Casos de uso de integração e permissões necessárias - AWS Security Hub
Hospedado pelo parceiro: descobertas enviadas da conta do parceiroHospedado pelo parceiro: descobertas enviadas da conta do parceiroHospedado pelo cliente: descobertas enviadas da conta do cliente

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Casos de uso de integração e permissões necessárias

AWS Security Hub permite que AWS os clientes recebam descobertas dos parceiros da APN. Os produtos do parceiro podem ser executados dentro ou fora da AWS conta do cliente. A configuração de permissão na conta do cliente difere com base no modelo que o produto parceiro usa.

No Security Hub, o cliente sempre controla quais parceiros podem enviar descobertas para a conta do cliente. Os clientes podem revogar as permissões de um parceiro a qualquer momento.

Para permitir que um parceiro envie descobertas de segurança para sua conta, o cliente primeiro assina o produto parceiro no Security Hub. A etapa de assinatura é necessária para todos os casos de uso descritos abaixo. Para obter detalhes sobre como os clientes gerenciam integrações de produtos, consulte Managing product integrations no Guia do usuário do AWS Security Hub .

Depois que um cliente assina um produto parceiro, o Security Hub cria automaticamente uma política de recursos gerenciados. A política concede ao produto parceiro permissão para usar a operação de API BatchImportFindings para enviar descobertas ao Security Hub para a conta do cliente.

Aqui estão os casos comuns de produtos de parceiros que se integram ao Security Hub. As informações incluem as permissões adicionais necessárias para cada caso de uso.

Hospedado pelo parceiro: descobertas enviadas da conta do parceiro

Esse caso de uso abrange parceiros que hospedam um produto em sua própria AWS conta. Para enviar descobertas de segurança para um AWS cliente, o parceiro chama a operação da BatchImportFindingsAPI a partir da conta do produto parceiro.

Para esse caso de uso, a conta do cliente só precisa das permissões estabelecidas quando o cliente assina o produto do parceiro.

Na conta do parceiro, a entidade principal do IAM que chama a operação de API BatchImportFindings deve ter uma política do IAM que permita que a entidade principal chame BatchImportFindings.

Permitir que um produto parceiro envie descobertas ao cliente no Security Hub é um processo de duas etapas:

  1. O cliente cria uma assinatura para um produto parceiro no Security Hub.

  2. O Security Hub gera a política correta de recursos gerenciados com a confirmação do cliente.

Para enviar descobertas de segurança relacionadas à conta do cliente, o produto parceiro usa suas próprias credenciais para chamar a operação de API BatchImportFindings.

Veja a seguir o exemplo de uma política do IAM que concede à entidade principal da conta do parceiro as permissões do Security Hub necessárias.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "securityhub:BatchImportFindings",
            "Resource": "arn:aws:securityhub:us-west-1:*:product-subscription/company-name/product-name"
        }
    ]
}

Hospedado pelo parceiro: descobertas enviadas da conta do parceiro

Esse caso de uso abrange parceiros que hospedam um produto em sua própria AWS conta, mas usam uma função entre contas para acessar a conta do cliente. Eles chamam a operação de API BatchImportFindings por meio da conta do cliente.

Para esse caso de uso, para chamar a operação de API BatchImportFindings, a conta do parceiro assume um perfil do IAM gerenciado pelo cliente na conta do cliente.

Essa chamada é feita a partir da conta do cliente. Portanto, a política de recursos gerenciados deve permitir que o ARN do produto da conta do produto parceiro seja usado na chamada. A política de recursos gerenciados do Security Hub concede permissão para a conta do produto parceiro e o ARN do produto parceiro. O ARN do produto é o identificador exclusivo do parceiro como fornecedor. Como a chamada não vem da conta do produto parceiro, o cliente deve conceder permissão explícita para que o produto parceiro envie as descobertas ao Security Hub.

A prática recomendada para funções entre contas de parceiros e clientes é usar um identificador externo fornecido pelo parceiro. Esse identificador externo faz parte da definição da política entre contas na conta do cliente. O parceiro deve fornecer o identificador ao assumir a função. Um identificador externo fornece uma camada adicional de segurança ao conceder acesso à AWS conta a um parceiro. O identificador exclusivo garante que o parceiro use a conta correta do cliente.

Permitir que um produto parceiro envie descobertas ao cliente no Security Hub com uma função entre contas acontece em quatro etapas:

  1. O cliente, ou parceiro que usa funções entre contas e trabalha em nome do cliente, inicia a assinatura de um produto no Security Hub.

  2. O Security Hub gera a política correta de recursos gerenciados com a confirmação do cliente.

  3. O cliente configura a função entre contas manualmente ou usando. AWS CloudFormation Para obter informações sobre funções entre contas, consulte Como fornecer acesso a AWS contas pertencentes a terceiros no Guia do usuário do IAM.

  4. O produto armazena com segurança a função do cliente e o ID externo.

Em seguida, o produto envia as descobertas para o Security Hub:

  1. O produto chama o AWS Security Token Service (AWS STS) para assumir a função de cliente.

  2. O produto chama a operação de API BatchImportFindings no Security Hub com as credenciais temporárias da função assumida.

Veja a seguir o exemplo de uma política do IAM que concede as permissões do Security Hub necessárias à função entre contas do parceiro.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "securityhub:BatchImportFindings",
            "Resource": "arn:aws:securityhub:us-west-1:111122223333:product-subscription/company-name/product-name"
        }
    ]
}

A seção Resource da política identifica a assinatura específica do produto. Isso garante que o parceiro só possa enviar descobertas para o produto parceiro no qual o cliente está inscrito.

Hospedado pelo cliente: descobertas enviadas da conta do cliente

Esse caso de uso abrange parceiros que têm um produto implantado na conta da AWS do cliente. A API BatchImportFindings é chamada por meio da solução que é executada na conta do cliente.

Para esse caso de uso, o produto parceiro deve receber permissões adicionais para chamar a API BatchImportFindings. A forma como essa permissão é concedida varia de acordo com a solução do parceiro e como ela é configurada na conta do cliente.

Um exemplo dessa abordagem é um produto parceiro executado em uma EC2 instância na conta do cliente. Essa EC2 instância deve ter uma função de EC2 instância associada a ela que conceda à instância a capacidade de chamar a operação da BatchImportFindingsAPI. Isso permite que a EC2 instância envie descobertas de segurança para a conta do cliente.

Esse caso de uso é funcionalmente equivalente a um cenário em que um cliente carrega as descobertas de um produto que ele possui em sua conta.

O cliente permite que o produto parceiro envie descobertas da conta do cliente para o cliente no Security Hub:

  1. O cliente implanta o produto do parceiro em sua AWS conta manualmente usando AWS CloudFormation ou outra ferramenta de implantação.

  2. O cliente define a política do IAM necessária para o produto do parceiro usar ao enviar as descobertas para o Security Hub.

  3. O cliente associa a política aos componentes necessários do produto do parceiro, como uma EC2 instância, um contêiner ou uma função Lambda.

Agora o produto pode enviar descobertas para o Security Hub:

  1. O produto parceiro usa o AWS SDK ou AWS CLI para chamar a operação da BatchImportFindingsAPI no Security Hub. Ele faz a chamada usando o componente na conta do cliente ao qual a política está anexada.

  2. Durante a chamada da API, as credenciais temporárias necessárias são geradas para permitir que a chamada de BatchImportFindings seja bem-sucedida.

Aqui está um exemplo de uma política do IAM que concede as permissões necessárias do Security Hub ao produto parceiro na conta do cliente.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "securityhub:BatchImportFindings",
            "Resource": "arn:aws:securityhub:us-west-2:111122223333:product-subscription/company-name/product-name"
        }
    ]
}