Intégration de l’analyseur d’accès IAM à AWS Security Hub CSPM - AWS Identity and Access Management
Comment IAM Access Analyzer envoie ses résultats à Security Hub (CSPM)Affichage des résultats de l'analyseur d'accès IAM dans Security Hub CSPMRésultats typiques de l’analyseur d’accès IAMActivation et configuration de l'intégrationComment arrêter l'envoi des résultats

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Intégration de l’analyseur d’accès IAM à AWS Security Hub CSPM

AWS Security Hub CSPM fournit une vue complète de votre état de sécurité dans AWS. Il vous aide à évaluer votre environnement par rapport aux normes de sécurité du secteur et aux pratiques exemplaires. Security Hub CSPM collecte des données de sécurité provenant de l'ensemble Comptes AWS des services et des produits partenaires tiers pris en charge. Il analyse ensuite vos tendances en matière de sécurité et identifie les problèmes de sécurité les plus prioritaires.

Lorsque vous intégrez IAM Access Analyzer à Security Hub CSPM, vous pouvez envoyer les résultats d'IAM Access Analyzer au Security Hub CSPM. Security Hub CSPM peut ensuite inclure ces résultats dans son analyse de votre posture de sécurité globale.

Comment IAM Access Analyzer envoie ses résultats à Security Hub (CSPM)

Dans Security Hub CSPM, les problèmes de sécurité sont suivis en tant que résultats. Certains résultats proviennent de problèmes détectés par d'autres partenaires Services AWS ou par des partenaires tiers. Security Hub CSPM dispose également d'un ensemble de règles qu'il utilise pour détecter les problèmes de sécurité et générer des résultats.

Security Hub CSPM fournit des outils pour gérer les résultats provenant de toutes ces sources. Vous pouvez afficher et filtrer les listes de résultats et afficher les informations relatives à chaque résultat. Pour de plus amples informations, consultez la section Viewing findings (Affichage des résultats) dans le Guide de l'utilisateur AWS Security Hub . Vous pouvez également suivre le statut des analyses dans les résultats. Pour de plus amples informations, veuillez consulter Prendre des mesure en fonction des résultats dans le Guide de l'utilisateur AWS Security Hub .

Tous les résultats du Security Hub CSPM utilisent un format JSON standard appelé AWS Security Finding Format (ASFF). Le format ASFF comprend des informations sur la source du problème, les ressources affectées et le statut actuel du résultat. Pour de plus amples informations, veuillez consulter AWS Security Finding Format (ASFF) dans le Guide de l'utilisateur AWS Security Hub .

AWS Identity and Access Management Access Analyzer est l'un des outils Services AWS qui envoie les résultats au Security Hub CSPM. Pour les accès non utilisés, l’analyseur d’accès IAM détecte les accès non utilisés accordés aux utilisateurs ou aux rôles IAM et génère un résultat pour chacun d’entre eux. IAM Access Analyzer envoie ensuite ces résultats à Security Hub CSPM.

Pour l’accès externe, l’analyseur d’accès IAM détecte les instructions de politique qui autorisent l’accès public ou l’accès intercompte aux principaux externes sur les ressources prises en charge dans votre organisation ou votre compte.Types de ressources prises en charge par l’analyseur d’accès IAM pour l’accès externe et interne IAM Access Analyzer génère une recherche d'accès public et l'envoie à Security Hub CSPM. Pour l'accès entre comptes, IAM Access Analyzer envoie un résultat unique pour un principal externe à la fois à Security Hub CSPM. S'il existe plusieurs résultats entre comptes dans IAM Access Analyzer, vous devez résoudre le résultat du Security Hub CSPM pour le principal externe unique avant qu'IAM Access Analyzer ne fournisse le résultat croisé suivant. Pour une liste complète des principaux externes disposant d’un accès intercompte en dehors de la zone confiance de l’analyseur, vous devez consulter les résultats dans l’analyseur d’accès IAM. Les détails de la politique de contrôle des ressources (RCP) sont disponibles dans la section des détails de la ressource.

Types de résultats envoyés par l’analyseur d’accès IAM

IAM Access Analyzer envoie les résultats à Security Hub CSPM en utilisant le format ASFF (AWS Security Finding Format). Dans le format ASFF, le champ Types fournit le type de résultat. Les résultats de l’analyseur d’accès IAM peuvent avoir les valeurs suivantes pour Types.

  • Résultats relatifs à l'accès externe — Effects/Data Exposition/accès externe accordé

  • Résultats relatifs à l'accès externe — Vérifications du logiciel et de la configuration/Meilleur accès en AWS matière de sécurité accordé Practices/External

  • Résultats d'accès non utilisés : vérifications du logiciel et de la configuration/meilleure autorisation AWS de sécurité Practices/Unused

  • Résultats d'accès non utilisés : vérifications du logiciel et de la configuration/meilleur Practices/Unused rôle IAM en AWS matière de sécurité

  • Résultats d'accès non utilisés — Vérifications du logiciel et de la AWS configuration/sécurité Meilleur mot de passe utilisateur Practices/Unused IAM

  • Résultats d'accès non utilisés — Vérifications du logiciel et de la AWS configuration/sécurité Meilleure clé d'accès Practices/Unused utilisateur IAM

Latence pour l'envoi des résultats

Lorsque IAM Access Analyzer crée une nouvelle découverte, elle est généralement envoyée au Security Hub CSPM dans les 30 minutes. Toutefois, dans de rares cas, l’analyseur d’accès IAM peut ne pas être informé d’un changement de politique. Par exemple :

  • Les modifications des paramètres de blocage de l’accès public Amazon S3 au niveau du compte peuvent prendre jusqu’à 12 heures pour être répercutées dans l’analyseur d’accès IAM.

  • Les modifications apportées à une politique de contrôle des ressources (RCP) sans modification de politique basée sur une ressource n’entraînent pas une nouvelle analyse de la ressource mentionnée dans le résultat. L’analyseur d’accès IAM analyse la politique nouvelle ou mise à jour au cours de l’analyse périodique suivante, qui a lieu dans un délai maximal de 24 heures.

  • En cas de problème de livraison lié à la livraison du AWS CloudTrail journal, un changement de politique risque de ne pas déclencher une nouvelle analyse de la ressource signalée dans le résultat.

En pareil cas, l’analyseur d’accès IAM analyse la politique nouvelle ou mise à jour au cours de l’analyse périodique suivante.

Réessayer lorsque Security Hub CSPM n'est pas disponible

Si Security Hub CSPM n'est pas disponible, IAM Access Analyzer essaie à nouveau d'envoyer les résultats régulièrement.

Mise à jour des résultats existants dans Security Hub CSPM

Après avoir envoyé un résultat à Security Hub CSPM, IAM Access Analyzer continue d'envoyer des mises à jour pour refléter toute observation supplémentaire concernant l'activité de recherche à Security Hub CSPM. Ces mises à jour sont mentionnées dans le même résultat.

Pour les résultats des accès externes, l’analyseur d’accès IAM les regroupe par ressource. Dans Security Hub CSPM, la recherche d'une ressource reste active si au moins l'une des conclusions relatives à cette ressource est active dans IAM Access Analyzer. Si tous les résultats d'IAM Access Analyzer relatifs à une ressource sont archivés ou résolus, les résultats du Security Hub CSPM sont également archivés. Le résultat du Security Hub CSPM est mis à jour lorsque la politique d'accès change entre un accès public et un accès entre comptes. Cette mise à jour peut inclure des modifications du type, du titre, de la description et de la gravité du résultat.

Pour les résultats d’accès non utilisés, l’analyseur d’accès IAM ne les regroupe pas par ressource. En revanche, si un résultat d'accès non utilisé est résolu dans IAM Access Analyzer, le résultat correspondant du Security Hub CSPM est également résolu. Le résultat CSPM du Security Hub est mis à jour lorsque vous mettez à jour l'utilisateur ou le rôle IAM qui a généré le résultat d'accès non utilisé.

Affichage des résultats de l'analyseur d'accès IAM dans Security Hub CSPM

Pour consulter les résultats de votre analyse d'accès IAM dans Security Hub CSPM, choisissez Voir les résultats dans la section AWS: Analyseur d'accès IAM de la page de résumé. Vous pouvez également choisir Findings (Résultats) dans le panneau de navigation. Vous pouvez ensuite filtrer les résultats pour n'afficher que AWS Identity and Access Management Access Analyzer les résultats en choisissant le champ Nom du produit : avec une valeur deIAM Access Analyzer.

Interprétation de la recherche de noms par IAM Access Analyzer dans Security Hub CSPM

AWS Identity and Access Management Access Analyzer envoie les résultats à Security Hub CSPM en utilisant le format ASFF ( AWS Security Finding Format). Dans ASFF, le champ Types fournit le type de recherche. Les types ASFF utilisent un schéma de dénomination différent de AWS Identity and Access Management Access Analyzer. Le tableau suivant contient des informations détaillées sur tous les types ASFF associés aux AWS Identity and Access Management Access Analyzer résultats tels qu'ils apparaissent dans Security Hub CSPM.

Type de résultat ASFF Security Hub CSPM trouve un titre Description
Effects/Data Exposure/ExternalAccès accordé <ARN de la ressource >permet l'accès public Une politique basée sur les ressources attachée à la ressource permet à touts les principaux externes d'accéder à la ressource.
Vérifications du logiciel et de la configuration/Meilleur accès en AWS matière de sécurité accordé Practices/External <ARN de la ressource >permet l'accès entre comptes Une politique basée sur les ressources attachée à la ressource fournit un accès entre comptes aux principaux externes en dehors de la zone confiance de l'analyseur .
Vérifications du logiciel et de la configuration/Bonnes pratiques de AWS sécurité/Autorisations non utilisées <resource ARN> contient des autorisations non utilisées Un utilisateur ou un rôle contient des autorisations de service et d’action non utilisés.
Contrôles du logiciel et de la configuration/meilleur Practices/Unused rôle IAM en AWS matière de sécurité <resource ARN> contient un rôle IAM non utilisé Un utilisateur ou un rôle contient un rôle IAM non utilisé.
Vérifications du logiciel et de la AWS configuration/sécurité Meilleur mot de passe utilisateur Practices/Unused IAM <resource ARN> contient un mot de passe utilisateur IAM non utilisé Un utilisateur ou un rôle contient un mot de passe utilisateur IAM non utilisé.
Contrôles du logiciel et de la AWS configuration/sécurité Meilleure clé d'accès Practices/Unused utilisateur IAM <resource ARN> contient la clé d’accès utilisateur IAM non utilisée Un utilisateur ou un rôle contient une clé d’accès utilisateur IAM non utilisée.

Résultats typiques de l’analyseur d’accès IAM

IAM Access Analyzer envoie ses résultats au Security Hub CSPM en utilisant le format ASFF (AWS Security Finding Format).

Voici un exemple de résultat typique de l’analyseur d’accès IAM pour les résultats d’accès externes.

{
    "SchemaVersion": "2018-10-08",
    "Id": "arn:aws:access-analyzer:us-west-2:111122223333:analyzer/my-analyzer/arn:aws:s3:::amzn-s3-demo-bucket",
    "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/access-analyzer",
    "GeneratorId": "aws/access-analyzer",
    "AwsAccountId": "111122223333",
    "Types": ["Software and Configuration Checks/AWS Security Best Practices/External Access Granted"],
    "CreatedAt": "2020-11-10T16:17:47Z",
    "UpdatedAt": "2020-11-10T16:43:49Z",
    "Severity": {
        "Product": 1,
        "Label": "LOW",
        "Normalized": 1
    },
    "Title": "AwsS3Bucket/arn:aws:s3:::amzn-s3-demo-bucket/ allows cross-account access",
    "Description": "AWS::S3::Bucket/arn:aws:s3:::amzn-s3-demo-bucket/ allows cross-account access from AWS 444455556666",
    "Remediation": {
        "Recommendation": {"Text": "If the access isn't intended, it indicates a potential security risk. Use the console for the resource to modify or remove the policy that grants the unintended access. You can use the Rescan button on the Finding details page in the Access Analyzer console to confirm whether the change removed the access. If the access is removed, the status changes to Resolved."}
    },
    "SourceUrl": "https://console.aws.amazon.com/access-analyzer/home?region=us-west-2#/findings/details/dad90d5d-63b4-6575-b0fa-ef9c556ge798",
    "Resources": [
        {
            "Type": "AwsS3Bucket",
            "Id": "arn:aws:s3:::amzn-s3-demo-bucket",
            "Details": {
                "Other": {
                    "External Principal Type": "AWS",
                    "Condition": "none",
                    "Action Granted": "s3:GetObject,s3:GetObjectVersion",
                    "External Principal": "444455556666"
                }
            }
        }
    ],
    "WorkflowState": "NEW",
    "Workflow": {"Status": "NEW"},
    "RecordState": "ACTIVE"
}

Voici un exemple de résultat typique de l’analyseur d’accès IAM pour les résultats des accès non utilisés.

{
    "Findings": [
    {
      "SchemaVersion": "2018-10-08",
      "Id": "arn:aws:access-analyzer:us-west-2:111122223333:analyzer/integTestAnalyzer-DO-NOT-DELETE/arn:aws:iam::111122223333:role/TestRole/UnusedPermissions",
      "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/access-analyzer",
      "ProductName": "IAM Access Analyzer",
      "CompanyName": "AWS",
      "Region": "us-west-2",
      "GeneratorId": "aws/access-analyzer",
      "AwsAccountId": "111122223333",
      "Types": [
        "Software and Configuration Checks/AWS Security Best Practices/Unused Permission"
      ],
      "CreatedAt": "2023-09-18T16:29:09.657Z",
      "UpdatedAt": "2023-09-21T20:39:16.651Z",
      "Severity": {
        "Product": 1,
        "Label": "LOW",
        "Normalized": 1
      },
      "Title": "AwsIamRole/arn:aws:iam::111122223333:role/IsengardRole-DO-NOT-DELETE/ contains unused permissions",
      "Description": "AWS::IAM::Role/arn:aws:iam::111122223333:role/IsengardRole-DO-NOT-DELETE/ contains unused service and action-level permissions",
      "Remediation": {
        "Recommendation": {
          "Text":"If the unused permissions aren’t required, delete the permissions to refine access to your account. Use the IAM console to modify or remove the policy that grants the unused permissions. If all the unused permissions are removed, the status of the finding changes to Resolved."
        }
      },
      "SourceUrl": "https://us-west-2.console.aws.amazon.com/access-analyzer/home?region=us-west-2#/unused-access-findings?resource=arn%3Aaws%3Aiam%3A%3A903798373645%3Arole%2FTestRole",
      "ProductFields": {
      "numberOfUnusedActions": "256",
      "numberOfUnusedServices": "15",
      "resourceOwnerAccount": "111122223333",
      "findingId": "DEMO24d8d-0d3f-4d3d-99f4-299fc8a62ee7",
      "findingType": "UnusedPermission",
      "aws/securityhub/FindingId": "arn:aws:securityhub:us-west-2::product/aws/access-analyzer/arn:aws:access-analyzer:us-west-2:111122223333:analyzer/integTestAnalyzer-DO-NOT-DELETE/arn:aws:iam::111122223333:role/TestRole/UnusedPermissions",
      "aws/securityhub/ProductName": "AM Access Analyzer",
      "aws/securityhub/CompanyName": "AWS"
    },
    "Resources": [
    {
      "Type": "AwsIamRole",
      "Id": "arn:aws:iam::111122223333:role/TestRole"
    }
  ],
  "WorkflowState": "NEW",
  "Workflow": {
    "Status": "NEW"
    },
  "RecordState": "ARCHIVED",
  "FindingProviderFields": {
    "Severity": {
      "Label": "LOW"
    },
    "Types": [
    "Software and Configuration Checks/AWS Security Best Practices/Unused Permission"
    ]
  }
  }
]
}

Activation et configuration de l'intégration

Pour utiliser l'intégration avec Security Hub CSPM, vous devez activer Security Hub CSPM. Pour plus d'informations sur l'activation de Security Hub CSPM, consultez la section Configuration de Security Hub dans le guide de l'AWS Security Hub utilisateur.

Lorsque vous activez à la fois IAM Access Analyzer et Security Hub CSPM, l'intégration est automatiquement activée. IAM Access Analyzer commence immédiatement à envoyer ses résultats à Security Hub CSPM.

Comment arrêter l'envoi des résultats

Pour arrêter d'envoyer des résultats à Security Hub CSPM, vous pouvez utiliser la console Security Hub CSPM ou l'API.

Veuillez consulter Désactivation et activation du flux de résultats à partir d'une intégration (console) ou Désactivation du flux de résultats d'une intégration (API Security Hub, AWS CLI) dans le Guide de l'utilisateur AWS Security Hub .