將 IAM Access Analyzer 與 AWS Security Hub 整合 - AWS Identity and Access Management
IAM Access Analyzer 如何將調查結果傳送到 Security Hub檢視 Security Hub 中的 IAM Access Analyzer 調查結果IAM Access Analyzer 的典型調查結果啟用與設定整合如何停止傳送問題清單

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

將 IAM Access Analyzer 與 AWS Security Hub 整合

AWS Security Hub 可用於全面檢視跨 AWS 的安全狀態。它可協助您評估環境是否符合安全業界標準和最佳實務。Security Hub 會跨 AWS 帳戶、服務以及支援的第三方合作夥伴產品來收集安全資料。然後分析您的安全趨勢,並識別最高優先級的安全問題。

將 IAM Access Analyzer 與 Security Hub 整合時,您可以將調查結果從 IAM Access Analyzer 傳送至 Security Hub。Security Hub 接著可將這些調查結果納入整體安全狀態的分析中。

IAM Access Analyzer 如何將調查結果傳送到 Security Hub

在 Security Hub 中,將安全問題作為問題清單進行追蹤。有些問題清單是由其他 AWS 服務 或第三方合作夥伴偵測所得。Security Hub 也有一組規則,用來偵測安全問題並產生問題清單。

Security Hub 提供用來跨所有這些來源管理問題清單的工具。您可以檢視並篩選調查結果列表,並檢視每個調查結果的詳細資訊。如需詳細資訊,請參閱《AWS Security Hub 使用者指南》中的檢視問題清單。您也可以追蹤調查結果的調查狀態。如需詳細資訊,請參閱《AWS Security Hub 使用者指南》中的針對問題清單採取動作

所有 Security Hub 中的問題清單都使用稱為 AWS 安全問題清單格式 (ASFF) 的標準 JSON 格式。ASFF 包含問題來源、受影響的資源以及問題清單目前狀態的詳細資訊。請參閱《AWS Security Hub 使用者指南》中的 AWS 安全問題清單格式 (ASFF)

AWS Identity and Access Management Access Analyzer 是負責將調查結果傳送至 Security Hub 的 AWS 服務之一。針對未使用的存取權,IAM Access Analyzer 會偵測授予 IAM 使用者或角色的未使用存取權,並為其中每一項產生一個調查結果。IAM Access Analyzer 接著會將這些調查結果傳送到 Security Hub。

針對外部存取權,IAM Access Analyzer 會偵測授予外部主體對您組織或帳戶中支援的資源的公開存取權或跨帳戶存取權的政策陳述式。IAM Access Analyzer 會產生公開存取權的調查結果,並將其傳送至 Security Hub。對於跨帳戶存取,IAM Access Analyzer 會一次傳送一個外部主體的單一調查結果至 Security Hub。如果 IAM Access Analyzer 中有多項跨帳戶調查結果,您必須先解決單一外部主體的 Security Hub 調查結果,IAM Access Analyzer 才會提供下一項跨帳戶調查結果。如需分析器信任區域外具有跨帳戶存取權的外部主體完整清單,您必須檢視 IAM Access Analyzer 中的調查結果。有關資源控制政策 (RCP) 的詳細資訊,請參閱資源詳細資訊一節。

IAM Access Analyzer 傳送的調查結果類型

IAM Access Analyzer 會使用 AWS 安全調查結果格式 (ASFF) 將調查結果傳送到 Security Hub。在 ASFF 中,Types 欄位提供問題清單類型。來自 IAM Access Analyzer 的調查結果可能具有以下 Types 值。

  • 外部存取權調查結果:效果/資料暴露/授予的外部存取權

  • 外部存取權調查結果:軟體及設定檢查/AWS 安全最佳實務/授予的外部存取

  • 未使用的存取權調查結果 – 軟體和組態檢查/AWS 安全最佳實務/未使用的許可

  • 未使用的存取權調查結果:軟體和組態檢查/AWS 安全最佳實務/未使用的 IAM 角色

  • 未使用的存取權調查結果:軟體和組態檢查/AWS 安全最佳實務/未使用的 IAM 使用者密碼

  • 未使用的存取權調查結果:軟體和組態檢查/AWS 安全最佳實務/未使用的 IAM 使用者存取金鑰

傳送問題清單延遲

IAM Access Analyzer 建立新的調查結果後,通常會在 30 分鐘內傳送到 Security Hub。不過,在極少數情況下,IAM Access Analyzer 可能不會收到關於政策變更的通知。例如:

  • 對 Amazon S3 帳戶層級封鎖公開存取權設定所做的變更,最多可能需要 12 小時才會反映在 IAM Access Analyzer 中。

  • 對資源控制政策 (RCP) 所做的變更,若未變更資源型政策,則不會觸發重新掃描調查結果中報告的資源。IAM Access Analyzer 會在下次定期掃描 (24 小時內) 期間分析該新增或更新的政策。

  • 如果 AWS CloudTrail 日誌交付發生交付問題,則政策變更不會觸發重新掃描調查結果中報告的資源。

在這類情況下,IAM Access Analyzer 會在下次定期掃描期間分析該新增或更新的政策。

無法使用 Security Hub 時重試

如果 Security Hub 無法使用,IAM Access Analyzer 會定期重試傳送調查結果。

更新 Security Hub 中的現有問題清單

將調查結果傳送至 Security Hub 後,IAM Access Analyzer 會繼續傳送更新 (反映了對調查結果活動的任何其他觀察結果) 到 Security Hub。這些更新會反映在同一個調查結果中。

對於外部存取權調查結果,IAM Access Analyzer 會為每個資源分組這些調查結果。如果 IAM Access Analyzer 中的資源至少有一個調查結果處於作用中狀態,則在 Security Hub 中,該資源的調查結果會處於作用中狀態。如果 IAM Access Analyzer 資源中的所有調查結果都已封存或解決,則也會將 Security Hub 調查結果封存。當政策存取權在公開和跨帳戶存取權之間變更時,會更新 Security Hub 調查結果。此更新可以包含對問題清單類型、標題、描述和嚴重性的變更。

對於未使用的存取權調查結果,IAM Access Analyzer 不會依資源進行分組。相反地,如果在 IAM Access Analyzer 中解決了未使用的存取權調查結果,對應的 Security Hub 調查結果也會解決。當您更新產生未使用存取權調查結果的 IAM 使用者或角色時,Security Hub 調查結果便會更新。

檢視 Security Hub 中的 IAM Access Analyzer 調查結果

若要檢視 Security Hub 中 IAM Access Analyzer 調查結果,請在摘要頁面的 AWS: IAM Access Analyzer 區段中選擇查看調查結果。或者,您可以從導覽面板中選擇 Findings (問題清單)。然後,您可以選擇值為 IAM Access AnalyzerProduct name: (產品名稱:) 欄位,來篩選問題清單,以僅顯示 AWS Identity and Access Management Access Analyzer 問題清單。

解譯 Security Hub 中的 IAM Access Analyzer 調查結果名稱

AWS Identity and Access Management Access Analyzer 會使用 AWS 安全調查結果格式 (ASFF) 將調查結果傳送到 Security Hub。在 ASFF 中,Types (類型) 欄位提供問題清單類型。ASFF 類型使用的命名規則與 AWS Identity and Access Management Access Analyzer 不同。下表包含所有與 AWS Identity and Access Management Access Analyzer 調查結果相關聯的 ASFF 類型的詳細資訊,如同 Security Hub 中所顯示。

ASFF 問題清單類型 Security Hub 問題清單標題 描述
效果/資料曝光/已授予的外部存取 <resource ARN> 允許公有存取 連接至資源的以資源為基礎的政策對所有外部主體允許資源的公有存取。
軟體及設定檢查/ AWS 安全最佳實務/已授予的外部存取 <resource ARN> 允許跨帳戶存取 連接至資源的以資源為基礎的政策對分析器信任區域外的外部主體允許跨帳戶存取。
軟體和組態檢查/AWS 安全最佳實務/未使用的許可 <資源 ARN> 包含未使用的許可 使用者或角色包含未使用的服務和動作許可。
軟體和組態檢查/AWS 安全最佳實務/未使用的 IAM 角色 <資源 ARN> 包含未使用的 IAM 角色 使用者或角色包含未使用的 IAM 角色。
軟體和組態檢查/AWS 安全最佳實務/未使用的 IAM 使用者密碼 <資源 ARN> 包含未使用的 IAM 使用者密碼 使用者或角色包含未使用的 IAM 使用者密碼。
軟體和組態檢查/AWS 安全最佳實務/未使用的 IAM 使用者存取金鑰 <資源 ARN> 包含未使用的 IAM 使用者存取金鑰 使用者或角色包含未使用的 IAM 使用者存取金鑰。

IAM Access Analyzer 的典型調查結果

IAM Access Analyzer 會使用 AWS 安全調查結果格式 (ASFF) 將調查結果傳送到 Security Hub。

這是來自 IAM Access Analyzer 的典型外部存取權調查結果範例。

{
    "SchemaVersion": "2018-10-08",
    "Id": "arn:aws:access-analyzer:us-west-2:111122223333:analyzer/my-analyzer/arn:aws:s3:::amzn-s3-demo-bucket",
    "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/access-analyzer",
    "GeneratorId": "aws/access-analyzer",
    "AwsAccountId": "111122223333",
    "Types": ["Software and Configuration Checks/AWS Security Best Practices/External Access Granted"],
    "CreatedAt": "2020-11-10T16:17:47Z",
    "UpdatedAt": "2020-11-10T16:43:49Z",
    "Severity": {
        "Product": 1,
        "Label": "LOW",
        "Normalized": 1
    },
    "Title": "AwsS3Bucket/arn:aws:s3:::amzn-s3-demo-bucket/ allows cross-account access",
    "Description": "AWS::S3::Bucket/arn:aws:s3:::amzn-s3-demo-bucket/ allows cross-account access from AWS 444455556666",
    "Remediation": {
        "Recommendation": {"Text": "If the access isn't intended, it indicates a potential security risk. Use the console for the resource to modify or remove the policy that grants the unintended access. You can use the Rescan button on the Finding details page in the Access Analyzer console to confirm whether the change removed the access. If the access is removed, the status changes to Resolved."}
    },
    "SourceUrl": "https://console.aws.amazon.com/access-analyzer/home?region=us-west-2#/findings/details/dad90d5d-63b4-6575-b0fa-ef9c556ge798",
    "Resources": [
        {
            "Type": "AwsS3Bucket",
            "Id": "arn:aws:s3:::amzn-s3-demo-bucket",
            "Details": {
                "Other": {
                    "External Principal Type": "AWS",
                    "Condition": "none",
                    "Action Granted": "s3:GetObject,s3:GetObjectVersion",
                    "External Principal": "444455556666"
                }
            }
        }
    ],
    "WorkflowState": "NEW",
    "Workflow": {"Status": "NEW"},
    "RecordState": "ACTIVE"
}

這是來自 IAM Access Analyzer 的典型未使用的存取權調查結果範例。

{
    "Findings": [
    {
      "SchemaVersion": "2018-10-08",
      "Id": "arn:aws:access-analyzer:us-west-2:111122223333:analyzer/integTestAnalyzer-DO-NOT-DELETE/arn:aws:iam::111122223333:role/TestRole/UnusedPermissions",
      "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/access-analyzer",
      "ProductName": "IAM Access Analyzer",
      "CompanyName": "AWS",
      "Region": "us-west-2",
      "GeneratorId": "aws/access-analyzer",
      "AwsAccountId": "111122223333",
      "Types": [
        "Software and Configuration Checks/AWS Security Best Practices/Unused Permission"
      ],
      "CreatedAt": "2023-09-18T16:29:09.657Z",
      "UpdatedAt": "2023-09-21T20:39:16.651Z",
      "Severity": {
        "Product": 1,
        "Label": "LOW",
        "Normalized": 1
      },
      "Title": "AwsIamRole/arn:aws:iam::111122223333:role/IsengardRole-DO-NOT-DELETE/ contains unused permissions",
      "Description": "AWS::IAM::Role/arn:aws:iam::111122223333:role/IsengardRole-DO-NOT-DELETE/ contains unused service and action-level permissions",
      "Remediation": {
        "Recommendation": {
          "Text":"If the unused permissions aren’t required, delete the permissions to refine access to your account. Use the IAM console to modify or remove the policy that grants the unused permissions. If all the unused permissions are removed, the status of the finding changes to Resolved."
        }
      },
      "SourceUrl": "https://us-west-2.console.aws.amazon.com/access-analyzer/home?region=us-west-2#/unused-access-findings?resource=arn%3Aaws%3Aiam%3A%3A903798373645%3Arole%2FTestRole",
      "ProductFields": {
      "numberOfUnusedActions": "256",
      "numberOfUnusedServices": "15",
      "resourceOwnerAccount": "111122223333",
      "findingId": "DEMO24d8d-0d3f-4d3d-99f4-299fc8a62ee7",
      "findingType": "UnusedPermission",
      "aws/securityhub/FindingId": "arn:aws:securityhub:us-west-2::product/aws/access-analyzer/arn:aws:access-analyzer:us-west-2:111122223333:analyzer/integTestAnalyzer-DO-NOT-DELETE/arn:aws:iam::111122223333:role/TestRole/UnusedPermissions",
      "aws/securityhub/ProductName": "AM Access Analyzer",
      "aws/securityhub/CompanyName": "AWS"
    },
    "Resources": [
    {
      "Type": "AwsIamRole",
      "Id": "arn:aws:iam::111122223333:role/TestRole"
    }
  ],
  "WorkflowState": "NEW",
  "Workflow": {
    "Status": "NEW"
    },
  "RecordState": "ARCHIVED",
  "FindingProviderFields": {
    "Severity": {
      "Label": "LOW"
    },
    "Types": [
    "Software and Configuration Checks/AWS Security Best Practices/Unused Permission"
    ]
  }
  }
]
}

啟用與設定整合

若要使用與 Security Hub 的整合,您必須啟用 Security Hub。如需有關如何啟用 Security Hub 的資訊,請參閱 AWS Security Hub 使用者指南中的設定 Security Hub

當您同時啟用 IAM Access Analyzer 和 Security Hub 時,會自動啟用整合。IAM Access Analyzer 會立即開始將調查結果傳送到 Security Hub。

如何停止傳送問題清單

若要停止將問題清單傳送至 Security Hub,您可以使用 Security Hub 主控台或 API。

請參閱 AWS Security Hub 使用者指南 中的停用和啟用整合中的問題清單流程 (主控台)停用來自整合的問題清單流程 (Security Hub API、AWS CLI)