As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Service-linked funções para AWS Security Hub CSPM
<a name="using-service-linked-roles"></a>

AWS Security Hub CSPM usa uma [função vinculada ao serviço AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM) chamada. `AWSServiceRoleForSecurityHub` Essa função vinculada ao serviço é uma função do IAM vinculada diretamente ao CSPM do Security Hub. É predefinido pelo CSPM do Security Hub e inclui todas as permissões que o CSPM do Security Hub exige para chamar outras pessoas Serviços da AWS e monitorar AWS recursos em seu nome. O CSPM do Security Hub usa essa função vinculada ao serviço em todos os locais em que o CSPM do Security Regiões da AWS Hub está disponível.

Uma função vinculada ao serviço facilita a configuração do CSPM do Security Hub porque você não precisa adicionar manualmente as permissões necessárias. O CSPM do Security Hub define as permissões de sua função vinculada ao serviço e, a menos que seja definido de outra forma, somente o CSPM do Security Hub pode assumir a função. As permissões definidas incluem a política de confiança e a política de permissões, a qual não pode ser anexada a nenhuma outra entidade do IAM.

Para revisar os detalhes da função vinculada ao serviço, você pode usar o console CSPM do Security Hub. No painel de navegação, escolha **Geral** em **Configurações**. Em seguida, na seção **Permissões do serviço**, escolha **Exibir permissões do serviço**.

Você pode excluir a função vinculada ao serviço CSPM do Security Hub somente depois de desativar o CSPM do Security Hub em todas as regiões em que ela está habilitada. Isso protege seus recursos CSPM do Security Hub porque você não pode remover inadvertidamente as permissões para acessá-los.

Para obter informações sobre outros serviços que oferecem suporte a funções vinculadas a serviços, consulte [AWS serviços que funcionam com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) no *Guia do usuário do IAM* e localize os serviços que têm **Sim** na coluna de **Service-linked funções**. Escolha um **Sim** com um link para revisar a documentação da função vinculada a esse serviço.

**Topics**
+ [Service-linked permissões de função para o Security Hub CSPM](#slr-permissions)
+ [Criando uma função vinculada ao serviço para o Security Hub CSPM](#create-slr)
+ [Editando uma função vinculada ao serviço para o Security Hub CSPM](#edit-slr)
+ [Excluindo uma função vinculada ao serviço para o Security Hub CSPM](#delete-slr)

## Service-linked permissões de função para o Security Hub CSPM
<a name="slr-permissions"></a>

O Security Hub CSPM usa a função vinculada ao serviço chamada. `AWSServiceRoleForSecurityHub` É uma função vinculada ao serviço necessária AWS Security Hub CSPM para acessar seus recursos. Essa função vinculada ao serviço permite que o CSPM do Security Hub execute tarefas como receber descobertas de outras pessoas Serviços da AWS e configurar a AWS Config infraestrutura necessária para executar verificações de segurança dos controles. O perfil vinculado ao serviço `AWSServiceRoleForSecurityHub` confia no serviço `securityhub.amazonaws.com` para presumir o perfil.

A função vinculada ao serviço `AWSServiceRoleForSecurityHub` usa a política gerenciada [`AWSSecurityHubServiceRolePolicy`](security-iam-awsmanpol.md#security-iam-awsmanpol-awssecurityhubservicerolepolicy).

É necessário conceder permissões para permitir que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua uma função vinculada ao serviço. Para que a função `AWSServiceRoleForSecurityHub` vinculada ao serviço seja criada com sucesso, a identidade do IAM que você usa para acessar o CSPM do Security Hub deve ter as permissões necessárias. Para conceder as permissões necessárias, anexe a política a seguir à identidade do IAM.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "securityhub:*",
            "Resource": "*"    
        },
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": "securityhub.amazonaws.com"
                }
            }
        }
    ]
}
```

------

## Criando uma função vinculada ao serviço para o Security Hub CSPM
<a name="create-slr"></a>

A função `AWSServiceRoleForSecurityHub` vinculada ao serviço é criada automaticamente quando você ativa o CSPM do Security Hub pela primeira vez ou ativa o CSPM do Security Hub em uma região onde não a habilitou anteriormente. Também é possível criar o perfil vinculado ao serviço `AWSServiceRoleForSecurityHub` manualmente usando o console do IAM, a CLI do IAM ou a API do IAM. Para mais informações sobre a criação da função manualmente, consulte [Criar uma função vinculada ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) no *Guia do usuário do IAM*.

**Importante**  
A função vinculada ao serviço criada para uma conta de administrador do CSPM do Security Hub não se aplica às contas associadas de membros do CSPM do Security Hub.

## Editando uma função vinculada ao serviço para o Security Hub CSPM
<a name="edit-slr"></a>

O CSPM do Security Hub não permite que você edite a função vinculada ao `AWSServiceRoleForSecurityHub` serviço. Depois que você criar um perfil vinculado ao serviço, não poderá alterar o nome do perfil, pois várias entidades podem fazer referência ao perfil. No entanto, será possível editar a descrição da função usando o IAM. Para saber mais, consulte [Editar um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) no *Guia do usuário do IAM*.

## Excluindo uma função vinculada ao serviço para o Security Hub CSPM
<a name="delete-slr"></a>

Se você não precisar mais usar um recurso ou serviço que requer uma função vinculada a serviço, é recomendável excluí-la. Dessa forma, você não terá uma entidade não utilizada e não monitorada ativamente ou mantida.

Quando você desativa o CSPM do Security Hub, o CSPM do Security Hub não exclui automaticamente a função vinculada ao `AWSServiceRoleForSecurityHub` serviço para você. Se você habilitar o Security Hub CSPM novamente, o serviço poderá começar a usar a função vinculada ao serviço existente novamente. Se você não precisar mais usar o CSPM do Security Hub, poderá excluir manualmente a função vinculada ao serviço.

**Importante**  
Antes de excluir a função `AWSServiceRoleForSecurityHub` vinculada ao serviço, você deve primeiro desabilitar o CSPM do Security Hub em todas as regiões em que ela está habilitada. Para obter mais informações, consulte [Desabilitação do CSPM do Security Hub](securityhub-disable.md). Se o CSPM do Security Hub não estiver desativado quando você tentar excluir a função vinculada ao serviço, a exclusão falhará.

Para excluir o perfil vinculado ao serviço `AWSServiceRoleForSecurityHub`, é possível usar o console do IAM, a CLI do IAM ou a API do IAM. Para saber mais, consulte [Excluir um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) no *Guia do usuário do IAM*.