整合使用案例和必要的許可 - AWS Security Hub
合作夥伴託管:從合作夥伴帳戶傳送的問題清單合作夥伴託管:從客戶帳戶傳送的問題清單客戶託管:從客戶帳戶傳送的問題清單

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

整合使用案例和必要的許可

AWS Security Hub 允許 AWS 客戶從 APN 合作夥伴接收調查結果。合作夥伴的產品可能會在客戶 AWS 帳戶內外執行。客戶帳戶中的許可組態會根據合作夥伴產品使用的模型而有所不同。

在 Security Hub 中,客戶一律會控制哪些合作夥伴可以將問題清單傳送到客戶的帳戶。客戶可以隨時撤銷合作夥伴的許可。

若要讓合作夥伴將安全調查結果傳送到其帳戶,客戶會先訂閱 Security Hub 中的合作夥伴產品。訂閱步驟對於以下概述的所有使用案例都是必要的。如需客戶如何管理產品整合的詳細資訊,請參閱AWS Security Hub 《 使用者指南》中的管理產品整合

客戶訂閱合作夥伴產品後,Security Hub 會自動建立受管資源政策。此政策授予合作夥伴產品許可,以使用 BatchImportFindings API 操作將問題清單傳送到客戶帳戶的 Security Hub。

以下是與 Security Hub 整合之合作夥伴產品的常見案例。此資訊包含每個使用案例所需的額外許可。

合作夥伴託管:從合作夥伴帳戶傳送的問題清單

此使用案例涵蓋在自己的 AWS 帳戶中託管產品的合作夥伴。若要傳送 AWS 客戶的安全調查結果,合作夥伴會從合作夥伴產品帳戶呼叫 BatchImportFindings API 操作。

在此使用案例中,客戶帳戶只需要在客戶訂閱合作夥伴產品時建立的許可。

在合作夥伴帳戶中,呼叫 BatchImportFindings API 操作的 IAM 主體必須具有允許主體呼叫 的 IAM 政策BatchImportFindings

讓合作夥伴產品在 Security Hub 中傳送問題清單給客戶是一個兩步驟的程序:

  1. 客戶在 Security Hub 中建立合作夥伴產品的訂閱。

  2. Security Hub 會產生正確的受管資源政策,其中包含客戶的確認。

若要傳送與客戶帳戶相關的安全調查結果,合作夥伴產品會使用自己的登入資料來呼叫 BatchImportFindings API 操作。

以下是 IAM 政策的範例,該政策授予合作夥伴帳戶中的委託人必要的 Security Hub 許可。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "securityhub:BatchImportFindings",
            "Resource": "arn:aws:securityhub:us-west-1:*:product-subscription/company-name/product-name"
        }
    ]
}

合作夥伴託管:從客戶帳戶傳送的問題清單

此使用案例涵蓋在其自己的 AWS 帳戶中託管產品的合作夥伴,但使用跨帳戶角色來存取客戶的帳戶。他們從客戶的帳戶呼叫 BatchImportFindings API 操作。

在此使用案例中,若要呼叫 BatchImportFindings API 操作,合作夥伴帳戶會擔任客戶帳戶中的客戶受管 IAM 角色。

此呼叫是從客戶的帳戶進行。因此,受管資源政策必須允許在呼叫中使用合作夥伴產品帳戶的產品 ARN。Security Hub 受管資源政策會授予合作夥伴產品帳戶和合作夥伴產品 ARN 的許可。產品 ARN 是合作夥伴作為供應商的唯一識別符。由於呼叫不是來自合作夥伴產品帳戶,客戶必須明確授予許可,讓合作夥伴產品將問題清單傳送到 Security Hub。

合作夥伴和客戶帳戶之間跨帳戶角色的最佳實務是使用合作夥伴提供的外部識別符。此外部識別符是客戶帳戶中跨帳戶政策定義的一部分。合作夥伴在擔任角色時必須提供識別符。外部識別符在將 AWS 帳戶存取權授予合作夥伴時提供額外的安全層。唯一識別符可確保合作夥伴使用正確的客戶帳戶。

使用跨帳戶角色,讓合作夥伴產品將問題清單傳送給 Security Hub 中的客戶,分為四個步驟:

  1. 客戶或合作夥伴使用代表客戶工作的跨帳戶角色,開始訂閱 Security Hub 中的產品。

  2. Security Hub 會產生正確的受管資源政策,其中包含客戶的確認。

  3. 客戶可手動或使用 來設定跨帳戶角色 AWS CloudFormation。如需跨帳戶角色的資訊,請參閱《IAM 使用者指南》中的提供存取第三方擁有 AWS 的帳戶

  4. 產品會安全地存放客戶角色和外部 ID。

接下來,產品會將問題清單傳送至 Security Hub:

  1. 產品會呼叫 AWS Security Token Service (AWS STS) 以擔任客戶角色。

  2. 產品會使用擔任角色的臨時登入資料呼叫 Security Hub 上的 BatchImportFindings API 操作。

以下是將必要的 Security Hub 許可授予合作夥伴的跨帳戶角色的 IAM 政策範例。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "securityhub:BatchImportFindings",
            "Resource": "arn:aws:securityhub:us-west-1:111122223333:product-subscription/company-name/product-name"
        }
    ]
}

政策的 Resource區段識別特定產品訂閱。這可確保合作夥伴只能傳送客戶訂閱之合作夥伴產品的調查結果。

客戶託管:從客戶帳戶傳送的問題清單

此使用案例涵蓋合作夥伴,其擁有部署在客戶 AWS 帳戶中的產品。BatchImportFindings API 是從客戶帳戶中執行的解決方案呼叫。

對於此使用案例,必須授予合作夥伴產品呼叫 BatchImportFindings API 的額外許可。授予此許可的方式會因合作夥伴解決方案以及其在客戶帳戶中的設定方式而有所不同。

此方法的範例為在客戶帳戶中的 EC2 執行個體上執行的合作夥伴產品。此 EC2 執行個體必須連接 EC2 執行個體角色,以授予該執行個體呼叫 BatchImportFindings API 操作的能力。這可讓 EC2 執行個體將安全調查結果傳送至客戶帳戶。

此使用案例在功能上等同於客戶將調查結果載入其帳戶,以取得其擁有的產品。

客戶可讓合作夥伴產品在 Security Hub 中將調查結果從客戶的帳戶傳送給客戶:

  1. 客戶使用 AWS CloudFormation或其他部署工具,將合作夥伴產品手動部署到其 AWS 帳戶。

  2. 客戶為合作夥伴產品定義必要的 IAM 政策,以便在將問題清單傳送到 Security Hub 時使用。

  3. 客戶會將政策連接到合作夥伴產品的必要元件,例如 EC2 執行個體、容器或 Lambda 函數。

現在,產品可以將問題清單傳送到 Security Hub:

  1. 合作夥伴產品使用 AWS SDK 或 AWS CLI 來呼叫 Security Hub 中的 BatchImportFindings API 操作。它會從附加政策的客戶帳戶中的元件進行呼叫。

  2. 在 API 呼叫期間,會產生必要的臨時憑證,以允許BatchImportFindings呼叫成功。

以下是將必要的 Security Hub 許可授予客戶帳戶中合作夥伴產品的 IAM 政策範例。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "securityhub:BatchImportFindings",
            "Resource": "arn:aws:securityhub:us-west-2:111122223333:product-subscription/company-name/product-name"
        }
    ]
}