集成使用情况和必要的权限 - AWS Security Hub
合作伙伴托管:从合作伙伴账户发出的结果合作伙伴托管:从客户账户发出的结果客户托管:从客户账户发出的结果
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

如果我们为英文版本指南提供翻译,那么如果存在任何冲突,将以英文版本指南为准。在提供翻译时使用机器翻译。

集成使用情况和必要的权限

AWS Security Hub 允许 AWS 客户接收来自APN合作伙伴的调查结果。合作伙伴的产品可能在客户的内部或外部运行 AWS 账户。客户帐户中的权限配置根据合作伙伴产品使用的模型而不同。

在 Security Hub,客户始终控制哪些合作伙伴可以将结果发送到客户的账户。客户可以随时撤销合作伙伴的权限。

为使合作伙伴能够将安全结果发送到客户帐户,客户首先订阅了合作伙伴产品 Security Hub. 订阅步骤是以下所有使用情形的必要步骤。有关客户如何管理产品整合的详细信息,请参阅 管理产品集成AWS Security Hub 用户指南.

客户订购合作伙伴产品后, Security Hub 自动创建管理资源策略。本政策授予合作伙伴产品的使用 BatchImportFindings 将结果发送到API操作 Security Hub 对于客户帐户。

以下是与 Security Hub. 信息包括每个使用情形所需的额外权限。

合作伙伴托管:从合作伙伴账户发出的结果

这种使用案例涵盖了自己主办产品的合作伙伴 AWS 账户。发送安全发现 AWS 客户,合作伙伴呼叫 BatchImportFindings 合作伙伴产品帐户的API操作。

对于此使用情形,客户帐户只需要在客户订购合作伙伴产品时建立的权限。

在合作伙伴账户中, IAM 致电 BatchImportFindings API操作必须具有 IAM 允许负责人致电的政策 BatchImportFindings.

启用合作伙伴产品将结果发送给客户 Security Hub 是一个两步流程:

  1. 客户在 Security Hub.

  2. Security Hub 通过客户确认生成正确的管理资源策略。

要发送与客户账户相关的安全发现,合作伙伴产品使用他们自己的凭证来调用 BatchImportFindings API操作。

以下是 IAM 在合伙人账户中授予本金必要的政策 Security Hub 权限。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "securityhub:BatchImportFindings",
            "Resource": "arn:aws:securityhub:us-west-1:*:product-subscription/company-name/product-name"
        }
    ]
}

合作伙伴托管:从客户账户发出的结果

这种使用案例涵盖了自己主办产品的合作伙伴 AWS 帐户,但使用跨客户角色访问客户帐户。他们称之为 BatchImportFindings 客户帐户的API操作。

对于此使用情形,请致电 BatchImportFindings API操作,合作伙伴帐户假设客户管理 IAM 客户账户中的角色。

本次通话是由客户的账户进行的。因此,管理资源策略必须允许产品ARN在呼叫中使用合作伙伴产品的帐户。TheThethe Security Hub 管理资源政策授予合作伙伴产品账户和合作伙伴产品ARN的权限。产品ARN是作为提供商的合作伙伴唯一标识符。由于该电话不来自合作伙伴产品账户,客户必须明确授予合作伙伴产品的许可,以将结果发送至 Security Hub.

合作伙伴和客户账户之间的跨客户角色的最佳实践是使用合作伙伴提供的外部标识符。此外部标识符是客户帐户中的跨客户策略定义的一部分。合作伙伴在承担角色时必须提供标识符。外部标识符在授予时提供额外的安全层 AWS 帐户访问合作伙伴。唯一标识符可确保合作伙伴使用正确的客户帐户。

启用合作伙伴产品将结果发送给客户 Security Hub 跨客户角色发生在四个步骤中:

  1. 使用代表客户工作的跨客户角色的客户或合作伙伴, Security Hub.

  2. Security Hub 通过客户确认生成正确的管理资源策略。

  3. 客户可以手动或使用 AWS CloudFormation. 有关跨客户角色的信息,请参阅 提供第三方拥有的AWS账户访问IAM 用户指南.

  4. 产品安全存储客户角色和外部ID。

接下来,产品将结果发送到 Security Hub:

  1. 产品致电 AWS Security Token Service (AWS STS)以承担客户角色。

  2. 产品致电 BatchImportFindings API操作 Security Hub 使用假定角色的临时凭据。

以下是 IAM 授予必要的政策 Security Hub 对合作伙伴的跨客户角色的权限。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "securityhub:BatchImportFindings",
            "Resource": " arn:aws:securityhub:us-west-1:111122223333:product-subscription/company-name/product-name"
        }
    ]
}

TheThethe Resource 本政策的部分确定特定产品订阅。这确保合作伙伴只能发送客户订阅的合作伙伴产品的发现。

客户托管:从客户账户发出的结果

此使用案例涵盖在客户中部署产品的合作伙伴 AWS 账户。TheThethe BatchImportFindings API从客户帐户中运行的解决方案中调用。

对于此使用情形,合作伙伴产品必须获得其他权限,以致电 BatchImportFindings API。如何根据合作伙伴解决方案以及如何在客户帐户中配置此权限来授予此权限。

这种方法的示例是在客户帐户ec2实例上运行的合作伙伴产品。此EC2实例必须具有EC2实例角色,该角色将该实例附加到该实例中 BatchImportFindings API操作。这允许EC2实例向客户账户发送安全发现。

此使用情况与客户将结果加载到他们拥有的产品的情境相当。

客户使合作伙伴产品能够将客户账户的结果发送给客户 Security Hub:

  1. 客户将合作伙伴产品部署到 AWS 帐户手动使用 AWS CloudFormation或其他部署工具。

  2. 客户定义必要的 IAM 合作伙伴产品将发现发送至 Security Hub.

  3. 客户将政策附加到合作伙伴产品的必要组成部分,例如EC2实例、容器或 Lambda 功能。

现在,产品可以将结果发送到 Security Hub:

  1. 合作伙伴产品使用 AWS SDK或 AWS CLI 致电 BatchImportFindings API操作 Security Hub. 它将来自客户帐户中的组件的呼叫附加到策略中。

  2. 在API调用期间,生成必要的临时凭据,以允许 BatchImportFindings 呼叫成功。

以下是 IAM 授予必要的政策 Security Hub 客户账户中合作伙伴产品的权限。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "securityhub:BatchImportFindings",
            "Resource": "arn:aws:securityhub:us-west-2:111122223333:product-subscription/company-name/product-name"
        }
    ]
}