翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
統合のユースケースと必要な許可
AWS Security Hub CSPMでは、AWSAPN パートナーから結果を受け取ることができます。パートナーの製品は、お客様のアカウントの内部または外部で実行される場合がありますAWS。お客様のアカウントの許可設定は、パートナー製品が使用するモデルによって異なります。
Security Hub CSPM では、お客様はどのパートナーがお客様のアカウントに結果を送信できるかを常に制御します。お客様は、パートナーの許可をいつでも取り消すことができます。
パートナーがセキュリティ検出結果をアカウントに送信できるようにするには、まず Security Hub CSPM でパートナー製品をサブスクライブします。サブスクリプションステップは、以下に示すすべてのユースケースに必要です。お客様が製品統合を管理する方法の詳細については、AWS Security Hub ユーザーガイドの「製品統合の管理」を参照してください。
顧客がパートナー製品をサブスクライブすると、Security Hub CSPM は自動的にマネージドリソースポリシーを作成します。このポリシーは、BatchImportFindingsAPI オペレーションを使用して顧客のアカウントの Security Hub CSPM に結果を送信するアクセス許可をパートナー製品に付与します。
Security Hub CSPM と統合するパートナー製品の一般的なケースを次に示します。この情報には、各ユースケースに必要な追加の許可が含まれています。
パートナーホスト: パートナーアカウントから送信された結果
このユースケースは、自分のAWSアカウントで製品をホストするパートナーを対象としています。AWSお客様のセキュリティ検出結果を送信するには、パートナーはパートナー製品アカウントから BatchImportFindings API オペレーションを呼び出します。
このユースケースで、お客様アカウントは、お客様がパートナー製品をサブスクライブするときに確立される許可のみを必要とします。
パートナーアカウントで、BatchImportFindings API オペレーションをコールする IAM プリンシパルには、プリンシパルが BatchImportFindings をコールできる IAM ポリシーを持っている必要があります。
Security Hub CSPM でパートナー製品からお客様に結果を送信できるようにするには、次の 2 つのステップを実行します。
-
お客様は Security Hub CSPM でパートナー製品のサブスクリプションを作成します。
-
Security Hub CSPM は、顧客の確認とともに正しいマネージドリソースポリシーを生成します。
お客様のアカウントに関連するセキュリティ結果を送信するために、パートナー製品は独自の認証情報を使用して BatchImportFindings API オペレーションをコールします。
パートナーアカウントのプリンシパルに必要な Security Hub CSPM アクセス許可を付与する IAM ポリシーの例を次に示します。
パートナーホスト: お客様アカウントから送信された結果
このユースケースは、自分のAWSアカウントで製品をホストするが、クロスアカウントロールを使用して顧客のアカウントにアクセスするパートナーを対象としています。お客様のアカウントから BatchImportFindings API オペレーションをコールします。
このユースケースでは、BatchImportFindings API オペレーションをコールするため、パートナーアカウントは、お客様のアカウントでお客様が管理する IAM ロールを引き受けます。
このコールはお客様のアカウントから行われます。したがって、マネージドリソースポリシーでは、パートナー製品のアカウントの製品 ARN をコールで使用できるようにする必要があります。Security Hub CSPM マネージドリソースポリシーは、パートナー製品アカウントとパートナー製品 ARN にアクセス許可を付与します。製品 ARN は、プロバイダーとしてのパートナーの一意の識別子です。コールはパートナー製品アカウントからのものではないため、お客様はパートナー製品に Security Hub CSPM に結果を送信するアクセス許可を明示的に付与する必要があります。
パートナーアカウントとお客様アカウント間のアカウント間ロールのベストプラクティスは、パートナーが提供する外部識別子を使用することです。この外部識別子は、お客様のアカウントのアカウント間ポリシー定義のパートです。パートナーは、ロールを引き受けるときに識別子を提供する必要があります。外部識別子は、アカウントにパートナーAWSへのアクセスを許可するときに、追加のセキュリティレイヤーを提供します。一意の識別子は、パートナーが適切なお客様アカウントを使用することを保証します。
パートナー製品がクロスアカウントロールを使用して Security Hub CSPM で顧客に結果を送信できるようにするには、次の 4 つのステップを実行します。
-
顧客、または顧客に代わって作業するクロスアカウントロールを使用するパートナーは、Security Hub CSPM で製品のサブスクリプションを開始します。
-
Security Hub CSPM は、顧客の確認とともに正しいマネージドリソースポリシーを生成します。
-
お客様は、クロスアカウントロールを手動で設定するか、 を使用しますCloudFormation。クロスアカウントロールの詳細については、IAM ユーザーガイドの「第三者が所有するAWSアカウントへのアクセスを許可する」を参照してください。
-
製品には、お客様のロールと外部 ID が安全に保存されます。
次に、製品は結果を Security Hub CSPM に送信します。
-
製品は AWS Security Token Service(AWS STS) を呼び出して顧客ロールを引き受けます。
-
製品は、引き受けたロールの一時的な認証情報を使用して、Security Hub CSPM の
BatchImportFindingsAPI オペレーションを呼び出します。
以下は、パートナーのクロスアカウントロールに必要な Security Hub CSPM アクセス許可を付与する IAM ポリシーの例です。
ポリシーの Resource セクションは、特定の製品サブスクリプションを識別します。これにより、パートナーは、お客様がサブスクライブしているパートナー製品の結果のみを送信できます。
お客様ホスト: お客様アカウントから送信された結果
このユースケースは、お客様の AWS アカウントにデプロイされている製品を持つパートナーを対象としています。BatchImportFindings API は、お客様のアカウントで実行されるソリューションからコールされます。
このユースケースでは、パートナー製品に BatchImportFindings API をコールするための許可を追加で付与する必要があります。この許可の付与方法は、パートナーソリューションと、お客様のアカウントでの設定方法によって異なります。
このアプローチの例は、お客様のアカウントの EC2 インスタンスで実行されるパートナー製品です。この EC2 インスタンスには、BatchImportFindings API オペレーションをコールする能力をインスタンスに付与する EC2 インスタンスロールが設定されている必要があります。これにより、EC2 インスタンスはお客様のアカウントにセキュリティ結果を送信できます。
このユースケースは、お客様が所有する製品の結果を自分のアカウントにロードするシナリオと機能的に同等です。
お客様は、パートナー製品が Security Hub CSPM でお客様のアカウントからお客様に結果を送信できるようにします。
-
お客様は、 または別のデプロイツールを使用してCloudFormation、パートナー製品を自分のAWSアカウントに手動でデプロイします。
-
お客様は、Security Hub CSPM に結果を送信するときにパートナー製品で使用するために必要な IAM ポリシーを定義します。
-
お客様は、EC2 インスタンス、コンテナ、Lambda 関数など、パートナー製品の必要なコンポーネントにポリシーをアタッチします。
これで、製品は Security Hub CSPM に結果を送信できるようになりました。
-
パートナー製品は AWSSDK または を使用してAWS CLI、Security Hub CSPM で
BatchImportFindingsAPI オペレーションを呼び出します。ポリシーがアタッチされているお客様のアカウント内のコンポーネントからコールします。 -
API コール中に、必要な一時的な認証情報が生成され、
BatchImportFindingsコールが成功します。
以下は、お客様のアカウントのパートナー製品に必要な Security Hub CSPM アクセス許可を付与する IAM ポリシーの例です。
