기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# Security Hub 티켓팅 통합을 위한 KMS 키 정책
Security Hub 티켓팅 통합과 함께 고객 관리형 KMS 키를 사용하는 경우 Security Hub가 키와 상호 작용할 수 있도록 KMS 키에 추가 정책을 추가해야 합니다. 또한 키를 Security Hub 커넥터 권한에 추가하는 보안 주체가 키에 액세스할 수 있도록 허용하는 정책을 추가해야 합니다.
## Security Hub 권한 정책
다음 정책은 Security Hub가 Jira 및 ServiceNow 커넥터와 연결된 KMS 키에 액세스하고 사용할 수 있어야 하는 권한을 간략하게 설명합니다. 이 정책은 Security Hub 커넥터와 연결된 각 KMS 키에 추가해야 합니다.
정책에는 다음 권한이 포함됩니다.
+ Security Hub가 키를 사용하여 티켓팅 통합과 통신하는 데 사용되는 임시 액세스 또는 새로 고침 토큰을 보호할 수 있도록 허용합니다. 권한은 소스 ARN 및 암호화 컨텍스트를 확인하는 조건 블록을 통해 특정 Security Hub 커넥터와 관련된 작업으로 제한됩니다.
+ Security Hub가 `DescribeKey` 작업을 허용하여 KMS 키에 대한 메타데이터를 읽을 수 있도록 허용합니다. 이 권한은 Security Hub가 키의 상태 및 구성을 확인하는 데 필요합니다. 액세스는 소스 ARN 조건을 통해 특정 Security Hub 커넥터로 제한됩니다.
```
{
"Sid": "Allow Security Hub access to the customer managed key",
"Effect": "Allow",
"Principal": {
"Service": "connector.securityhub.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt",
"kms:ReEncrypt*"
],
"Resource": "*",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:securityhub:Region:AccountId:connectorv2/*"
},
"StringLike": {
"kms:EncryptionContext:aws:securityhub:connectorV2Arn": "arn:aws:securityhub:Region:AccountId:connectorv2/*",
"kms:EncryptionContext:aws:securityhub:providerName": "CloudProviderName"
}
}
},
{
"Sid": "Allow Security Hub read access to the customer managed key",
"Effect": "Allow",
"Principal": {
"Service": "connector.securityhub.amazonaws.com"
},
"Action": [
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:securityhub:Region:AccountId:connectorv2/*"
}
}
}
```
정책 예제에서 다음 값을 대체하여 정책을 편집합니다.
+ *CloudProviderName*을 `JIRA_CLOUD` 또는 로 바꾸기 `SERVICENOW`
+ *AccountId*를 Security Hub 커넥터를 생성하는 계정 ID로 바꿉니다.
+ *리전*을 해당 AWS 리전으로 바꿉니다(예: `us-east-1`).
## Security Hub 작업을 위한 IAM 위탁자 액세스
Security Hub 커넥터에 고객 관리형 KMS 키를 할당할 모든 보안 주체는 커넥터에 추가되는 키에 대한 키 작업(별칭 설명, 생성, 복호화, 재암호화 및 나열)을 수행할 수 있는 권한이 있어야 합니다. 이는 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateConnectorV2.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateConnectorV2.html) 및 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateTicketV2.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateTicketV2.html) APIs에 적용됩니다. 다음 정책 설명은 이러한 APIs와 상호 작용할 보안 주체에 대한 정책의 일부로 포함되어야 합니다.
```
{
"Sid": "Allow permissions to access key through Security Hub",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::AccountId:role/RoleName"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt",
"kms:ReEncrypt*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": [
"securityhub.Region.amazonaws.com"
]
},
"StringLike": {
"kms:EncryptionContext:aws:securityhub:providerName": "CloudProviderName"
}
}
},
{
"Sid": "Allow read permissions to access key through Security Hub",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::AccountId:role/RoleName"
},
"Action": [
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": [
"securityhub.Region.amazonaws.com"
]
}
}
}
```
정책 예제에서 다음 값을 대체하여 정책을 편집합니다.
+ *RoleName*을 Security Hub를 호출하는 IAM 역할의 이름으로 바꿉니다.
+ *CloudProviderName*을 `JIRA_CLOUD` 또는 로 바꿉니다`SERVICENOW`.
+ *AccountId*를 Security Hub 커넥터를 생성하는 계정 ID로 바꿉니다.
+ *리전*을 해당 AWS 리전으로 바꿉니다(예: `us-east-1`).