Cas d'utilisation de l'intégration et autorisations requises - AWS Security Hub
Hébergé par le partenaire : résultats envoyés depuis le compte du partenaireHébergé par le partenaire : résultats envoyés depuis le compte clientHébergé par le client : résultats envoyés depuis le compte client

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Cas d'utilisation de l'intégration et autorisations requises

AWS Security Hub permet aux AWS clients de recevoir les résultats des partenaires APN. Les produits du partenaire peuvent fonctionner à l'intérieur ou à l'extérieur du AWS compte du client. La configuration des autorisations dans le compte du client varie en fonction du modèle utilisé par le produit partenaire.

Dans Security Hub, le client contrôle toujours quels partenaires peuvent envoyer des résultats sur son compte. Les clients peuvent révoquer les autorisations accordées à un partenaire à tout moment.

Pour permettre à un partenaire d'envoyer des résultats de sécurité sur son compte, le client s'abonne d'abord au produit partenaire dans Security Hub. L'étape d'abonnement est nécessaire pour tous les cas d'utilisation décrits ci-dessous. Pour plus de détails sur la façon dont les clients gèrent les intégrations de produits, consultez la section Gestion des intégrations de produits dans le guide de l'AWS Security Hub utilisateur.

Une fois qu'un client s'est abonné à un produit partenaire, Security Hub crée automatiquement une politique de ressources gérées. La politique autorise le produit partenaire à utiliser l'opération BatchImportFindingsAPI pour envoyer les résultats à Security Hub pour le compte du client.

Voici les cas courants de produits partenaires qui s'intègrent à Security Hub. Les informations incluent les autorisations supplémentaires requises pour chaque cas d'utilisation.

Hébergé par le partenaire : résultats envoyés depuis le compte du partenaire

Ce cas d'utilisation couvre les partenaires qui hébergent un produit sur leur propre AWS compte. Pour envoyer des résultats de sécurité à un AWS client, le partenaire appelle l'opération BatchImportFindingsAPI depuis le compte du produit partenaire.

Dans ce cas d'utilisation, le compte client n'a besoin que des autorisations établies lorsque le client s'abonne au produit partenaire.

Dans le compte partenaire, le principal IAM qui appelle l'opération d'BatchImportFindingsAPI doit disposer d'une politique IAM autorisant le principal à appeler. BatchImportFindings

Permettre à un produit partenaire d'envoyer des résultats au client dans Security Hub se fait en deux étapes :

  1. Le client crée un abonnement à un produit partenaire dans Security Hub.

  2. Security Hub génère la bonne politique de ressources gérées avec la confirmation du client.

Pour envoyer les résultats de sécurité relatifs au compte du client, le produit partenaire utilise ses propres informations d'identification pour appeler l'opération BatchImportFindingsAPI.

Voici un exemple de politique IAM qui accorde au principal du compte partenaire les autorisations Security Hub nécessaires.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "securityhub:BatchImportFindings",
            "Resource": "arn:aws:securityhub:us-west-1:*:product-subscription/company-name/product-name"
        }
    ]
}

Hébergé par le partenaire : résultats envoyés depuis le compte client

Ce cas d'utilisation couvre les partenaires qui hébergent un produit sur leur propre AWS compte, mais qui utilisent un rôle multicompte pour accéder au compte du client. Ils appellent le fonctionnement de l'BatchImportFindingsAPI depuis le compte du client.

Dans ce cas d'utilisation, pour appeler l'opération BatchImportFindingsAPI, le compte partenaire assume un rôle IAM géré par le client dans le compte du client.

Cet appel est effectué depuis le compte du client. Par conséquent, la politique de ressources gérées doit autoriser l'utilisation de l'ARN du produit pour le compte du produit partenaire lors de l'appel. La politique de ressources gérées du Security Hub autorise le compte du produit partenaire et l'ARN du produit partenaire. L'ARN du produit est l'identifiant unique du partenaire en tant que fournisseur. Comme l'appel ne provient pas du compte du produit partenaire, le client doit explicitement autoriser le produit partenaire à envoyer les résultats à Security Hub.

La meilleure pratique pour les rôles entre comptes partenaires et comptes clients consiste à utiliser un identifiant externe fourni par le partenaire. Cet identifiant externe fait partie de la définition de la politique entre comptes dans le compte du client. Le partenaire doit fournir l'identifiant lorsqu'il assume le rôle. Un identifiant externe fournit un niveau de sécurité supplémentaire lorsque vous accordez l'accès au AWS compte à un partenaire. L'identifiant unique garantit que le partenaire utilise le bon compte client.

Pour permettre à un produit partenaire d'envoyer des résultats au client dans Security Hub avec un rôle multicompte, procédez en quatre étapes :

  1. Le client, ou le partenaire utilisant des rôles multicomptes travaillant pour le compte du client, commence à s'abonner à un produit dans Security Hub.

  2. Security Hub génère la bonne politique de ressources gérées avec la confirmation du client.

  3. Le client configure le rôle multicompte manuellement ou à l'aide de. AWS CloudFormation Pour plus d'informations sur les rôles entre comptes, consultez la section Fournir un accès aux AWS comptes détenus par des tiers dans le guide de l'utilisateur IAM.

  4. Le produit enregistre en toute sécurité le rôle du client et l'identifiant externe.

Ensuite, le produit envoie les résultats à Security Hub :

  1. Le produit appelle le AWS Security Token Service (AWS STS) pour assumer le rôle de client.

  2. Le produit appelle l'opération BatchImportFindingsAPI sur Security Hub avec les informations d'identification temporaires du rôle assumé.

Voici un exemple de politique IAM qui accorde les autorisations Security Hub nécessaires au rôle multicompte du partenaire.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "securityhub:BatchImportFindings",
            "Resource": "arn:aws:securityhub:us-west-1:111122223333:product-subscription/company-name/product-name"
        }
    ]
}

La Resource section de la politique identifie l'abonnement au produit spécifique. Cela garantit que le partenaire ne peut envoyer des résultats que pour le produit partenaire auquel le client est abonné.

Hébergé par le client : résultats envoyés depuis le compte client

Ce cas d'utilisation couvre les partenaires dont le produit est déployé sur le AWS compte du client. L'BatchImportFindingsAPI est appelée depuis la solution qui s'exécute dans le compte du client.

Dans ce cas d'utilisation, le produit partenaire doit disposer d'autorisations supplémentaires pour appeler l'BatchImportFindingsAPI. La manière dont cette autorisation est accordée varie en fonction de la solution partenaire et de la manière dont elle est configurée dans le compte du client.

Un exemple de cette approche est un produit partenaire qui s'exécute sur une EC2 instance du compte du client. Un rôle d' EC2 EC2 instance doit être associé à cette instance qui lui permet d'appeler l'opération BatchImportFindingsd'API. Cela permet à l' EC2 instance d'envoyer les résultats de sécurité au compte du client.

Ce cas d'utilisation est fonctionnellement équivalent à un scénario dans lequel un client charge dans son compte les résultats d'un produit qu'il possède.

Le client autorise le produit partenaire à envoyer les résultats de son compte au client dans Security Hub :

  1. Le client déploie le produit partenaire sur son AWS compte manuellement à l'aide AWS CloudFormation ou d'un autre outil de déploiement.

  2. Le client définit la politique IAM nécessaire que le produit partenaire doit utiliser lorsqu'il envoie des résultats à Security Hub.

  3. Le client associe la politique aux composants nécessaires du produit partenaire, tels qu'une EC2 instance, un conteneur ou une fonction Lambda.

Le produit peut désormais envoyer ses résultats à Security Hub :

  1. Le produit partenaire utilise le AWS SDK ou AWS CLI appelle le fonctionnement de l'BatchImportFindingsAPI dans Security Hub. Il effectue l'appel depuis le composant du compte du client auquel la police est attachée.

  2. Pendant l'appel d'API, les informations d'identification temporaires nécessaires sont générées pour permettre à l'BatchImportFindingsappel de réussir.

Voici un exemple de politique IAM qui accorde les autorisations Security Hub nécessaires au produit partenaire dans le compte client.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "securityhub:BatchImportFindings",
            "Resource": "arn:aws:securityhub:us-west-2:111122223333:product-subscription/company-name/product-name"
        }
    ]
}