集成使用案例和所需的权限 - Amazon Security Hub
合作伙伴托管:从合作伙伴账户发送合作伙伴托管:客户账户发送的调查结果客户托管:来自客户账户的调查结果
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

集成使用案例和所需的权限

Amazon Security Hub允许Amazon客户将获得 APN 合作伙伴的调查结果。合作伙伴的产品可能在客户的内部或外部运行Amazonaccount. 客户账户中的权限配置因合作伙伴产品使用的型号而异。

在 Security Hub 中,客户始终控制哪些合作伙伴可以向客户的账户发送调查结果。客户可以随时撤销合作伙伴的权限。

为了使合作伙伴能够向其帐户发送安全调查结果,客户首先在 Security Hub 中订阅合作伙伴产品。订阅步骤对于下面概述的所有使用案例都是必要的。有关客户如何管理产品集成的详细信息,请参阅管理产品集成中的Amazon Security Hub用户指南.

客户订阅合作伙伴产品后,Security Hub 会自动创建托管资源策略。该政策授予合作伙伴产品使用BatchImportFindings将结果发送到 Security Hub 的 API 操作,以获取客户账户。

以下是与 Security Hub 集成的合作伙伴产品的常见案例。信息包括每个使用案例所需的额外权限。

合作伙伴托管:从合作伙伴账户发送

本使用案例涵盖自己托管产品的合作伙伴Amazonaccount. 要发送安全结果Amazon客户,合作伙伴致电BatchImportFindings合作伙伴产品账户的 API 操作。

对于此使用案例,客户帐户只需要在客户订阅合作伙伴产品时建立的权限。

在合作伙伴账户中,调用BatchImportFindingsAPI 操作必须具有相应的 IAM 策略,允许委托人调用BatchImportFindings.

使合作伙伴产品能够在 Security Hub 中向客户发送调查结果有两个步骤:

  1. 客户在 Security Hub 中创建合作伙伴产品的订阅。

  2. Security Hub 会在客户确认的情况下生成正确的托管资源策略。

要发送与客户账户相关的安全调查结果,合作伙伴产品使用自己的凭据来调用BatchImportFindingsAPI 操作。

以下是一个 IAM 策略的示例,该策略向合作伙伴账户中的委托人授予必要的 Security Hub 权限。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "securityhub:BatchImportFindings",
            "Resource": "arn:aws:securityhub:us-west-1:*:product-subscription/company-name/product-name"
        }
    ]
}

合作伙伴托管:客户账户发送的调查结果

本使用案例涵盖自己托管产品的合作伙伴Amazon账户,但是使用跨账户角色访问客户的账户。他们调用BatchImportFindings来自客户账户的 API 操作。

对于此使用案例,请调用BatchImportFindingsAPI 操作,合作伙伴账户在客户账户中承担客户托管的 IAM 角色。

这个电话来自客户的账户。因此,托管资源策略必须允许在调用中使用合作伙伴产品账户的产品 ARN。Security Hub 托管资源策略授予合作伙伴产品帐户和合作伙伴产品 ARN 的权限。产品 ARN 是合作伙伴作为提供商的唯一标识符。由于呼叫不是来自合作伙伴产品帐户,因此客户必须明确授予合作伙伴产品向 Security Hub 发送调查结果的权限。

合作伙伴和客户账户之间的跨账户角色的最佳做法是使用合作伙伴提供的外部标识符。此外部标识符是客户账户中跨账户策略定义的一部分。合作伙伴在担任角色时必须提供标识符。授予时,外部标识符提供了一个额外的安全层Amazon合作伙伴的账户访问权限。唯一标识符可确保合作伙伴使用正确的客户账户。

通过四个步骤,使合作伙伴产品能够在 Security Hub 中以跨账户角色向客户发送调查结果:

  1. 客户或使用代表客户工作的跨账户角色的合作伙伴,在 Security Hub 中开始订阅产品。

  2. Security Hub 会在客户确认的情况下生成正确的托管资源策略。

  3. 客户可以手动配置跨账户角色,也可以使用Amazon CloudFormation. 有关跨账户角色的信息,请参阅提供访问权限Amazon第三方拥有的账户中的IAM 用户指南.

  4. 产品可以安全地存储客户角色和外部 ID。

接下来,该产品将结果发送到 Security Hub:

  1. 该产品称之为Amazon Security Token Service(Amazon STS) 承担客户角色。

  2. 该产品称之为BatchImportFindings使用担任角色的临时证书在 Security Hub 上进行 API 操作。

以下是一个 IAM 策略的示例,该策略向合作伙伴的跨账户角色授予必要的 Security Hub 权限。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "securityhub:BatchImportFindings",
            "Resource": "arn:aws:securityhub:us-west-1:111122223333:product-subscription/company-name/product-name"
        }
    ]
}

这些区域有:Resource策略的部分标识了特定的产品订阅。这可确保合作伙伴只能发送客户订阅的合作伙伴产品的调查结果。

客户托管:来自客户账户的调查结果

本使用案例涵盖了在客户的中部署了产品的合作伙伴Amazonaccount. 这些区域有:BatchImportFindingsAPI 是从客户账户中运行的解决方案调用的。

对于此使用案例,必须向合作伙伴产品授予其他权限才能调用BatchImportFindingsAPI。授予此权限的方式取决于合作伙伴解决方案以及在客户账户中的配置方式。

这种方法的一个示例是在客户账户中的 EC2 实例上运行的合作伙伴产品。此 EC2 实例必须附加一个 EC2 实例角色,该角色授予该实例调用BatchImportFindingsAPI 操作。这允许 EC2 实例向客户的账户发送安全调查结果。

此使用案例在功能上等同于客户将调查结果加载到他们所拥有的产品的帐户中的场景。

客户使合作伙伴产品能够在 Security Hub 中将客户账户中的调查结果发送给客户:

  1. 客户将合作伙伴产品部署到他们的Amazon手动使用账户Amazon CloudFormation,或者另一种部署工具。

  2. 客户定义了合作伙伴产品在向 Security Hub 发送调查结果时使用的必要 IAM 策略。

  3. 客户将策略附加到合作伙伴产品的必要组件,例如 EC2 实例、容器或 Lambda 函数。

现在,该产品可以将结果发送到 Security Hub:

  1. 合作伙伴产品使用Amazon开发工具包Amazon CLI调用BatchImportFindingsSecurity Hub 的 API 操作。它从附加保单的客户账户中的组件拨打电话。

  2. 在 API 调用期间,将生成必要的临时证书以允许BatchImportFindings调用成功。

以下是 IAM 策略的示例,该策略向客户账户中的合作伙伴产品授予必要的 Security Hub 权限。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "securityhub:BatchImportFindings",
            "Resource": "arn:aws:securityhub:us-west-2:111122223333:product-subscription/company-name/product-name"
        }
    ]
}