통합 사용 사례 및 필수 권한 - AWS Security Hub
파트너 호스팅: 파트너 계정에서 보낸 조사 결과파트너 호스팅: 고객 계정에서 보낸 조사 결과고객 호스팅: 고객 계정에서 보낸 조사 결과

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

통합 사용 사례 및 필수 권한

AWS Security Hub 를 통해 AWS 고객은 APN 파트너로부터 조사 결과를 받을 수 있습니다. 파트너의 제품은 고객 AWS 계정 내부 또는 외부에서 실행될 수 있습니다. 고객 계정의 권한 구성은 파트너 제품이 사용하는 모델에 따라 다릅니다.

Security Hub에서 고객은 항상 어떤 파트너가 고객 계정으로 조사 결과를 보낼 수 있는지 제어합니다. 고객은 언제든지 파트너의 권한을 취소할 수 있습니다.

파트너가 보안 결과를 자신의 계정으로 전송할 수 있도록 고객은 먼저 Security Hub의 파트너 제품을 구독합니다. 구독 단계는 아래에 설명된 모든 사용 사례에 필요합니다. 고객이 제품 통합을 관리하는 방법에 대한 자세한 내용은 AWS Security Hub 사용 설명서Managing product integrations를 참조하세요.

고객이 파트너 제품을 구독하면 Security Hub는 관리형 리소스 정책을 자동으로 생성합니다. 이 정책은 파트너 제품에 BatchImportFindings API 작업을 사용하여 고객 계정의 Security Hub에 조사 결과를 보낼 수 있는 권한을 부여합니다.

Security Hub와 통합되는 파트너 제품의 일반적인 사례는 다음과 같습니다. 이 정보에는 각 사용 사례에 필요한 추가 권한이 포함됩니다.

파트너 호스팅: 파트너 계정에서 보낸 조사 결과

이 사용 사례에서는 자신의 AWS 계정에서 제품을 호스팅하는 파트너를 다룹니다. AWS 고객의 보안 조사 결과를 전송하기 위해 파트너는 파트너 제품 계정에서 BatchImportFindings API 작업을 호출합니다.

이 사용 사례의 경우 고객 계정에는 고객이 파트너 제품을 구독할 때 설정된 권한만 필요합니다.

파트너 계정에서 BatchImportFindings API 작업을 호출하는 IAM 주체는 해당 주체가 BatchImportFindings를 호출할 수 있도록 허용하는 IAM 정책을 가지고 있어야 합니다.

파트너 제품이 Security Hub에서 조사 결과를 고객에게 보낼 수 있도록 하려면 다음 두 단계를 거쳐야 합니다.

  1. 고객이 Security Hub에서 파트너 제품을 구독합니다.

  2. Security Hub는 고객의 확인을 바탕으로 올바른 관리형 리소스 정책을 생성합니다.

고객 계정과 관련된 보안 결과를 전송하기 위해 파트너 제품은 자체 자격 증명을 사용하여 BatchImportFindings API 작업을 호출합니다.

다음은 파트너 계정의 보안 주체에게 필요한 Security Hub 권한을 부여하는 IAM 정책의 예제입니다.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "securityhub:BatchImportFindings",
            "Resource": "arn:aws:securityhub:us-west-1:*:product-subscription/company-name/product-name"
        }
    ]
}

파트너 호스팅: 고객 계정에서 보낸 조사 결과

이 사용 사례에서는 자신의 AWS 계정에서 제품을 호스팅하지만 교차 계정 역할을 사용하여 고객의 계정에 액세스하는 파트너를 다룹니다. 이들은 고객 계정에서 BatchImportFindings API 작업을 호출합니다.

이 사용 사례에서는 파트너 계정이 고객 계정에서 고객 관리형 IAM 역할을 맡아 BatchImportFindings API 작업을 호출합니다.

이 호출은 고객 계정에서 이루어집니다. 따라서 관리형 리소스 정책에서는 파트너 제품 계정의 제품 ARN을 호출에 사용할 수 있도록 허용해야 합니다. Security Hub 관리 리소스 정책은 파트너 제품 계정 및 파트너 제품 ARN에 대한 권한을 부여합니다. 제품 ARN은 제공자로서의 파트너의 고유 식별자입니다. 파트너 제품 계정에서 호출을 한 것이 아니므로 고객은 파트너 제품이 Security Hub에 조사 결과를 보낼 수 있도록 명시적으로 권한을 부여해야 합니다.

파트너 계정과 고객 계정 간의 교차 계정 역할에 대한 모범 사례는 파트너가 제공하는 외부 식별자를 사용하는 것입니다. 이 외부 식별자는 고객 계정의 교차 계정 정책 정의의 일부입니다. 파트너는 역할을 맡을 때 식별자를 제공해야 합니다. 외부 식별자는 파트너에게 AWS 계정 액세스 권한을 부여할 때 추가 보안 계층을 제공합니다. 고유 식별자를 사용하면 파트너가 올바른 고객 계정을 사용할 수 있습니다.

파트너 제품이 계정 간 역할을 사용하여 Security Hub의 고객에게 조사 결과를 보낼 수 있도록 하려면 다음 네 단계를 거쳐야 합니다.

  1. 고객 또는 고객을 대신하여 상호 계정 역할을 사용하는 파트너가 Security Hub에서 제품 구독을 시작합니다.

  2. Security Hub는 고객의 확인을 바탕으로 올바른 관리형 리소스 정책을 생성합니다.

  3. 고객이 수동으로 또는를 사용하여 교차 계정 역할을 구성합니다 AWS CloudFormation. 교차 계정 역할에 대한 자세한 내용은 IAM 사용 설명서제3자가 소유한 AWS 계정에 대한 액세스 제공을 참조하세요.

  4. 제품은 고객 역할과 외부 ID를 안전하게 저장합니다.

그런 다음 제품은 Security Hub로 결과를 보냅니다.

  1. 제품은 AWS Security Token Service (AWS STS)를 호출하여 고객 역할을 수임합니다.

  2. 제품은 수임된 역할의 임시 자격 증명을 사용하여 Security Hub에서 BatchImportFindings API 작업을 호출합니다.

다음은 파트너의 교차 계정 역할에 필요한 Security Hub 권한을 부여하는 IAM 정책의 예제입니다.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "securityhub:BatchImportFindings",
            "Resource": "arn:aws:securityhub:us-west-1:111122223333:product-subscription/company-name/product-name"
        }
    ]
}

정책의 Resource 섹션에서는 특정 제품 구독을 식별합니다. 이렇게 하면 파트너가 고객이 구독한 파트너 제품에 대한 조사 결과만 보낼 수 있습니다.

고객 호스팅: 고객 계정에서 보낸 조사 결과

이 사용 사례는 고객 AWS 계정에 제품을 배포한 파트너를 대상으로 합니다. BatchImportFindings API는 고객 계정에서 실행되는 솔루션에서 호출됩니다.

이 사용 사례의 경우 파트너 제품에 BatchImportFindings API를 호출할 수 있는 추가 권한을 부여해야 합니다. 이 권한이 부여되는 방법은 파트너 솔루션과 고객 계정에서 해당 권한이 구성된 방식에 따라 다릅니다.

이 접근 방식의 예로는 고객 계정의 EC2 인스턴스에서 실행되는 파트너 제품이 있습니다. 이 EC2 인스턴스에는 해당 인스턴스에 BatchImportFindings API 작업을 호출할 수 있는 권한을 부여하는 EC2 인스턴스 역할이 연결되어 있어야 합니다. 그러면 EC2 인스턴스가 고객 계정으로 보안 조사 결과를 보낼 수 있습니다.

이 사용 사례는 고객이 소유한 제품에 대해 조사 결과를 계정에 로드하는 시나리오와 기능상 동일합니다.

고객은 파트너 제품이 고객 계정의 조사 결과를 Security Hub의 고객에게 보낼 수 있도록 합니다.

  1. 고객은 AWS CloudFormation또는 다른 배포 도구를 사용하여 파트너 제품을 AWS 계정에 수동으로 배포합니다.

  2. 고객은 Security Hub에 조사 결과를 전송할 때 파트너 제품이 사용할 필수 IAM 정책을 정의합니다.

  3. 고객은 EC2 인스턴스, 컨테이너 또는 Lambda 함수와 같은 파트너 제품의 필수 구성 요소에 정책을 연결합니다.

이제 제품에서 Security Hub로 결과를 보낼 수 있습니다.

  1. 파트너 제품은 AWS SDK 또는를 사용하여 Security Hub에서 BatchImportFindings API 작업을 AWS CLI 호출합니다. 이 작업은 정책이 연결된 고객 계정의 구성 요소에서 호출합니다.

  2. BatchImportFindings API 호출 중에 호출이 성공하는 데 필요한 임시 자격 증명이 생성됩니다.

다음은 고객 계정의 파트너 제품에 필요한 Security Hub 권한을 부여하는 IAM 정책의 예입니다.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "securityhub:BatchImportFindings",
            "Resource": "arn:aws:securityhub:us-west-2:111122223333:product-subscription/company-name/product-name"
        }
    ]
}