub. Las entidades principales con esta política asociada no pueden realizar ninguna actualización en el CSPM de Security Hub. Por ejemplo, las entidades principales con estos permisos pueden ver la lista de resultados asociados a su cuenta, pero no pueden cambiar el estado de un resultado. Pueden ver los resultados de las informaciones, pero no pueden crear ni configurar informaciones personalizadas. No pueden configurar controles ni integraciones de productos.
Detalles de los permisos
Esta política incluye los permisos siguientes:
-
securityhub: permite a los usuarios realizar acciones que devuelven una lista de elementos o detalles sobre un elemento. Esto incluye las operaciones de la API que comienzan conGet,ListoDescribe.
Para revisar los permisos de esta política, consulte AWSSecurityHubReadOnlyAccess en la Guía de referencia de la política administrada de AWS.
AWS Política administrada de: AWSSecurityHubOrganizationsAccess
Puede adjuntar la política AWSSecurityHubOrganizationsAccess a las identidades de IAM.
Esta política otorga permisos administrativos para habilitar y administrar Security Hub y el CSPM de Security Hub para una organización en AWS Organizations. Los permisos de esta política permiten que la cuenta de administración de la organización designe la cuenta de administrador delegado para Security Hub y el CSPM de Security Hub. También permiten que la cuenta de administrador delegado habilite las cuentas de la organización como cuentas de miembro.
Esta política solo concede permisos para AWS Organizations. La cuenta de administración de la organización y la cuenta de administrador delegado también requieren permisos para las acciones asociadas. Estos permisos se pueden conceder mediante la política administrada de AWSSecurityHubFullAccess.
Detalles de los permisos
Esta política incluye los permisos siguientes:
-
organizations:ListAccounts: permite a las entidades principales recuperar la lista de cuentas que pertenecen a una organización. -
organizations:DescribeOrganization: permite a las entidades principales recuperar información sobre la organización. -
organizations:ListRoots: permite a las entidades principales enumerar la raíz de una organización. -
organizations:ListDelegatedAdministrators: permite a las entidades principales enumerar el administrador delegado de una organización. -
organizations:ListAWSServiceAccessForOrganization: permite a las entidades principales enumerar los Servicios de AWS que utiliza una organización. -
organizations:ListOrganizationalUnitsForParent: permite a las entidades principales enumerar las unidades organizativas (OU) secundarias de una unidad organizativa principal. -
organizations:ListAccountsForParent: permite a las entidades principales enumerar las cuentas secundarias de una unidad organizativa principal. -
organizations:ListParents: enumera las unidades raíz u organizativas (UO) que sirven como unidad principal inmediata de la UO secundaria o cuenta especificada. -
organizations:DescribeAccount: permite a las entidades principales recuperar información de sobre una cuenta en una organización. -
organizations:DescribeOrganizationalUnit: permite a las entidades principales recuperar información sobre una unidad organizativa de la organización. -
organizations:ListPolicies: recupera la lista de todas las políticas de una organización de un tipo especificado. -
organizations:ListPoliciesForTarget: enumera las políticas que están asociadas directamente con la raíz de destino, la unidad organizativa (UO) o la cuenta especificada. -
organizations:ListTargetsForPolicy: enumera todas las raíces, las unidades organizativas (UO) y las cuentas a las que está asociada la política especificada. -
organizations:EnableAWSServiceAccess: permite que las entidades principales habiliten la integración con Organizations. -
organizations:RegisterDelegatedAdministrator: permite que las entidades principales designen la cuenta de administrador delegado. -
organizations:DeregisterDelegatedAdministrator: permite que las entidades principales eliminen la cuenta de administrador delegado. -
organizations:DescribePolicy: recupera información sobre una política. -
organizations:DescribeEffectivePolicy: devuelve el contenido de la política en vigor para el tipo de política y la cuenta especificados. -
organizations:CreatePolicy: crea una política de un tipo específico que se puede asociar a una raíz, a una unidad organizativa (UO) o a una cuenta de AWS individual. -
organizations:UpdatePolicy: actualiza una política existente con un nombre nuevo, una descripción nueva o contenido nuevo. -
organizations:DeletePolicy: elimina la política especificada de la organización. -
organizations:AttachPolicy: asocia una política a una raíz, una unidad organizativa (UO) o una cuenta individual. -
organizations:DetachPolicy: desasocia una política de una raíz de destino, una unidad organizativa (UO) o una cuenta. -
organizations:EnablePolicyType: habilita un tipo de política en una raíz. -
organizations:DisablePolicyType: desactiva un tipo de política organizacional en una raíz. -
organizations:TagResource: agrega uno o más etiquetas a un recurso especificado. -
organizations:UntagResource: elimina cualquier etiqueta con las claves especificadas de un recurso indicado. -
organizations:ListTagsForResource: enumera las etiquetas asociadas a un recurso especificado.
Para revisar los permisos de esta política, consulte AWSSecurityHubOrganizationsAccess en la Guía de referencia de la política administrada de AWS.
AWS Política administrada de: AWSSecurityHubServiceRolePolicy
No puede adjuntar AWSSecurityHubServiceRolePolicy a sus entidades de IAM. Esta política está asociada a un rol vinculado al servicio que permite al CSPM de Security Hub realizar acciones en su nombre. Para obtener más información, consulte Roles vinculados a servicios de AWS Security Hub CSPM.
Esta política otorga permisos administrativos que permiten que el rol vinculado al servicio realice tareas como ejecutar comprobaciones de seguridad para los controles del CSPM de Security Hub.
Detalles de los permisos
Esta política incluye los permisos siguientes:
-
cloudtrail: recuperar información sobre registros de seguimiento de CloudTrail. -
cloudwatch: recuperar alarmas actuales de CloudWatch. -
logs: recuperar filtros de métricas de los registros de CloudWatch. -
sns: recuperar la lista de suscripciones a un tema de SNS. -
config: recuperar información sobre grabadoras de configuración, recursos y reglas de AWS Config. También permite que el rol vinculado a un servicio cree y elimine reglas de AWS Config y ejecute evaluaciones en función de las reglas. -
iam: obtener y generar informes de credenciales de cuentas. -
organizations: recuperar información de cuentas y unidades organizativas (OU) de una organización. -
securityhub: recuperar información sobre la configuración del servicio, los estándares y los controles del CSPM de Security Hub. -
tag: recuperar información sobre las etiquetas de recursos.
Para revisar los permisos de esta política, consulte AWSSecurityHubServiceRolePolicy en la Guía de referencia de la política administrada de AWS.
AWS Política administrada por: AWSSecurityHubV2ServiceRolePolicy
nota
Security Hub se encuentra en versión preliminar y está sujeto a cambios.
Esta política permite a Security Hub administrar en su nombre las reglas de AWS Config y los recursos de Security Hub en la organización. Esta política está asociada a un rol vinculado a un servicio. Esto permite a dicho servicio realizar acciones por usted. No puede adjuntar esta política a las identidades de IAM. Para obtener más información, consulte Roles vinculados a servicios de AWS Security Hub CSPM.
Detalles sobre los permisos
Esta política incluye los permisos siguientes:
-
config: administrar los registradores de configuración vinculados al servicio para los recursos de Security Hub. -
iam: crear el rol vinculado al servicio para AWS Config. -
organizations: recuperar información de cuentas y unidades organizativas (OU) de una organización. -
securityhub: administrar la configuración de Security Hub. -
tag: recuperar información sobre las etiquetas de recursos.
Para revisar los permisos de esta política, consulte AWSSecurityHubV2ServiceRolePolicy en la Guía de referencia de la política administrada de AWS.
Security Hub actualiza las políticas administradas por AWS
En la siguiente tabla se ofrece información sobre las actualizaciones de las políticas administradas de AWS para AWS Security Hub y el CSPM de Security Hub desde que este servicio comenzó a rastrear estos cambios. Para recibir alertas automáticas sobre actualizaciones en las políticas, suscríbase al canal RSS en la página del Historial de documentos de Security Hub.
| Cambio | Descripción | Fecha |
|---|---|---|
| AWSSecurityHubOrganizationsAccess: actualización a una política existente | Security Hub agregó nuevos permisos a la política. Estos permisos permiten que la administración de la organización habilite y administre Security Hub y el CSPM de Security Hub para una organización. | 17 de junio de 2025 |
|
AWSSecurityHubFullAccess: actualización a una política existente |
El CSPM de Security Hub agregó nuevos permisos que permiten a las entidades principales crear un rol vinculado al servicio para Security Hub. |
17 de junio de 2025 |
|
AWSSecurityHubV2ServiceRolePolicy: nueva política |
Security Hub agregó una política nueva que permite a Security Hub administrar reglas de AWS Config y recursos de Security Hub para la organización de un cliente y en nombre del cliente. Security Hub se encuentra en versión preliminar y está sujeto a cambios. |
17 de junio de 2025 |
| AWSSecurityHubFullAccess: actualización a una política existente | El CSPM de Security Hub actualizó la política para obtener información detallada sobre los precios de los productos y los Servicios de AWS. | 24 de abril de 2024 |
| AWSSecurityHubReadOnlyAccess: actualización a una política existente | El CSPM de Security Hub actualizó esta política administrada mediante la adición de un campo Sid. |
22 de febrero de 2024 |
| AWSSecurityHubFullAccess: actualización a una política existente | El CSPM de Security Hub ha actualizado la política para determinar si Amazon GuardDuty y Amazon Inspector están habilitados en una cuenta. Esto ayuda a los clientes a reunir información relacionada con la seguridad de múltiples Servicios de AWS. | 16 de noviembre de 2023 |
| AWSSecurityHubOrganizationsAccess: actualización a una política existente | El CSPM de Security Hub ha actualizado la política para conceder permisos adicionales a fin de permitir acceso de solo lectura a las funcionalidades de administrador delegado de AWS Organizations. Esto incluye detalles como la raíz, las unidades organizativas (OU), las cuentas, la estructura de la organización y el acceso a servicios. | 16 de noviembre de 2023 |
| AWSSecurityHubServiceRolePolicy: actualización de una política existente | El CSPM de Security Hub ha agregado los permisos BatchGetSecurityControls, DisassociateFromAdministratorAccount y UpdateSecurityControl para leer y actualizar las propiedades de control de seguridad personalizables. |
26 de noviembre de 2023 |
| AWSSecurityHubServiceRolePolicy: actualización de una política existente | El CSPM de Security Hub agregó el permiso tag:GetResources para leer las etiquetas de recursos relacionadas con los resultados. |
7 de noviembre de 2023 |
| AWSSecurityHubServiceRolePolicy: actualización de una política existente | El CSPM de Security Hub agregó el permiso BatchGetStandardsControlAssociations para obtener información sobre el estado de habilitación de un control en un estándar. |
27 de septiembre de 2023 |
| AWSSecurityHubServiceRolePolicy: actualización de una política existente | El CSPM de Security Hub agregó nuevos permisos para obtener datos de AWS Organizations y leer y actualizar configuraciones del CSPM de Security Hub, incluidos estándares y controles. | 20 de septiembre de 2023 |
| AWSSecurityHubServiceRolePolicy: actualización de una política existente | El CSPM de Security Hub trasladó el permiso config:DescribeConfigRuleEvaluationStatus existente a una instrucción diferente en la política. El permiso config:DescribeConfigRuleEvaluationStatus se aplica ahora a todos los recursos. |
17 de marzo de 2023 |
| AWSSecurityHubServiceRolePolicy: actualización de una política existente | El CSPM de Security Hub trasladó el permiso config:PutEvaluations existente a una instrucción diferente en la política. El permiso config:PutEvaluations se aplica ahora a todos los recursos. |
14 de julio de 2021 |
| AWSSecurityHubServiceRolePolicy: actualización de una política existente | El CSPM de Security Hub agregó un nuevo permiso para permitir que el rol vinculado a un servicio entregue resultados de evaluación a AWS Config. | 29 de junio de 2021 |
| AWSSecurityHubServiceRolePolicy: añadido a la lista de políticas administradas | Se agregó información sobre la política administrada de AWSSecurityHubServiceRolePolicy, que el rol vinculado a un servicio del CSPM de Security Hub utiliza. | 11 de junio de 2021 |
| AWSSecurityHubOrganizationsAccess: política nueva | El CSPM de Security Hub agregó una nueva política que otorga los permisos necesarios para la integración del CSPM de Security Hub con Organizations. | 15 de marzo de 2021 |
| El CSPM de Security Hub comenzó a hacer un seguimiento de los cambios | El CSPM de Security Hub comenzó a hacer un seguimiento de los cambios en sus políticas administradas de AWS. | 15 de marzo de 2021 |
