Casos de uso de integración y permisos necesarios - AWS Security Hub
Alojado por un socio: los resultados se envían desde la cuenta del socioAlojado por un socio: los resultados se envían desde la cuenta del clienteAlojado por el cliente: los resultados se envían desde la cuenta del cliente

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Casos de uso de integración y permisos necesarios

AWS Security Hub permite a AWS los clientes recibir las conclusiones de los socios de APN. Los productos del socio pueden estar disponibles dentro o fuera de la AWS cuenta del cliente. La configuración de permisos en la cuenta del cliente varía en función del modelo que utilice el producto del socio asociado.

En Security Hub, el cliente siempre controla qué socios pueden enviar resultados a la cuenta del cliente. Los clientes pueden revocar los permisos de un socio en cualquier momento.

Para permitir que un socio envíe resultados de seguridad a su cuenta, el cliente primero se suscribe al producto del socio en Security Hub. El paso de suscripción es necesario para todos los casos de uso que se describen a continuación. Para obtener más información sobre cómo los clientes administran las integraciones de productos, consulte Administración de integraciones de productos en la Guía del usuario de AWS Security Hub .

Cuando un cliente se suscribe al producto de un socio, Security Hub crea automáticamente una política de recursos administrados. La política otorga al producto del socio permiso para usar la operación de la API de BatchImportFindings para enviar resultados a Security Hub para la cuenta del cliente.

Estos son los casos habituales de los productos de socios que se integran con Security Hub. La información incluye los permisos adicionales necesarios para cada caso de uso.

Alojado por un socio: los resultados se envían desde la cuenta del socio

Este caso de uso incluye a los socios que alojan un producto en su propia AWS cuenta. Para enviar las comprobaciones de seguridad a un AWS cliente, el socio llama a la operación de la BatchImportFindingsAPI desde la cuenta del producto del socio.

Para este caso de uso, la cuenta del cliente solo necesita los permisos que se establecen cuando el cliente se suscribe al producto asociado.

En la cuenta del socio, la entidad principal de IAM que llama a la operación de la API de BatchImportFindings debe tener una política de IAM que permita a dicha entidad realizar llamadas a BatchImportFindings.

Permitir que un producto asociado envíe resultados al cliente en Security Hub es un proceso que consta de dos pasos:

  1. El cliente crea una suscripción al producto de un socio en Security Hub.

  2. Security Hub genera la política de recursos administrados correcta con la confirmación del cliente.

Para enviar los resultados de seguridad relacionados con la cuenta del cliente, el producto del socio utiliza su propia credencial para llamar a la operación de la API de BatchImportFindings.

A continuación se muestra un ejemplo de política de IAM que otorga a la entidad principal de la cuenta del socio los permisos de Security Hub necesarios.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "securityhub:BatchImportFindings",
            "Resource": "arn:aws:securityhub:us-west-1:*:product-subscription/company-name/product-name"
        }
    ]
}

Alojado por un socio: los resultados se envían desde la cuenta del cliente

Este caso de uso incluye a los socios que alojan un producto en su propia AWS cuenta, pero utilizan una función multicuenta para acceder a la cuenta del cliente. Llaman a la operación de la API de BatchImportFindings desde la cuenta del cliente.

En este caso de uso, para llamar a la operación de la API de BatchImportFindings, la cuenta del socio asume un rol de IAM administrado por el cliente en la cuenta del cliente.

Esta llamada se realiza desde la cuenta del cliente. Por lo tanto, la política de recursos administrados debe permitir que en la llamada se utilice el ARN del producto para la cuenta del producto del socio. La política de recursos administrados de Security Hub concede permisos para la cuenta del producto del socio y el ARN de dicho producto. El ARN del producto es el identificador único del socio como proveedor. Como la llamada no proviene de la cuenta del producto del socio, el cliente debe conceder su permiso explícito para que el producto del socio envíe los resultados a Security Hub.

Lo más conveniente para los roles entre cuentas de los socios y las de los clientes es utilizar un identificador externo que proporcione el socio. Este identificador externo forma parte de la definición de la política entre cuentas de la cuenta del cliente. El socio debe proporcionar el identificador cuando asuma el rol. Un identificador externo proporciona un nivel de seguridad adicional a la hora de conceder a un socio el acceso a la AWS cuenta. El identificador único garantiza que el socio utilice la cuenta de cliente correcta.

La activación del producto de un socio para enviar resultados al cliente en Security Hub con un rol entre cuentas se realiza en cuatro pasos:

  1. El cliente, o el socio utilizando roles entre cuentas que operan en nombre del cliente, inicia la suscripción a un producto en Security Hub.

  2. Security Hub genera la política de recursos administrados correcta con la confirmación del cliente.

  3. El cliente configura la función multicuenta de forma manual o mediante. AWS CloudFormation Para obtener información sobre las funciones multicuenta, consulte Proporcionar acceso a AWS cuentas propiedad de terceros en la Guía del usuario de IAM.

  4. El producto almacena de forma segura el rol del cliente y el identificador externo.

A continuación, el producto envía resultados a Security Hub:

  1. El producto utiliza el comando AWS Security Token Service (AWS STS) para asumir el rol de cliente.

  2. El producto llama a la operación de la API de BatchImportFindings en Security Hub con la credencial provisional del rol asumido.

A continuación se muestra un ejemplo de política de IAM que otorga al rol entre cuentas del socio los permisos de Security Hub necesarios.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "securityhub:BatchImportFindings",
            "Resource": "arn:aws:securityhub:us-west-1:111122223333:product-subscription/company-name/product-name"
        }
    ]
}

En la sección Resource de la política se identifica la suscripción del producto específico. Esto garantiza que el socio solo pueda enviar los resultados del producto de socio al que está suscrito el cliente.

Alojado por el cliente: los resultados se envían desde la cuenta del cliente

Este caso de uso se refiere a los socios que tienen un producto implementado en la cuenta de AWS del cliente. Se llama a la API de BatchImportFindings desde la solución que se ejecuta en la cuenta del cliente.

En este caso de uso, se deben conceder permisos adicionales al producto del socio para llamar a la API de BatchImportFindings. La forma en que se concede este permiso varía según la solución del socio y la forma en que esté configurada en la cuenta del cliente.

Un ejemplo de este enfoque es un producto asociado que se ejecuta en una EC2 instancia de la cuenta del cliente. Esta EC2 instancia debe tener un rol de EC2 instancia asociado que le permita llamar a la operación de la BatchImportFindingsAPI. Esto permite que la EC2 instancia envíe las conclusiones de seguridad a la cuenta del cliente.

Este caso de uso es funcionalmente equivalente a un escenario en el que un cliente carga en su cuenta los resultados de un producto que le pertenece.

El cliente permite que el producto asociado envíe los resultados desde la cuenta del cliente al cliente en Security Hub:

  1. El cliente implementa el producto del socio en su AWS cuenta de forma manual o mediante AWS CloudFormation otra herramienta de implementación.

  2. El cliente define la política de IAM necesaria para que el producto del socio la utilice cuando envíe los resultados a Security Hub.

  3. El cliente adjunta la política a los componentes necesarios del producto del socio, como una EC2 instancia, un contenedor o una función Lambda.

De esta forma el producto puede enviar los resultados a Security Hub:

  1. El producto asociado utiliza el AWS SDK o llama AWS CLI a la operación de la BatchImportFindingsAPI en Security Hub. Realiza la llamada desde el componente de la cuenta del cliente al que se adjunta la política.

  2. Durante la llamada a la API, se genera la credencial provisional necesaria para que la llamada de BatchImportFindings se realice correctamente.

A continuación se muestra un ejemplo de política de IAM que otorga al producto del socio en la cuenta del cliente los permisos de Security Hub necesarios.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "securityhub:BatchImportFindings",
            "Resource": "arn:aws:securityhub:us-west-2:111122223333:product-subscription/company-name/product-name"
        }
    ]
}