Kasus penggunaan integrasi dan izin yang diperlukan

AWS Security Hub memungkinkan AWS pelanggan untuk menerima temuan dari APN Partners. Produk mitra dapat berjalan baik di dalam atau di luar AWS akun pelanggan. Konfigurasi izin di akun pelanggan berbeda berdasarkan model yang digunakan produk mitra.

Di Security Hub, pelanggan selalu mengontrol mitra mana yang dapat mengirimkan temuan ke akun pelanggan. Pelanggan dapat mencabut izin dari mitra kapan saja.

Untuk memungkinkan mitra mengirimkan temuan keamanan ke akun mereka, pelanggan terlebih dahulu berlangganan produk mitra di Security Hub. Langkah berlangganan diperlukan untuk semua kasus penggunaan yang diuraikan di bawah ini. Untuk detail tentang cara pelanggan mengelola integrasi produk, lihat Mengelola integrasi produk di AWS Security Hub Panduan Pengguna.

Setelah pelanggan berlangganan produk mitra, Security Hub secara otomatis membuat kebijakan sumber daya terkelola. Kebijakan ini memberikan izin kepada produk mitra untuk menggunakan operasi BatchImportFindingsAPI guna mengirimkan temuan ke Security Hub untuk akun pelanggan.

Berikut adalah kasus umum untuk produk mitra yang terintegrasi dengan Security Hub. Informasi tersebut mencakup izin tambahan yang diperlukan untuk setiap kasus penggunaan.

Mitra yang dihosting: temuan dikirim dari akun mitra

Kasus penggunaan ini mencakup mitra yang meng-host produk di AWS akun mereka sendiri. Untuk mengirim temuan keamanan bagi AWS pelanggan, mitra memanggil operasi BatchImportFindingsAPI dari akun produk mitra.

Untuk kasus penggunaan ini, akun pelanggan hanya memerlukan izin yang ditetapkan saat pelanggan berlangganan produk mitra.

Di akun mitra, prinsipal IAM yang memanggil operasi BatchImportFindingsAPI harus memiliki kebijakan IAM yang memungkinkan prinsipal untuk memanggil. BatchImportFindings

Mengaktifkan produk mitra untuk mengirimkan temuan ke pelanggan di Security Hub adalah proses dua langkah:

1. Pelanggan membuat langganan ke produk mitra di Security Hub.

2. Security Hub menghasilkan kebijakan sumber daya terkelola yang benar dengan konfirmasi pelanggan.

Untuk mengirimkan temuan keamanan yang terkait dengan akun pelanggan, produk mitra menggunakan kredensialnya sendiri untuk memanggil operasi BatchImportFindingsAPI.

Berikut adalah contoh kebijakan IAM yang memberikan izin Security Hub yang diperlukan kepada prinsipal di akun mitra.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "securityhub:BatchImportFindings",
            "Resource": "arn:aws:securityhub:us-west-1:*:product-subscription/company-name/product-name"
        }
    ]
}

Mitra yang dihosting: temuan dikirim dari akun pelanggan

Kasus penggunaan ini mencakup mitra yang meng-host produk di AWS akun mereka sendiri, tetapi menggunakan peran lintas akun untuk mengakses akun pelanggan. Mereka memanggil operasi BatchImportFindingsAPI dari akun pelanggan.

Untuk kasus penggunaan ini, untuk memanggil operasi BatchImportFindingsAPI, akun mitra mengasumsikan peran IAM yang dikelola pelanggan dalam akun pelanggan.

Panggilan ini dilakukan dari akun pelanggan. Oleh karena itu, kebijakan sumber daya terkelola harus memungkinkan ARN produk untuk akun produk mitra untuk digunakan dalam panggilan. Kebijakan sumber daya terkelola Security Hub memberikan izin untuk akun produk mitra dan ARN produk mitra. Produk ARN adalah pengenal unik mitra sebagai penyedia. Karena panggilan tidak berasal dari akun produk mitra, pelanggan harus secara eksplisit memberikan izin kepada produk mitra untuk mengirim temuan ke Security Hub.

Praktik terbaik untuk peran lintas akun antara akun mitra dan pelanggan adalah dengan menggunakan pengenal eksternal yang disediakan mitra. Pengenal eksternal ini merupakan bagian dari definisi kebijakan lintas akun di akun pelanggan. Mitra harus memberikan pengenal ketika mengambil peran. Pengenal eksternal menyediakan lapisan keamanan tambahan saat memberikan akses AWS akun ke mitra. Pengidentifikasi unik memastikan bahwa mitra menggunakan akun pelanggan yang benar.

Mengaktifkan produk mitra untuk mengirimkan temuan ke pelanggan di Security Hub dengan peran lintas akun terjadi dalam empat langkah:

1. Pelanggan, atau mitra yang menggunakan peran lintas akun yang bekerja atas nama pelanggan, memulai langganan produk di Security Hub.

2. Security Hub menghasilkan kebijakan sumber daya terkelola yang benar dengan konfirmasi pelanggan.

3. Pelanggan mengonfigurasi peran lintas akun baik secara manual atau menggunakan. AWS CloudFormation Untuk informasi tentang peran lintas akun, lihat Menyediakan akses ke AWS akun yang dimiliki oleh pihak ketiga dalam Panduan Pengguna IAM.

4. Produk menyimpan peran pelanggan dan ID eksternal dengan aman.

Selanjutnya, produk mengirimkan temuan ke Security Hub:

1. Produk memanggil AWS Security Token Service (AWS STS) untuk mengambil peran pelanggan.

2. Produk memanggil operasi BatchImportFindingsAPI di Security Hub dengan kredensi sementara peran yang diasumsikan.

Berikut adalah contoh kebijakan IAM yang memberikan izin Security Hub yang diperlukan untuk peran lintas akun mitra.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "securityhub:BatchImportFindings",
            "Resource": "arn:aws:securityhub:us-west-1:111122223333:product-subscription/company-name/product-name"
        }
    ]
}

ResourceBagian kebijakan mengidentifikasi langganan produk tertentu. Ini memastikan bahwa mitra hanya dapat mengirimkan temuan untuk produk mitra yang pelanggan berlangganan.

Pelanggan di-host: temuan dikirim dari akun pelanggan

Kasus penggunaan ini mencakup mitra yang memiliki produk yang digunakan di AWS akun pelanggan. BatchImportFindingsAPI dipanggil dari solusi yang berjalan di akun pelanggan.

Untuk kasus penggunaan ini, produk mitra harus diberikan izin tambahan untuk memanggil BatchImportFindingsAPI. Bagaimana izin ini diberikan berbeda berdasarkan solusi mitra dan bagaimana hal itu dikonfigurasi di akun pelanggan.

Contoh dari pendekatan ini adalah produk mitra yang berjalan pada EC2 instance di akun pelanggan. EC2 Instance ini harus memiliki peran EC2 instance yang melekat padanya yang memberikan instance itu kemampuan untuk memanggil operasi BatchImportFindingsAPI. Hal ini memungkinkan EC2 instance untuk mengirim temuan keamanan ke akun pelanggan.

Kasus penggunaan ini secara fungsional setara dengan skenario di mana pelanggan memuat temuan ke akun mereka untuk produk yang mereka miliki.

Pelanggan memungkinkan produk mitra untuk mengirimkan temuan dari akun pelanggan ke pelanggan di Security Hub:

1. Pelanggan menyebarkan produk mitra ke AWS akun mereka secara manual menggunakan AWS CloudFormation, atau alat penyebaran lainnya.

2. Pelanggan mendefinisikan kebijakan IAM yang diperlukan untuk produk mitra untuk digunakan ketika mengirimkan temuan ke Security Hub.

3. Pelanggan melampirkan kebijakan ke komponen yang diperlukan dari produk mitra, seperti EC2 instance, wadah, atau fungsi Lambda.

Sekarang produk dapat mengirimkan temuan ke Security Hub:

1. Produk mitra menggunakan AWS SDK atau AWS CLI memanggil operasi BatchImportFindingsAPI di Security Hub. Itu membuat panggilan dari komponen di akun pelanggan di mana kebijakan dilampirkan.

2. Selama panggilan API, kredensi sementara yang diperlukan dihasilkan untuk memungkinkan BatchImportFindingspanggilan berhasil.

Berikut adalah contoh kebijakan IAM yang memberikan izin Security Hub yang diperlukan untuk produk mitra di akun pelanggan.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "securityhub:BatchImportFindings",
            "Resource": "arn:aws:securityhub:us-west-2:111122223333:product-subscription/company-name/product-name"
        }
    ]
}