統合のユースケースと必要な許可 - AWS Security Hub
パートナーホスト: パートナーアカウントから送信された結果パートナーホスト: お客様アカウントから送信された結果お客様ホスト: お客様アカウントから送信された結果

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

統合のユースケースと必要な許可

AWS Security Hub では、 AWS APN パートナーから結果を受け取ることができます。パートナーの製品は、お客様のアカウントの内部または外部で実行される場合があります AWS 。お客様のアカウントの許可設定は、パートナー製品が使用するモデルによって異なります。

Security Hub では、お客様のアカウントに結果を送信できるパートナーは常にお客様が制御します。お客様は、パートナーの許可をいつでも取り消すことができます。

パートナーが自分のアカウントにセキュリティ結果を送信できるようにするには、まず Security Hub でパートナー製品をサブスクライブします。サブスクリプションステップは、以下に示すすべてのユースケースに必要です。お客様が製品統合を管理する方法の詳細については、AWS Security Hub ユーザーガイドの「製品統合の管理」を参照してください。

お客様がパートナー製品をサブスクライブすると、Security Hub は自動的に管理リソースポリシーを作成します。このポリシーは、BatchImportFindings API オペレーションを使用するパートナー製品の許可を付与し、お客様のアカウントの結果を Security Hub に送信します。

Security Hub と統合するパートナー製品の一般的なケースを次に示します。この情報には、各ユースケースに必要な追加の許可が含まれています。

パートナーホスト: パートナーアカウントから送信された結果

このユースケースは、自分の AWS アカウントで製品をホストするパートナーを対象としています。 AWS 顧客のセキュリティ結果を送信するため、パートナーはパートナー製品アカウントから BatchImportFindings API オペレーションを呼び出します。

このユースケースで、お客様アカウントは、お客様がパートナー製品をサブスクライブするときに確立される許可のみを必要とします。

パートナーアカウントで、BatchImportFindings API オペレーションをコールする IAM プリンシパルには、プリンシパルが BatchImportFindings をコールできる IAM ポリシーを持っている必要があります。

パートナー製品が Security Hub でお客様に結果を送信できるようにするには、2 つのステップのプロセスです。

  1. お客様は Security Hub でパートナー製品のサブスクリプションを作成します。

  2. Security Hub は、お客様の確認とともに正しい管理リソースポリシーを生成します。

お客様のアカウントに関連するセキュリティ結果を送信するために、パートナー製品は独自の認証情報を使用して BatchImportFindings API オペレーションをコールします。

次に、パートナーアカウントのプリンシパルに必要な Security Hub アクセス許可を付与する IAM ポリシーの例を示します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "securityhub:BatchImportFindings",
            "Resource": "arn:aws:securityhub:us-west-1:*:product-subscription/company-name/product-name"
        }
    ]
}

パートナーホスト: お客様アカウントから送信された結果

このユースケースでは、自分の AWS アカウントで製品をホストするが、クロスアカウントロールを使用してお客様のアカウントにアクセスするパートナーを対象としています。お客様のアカウントから BatchImportFindings API オペレーションをコールします。

このユースケースでは、BatchImportFindings API オペレーションをコールするため、パートナーアカウントは、お客様のアカウントでお客様が管理する IAM ロールを引き受けます。

このコールはお客様のアカウントから行われます。したがって、マネージドリソースポリシーでは、パートナー製品のアカウントの製品 ARN をコールで使用できるようにする必要があります。Security Hub マネージドリソースポリシーは、パートナー製品アカウントとパートナー製品 ARN の許可を付与します。製品 ARN は、プロバイダーとしてのパートナーの一意の識別子です。コールはパートナー製品アカウントからのものではないため、お客様は、パートナー製品が Security Hub に結果を送信するための許可を明示的に付与する必要があります。

パートナーアカウントとお客様アカウント間のアカウント間ロールのベストプラクティスは、パートナーが提供する外部識別子を使用することです。この外部識別子は、お客様のアカウントのアカウント間ポリシー定義のパートです。パートナーは、ロールを引き受けるときに識別子を提供する必要があります。外部識別子は、パートナーに AWS アカウントアクセスを許可するときに追加のセキュリティレイヤーを提供します。一意の識別子は、パートナーが適切なお客様アカウントを使用することを保証します。

パートナー製品が Security Hub でアカウント間ロールを使用してお客様に結果を送信できるようにするには、次の 4 つのステップを実行します。

  1. お客様、またはお客様に代わって作業するアカウント間ロールを使用しているパートナーは、Security Hub で製品のサブスクリプションを開始します。

  2. Security Hub は、お客様の確認とともに正しい管理リソースポリシーを生成します。

  3. お客様は、クロスアカウントロールを手動で設定するか、 を使用して設定します AWS CloudFormation。クロスアカウントロールの詳細については、「IAM ユーザーガイド」の「第三者が所有する AWS アカウントへのアクセスを提供する」を参照してください。

  4. 製品には、お客様のロールと外部 ID が安全に保存されます。

次に、Security Hub に結果を送信します。

  1. 製品は AWS Security Token Service (AWS STS) を呼び出して、顧客ロールを引き受けます。

  2. 製品は、一時的な認証情報を引き受けたロールで Security Hub での BatchImportFindings API オペレーションをコールします。

パートナーのアカウント間ロールに必要な Security Hub アクセス許可を付与する IAM ポリシーの例を以下に示します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "securityhub:BatchImportFindings",
            "Resource": "arn:aws:securityhub:us-west-1:111122223333:product-subscription/company-name/product-name"
        }
    ]
}

ポリシーの Resource セクションは、特定の製品サブスクリプションを識別します。これにより、パートナーは、お客様がサブスクライブしているパートナー製品の結果のみを送信できます。

お客様ホスト: お客様アカウントから送信された結果

このユースケースは、お客様の AWS アカウントにデプロイされている製品を持つパートナーを対象としています。BatchImportFindings API は、お客様のアカウントで実行されるソリューションからコールされます。

このユースケースでは、パートナー製品に BatchImportFindings API をコールするための許可を追加で付与する必要があります。この許可の付与方法は、パートナーソリューションと、お客様のアカウントでの設定方法によって異なります。

このアプローチの例は、お客様のアカウントの EC2 インスタンスで実行されるパートナー製品です。この EC2 インスタンスには、BatchImportFindings API オペレーションをコールする能力をインスタンスに付与する EC2 インスタンスロールが設定されている必要があります。これにより、EC2 インスタンスはお客様のアカウントにセキュリティ結果を送信できます。

このユースケースは、お客様が所有する製品の結果を自分のアカウントにロードするシナリオと機能的に同等です。

お客様は、パートナー製品が Security Hub でお客様のアカウントからお客様に結果を送信できるようにします。

  1. お客様は、 または別のデプロイツールを使用して AWS CloudFormation、パートナー製品を自分の AWS アカウントに手動でデプロイします。

  2. お客様は、パートナー製品が Security Hub に結果を送信する際に使用するのに必要なIAM ポリシーを定義します。

  3. お客様は、EC2 インスタンス、コンテナ、Lambda 関数など、パートナー製品の必要なコンポーネントにポリシーをアタッチします。

これで、製品は結果を Security Hub に送信できます。

  1. パートナー製品は AWS SDK または を使用して AWS CLI 、Security Hub で BatchImportFindings API オペレーションを呼び出します。ポリシーがアタッチされているお客様のアカウント内のコンポーネントからコールします。

  2. API コール中に、必要な一時的な認証情報が生成され、BatchImportFindings コールが成功します。

以下は、お客様アカウントのパートナー製品に必要な Security Hub アクセス許可を付与する IAM ポリシーの例です。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "securityhub:BatchImportFindings",
            "Resource": "arn:aws:securityhub:us-west-2:111122223333:product-subscription/company-name/product-name"
        }
    ]
}