Roles vinculados a servicios de AWS Security Hub CSPM

AWS Security Hub CSPM utiliza un rol de AWS Identity and Access Management (IAM) vinculado al servicio denominado AWSServiceRoleForSecurityHub. Este rol vinculado al servicio es un rol de IAM que está vinculado directamente a Security Hub. Está predefinido por Security Hub e incluye todos los permisos que Security Hub requiere para llamar a otros Servicios de AWS y supervisar los recursos de AWS en su nombre. Security Hub utiliza este rol vinculado al servicio en todas las Regiones de AWS en las que Security Hub está disponible.

Un rol vinculado a un servicio simplifica la configuración de Security Hub porque ya no tendrá que agregar de forma manual los permisos necesarios. Security Hub define los permisos de su rol vinculado al servicio y, salvo que se especifique lo contrario, solo Security Hub puede asumir el rol. Los permisos definidos incluyen las políticas de confianza y de permisos, y no puede asociar esa política de permisos a ninguna otra entidad de IAM.

Para revisar los detalles del rol vinculado al servicio, puede usar la consola de Security Hub. En el panel de navegación, elija General en Configuración. Luego, en la sección Permisos del servicio, elija Ver permisos del servicio.

Puede eliminar el rol vinculado al servicio de Security Hub solo después de desactivar Security Hub en todas las regiones donde está habilitado. De esta forma se protegen los recursos de Security Hub, ya que evita que se puedan eliminar accidentalmente permisos de acceso a estos recursos.

Para obtener información acerca de otros servicios que admiten roles vinculados a servicios, consulte Servicios de AWS que funcionan con IAM en la Guía del usuario de IAM y busque los servicios que tengan Sí en la columna Roles vinculados a servicios. Seleccione una opción Sí con una conexión para revisar la documentación acerca del rol vinculado a un servicio en cuestión.

Permisos de roles vinculados a servicios de Security Hub

Security Hub usa el rol vinculado a un servicio denominado AWSServiceRoleForSecurityHub. Es un rol vinculado a un servicio necesario para que AWS Security Hub CSPM acceda a sus recursos. Este rol vinculado al servicio permite que Security Hub realice tareas como recibir resultados de otros Servicios de AWS y configurar la infraestructura necesaria de AWS Config para ejecutar comprobaciones de seguridad para los controles. El rol vinculado a servicios AWSServiceRoleForSecurityHub confía en el servicio securityhub.amazonaws.com para asumir el rol.

El rol vinculado al servicio AWSServiceRoleForSecurityHub utiliza la política administrada AWSSecurityHubServiceRolePolicy.

Debe conceder permisos para permitir a una identidad de IAM (como un rol, grupo o usuario) crear, editar o eliminar un rol vinculado a un servicio. Para que el rol vinculado al servicio AWSServiceRoleForSecurityHub se cree correctamente, la identidad de IAM que usa para acceder a Security Hub debe tener los permisos necesarios. Para conceder los permisos necesarios, asocie la siguiente política a la identidad de IAM.

JSON

{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "securityhub:*",
            "Resource": "*"    
        },
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": "securityhub.amazonaws.com"
                }
            }
        }
    ]
}

Creación de un rol vinculado a un servicio de Security Hub

El rol vinculado al servicio de AWSServiceRoleForSecurityHub se crea automáticamente cuando habilita Security Hub por primera vez o cuando habilita Security Hub en una región donde no lo había habilitado antes. También puede crear manualmente el rol vinculado al servicio de AWSServiceRoleForSecurityHub por medio de la consola de IAM, la CLI de IAM o la API de IAM. Para obtener más información acerca de cómo crear un rol manualmente, consulte Crear un rol vinculado a un servicio en la Guía del usuario de IAM.

Edición de un rol vinculado a un servicio de Security Hub

Security Hub no le permite modificar el rol vinculado al servicio AWSServiceRoleForSecurityHub. Después de crear un rol vinculado a un servicio, no puede cambiarle el nombre, ya que varias entidades pueden hacer referencia a él. Sin embargo, puede editar la descripción del rol mediante IAM. Para obtener más información, consulte Edición de un rol vinculado a un servicio en la Guía del usuario de IAM.

Eliminación de un rol vinculado a un servicio de Security Hub

Si ya no necesita utilizar una característica o servicio que requiere un rol vinculado a un servicio, le recomendamos que elimine el rol. De esta forma, no tendrá una entidad no utilizada cuya supervisión o mantenimiento no se realizan de forma activa.

Cuando desactiva Security Hub, Security Hub no elimina automáticamente el rol vinculado al servicio de AWSServiceRoleForSecurityHub. Si vuelve a habilitar Security Hub, el servicio puede entonces comenzar a usar nuevamente el rol vinculado al servicio existente. Si ya no necesita usar Security Hub, puede eliminar manualmente el rol vinculado al servicio.

Para eliminar el rol vinculado al servicio de AWSServiceRoleForSecurityHub, puede usar la consola de IAM, la CLI de IAM o la API de IAM. Para obtener más información, consulte Eliminación de un rol vinculado a un servicio en la Guía del usuario de IAM.