本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# Security Hub 票务集成的 KMS 密钥策略
将客户管理的 KMS 密钥与 Security Hub 票证集成一起使用时,需要向 KMS 密钥添加其他策略,以允许 Security Hub 与该密钥进行交互。此外,还需要添加策略,允许将密钥添加到 Security Hub 连接器的委托人访问密钥。
## Security Hub 权限策略
以下策略概述了 Security Hub 访问和使用与您的 Jira 和 ServiceNow 连接器关联的 KMS 密钥所需的权限。需要将此策略添加到与 Security Hub 连接器关联的每个 KMS 密钥中。
该策略包含以下权限:
+ 允许 Security Hub 使用密钥保护、临时访问或刷新用于与您的票务集成进行通信的令牌。权限仅限于与特定 Security Hub 连接器相关的操作,通过检查源 ARN 和加密上下文的条件块来实现。
+ 通过允许`DescribeKey`操作,允许 Security Hub 读取有关 KMS 密钥的元数据。此权限是 Security Hub 验证密钥状态和配置所必需的。访问权限通过源 ARN 条件限制为特定 Security Hub 连接器。
```
{
"Sid": "Allow Security Hub access to the customer managed key",
"Effect": "Allow",
"Principal": {
"Service": "connector.securityhub.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt",
"kms:ReEncrypt*"
],
"Resource": "*",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:securityhub:Region:AccountId:connectorv2/*"
},
"StringLike": {
"kms:EncryptionContext:aws:securityhub:connectorV2Arn": "arn:aws:securityhub:Region:AccountId:connectorv2/*",
"kms:EncryptionContext:aws:securityhub:providerName": "CloudProviderName"
}
}
},
{
"Sid": "Allow Security Hub read access to the customer managed key",
"Effect": "Allow",
"Principal": {
"Service": "connector.securityhub.amazonaws.com"
},
"Action": [
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:securityhub:Region:AccountId:connectorv2/*"
}
}
}
```
通过替换策略示例中的以下值来编辑策略:
+ 替换*CloudProviderName*为`JIRA_CLOUD`或 `SERVICENOW`
+ *AccountId*替换为您在其中创建 Security Hub 连接器的账户 ID。
+ *Region*替换为您 AWS 所在的地区(例如,`us-east-1`)。
## Security Hub 操作的 IAM 主体
任何要向 Security Hub 连接器分配客户管理的 KMS 密钥的委托人都需要拥有对要添加到连接器的密钥执行密钥操作(描述、生成、解密、重新加密和列出别名)的权限。这适用于[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateConnectorV2.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateConnectorV2.html)和[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateTicketV2.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateTicketV2.html) APIs。以下政策声明应作为任何将与之互动的委托人的政策的一部分包括在内 APIs。
```
{
"Sid": "Allow permissions to access key through Security Hub",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::AccountId:role/RoleName"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt",
"kms:ReEncrypt*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": [
"securityhub.Region.amazonaws.com"
]
},
"StringLike": {
"kms:EncryptionContext:aws:securityhub:providerName": "CloudProviderName"
}
}
},
{
"Sid": "Allow read permissions to access key through Security Hub",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::AccountId:role/RoleName"
},
"Action": [
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": [
"securityhub.Region.amazonaws.com"
]
}
}
}
```
通过替换策略示例中的以下值来编辑策略:
+ *RoleName*替换为正在调用 Security Hub 的 IAM 角色的名称。
+ 将 *CloudProviderName* 替换为 `JIRA_CLOUD` 或 `SERVICENOW`。
+ *AccountId*替换为您在其中创建 Security Hub 连接器的账户 ID。
+ *Region*替换为您 AWS 所在的地区(例如,`us-east-1`)。