As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Políticas-chave do KMS para integrações de emissão de bilhetes do Security Hub
<a name="securityhub-v2-integrations-key-policy"></a>

 Ao usar chaves KMS gerenciadas pelo cliente com integrações de emissão de tíquetes do Security Hub, políticas adicionais precisam ser adicionadas à chave KMS para permitir que o Security Hub interaja com a chave. Além disso, é necessário adicionar políticas que permitam que o principal que está adicionando a chave ao conector do Security Hub tenha permissões para acessar a chave. 

## Política de permissões do Security Hub
<a name="securityhub-permissions-policy"></a>

 A política a seguir descreve as permissões que o Security Hub precisa para poder acessar e usar a chave KMS associada ao seu Jira e aos conectores. ServiceNow Essa política precisa ser adicionada a cada chave KMS associada a um conector do Security Hub. 

A política contém as seguintes permissões:
+  Permite que o Security Hub proteja, acesse temporariamente ou atualize os tokens usados para se comunicar com suas integrações de emissão de bilhetes usando a chave. As permissões são restritas às operações relacionadas a conectores específicos do Security Hub por meio do bloco de condições que verifica o ARN de origem e o contexto de criptografia. 
+  Permite que o Security Hub leia metadados sobre a chave KMS ao permitir a operação. `DescribeKey` Essa permissão é necessária para que o Security Hub verifique o status e a configuração da chave. O acesso é limitado a conectores específicos do Security Hub por meio da condição do ARN de origem. 

```
{
    "Sid": "Allow Security Hub access to the customer managed key",
    "Effect": "Allow",
    "Principal": {
        "Service": "connector.securityhub.amazonaws.com"
    },
    "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt",
        "kms:ReEncrypt*"
    ],
    "Resource": "*",
    "Condition": {
        "ArnLike": {
            "aws:SourceArn": "arn:aws:securityhub:Region:AccountId:connectorv2/*"
        },
        "StringLike": {
            "kms:EncryptionContext:aws:securityhub:connectorV2Arn": "arn:aws:securityhub:Region:AccountId:connectorv2/*",
            "kms:EncryptionContext:aws:securityhub:providerName": "CloudProviderName"
        }
    }
},
{
    "Sid": "Allow Security Hub read access to the customer managed key",
    "Effect": "Allow",
    "Principal": {
        "Service": "connector.securityhub.amazonaws.com"
    },
    "Action": [
        "kms:DescribeKey"
    ],
    "Resource": "*",
    "Condition": {
        "ArnLike": {
            "aws:SourceArn": "arn:aws:securityhub:Region:AccountId:connectorv2/*"
        }
    }
}
```

 Edite a política substituindo os seguintes valores no exemplo de política: 
+  *CloudProviderName*Substituir por `JIRA_CLOUD` ou `SERVICENOW` 
+  *AccountId*Substitua pelo ID da conta em que você está criando o conector do Security Hub. 
+  *Region*Substitua pela sua AWS região (por exemplo,`us-east-1`). 

## Acesso de entidade principal ao IAM para operações do Security Hub
<a name="iam-principal-access-policy"></a>

 Qualquer diretor que atribuirá chaves KMS gerenciadas pelo cliente a um conector do Security Hub precisa ter permissões para realizar operações de chave (descrever, gerar, descriptografar, recriptografar e listar aliases) para a chave que está sendo adicionada ao conector. Isso se aplica ao [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateConnectorV2.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateConnectorV2.html) APIse. A declaração de política a seguir deve ser incluída como parte da política para qualquer diretor que interaja com eles APIs. 

```
{
    "Sid": "Allow permissions to access key through Security Hub",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::AccountId:role/RoleName"
    },
    "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt",
        "kms:ReEncrypt*"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "kms:ViaService": [
                "securityhub.Region.amazonaws.com"
            ]
        },
        "StringLike": {
            "kms:EncryptionContext:aws:securityhub:providerName": "CloudProviderName"
        }
    }
},
{
    "Sid": "Allow read permissions to access key through Security Hub",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::AccountId:role/RoleName"
    },
    "Action": [
        "kms:DescribeKey"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "kms:ViaService": [
                "securityhub.Region.amazonaws.com"
            ]
        }
    }
}
```

 Edite a política substituindo os seguintes valores no exemplo de política: 
+  *RoleName*Substitua pelo nome da função do IAM que está fazendo chamadas para o Security Hub. 
+  Substitua *CloudProviderName* por `JIRA_CLOUD` ou `SERVICENOW`. 
+  *AccountId*Substitua pelo ID da conta em que você está criando o conector do Security Hub. 
+  *Region*Substitua pela sua AWS região (por exemplo,`us-east-1`).