Hospedado pelo parceiro: descobertas enviadas da conta do parceiro Hospedado pelo parceiro: descobertas enviadas da conta do parceiro Hospedado pelo cliente: descobertas enviadas da conta do cliente

Casos de uso de integração e permissões necessárias

AWS Security Hub CSPMpermite que AWS os clientes recebam descobertas dos parceiros da APN. Os produtos do parceiro podem ser executados dentro ou fora da AWS conta do cliente. A configuração de permissão na conta do cliente difere com base no modelo que o produto parceiro usa.

No Security Hub CSPM, o cliente sempre controla quais parceiros podem enviar descobertas para a conta do cliente. Os clientes podem revogar as permissões de um parceiro a qualquer momento.

Para permitir que um parceiro envie descobertas de segurança para sua conta, o cliente primeiro assina o produto parceiro no Security Hub CSPM. A etapa de assinatura é necessária para todos os casos de uso descritos abaixo. Para obter detalhes sobre como os clientes gerenciam integrações de produtos, consulte Managing product integrations no Guia do usuário do AWS Security Hub.

Depois que um cliente assina um produto parceiro, o Security Hub CSPM cria automaticamente uma política de recursos gerenciados. A política concede ao produto parceiro permissão para usar a operação de BatchImportFindingsAPI para enviar descobertas ao CSPM do Security Hub para a conta do cliente.

Aqui estão os casos comuns de produtos de parceiros que se integram ao CSPM do Security Hub. As informações incluem as permissões adicionais necessárias para cada caso de uso.

Hospedado pelo parceiro: descobertas enviadas da conta do parceiro

Esse caso de uso abrange parceiros que hospedam um produto em sua própria AWS conta. Para enviar descobertas de segurança para um AWS cliente, o parceiro chama a operação da BatchImportFindingsAPI a partir da conta do produto parceiro.

Para esse caso de uso, a conta do cliente só precisa das permissões estabelecidas quando o cliente assina o produto do parceiro.

Na conta do parceiro, a entidade principal do IAM que chama a operação de API BatchImportFindings deve ter uma política do IAM que permita que a entidade principal chame BatchImportFindings.

Permitir que um produto parceiro envie descobertas ao cliente no CSPM do Security Hub é um processo de duas etapas:

O cliente cria uma assinatura para um produto parceiro no Security Hub CSPM.
O Security Hub CSPM gera a política correta de recursos gerenciados com a confirmação do cliente.

Para enviar descobertas de segurança relacionadas à conta do cliente, o produto parceiro usa suas próprias credenciais para chamar a operação de API BatchImportFindings.

Aqui está um exemplo de uma política do IAM que concede ao principal na conta do parceiro as permissões CSPM necessárias do Security Hub.

Hospedado pelo parceiro: descobertas enviadas da conta do parceiro

Esse caso de uso abrange parceiros que hospedam um produto em sua própria AWS conta, mas usam uma função entre contas para acessar a conta do cliente. Eles chamam a operação de API BatchImportFindings por meio da conta do cliente.

Para esse caso de uso, para chamar a operação de API BatchImportFindings, a conta do parceiro assume um perfil do IAM gerenciado pelo cliente na conta do cliente.

Essa chamada é feita a partir da conta do cliente. Portanto, a política de recursos gerenciados deve permitir que o ARN do produto da conta do produto parceiro seja usado na chamada. A política de recursos gerenciados do Security Hub CSPM concede permissão para a conta do produto parceiro e o ARN do produto parceiro. O ARN do produto é o identificador exclusivo do parceiro como fornecedor. Como a chamada não vem da conta do produto parceiro, o cliente deve conceder permissão explícita para que o produto parceiro envie as descobertas ao Security Hub CSPM.

A prática recomendada para funções entre contas de parceiros e clientes é usar um identificador externo fornecido pelo parceiro. Esse identificador externo faz parte da definição da política entre contas na conta do cliente. O parceiro deve fornecer o identificador ao assumir a função. Um identificador externo fornece uma camada adicional de segurança ao conceder acesso à AWS conta a um parceiro. O identificador exclusivo garante que o parceiro use a conta correta do cliente.

Permitir que um produto parceiro envie descobertas ao cliente no Security Hub CSPM com uma função entre contas acontece em quatro etapas:

O cliente, ou parceiro que usa funções entre contas e trabalha em nome do cliente, inicia a assinatura de um produto no CSPM do Security Hub.
O Security Hub CSPM gera a política correta de recursos gerenciados com a confirmação do cliente.
O cliente configura a função entre contas manualmente ou usando. CloudFormation Para obter informações sobre funções entre contas, consulte Como fornecer acesso a AWS contas pertencentes a terceiros no Guia do usuário do IAM.
O produto armazena com segurança a função do cliente e o ID externo.

Em seguida, o produto envia as descobertas para o Security Hub CSPM:

O produto chama o AWS Security Token Service (AWS STS) para assumir a função de cliente.
O produto chama a operação de BatchImportFindingsAPI no CSPM do Security Hub com as credenciais temporárias da função assumida.

Aqui está um exemplo de uma política do IAM que concede as permissões CSPM necessárias do Security Hub para a função entre contas do parceiro.

A seção Resource da política identifica a assinatura específica do produto. Isso garante que o parceiro só possa enviar descobertas para o produto parceiro no qual o cliente está inscrito.

Hospedado pelo cliente: descobertas enviadas da conta do cliente

Esse caso de uso abrange parceiros que têm um produto implantado na conta da AWS do cliente. A API BatchImportFindings é chamada por meio da solução que é executada na conta do cliente.

Para esse caso de uso, o produto parceiro deve receber permissões adicionais para chamar a API BatchImportFindings. A forma como essa permissão é concedida varia de acordo com a solução do parceiro e como ela é configurada na conta do cliente.

Um exemplo dessa abordagem é um produto parceiro executado em uma EC2 instância na conta do cliente. Essa EC2 instância deve ter uma função de EC2 instância associada que conceda à instância a capacidade de chamar a operação da BatchImportFindingsAPI. Isso permite que a EC2 instância envie descobertas de segurança para a conta do cliente.

Esse caso de uso é funcionalmente equivalente a um cenário em que um cliente carrega as descobertas de um produto que ele possui em sua conta.

O cliente permite que o produto parceiro envie descobertas da conta do cliente para o cliente no Security Hub CSPM:

O cliente implanta o produto do parceiro em sua AWS conta manualmente usando CloudFormation ou outra ferramenta de implantação.
O cliente define a política de IAM necessária para o produto do parceiro usar ao enviar as descobertas para o Security Hub CSPM.
O cliente associa a política aos componentes necessários do produto do parceiro, como uma EC2 instância, um contêiner ou uma função Lambda.

Agora, o produto pode enviar descobertas para o Security Hub CSPM:

O produto parceiro usa o AWS SDK ou AWS CLI para chamar a operação da BatchImportFindingsAPI no CSPM do Security Hub. Ele faz a chamada usando o componente na conta do cliente ao qual a política está anexada.
Durante a chamada da API, as credenciais temporárias necessárias são geradas para permitir que a chamada de BatchImportFindings seja bem-sucedida.

Aqui está um exemplo de uma política do IAM que concede as permissões CSPM necessárias do Security Hub ao produto parceiro na conta do cliente.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Pré-requisitos do parceiro

Processo de integração de parceiro