Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Interface utilisateur Web
L'interface utilisateur Web de la solution permet aux utilisateurs de corriger les résultats d'AWS Security Hub en un clic, de consulter et de télécharger les corrections précédentes et de déléguer l'accès à la solution.
L'interface utilisateur Web n'est pas requise pour utiliser la solution ; vous pouvez également configurer des corrections entièrement automatisées pour éviter de devoir les exécuter manuellement, ou utiliser la console AWS Security Hub CSPM pour lancer les corrections à l'aide de l'action personnalisée Remediate with ASR.
Note
Vous devez définir le ShouldDeployWebUI paramètre sur « yes » lors du déploiement de la pile d'administration afin d'utiliser l'interface utilisateur Web de la solution.
Comment ça marche
L'interface utilisateur Web de la solution est une application Web d'une seule page hébergée dans votre compte par Amazon S3 et distribuée par Amazon CloudFront. La solution déploie également une API REST à l'aide d'API Gateway pour prendre en charge les opérations dans l'interface utilisateur Web.
Lorsque la pile d'administration est déployée, les fonctions Lambda de la solution commencent à charger dans DynamoDB toutes les conclusions d'AWS Security Hub prises en charge par la solution et présentes dans votre compte d'administrateur. Une fois cette opération terminée, les résultats présentés dans l'interface utilisateur Web sont synchronisés avec Security Hub en temps quasi réel grâce aux EventBridge règles déployées par la solution.
Chaque semaine, les fonctions Lambda de la solution sont déclenchées pour actualiser la table DynamoDB contenant les résultats d'AWS Security Hub affichés dans l'interface utilisateur Web. Cela garantit que les données périmées sont nettoyées et que nos tables DynamoDB sont conservées. up-to-date Si vous souhaitez configurer cette ligne de base pour qu'elle s'exécute plus ou moins souvent, modifiez la EventBridge règle nommée SO0111-ASR-SynchronizationFindingsLambdaWeeklyRule située dans votre compte d'administrateur dans la région où vous avez déployé la solution.
Exécutez les corrections directement dans l'interface utilisateur Web
Sur la page Conclusions, les utilisateurs administrateurs ou administrateurs délégués peuvent consulter toutes les conclusions d'AWS Security Hub prises en charge par la solution à des fins de correction. Cela inclut les résultats relatifs aux comptes membres du Security Hub intégrés au compte principal du Security Hub. Si la solution est également déployée dans la région d'agrégation, les résultats de n'importe quelle région intégrée seront également affichés. Pour consulter la liste des résultats étayés par la solution, consultez la section Playbooks.
Les utilisateurs des opérateurs de compte pourront uniquement consulter les résultats provenant des comptes AWS auxquels ils ont accès, comme indiqué dans leur invitation. En outre, ils ne pourront exécuter des corrections que pour les ressources des comptes auxquels ils sont associés.
Pour exécuter des corrections, sélectionnez autant d'éléments que vous le souhaitez dans le tableau et cliquez sur Actions > Corriger. Vous pouvez également supprimer les résultats en cliquant sur Actions > Supprimer, ce qui masque les résultats sélectionnés dans la vue par défaut. Vous pouvez consulter les résultats supprimés à tout moment en cliquant sur le bouton Afficher les résultats supprimés.
Une fois que vous avez entamé la correction d'une constatation, vous pouvez cliquer sur la colonne État de la correction pendant que la correction est en cours In Progress ou Failed pour accéder directement à cette correction sur la page Historique des exécutions.
Filtrer les résultats et les mesures correctives disponibles
Sur les pages Résultats et Historique des exécutions, vous pouvez filtrer les données affichées dans le tableau en fonction de l'une des colonnes présentes dans chaque tableau respectif.
Par exemple, sur la page Résultats, vous pouvez filtrer sur Type de recherche pour rechercher des types spécifiques de résultats AWS Security Hub (par exemple Lambda.1 ou Athena.4) en cliquant sur la barre de recherche et en sélectionnant Type de recherche.
Note
Les valeurs renseignées automatiquement dans la barre de recherche ne représentent pas une liste complète des données disponibles. Les valeurs suggérées pour chaque critère de recherche ne représentent que les données actuellement extraites et affichées dans l'interface utilisateur.
Vous pouvez également combiner plusieurs attributs dans une seule recherche. Par exemple, vous pouvez appliquer à la fois le type de recherche et l'identifiant de ressource à votre recherche pour effectuer une AND requête logique. En outre, vous pouvez appliquer plusieurs critères de filtre identiques pour effectuer une OR recherche logique, tels que Type de recherche = Lambda.1 et Type de recherche = Athena.4. Les mêmes principes s'appliquent à la page Historique des exécutions
Authentification et autorisation dans l'interface utilisateur Web
L'interface utilisateur Web de la solution est protégée par l'authentification fournie par Amazon Cognito. Lorsque la solution est déployée, un groupe d'utilisateurs Cognito, un client d'application Cognito et un domaine de groupe d'utilisateurs Cognito sont fournis et configurés parallèlement à l'interface utilisateur Web. L'adresse e-mail fournie en tant que paramètre à la pile d'administrateurs se voit attribuer des informations d'identification temporaires et un accès administrateur à l'interface utilisateur Web.
Il existe trois types d'autorisation qui définissent l'accès d'un utilisateur à l'interface utilisateur Web :
| Type d'autorisation | Niveau d'accès | Cas d’utilisation |
|---|---|---|
|
Admin |
Contrôle total dans l'interface utilisateur Web ; possibilité de visualiser tous les résultats et mesures correctives, d'exécuter n'importe quelle correction et de n' invite/view importe quel utilisateur. |
Attribué uniquement à l'utilisateur qui a déployé la pile d'administrateurs lorsqu'il fournit son adresse e-mail lors CloudFormation du déploiement. |
|
Administrateur délégué |
Contrôle élevé dans l'interface utilisateur Web ; possibilité de consulter tous les résultats et les mesures correctives, d'exécuter toutes les mesures correctives et de consulter les utilisateurs de l'opérateur de invite/view compte. Impossible d'inviter ou de consulter les administrateurs et les administrateurs délégués dans l'interface utilisateur Web. |
L'utilisateur administrateur peut déléguer l'accès à la solution en invitant des utilisateurs administrateurs délégués, qui seront en mesure d'exécuter et de gérer toutes les corrections. |
|
Opérateur du compte |
Contrôle limité dans l'interface utilisateur Web ; limité à l'affichage et à la correction des résultats uniquement dans les comptes auxquels ils sont associés sur invitation. Impossible d'inviter ou de consulter d'autres utilisateurs. |
Day-to-day utilisateurs qui devraient disposer d'un accès limité pour exécuter des corrections dans un sous-ensemble de comptes intégrés. Les administrateurs ou les administrateurs délégués sont chargés d'inviter ces utilisateurs et de définir leur champ d'application. |
Tous les utilisateurs doivent être invités par un administrateur ou un administrateur délégué avant de pouvoir se connecter à l'interface utilisateur Web. Pour inviter des utilisateurs supplémentaires, un administrateur ou un administrateur délégué peut saisir son adresse e-mail et son niveau d'autorisation sur la page Inviter des utilisateurs de l'interface utilisateur Web.
Les administrateurs et les administrateurs délégués peuvent également consulter, gérer et supprimer les utilisateurs existants. Pour voir la liste de tous les utilisateurs, accédez à la page Afficher les utilisateurs.
Pour gérer un utilisateur existant, sélectionnez-le dans le tableau et cliquez sur Gérer l'utilisateur. Vous pouvez ensuite supprimer l'utilisateur en cliquant sur Supprimer l'utilisateur. Si l'utilisateur est un opérateur de compte, vous pouvez modifier la liste des comptes AWS IDs auxquels il a accès dans le contexte de la solution. La modification du type d'autorisation pour un utilisateur existant n'est actuellement pas prise en charge.
Veuillez noter que les administrateurs délégués ne peuvent consulter et gérer que les utilisateurs des opérateurs de comptes.
Intégration avec des applications externes IdPs
Vous pouvez personnaliser le mécanisme d'authentification fourni par la solution pour permettre aux utilisateurs de se connecter à l'aide de votre propre fournisseur d'identité OIDC ou SAML, tel qu'Okta ou Microsoft Entra ID. Les étapes suivantes pour l'intégration avec des applications externes IdPs nécessitent l'accès au compte AWS sur lequel la pile d'administrateurs est déployée.
Important
Les utilisateurs doivent toujours être invités avant de se connecter à l'aide de tout IdP externe que vous configurez pour utiliser la solution. En outre, l'adresse e-mail associée à leur profil IdP doit correspondre à l'adresse e-mail fournie dans leur invitation.
Étape 1 - Localiser le groupe d'utilisateurs de la solution
Dans la console Amazon Cognito, localisez le groupe d'utilisateurs de la solution nommé SO0111-ASR -. UserPool
Cliquez sur le nom du groupe d'utilisateurs SO0111-ASR- UserPool pour accéder à la page d'aperçu. À partir de là, sélectionnez Fournisseurs sociaux et externes dans la barre de navigation.
Étape 2 - Ajoutez votre fournisseur d'identité
Sur la page Fournisseurs sociaux et externes, cliquez sur le bouton Ajouter un fournisseur d'identité en haut à droite.
Sélectionnez OIDC ou SAML, selon votre fournisseur d'identité.
Une fois que vous aurez sélectionné votre type de fournisseur, vous serez invité à saisir des informations sur votre fournisseur d'identité.
Renseignez les champs suivants pour les fournisseurs SAML :
-
Nom du fournisseur : un nom convivial pour votre fournisseur
-
Connexion SAML initiée par l'IDP : Sélectionnez
Require SP-initiated SAML assertions - Recommended -
Source du document de métadonnées : Sélectionnez
Upload metadata document -
Document de métadonnées : téléchargez le document de métadonnées SAML fourni par votre IdP.
-
Sous Cartographier les attributs entre votre fournisseur SAML et votre groupe d'utilisateurs, cliquez sur Ajouter un autre attribut. Pour l'attribut du groupe d'utilisateurs,
emailsélectionnez dans la liste déroulante. Pour l'attribut SAML, entrez le nom complet de l'attribut dans lequel l'adresse e-mail de l'utilisateur est enregistrée dans votre fournisseur d'identité SAML. Par exemple,http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress. -
Cliquez sur Ajouter un fournisseur d'identité pour enregistrer vos modifications.
Remplissez les champs suivants pour les fournisseurs OIDC :
-
Nom du fournisseur : un nom convivial pour votre fournisseur
-
ID client : entrez l'identifiant client fourni par votre fournisseur d'identité OpenID Connect.
-
Secret client : entrez le secret client fourni par le fournisseur d'identité OpenID Connect.
-
Étendue autorisée : Entrez
openid profile email -
Méthode de demande d'attribut : sélectionnez
GETouPOSTen fonction de la configuration de votre fournisseur d'identité. -
Méthode de configuration : sélectionnez
Auto fill through issuer URLet entrez l'URL de l'émetteur de votre fournisseur OIDC. Vous pouvez également saisir les valeurs manuellement. -
Sous Cartographier les attributs entre votre fournisseur OpenID Connect et votre groupe d'utilisateurs, cliquez sur Ajouter un autre attribut. Pour l'attribut du groupe d'utilisateurs,
emailsélectionnez dans la liste déroulante. Pour l'attribut OpenID Connect, entrez le nom complet de l'attribut dans lequel l'adresse e-mail de l'utilisateur est enregistrée dans votre fournisseur d'identité OIDC. Par exemple,email. -
Cliquez sur Ajouter un fournisseur d'identité pour enregistrer vos modifications.
Important
Vous devez ajouter un mappage d'attributs pour l'attribut du groupe email d'utilisateurs, même si le nom d'attribut de votre fournisseur d'identité l'est égalementemail.
Étape 3 - Ajoutez votre fournisseur au client d'application de la solution
Accédez à la page App Clients et sélectionnez le client nommé SO0111-ASR-WebUI -. UserPoolClient
Cliquez sur l'onglet Pages de connexion, puis sous Configuration des pages de connexion gérées, cliquez sur Modifier.
Dans le champ Fournisseurs d'identité, ajoutez le fournisseur d'identité que vous avez créé à l'étape précédente. Cliquez sur Save Changes (Enregistrer les modifications).
Étape 4 - Configuration de votre fournisseur d'identité
Pour permettre à votre fournisseur d'identité de rediriger vers l'interface utilisateur Web de la solution après la connexion, vous devez autoriser les éléments suivants URLs dans la configuration de votre IdP.
En fonction de votre type de fournisseur, autorisez l'un des rappels URLs suivants :
-
URL de rappel SAML : https://so0111-asr -
<your-aws-account-id>.auth.<aws-region>.amazoncognito. com/saml2/idpresponse -
URL de rappel OIDC : https://so0111-asr -
<your-aws-account-id>.auth.<aws-region>.amazoncognito. com/oauth2/idpresponse
Vous devez le <your-aws-account-id> remplacer par l'ID du compte AWS dans lequel vous avez déployé la pile d'administrateurs et <aws-region> par la région dans laquelle vous avez déployé la pile d'administrateurs.
Étape 4 - Vérifiez votre intégration
Accédez à la page de connexion de l'interface utilisateur Web. Vérifiez que votre fournisseur d'identité personnalisé est visible sur la page de connexion.
Pour tester l'intégration, invitez un nouvel utilisateur à l'aide de la page Inviter des utilisateurs. Assurez-vous ensuite que l'utilisateur peut s'authentifier en cliquant sur votre fournisseur d'identité personnalisé sur la page de connexion de l'interface utilisateur Web.
Notez que le profil de l'utilisateur dans votre IdP personnalisé doit être lié à la même adresse e-mail que celle indiquée dans son invitation. En d'autres termes, l'adresse e-mail figurant dans les réclamations de votre fournisseur doit correspondre à l'invitation.
