Funciones vinculadas al servicio para AWS Security Hub CSPM - AWSSecurity Hub
Permisos de roles vinculados a servicios para Security Hub CSPMCreación de un rol vinculado a un servicio para Security Hub CSPMEdición de un rol vinculado a un servicio para Security Hub CSPMEliminar un rol vinculado a un servicio para Security Hub CSPMFunción vinculada al servicio para AWS Security Hub V2

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Funciones vinculadas al servicio para AWS Security Hub CSPM

AWS Security Hub CSPMutiliza un rol vinculado a un AWS Identity and Access Management servicio (IAM) denominado. AWSServiceRoleForSecurityHub Esta función vinculada a un servicio es una función de IAM que está vinculada directamente a Security Hub CSPM. Está predefinido por Security Hub CSPM e incluye todos los permisos que Security Hub CSPM necesita para llamar a otros AWS recursos Servicios de AWS y supervisarlos en su nombre. Security Hub CSPM utiliza esta función vinculada a un servicio en todos los lugares en los que Security Regiones de AWS Hub CSPM esté disponible.

Un rol vinculado a un servicio facilita la configuración del CSPM de Security Hub, ya que no es necesario añadir manualmente los permisos necesarios. Security Hub CSPM define los permisos de su función vinculada al servicio y, a menos que se defina lo contrario, solo Security Hub CSPM puede asumir la función. Los permisos definidos incluyen las políticas de confianza y de permisos, y no puede asociar esa política de permisos a ninguna otra entidad de IAM.

Para revisar los detalles del rol vinculado al servicio, puede usar la consola CSPM de Security Hub. En el panel de navegación, elija General en Configuración. Luego, en la sección Permisos del servicio, elija Ver permisos del servicio.

Puede eliminar la función vinculada al servicio CSPM de Security Hub solo después de deshabilitar Security Hub CSPM en todas las regiones en las que está habilitada. Esto protege los recursos de CSPM de Security Hub porque no puede eliminar sin darse cuenta los permisos de acceso a ellos.

Para obtener información acerca de otros servicios que admiten roles vinculados a servicios, consulte Servicios de AWS que funcionan con IAM en la Guía del usuario de IAM y busque los servicios que tengan en la columna Roles vinculados a servicios. Seleccione una opción con una conexión para revisar la documentación acerca del rol vinculado a un servicio en cuestión.

Permisos de roles vinculados a servicios para Security Hub CSPM

El CSPM de Security Hub usa el rol vinculado al servicio denominado. AWSServiceRoleForSecurityHub Es un rol vinculado a un servicio necesario para acceder a sus recursos. AWS Security Hub CSPM Esta función vinculada a un servicio permite a Security Hub CSPM realizar tareas como recibir las conclusiones de otros usuarios Servicios de AWS y configurar la AWS Config infraestructura necesaria para ejecutar comprobaciones de seguridad de los controles. El rol vinculado a servicios AWSServiceRoleForSecurityHub confía en el servicio securityhub.amazonaws.com para asumir el rol.

El rol vinculado al servicio AWSServiceRoleForSecurityHub utiliza la política administrada de AWSSecurityHubServiceRolePolicy.

Debe conceder permisos para permitir a una identidad de IAM (como un rol, grupo o usuario) crear, editar o eliminar un rol vinculado a un servicio. Para que el rol AWSServiceRoleForSecurityHub vinculado al servicio se cree correctamente, la identidad de IAM que utilice para acceder al CSPM de Security Hub debe tener los permisos necesarios. Para conceder los permisos necesarios, asocie la siguiente política a la identidad de IAM.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "securityhub:*",
            "Resource": "*"    
        },
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": "securityhub.amazonaws.com"
                }
            }
        }
    ]
}

Creación de un rol vinculado a un servicio para Security Hub CSPM

El rol AWSServiceRoleForSecurityHub vinculado al servicio se crea automáticamente al habilitar el CSPM de Security Hub por primera vez o al habilitar el CSPM de Security Hub en una región en la que no lo habilitó anteriormente. También puede crear manualmente el rol vinculado al servicio de AWSServiceRoleForSecurityHub por medio de la consola de IAM, la CLI de IAM o la API de IAM. Para obtener más información acerca de cómo crear un rol manualmente, consulte Crear un rol vinculado a un servicio en la Guía del usuario de IAM.

importante

El rol vinculado al servicio que se crea para una cuenta de administrador de CSPM de Security Hub no se aplica a las cuentas de miembros de CSPM de Security Hub asociadas.

Edición de un rol vinculado a un servicio para Security Hub CSPM

El CSPM de Security Hub no le permite editar el rol vinculado al AWSServiceRoleForSecurityHub servicio. Después de crear un rol vinculado a un servicio, no puede cambiarle el nombre, ya que varias entidades pueden hacer referencia a él. Sin embargo, puede editar la descripción del rol mediante IAM. Para obtener más información, consulte Edición de un rol vinculado a un servicio en la Guía del usuario de IAM.

Eliminar un rol vinculado a un servicio para Security Hub CSPM

Si ya no necesita utilizar una característica o servicio que requiere un rol vinculado a un servicio, le recomendamos que elimine el rol. De esta forma, no tendrá una entidad no utilizada cuya supervisión o mantenimiento no se realizan de forma activa.

Al deshabilitar el CSPM de Security Hub, el CSPM de Security Hub no elimina automáticamente el rol vinculado al AWSServiceRoleForSecurityHub servicio. Si vuelve a habilitar Security Hub CSPM, el servicio podrá volver a utilizar la función vinculada al servicio existente. Si ya no necesita usar Security Hub CSPM, puede eliminar manualmente el rol vinculado al servicio.

importante

Antes de eliminar el rol AWSServiceRoleForSecurityHub vinculado al servicio, primero debe deshabilitar el CSPM de Security Hub en todas las regiones en las que esté habilitado. Para obtener más información, consulte Cómo desactivar el CSPM de Security Hub. Si el CSPM de Security Hub no está deshabilitado al intentar eliminar el rol vinculado al servicio, se produce un error en la eliminación.

Para eliminar el rol vinculado al servicio de AWSServiceRoleForSecurityHub, puede usar la consola de IAM, la CLI de IAM o la API de IAM. Para obtener más información, consulte Eliminación de un rol vinculado a servicios en la Guía del usuario de IAM.

Función vinculada al servicio para AWS Security Hub V2

usa el rol vinculado al servicio denominado. AWSServiceRoleForSecurityHubV2 Este rol vinculado al servicio permite administrar AWS Config las reglas y los recursos de su organización y en su nombre. El rol vinculado a servicios AWSServiceRoleForSecurityHubV2 confía en el servicio securityhub.amazonaws.com para asumir el rol.

El rol vinculado al servicio AWSServiceRoleForSecurityHubV2 utiliza la política administrada de AWSSecurityHubV2ServiceRolePolicy.

Detalles de los permisos

Esta política incluye los permisos siguientes:

  • cloudwatch— Permite que el rol recupere datos de métricas para respaldar las capacidades de medición de los recursos.

  • config— Permite gestionar los recursos de los registradores de configuración vinculados a servicios, incluido el soporte para grabadores globales. AWS Config

  • ecr— Permite que el rol recupere información sobre las imágenes y los repositorios de Amazon Elastic Container Registry para respaldar las capacidades de medición.

  • iam— Permite que el rol cree el rol vinculado al servicio AWS Config y recupere la información de la cuenta para respaldar las capacidades de medición.

  • lambda— Permite que el rol recupere información de la AWS Lambda función para respaldar las capacidades de medición.

  • organizations— Permite que el rol recupere información de la cuenta y la unidad organizativa (OU) de una organización.

  • securityhub— Permite que el rol administre la configuración.

  • tag— Permite que el rol recupere información sobre las etiquetas de recursos.

Debe conceder permisos para permitir a una identidad de IAM (como un rol, grupo o usuario) crear, editar o eliminar un rol vinculado a un servicio. Para que el rol AWSServiceRoleForSecurityHubV2 vinculado al servicio se cree correctamente, la identidad de IAM a la que se accede debe tener los permisos necesarios. Para conceder los permisos necesarios, asocie la siguiente política a la identidad de IAM.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "securityhub:*",
            "Resource": "*"    
        },
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": "securityhub.amazonaws.com"
                }
            }
        }
    ]
}

Creación de un rol vinculado a un servicio para AWS Security Hub V2

El rol AWSServiceRoleForSecurityHubV2 vinculado al servicio se crea automáticamente cuando lo habilitas por primera vez o lo habilitas en una región en la que no lo habilitaste anteriormente. También puede crear manualmente el rol vinculado al servicio de AWSServiceRoleForSecurityHubV2 por medio de la consola de IAM, la CLI de IAM o la API de IAM. Para obtener más información acerca de cómo crear un rol manualmente, consulte Crear un rol vinculado a un servicio en la Guía del usuario de IAM.

importante

El rol vinculado al servicio que se crea para una cuenta de administrador no se aplica a las cuentas de miembros asociadas.

Edición de un rol vinculado a un servicio para AWS Security Hub V2

no le permite editar el rol vinculado al AWSServiceRoleForSecurityHubV2 servicio. Después de crear un rol vinculado a un servicio, no puede cambiarle el nombre, ya que varias entidades pueden hacer referencia a él. Sin embargo, puede editar la descripción del rol mediante IAM. Para obtener más información, consulte Edición de un rol vinculado a un servicio en la Guía del usuario de IAM.

Eliminar un rol vinculado a un servicio para AWS Security Hub V2

Si ya no necesita utilizar una característica o servicio que requiere un rol vinculado a un servicio, le recomendamos que elimine el rol. De esta forma, no tendrá una entidad no utilizada cuya supervisión o mantenimiento no se realizan de forma activa.

Cuando lo inhabilitas, no se elimina automáticamente el rol AWSServiceRoleForSecurityHubV2 vinculado al servicio. Si lo vuelves a habilitar, el servicio podrá volver a utilizar el rol vinculado al servicio existente. Si ya no necesita usarlo, puede eliminar manualmente el rol vinculado al servicio.

importante

Antes de eliminar el rol AWSServiceRoleForSecurityHubV2 vinculado al servicio, primero debe deshabilitarlo en todas las regiones en las que esté habilitado. Para obtener más información, consulte Cómo desactivar el CSPM de Security Hub. Si el servicio de está habilitado cuando intenta eliminar el rol vinculado al servicio, el rol no se eliminará.

Para eliminar el rol vinculado al servicio de AWSServiceRoleForSecurityHubV2, puede usar la consola de IAM, la CLI de IAM o la API de IAM. Para obtener más información, consulte Eliminación de un rol vinculado a servicios en la Guía del usuario de IAM.