本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# Security Hub 票證整合的 KMS 金鑰政策
搭配 Security Hub 票證整合使用客戶受管 KMS 金鑰時,需要將其他政策新增至 KMS 金鑰,以允許 Security Hub 與金鑰互動。此外,需要新增政策,以允許將金鑰新增至 Security Hub 連接器許可的主體存取金鑰。
## Security Hub 許可政策
下列政策概述 Security Hub 能夠存取和使用與 Jira 和 ServiceNow 連接器相關聯的 KMS 金鑰所需的許可。此政策需要新增至與 Security Hub 連接器相關聯的每個 KMS 金鑰。
政策包含下列許可:
+ 允許 Security Hub 使用 金鑰來保護、暫時存取或重新整理用於與您的票證整合通訊的字符。透過檢查來源 ARN 和加密內容的條件區塊,許可僅限於與特定 Security Hub 連接器相關的操作。
+ 允許 Security Hub 透過允許 `DescribeKey`操作來讀取有關 KMS 金鑰的中繼資料。Security Hub 必須具備此許可,才能驗證金鑰的狀態和組態。存取僅限於透過來源 ARN 條件的特定 Security Hub 連接器。
```
{
"Sid": "Allow Security Hub access to the customer managed key",
"Effect": "Allow",
"Principal": {
"Service": "connector.securityhub.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt",
"kms:ReEncrypt*"
],
"Resource": "*",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:securityhub:Region:AccountId:connectorv2/*"
},
"StringLike": {
"kms:EncryptionContext:aws:securityhub:connectorV2Arn": "arn:aws:securityhub:Region:AccountId:connectorv2/*",
"kms:EncryptionContext:aws:securityhub:providerName": "CloudProviderName"
}
}
},
{
"Sid": "Allow Security Hub read access to the customer managed key",
"Effect": "Allow",
"Principal": {
"Service": "connector.securityhub.amazonaws.com"
},
"Action": [
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:securityhub:Region:AccountId:connectorv2/*"
}
}
}
```
透過取代政策範例中的下列值來編輯政策:
+ 將 *CloudProviderName* 取代為 `JIRA_CLOUD`或 `SERVICENOW`
+ 將 *AccountId* 取代為您建立 Security Hub 連接器的帳戶 ID。
+ 將*區域*取代為您的 AWS 區域 (例如 `us-east-1`)。
## Security Hub 操作的 IAM 主體存取
將客戶受管 KMS 金鑰指派給 Security Hub 連接器的任何委託人都需要具有許可,才能為要新增至連接器的金鑰執行金鑰操作 (描述、產生、解密、重新加密和列出別名)。這適用於 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateConnectorV2.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateConnectorV2.html)和 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateTicketV2.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateTicketV2.html) APIs。對於將與這些 APIs 互動的任何委託人,下列政策陳述式應包含在政策中。
```
{
"Sid": "Allow permissions to access key through Security Hub",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::AccountId:role/RoleName"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt",
"kms:ReEncrypt*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": [
"securityhub.Region.amazonaws.com"
]
},
"StringLike": {
"kms:EncryptionContext:aws:securityhub:providerName": "CloudProviderName"
}
}
},
{
"Sid": "Allow read permissions to access key through Security Hub",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::AccountId:role/RoleName"
},
"Action": [
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": [
"securityhub.Region.amazonaws.com"
]
}
}
}
```
透過取代政策範例中的下列值來編輯政策:
+ 將 *RoleName* 取代為呼叫 Security Hub 的 IAM 角色名稱。
+ 將 *CloudProviderName* 取代為 `JIRA_CLOUD`或 `SERVICENOW`。
+ 將 *AccountId* 取代為您建立 Security Hub 連接器的帳戶 ID。
+ 將*區域*取代為您的 AWS 區域 (例如 `us-east-1`)。