Anwendungsfälle für die Integration und erforderliche Berechtigungen - AWS Security Hub
Vom Partner gehostet: Die Ergebnisse wurden vom Partnerkonto gesendetVom Partner gehostet: Die Ergebnisse wurden über das Kundenkonto gesendetVom Kunden gehostet: Die Ergebnisse wurden über das Kundenkonto gesendet

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Anwendungsfälle für die Integration und erforderliche Berechtigungen

AWS Security Hub ermöglicht es AWS Kunden, Erkenntnisse von APN-Partnern zu erhalten. Die Produkte des Partners können entweder innerhalb oder außerhalb des AWS Kundenkontos ausgeführt werden. Die Berechtigungskonfiguration im Kundenkonto unterscheidet sich je nach dem Modell, das das Partnerprodukt verwendet.

In Security Hub kontrolliert der Kunde immer, welche Partner Ergebnisse an das Konto des Kunden senden können. Kunden können die Berechtigungen eines Partners jederzeit widerrufen.

Damit ein Partner Sicherheitsergebnisse an sein Konto senden kann, abonniert der Kunde zunächst das Partnerprodukt in Security Hub. Der Abonnementschritt ist für alle unten beschriebenen Anwendungsfälle erforderlich. Einzelheiten dazu, wie Kunden Produktintegrationen verwalten, finden Sie im AWS Security Hub Benutzerhandbuch unter Verwaltung von Produktintegrationen.

Nachdem ein Kunde ein Partnerprodukt abonniert hat, erstellt Security Hub automatisch eine verwaltete Ressourcenrichtlinie. Die Richtlinie gewährt dem Partnerprodukt die Erlaubnis, den BatchImportFindingsAPI-Vorgang zu verwenden, um Ergebnisse für das Konto des Kunden an Security Hub zu senden.

Hier sind die häufigsten Fälle für Partnerprodukte, die in Security Hub integriert sind. Die Informationen beinhalten die zusätzlichen Berechtigungen, die für jeden Anwendungsfall erforderlich sind.

Vom Partner gehostet: Die Ergebnisse wurden vom Partnerkonto gesendet

Dieser Anwendungsfall deckt Partner ab, die ein Produkt in ihrem eigenen AWS Konto hosten. Um Sicherheitsergebnisse für einen AWS Kunden zu senden, ruft der Partner den BatchImportFindingsAPI-Vorgang vom Produktkonto des Partners aus auf.

Für diesen Anwendungsfall benötigt das Kundenkonto nur die Berechtigungen, die festgelegt werden, wenn der Kunde das Partnerprodukt abonniert.

Im Partnerkonto muss der IAM-Principal, der den BatchImportFindingsAPI-Vorgang aufruft, über eine IAM-Richtlinie verfügen, die dem Principal den Aufruf ermöglicht. BatchImportFindings

Ein Partnerprodukt in die Lage zu versetzen, Ergebnisse in Security Hub an den Kunden zu senden, ist ein zweistufiger Prozess:

  1. Der Kunde erstellt ein Abonnement für ein Partnerprodukt in Security Hub.

  2. Security Hub generiert mit Bestätigung des Kunden die richtige Richtlinie für verwaltete Ressourcen.

Um Sicherheitsinformationen zu senden, die sich auf das Konto des Kunden beziehen, verwendet das Partnerprodukt seine eigenen Anmeldeinformationen, um den BatchImportFindingsAPI-Vorgang aufzurufen.

Hier ist ein Beispiel für eine IAM-Richtlinie, die dem Principal im Partnerkonto die erforderlichen Security Hub Hub-Berechtigungen gewährt.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "securityhub:BatchImportFindings",
            "Resource": "arn:aws:securityhub:us-west-1:*:product-subscription/company-name/product-name"
        }
    ]
}

Vom Partner gehostet: Die Ergebnisse wurden über das Kundenkonto gesendet

Dieser Anwendungsfall gilt für Partner, die ein Produkt in ihrem eigenen AWS Konto hosten, aber eine kontoübergreifende Rolle verwenden, um auf das Konto des Kunden zuzugreifen. Sie rufen den BatchImportFindingsAPI-Vorgang vom Konto des Kunden aus auf.

In diesem Anwendungsfall übernimmt das Partnerkonto zum Aufrufen des BatchImportFindingsAPI-Vorgangs eine vom Kunden verwaltete IAM-Rolle im Konto des Kunden.

Dieser Anruf erfolgt vom Konto des Kunden aus. Daher muss die Richtlinie für verwaltete Ressourcen zulassen, dass der Produkt-ARN für das Konto des Partnerprodukts in dem Anruf verwendet wird. Die von Security Hub verwaltete Ressourcenrichtlinie gewährt Berechtigungen für das Partnerproduktkonto und den Partnerprodukt-ARN. Der Produkt-ARN ist die eindeutige Kennung des Partners als Anbieter. Da der Anruf nicht über das Partnerproduktkonto erfolgt, muss der Kunde dem Partnerprodukt ausdrücklich die Erlaubnis erteilen, Ergebnisse an Security Hub zu senden.

Die bewährte Methode für kontenübergreifende Rollen zwischen Partner- und Kundenkonten besteht darin, eine externe Kennung zu verwenden, die der Partner bereitstellt. Diese externe Kennung ist Teil der Definition der kontenübergreifenden Richtlinien im Kundenkonto. Der Partner muss die Kennung angeben, wenn er die Rolle übernimmt. Eine externe Kennung bietet eine zusätzliche Sicherheitsebene, wenn einem Partner AWS Kontozugriff gewährt wird. Die eindeutige Kennung stellt sicher, dass der Partner das richtige Kundenkonto verwendet.

Die Aktivierung eines Partnerprodukts zum Senden von Ergebnissen an den Kunden in Security Hub mit einer kontenübergreifenden Rolle erfolgt in vier Schritten:

  1. Der Kunde oder Partner, der kontoübergreifende Rollen verwendet und im Namen des Kunden arbeitet, startet das Abonnement für ein Produkt in Security Hub.

  2. Security Hub generiert mit Bestätigung des Kunden die richtige Richtlinie für verwaltete Ressourcen.

  3. Der Kunde konfiguriert die kontenübergreifende Rolle entweder manuell oder mithilfe von. AWS CloudFormation Informationen zu kontenübergreifenden Rollen finden Sie im IAM-Benutzerhandbuch unter Gewähren des Zugriffs auf AWS Konten Dritter.

  4. Das Produkt speichert die Kundenrolle und die externe ID sicher.

Als Nächstes sendet das Produkt die Ergebnisse an Security Hub:

  1. Das Produkt ruft AWS Security Token Service (AWS STS) auf, um die Kundenrolle zu übernehmen.

  2. Das Produkt ruft den BatchImportFindingsAPI-Vorgang auf Security Hub mit den temporären Anmeldeinformationen der angenommenen Rolle auf.

Hier ist ein Beispiel für eine IAM-Richtlinie, die der kontoübergreifenden Rolle des Partners die erforderlichen Security Hub Hub-Berechtigungen gewährt.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "securityhub:BatchImportFindings",
            "Resource": "arn:aws:securityhub:us-west-1:111122223333:product-subscription/company-name/product-name"
        }
    ]
}

Der Resource Abschnitt der Richtlinie identifiziert das spezifische Produktabonnement. Dadurch wird sichergestellt, dass der Partner nur Ergebnisse für das Partnerprodukt senden kann, das der Kunde abonniert hat.

Vom Kunden gehostet: Die Ergebnisse wurden über das Kundenkonto gesendet

Dieser Anwendungsfall deckt Partner ab, deren Produkt im AWS Kundenkonto bereitgestellt wird. Die BatchImportFindingsAPI wird von der Lösung aus aufgerufen, die im Konto des Kunden ausgeführt wird.

Für diesen Anwendungsfall müssen dem Partnerprodukt zusätzliche Berechtigungen zum Aufrufen der BatchImportFindingsAPI gewährt werden. Wie diese Berechtigung erteilt wird, hängt von der Partnerlösung und der Konfiguration im Kundenkonto ab.

Ein Beispiel für diesen Ansatz ist ein Partnerprodukt, das auf einer EC2 Instanz im Kundenkonto ausgeführt wird. Dieser EC2 Instanz muss eine EC2 Instanzrolle zugewiesen sein, die dieser Instanz die Möglichkeit gibt, den BatchImportFindingsAPI-Vorgang aufzurufen. Dadurch kann die EC2 Instance Sicherheitserkenntnisse an das Konto des Kunden senden.

Dieser Anwendungsfall entspricht funktionell einem Szenario, in dem ein Kunde Ergebnisse für ein Produkt, das er besitzt, in sein Konto lädt.

Der Kunde ermöglicht dem Partnerprodukt, Ergebnisse aus dem Kundenkonto an den Kunden in Security Hub zu senden:

  1. Der Kunde stellt das Partnerprodukt manuell oder mithilfe eines AWS CloudFormation anderen Bereitstellungstools in seinem AWS Konto bereit.

  2. Der Kunde definiert die erforderliche IAM-Richtlinie, die das Partnerprodukt verwenden soll, wenn es Ergebnisse an Security Hub sendet.

  3. Der Kunde fügt die Richtlinie den erforderlichen Komponenten des Partnerprodukts hinzu, z. B. einer EC2 Instanz, einem Container oder einer Lambda-Funktion.

Jetzt kann das Produkt Ergebnisse an Security Hub senden:

  1. Das Partnerprodukt verwendet das AWS SDK oder AWS CLI um den BatchImportFindingsAPI-Vorgang in Security Hub aufzurufen. Der Anruf erfolgt über die Komponente im Kundenkonto, an die die Richtlinie angehängt ist.

  2. Während des API-Aufrufs werden die erforderlichen temporären Anmeldeinformationen generiert, damit der BatchImportFindingsAufruf erfolgreich sein kann.

Hier ist ein Beispiel für eine IAM-Richtlinie, die dem Partnerprodukt im Kundenkonto die erforderlichen Security Hub Hub-Berechtigungen gewährt.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "securityhub:BatchImportFindings",
            "Resource": "arn:aws:securityhub:us-west-2:111122223333:product-subscription/company-name/product-name"
        }
    ]
}