Verbindung zu AWS zur Erkennung von Sicherheitslücken und zur Risikobewertung herstellen

Sie können die Security Command Center Enterprise-Stufe mit Ihrer Amazon Web Services-Umgebung (AWS) verbinden, um Folgendes zu tun:

  • Softwarelücken und Fehlkonfigurationen in Ihrer AWS-Umgebung erkennen und beheben
  • Sicherheitsstatus für AWS erstellen und verwalten
  • Potenzielle Angriffspfade vom öffentlichen Internet zu Ihren wertvollen AWS-Assets identifizieren
  • Zuordnung der Compliance von AWS-Ressourcen zu verschiedenen Standards und Benchmarks

Durch die Verbindung von Security Command Center mit AWS wird ein zentraler Ort für Ihre Sicherheit geschaffen um Bedrohungen und Schwachstellen Google Cloud und AWS.

Damit Security Command Center Ihre AWS-Organisation überwachen kann, müssen Sie eine Verbindung über einen Google Cloud-Dienst-Agent und ein AWS-Konto mit Zugriff auf die Ressourcen, die Sie überwachen möchten. Security Command Center nutzt diese Verbindung, um regelmäßig Daten in allen AWS-Konten und Regionen, die Sie definieren.

Sie können für jede Google Cloud-Organisation eine AWS-Verbindung erstellen. Der Connector verwendet API-Aufrufe, um AWS-Asset-Daten zu erfassen. Für diese API-Aufrufe können AWS-Gebühren anfallen.

In diesem Dokument wird beschrieben, wie Sie die Verbindung mit AWS einrichten. Beim Einrichten einer Verbindung konfigurieren Sie Folgendes:

  • Eine Reihe von Konten in AWS, die direkten Zugriff auf AWS haben die Sie überwachen möchten. In der Google Cloud Console werden diese Konten als Aufnahmekonten bezeichnet.
  • Ein Konto in AWS mit den entsprechenden Richtlinien und Rollen, die zugelassen werden sollen Authentifizierung bei Collector-Konten. In der Google Cloud Console wird dieses Konto als delegiertes Konto bezeichnet. Sowohl das delegierte Konto als auch die Aufnehmerkonten müssen sich in derselben AWS-Organisation befinden.
  • Ein Dienst-Agent in Google Cloud, der eine Verbindung zum delegierten Netzwerk herstellt für die Authentifizierung.
  • Pipeline zum Erfassen von Asset-Daten aus AWS-Ressourcen.
  • (Optional) Berechtigungen für den Schutz sensibler Daten für ein Profil Ihre AWS-Inhalte.

Diese Verbindung gilt nicht für die SIEM-Funktionen von Security Command Center, mit denen Sie AWS-Logs zur Bedrohungserkennung aufnehmen können.

Das folgende Diagramm zeigt diese Konfiguration. Das Mandantenprojekt ist ein automatisch erstelltes Projekt, das die Instanz Ihrer Pipeline zur Erhebung von Asset-Daten enthält.

AWS- und Security Command Center-Konfiguration

Hinweis

Führen Sie diese Aufgaben aus, bevor Sie mit den verbleibenden Aufgaben auf dieser Seite fortfahren.

Security Command Center Enterprise-Stufe aktivieren

Führen Sie Schritt 1 und Schritt 2 des Einrichtungsleitfadens aus, um Security Command Center zu aktivieren Enterprise-Stufe

Berechtigungen einrichten

Um die Berechtigungen zu erhalten, die Sie zur Verwendung des AWS-Connectors benötigen, bitten Sie Ihren Administrator, Ihnen IAM-Rolle Cloud Asset Owner (roles/cloudasset.owner) Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

AWS-Konten erstellen

Achten Sie darauf, dass Sie die folgenden AWS-Ressourcen erstellt haben:

Security Command Center konfigurieren

  1. Rufen Sie in der Google Cloud Console die Seite Einrichtungsleitfaden des Security Command Center auf.

    Einrichtungsleitfaden aufrufen

  2. Wählen Sie die Organisation aus, für die Sie die Security Command Center Enterprise-Stufe aktiviert haben. Die Seite Einrichtungsleitfaden wird geöffnet.

  3. Klicken Sie auf Schritt 3: Amazon Web Services-Connector (AWS) einrichten.

  4. Geben Sie unter Konto-ID des bevollmächtigten Kontos die AWS-Konto-ID für das AWS-Konto ein, das Sie als bevollmächtigtes Konto verwenden können.

  5. Damit Sensitive Data Protection ein Profil für Ihre AWS-Daten erstellt, Google Notizen Berechtigungen für den Schutz sensibler Daten gewähren Erkennung ausgewählt. Mit dieser Option werden AWS IAM-Berechtigungen in der CloudFormation-Vorlage für die Rolle „Collector“ hinzugefügt.

    Von dieser Option gewährte AWS IAM-Berechtigungen

    • s3:GetBucketLocation
    • s3:ListAllMyBuckets
    • s3:GetBucketPolicyStatus
    • s3:ListBucket
    • s3:GetObject
    • s3:GetObjectVersion
    • s3:GetBucketPublicAccessBlock
    • s3:GetBucketOwnershipControls
    • s3:GetBucketTagging
    • iam:ListAttachedRolePolicies
    • iam:GetPolicy
    • iam:GetPolicyVersion
    • iam:ListRolePolicies
    • iam:GetRolePolicy
    • ce:GetCostAndUsage
    • dynamodb:DescribeTableReplicaAutoScaling
    • identitystore:ListGroupMemberships
    • identitystore:ListGroups
    • identitystore:ListUsers
    • lambda:GetFunction
    • lambda:GetFunctionConcurrency
    • logs:ListTagsForResource
    • s3express:CreateSession
    • s3express:GetBucketPolicy
    • s3express:ListAllMyDirectoryBuckets
    • wafv2:GetIPSet

  6. Überprüfen und bearbeiten Sie optional die Erweiterten Optionen. Weitere Informationen finden Sie unter AWS-Connector-Konfiguration anpassen. Informationen zu weiteren Optionen.

  7. Klicken Sie auf Weiter. Die Seite Mit AWS verbinden wird geöffnet.

  8. Führen Sie einen dieser Schritte aus:

    • CloudFormation-Vorlagen für die delegierte Rolle herunterladen und prüfen und die Collector-Rolle.
    • Wenn Sie die erweiterten Optionen konfiguriert haben oder das Standard-AWS ändern müssen Rollennamen (aws-delegated-role, aws-collector-role und aws-sensitive-data-protection-role) wählen Sie AWS-Konten konfigurieren aus. manuell. Dienst-Agent-ID, delegierter Rollenname und Collector kopieren und den Namen der Collector-Rolle für den Schutz sensibler Daten.

    Sie können die Rollennamen nach dem Erstellen der Verbindung nicht mehr ändern.

Klicken Sie noch nicht auf Erstellen. Konfigurieren Sie stattdessen Ihre AWS-Umgebung.

AWS-Umgebung konfigurieren

Sie können Ihre AWS-Umgebung mit einer der folgenden Methoden einrichten:

AWS-Umgebung mit CloudFormation-Vorlagen einrichten

Wenn Sie CloudFormation-Vorlagen heruntergeladen haben, führen Sie die folgenden Schritte aus, um AWS einzurichten. zu verbessern.

  1. Melden Sie sich in der Konsole des delegierten AWS-Kontos an. Sie müssen in dem delegierten Konto angemeldet sein, mit dem andere AWS-Konten des Dienstleisters übernommen werden. Das kann entweder ein AWS-Verwaltungskonto oder ein Mitgliedskonto sein, das als delegierter Administrator registriert ist.
  2. Rufen Sie die Konsole für AWS CloudFormation-Vorlagen auf.

  3. Erstellen Sie einen Stack, der die delegierte Rolle bereitstellt:

    1. Klicken Sie auf der Seite Stacks auf Create Stack > Mit neuen Ressourcen (Standard).
    2. Wenn Sie eine Vorlage angeben, laden Sie die Datei der Vorlage für die delegierte Rolle hoch.
    3. Geben Sie bei der Angabe der Stapeldetails einen Stapelnamen ein.

    4. Wenn Sie den Rollennamen für die delegierte Rolle, die Rolle des Datensammlers oder die Rolle für den Schutz sensibler Daten geändert haben, aktualisieren Sie die Parameter entsprechend. Die müssen mit denen übereinstimmen, die in der Seite Verbindung zu AWS herstellen in der Google Cloud Console

    5. Aktualisieren Sie die Stapeloptionen gemäß den Anforderungen Ihrer Organisation.

    6. Wählen Sie auf der Seite Überprüfen und erstellen die Option Ich bestätige, dass AWS CloudFormation IAM-Ressourcen mit benutzerdefinierten Namen erstellen kann aus.

    7. Klicken Sie auf Senden, um den Stapel zu erstellen.

    Warten Sie, bis der Stapel erstellt wurde. Wenn ein Problem auftritt, lesen Sie den Abschnitt Fehlerbehebung. Weitere Informationen finden Sie in der AWS-Dokumentation unter Stack in der AWS CloudFormation-Konsole erstellen.

  4. Erstellen Sie ein Stack-Set, das Rollen für Datensammler bereitstellt.

    1. Klicken Sie auf der Seite StackSets auf StackSet erstellen.

    2. Klicken Sie auf Dienstverwaltete Berechtigungen.

    3. Wenn Sie eine Vorlage angeben, laden Sie die Datei der Collector-Rollenvorlage hoch.

    4. Geben Sie bei der Angabe der StackSet-Details einen Namen und eine Beschreibung für das StackSet ein.

    5. Geben Sie die ID des delegierten Kontos ein.

    6. Wenn Sie den Rollennamen für die delegierte Rolle, die Rolle des Datensammlers oder die Rolle für den Schutz sensibler Daten geändert haben, aktualisieren Sie die Parameter entsprechend. Die müssen mit denen übereinstimmen, die in der Seite Verbindung zu AWS herstellen in der Google Cloud Console

    7. Konfigurieren Sie die Stack-Set-Optionen gemäß den Anforderungen Ihres Unternehmens.

    8. Wenn Sie die Bereitstellungsoptionen angeben, wählen Sie Ihre Bereitstellungsziele aus. Sie können die Bereitstellung auf die gesamte AWS-Organisation oder auf eine Organisationseinheit (OE) ausweiten, die alle AWS-Konten enthält, aus denen Sie Daten erheben möchten.

    9. Geben Sie die AWS-Regionen an, in denen die Rollen und Richtlinien erstellt werden sollen. Da Rollen globale Ressourcen sind, müssen Sie keine Regionen angeben.

    10. Ändern Sie bei Bedarf weitere Einstellungen.

    11. Prüfen Sie die Änderungen und klicken Sie auf Senden, um die Stapelgruppe zu erstellen. Wenn Sie eine Fehlermeldung erhalten, Weitere Informationen zur Fehlerbehebung Weitere Informationen finden Sie unter Stackset mit Dienstverwaltet erstellen Berechtigungen finden Sie in der AWS-Dokumentation.

  5. Wenn Sie Daten aus dem Verwaltungskonto erfassen müssen, melden Sie sich in diesem an und stellen Sie einen separaten Stack bereit, um die Rollen für die Datensammler zu provisionieren. Laden Sie beim Angeben der Vorlage die Datei mit der Vorlage für die Rolle „Aufnehmer“ hoch.

    Dieser Schritt ist erforderlich, da mit AWS CloudFormation-Stack-Sets keine Stack-Instanzen in Verwaltungskonten erstellt werden. Weitere Informationen finden Sie unter DeploymentTargets finden Sie in der AWS-Dokumentation.

Informationen zum Abschließen der Integration finden Sie unter Integration abschließen.

AWS-Konten manuell konfigurieren

Wenn Sie die CloudFormation-Vorlagen nicht verwenden können (z. B. weil Sie unterschiedliche Rollennamen verwenden oder die Integration anpassen), können Sie die erforderlichen AWS IAM-Richtlinien und AWS IAM-Rollen manuell erstellen.

Sie müssen AWS IAM-Richtlinien und AWS IAM-Rollen für das delegierte Konto erstellen und die Collector-Konten.

AWS-IAM-Richtlinie für die delegierte Rolle erstellen

So erstellen Sie eine AWS IAM-Richtlinie für die delegierte Rolle (eine delegierte Richtlinie):

  1. Melden Sie sich in der AWS delegieren Konto-Konsole

  2. Klicken Sie auf Richtlinien > Richtlinie erstellen.

  3. Klicken Sie auf JSON und fügen Sie einen der folgenden Codeausschnitte ein, je nachdem, ob Sie unter Security Command Center konfigurieren das Kästchen Berechtigungen für die Suche nach sensiblen Daten gewähren angeklickt haben.

    Berechtigungen für den Schutz sensibler Daten gewähren Entdeckung: gelöscht

    {
  "Version": "2012-10-17",
  "Statement": [
      {
          "Action": "sts:AssumeRole",
          "Resource": "arn:aws:iam::*:role/COLLECTOR_ROLE_NAME",
          "Effect": "Allow"
      },
      {
          "Action": [
              "organizations:List*",
              "organizations:Describe*"
          ],
          "Resource": "*",
          "Effect": "Allow"
      }
  ]
}

    Ersetzen Sie COLLECTOR_ROLE_NAME durch den Namen der Rolle des Datensammlers, die Sie beim Konfigurieren von Security Command Center kopiert haben. Standardmäßig ist das aws-collector-role.

    Berechtigungen für den Schutz sensibler Daten gewähren Erkennung: ausgewählt

        {
      "Version": "2012-10-17",
      "Statement": [
        {
          "Action": "sts:AssumeRole",
          "Resource": [
            "arn:aws:iam::*:role/COLLECTOR_ROLE_NAME",
            "arn:aws:iam::*:role/SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME"
          ],
          "Effect": "Allow"
        },
        {
          "Action": [
            "organizations:List*",
            "organizations:Describe*"
          ],
          "Resource": "*",
          "Effect": "Allow"
        }
      ]
    }

    Ersetzen Sie Folgendes:

    • COLLECTOR_ROLE_NAME: der Name des Konfigurationsdaten-Collector-Rolle, die Sie kopiert haben, als Sie Security Command Center konfigurieren (Standardwert ist aws-collector-role)
    • SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME: der Name der Rolle für den Sensitive Data Protection-Datensammler, die Sie beim Konfigurieren von Security Command Center kopiert haben (Standard: aws-sensitive-data-protection-role)

  4. Klicken Sie auf Weiter.

  5. Geben Sie im Abschnitt Richtliniendetails einen Namen und eine Beschreibung für die Richtlinie ein.

  6. Klicken Sie auf Richtlinie erstellen.

AWS-IAM-Rolle für die Vertrauensbeziehung zwischen AWS und Google Cloud erstellen

Erstellen Sie eine delegierte Rolle, die eine vertrauenswürdige Beziehung zwischen AWS und Google Cloud Diese Rolle verwendet die delegierte Richtlinie, die erstellt wurde in Erstellen Sie die AWS-IAM-Richtlinie für die delegierte Rolle.

  1. Melden Sie sich in der Konsole zum Delegieren von AWS-Konten als AWS-Nutzer, der IAM-Rollen und -Richtlinien erstellen kann.

  2. Klicken Sie auf Rollen > Rolle erstellen.

  3. Klicken Sie unter Typ der vertrauenswürdigen Entität auf Webidentität.

  4. Klicken Sie unter Identity Provider (Identitätsanbieter) auf Google.

  5. Geben Sie unter Zielgruppe die Servicemitarbeiter-ID ein, die Sie beim Konfigurieren von Security Command Center kopiert haben. Klicken Sie auf Weiter.

  6. Um der delegierten Rolle Zugriff auf die Collector-Rollen zu gewähren, hängen Sie die für die Rolle festlegen. Suchen Sie nach der delegierten Richtlinie, die Sie unter AWS IAM-Richtlinie für die delegierte Rolle erstellen erstellt haben, und wählen Sie sie aus.

  7. Geben Sie im Abschnitt Rollendetails den Namen der delegierten Rolle ein, den Sie beim Konfigurieren von Security Command Center kopiert haben. Der Standardname ist aws-delegated-role.

  8. Klicken Sie auf Rolle erstellen.

AWS IAM-Richtlinie für die Erhebung von Asset-Konfigurationsdaten erstellen

So erstellen Sie eine AWS-IAM-Richtlinie für die Erhebung von Asset-Konfigurationsdaten (eine Richtliniensammlung):

  1. Melden Sie sich in der Konsole des AWS-Aufnahmekontos an.

  2. Klicken Sie auf Richtlinien > Richtlinie erstellen.

  3. Klicken Sie auf JSON und fügen Sie Folgendes ein:

    {
  "Version": "2012-10-17",
  "Statement": [
      {
          "Effect": "Allow",
          "Action": [
              "ce:GetCostAndUsage",
              "dynamodb:DescribeTableReplicaAutoScaling",
              "identitystore:ListGroupMemberships",
              "identitystore:ListGroups",
              "identitystore:ListUsers",
              "lambda:GetFunction",
              "lambda:GetFunctionConcurrency",
              "logs:ListTagsForResource",
              "s3express:GetBucketPolicy",
              "s3express:ListAllMyDirectoryBuckets",
              "wafv2:GetIPSet"
          ],
          "Resource": [
              "*"
          ]
      },
      {
          "Effect": "Allow",
          "Action": [
              "apigateway:GET"
          ],
          "Resource": [
              "arn:aws:apigateway:*::/usageplans",
              "arn:aws:apigateway:*::/usageplans/*/keys",
              "arn:aws:apigateway:*::/vpclinks/*"
          ]
      }
  ]

}

  4. Klicken Sie auf Weiter.

  5. Geben Sie im Abschnitt Richtliniendetails einen Namen und eine Beschreibung für die Richtlinie ein.

  6. Klicken Sie auf Richtlinie erstellen.

  7. Wiederholen Sie diese Schritte für jedes Konto des Dienstleisters.

AWS-IAM-Rolle für die Erhebung von Asset-Konfigurationsdaten in jedem Konto erstellen

Collector-Rolle erstellen, mit der Security Command Center Asset-Konfigurationsdaten abrufen kann von AWS. Für diese Rolle wird die Richtliniensammlung verwendet, die unter AWS IAM-Richtlinie für die Erhebung von Asset-Konfigurationsdaten erstellen erstellt wurde.

  1. Melden Sie sich in der AWS-Collector-Kontokonsole als Nutzer, der IAM-Rollen für die Collector-Konten erstellen kann.

  2. Klicken Sie auf Rollen > Rolle erstellen.

  3. Klicken Sie unter Typ der vertrauenswürdigen Entität auf Benutzerdefinierte Vertrauensrichtlinie.

  4. Fügen Sie im Abschnitt Benutzerdefinierte Vertrauensrichtlinie Folgendes ein:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::DELEGATE_ACCOUNT_ID:role/DELEGATE_ACCOUNT_ROLE"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

    Ersetzen Sie Folgendes:

  5. Wenn Sie dieser Collector-Rolle Zugriff auf Ihre AWS-Asset-Konfigurationsdaten gewähren möchten, hängen Sie die Berechtigungsrichtlinien an die Rolle an. Nach dem benutzerdefinierten Collector suchen Richtlinie erstellt in Erstellen Sie die AWS-IAM-Richtlinie für die Erfassung von Asset-Konfigurationsdaten. und wählen Sie es aus.

  6. Suchen Sie nach den folgenden verwalteten Richtlinien und wählen Sie sie aus:

    • arn:aws:iam::aws:policy/job-function/ViewOnlyAccess
    • arn:aws:iam::aws:policy/SecurityAudit

  7. Geben Sie im Abschnitt Rollendetails den Namen der Konfigurationsdaten ein. Collector-Rolle, die Sie bei der Konfiguration Security Command Center.

  8. Klicken Sie auf Rolle erstellen.

  9. Wiederholen Sie diese Schritte für jedes Collector-Konto.

Wenn Sie unter Security Command Center konfigurieren das Kästchen Berechtigungen für die Suche nach sensiblen Daten gewähren ausgewählt haben, fahren Sie mit dem nächsten Abschnitt fort.

Wenn Sie das Kästchen Berechtigungen für die Sensitive Data Protection-Erkennung gewähren nicht aktiviert haben, schließen Sie den Integrationsprozess ab.

AWS-IAM-Richtlinie für Sensitive Data Protection erstellen

Führen Sie diese Schritte aus, wenn Sie die Option Berechtigungen für Sensitive Data Protection gewähren Discovery-Kästchen Security Command Center konfigurieren

So erstellen Sie eine AWS IAM-Richtlinie für den Schutz sensibler Daten (eine Richtlinie für Collector):

  1. Melden Sie sich in der AWS-Collector-Kontokonsole

  2. Klicken Sie auf Richtlinien > Richtlinie erstellen.

  3. Klicken Sie auf JSON und fügen Sie Folgendes ein:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:GetBucketLocation",
        "s3:ListAllMyBuckets",
        "s3:GetBucketPolicyStatus",
        "s3:ListBucket",
        "s3:GetObject",
        "s3:GetObjectVersion",
        "s3:GetBucketPublicAccessBlock",
        "s3:GetBucketOwnershipControls",
        "s3:GetBucketTagging"
      ],
      "Resource": ["arn:aws:s3:::*"]
    },
    {
      "Effect": "Allow",
      "Action": [
        "iam:ListAttachedRolePolicies",
        "iam:GetPolicy",
        "iam:GetPolicyVersion",
        "iam:ListRolePolicies",
        "iam:GetRolePolicy",
        "ce:GetCostAndUsage",
        "dynamodb:DescribeTableReplicaAutoScaling",
        "identitystore:ListGroupMemberships",
        "identitystore:ListGroups",
        "identitystore:ListUsers",
        "lambda:GetFunction",
        "lambda:GetFunctionConcurrency",
        "logs:ListTagsForResource",
        "s3express:GetBucketPolicy",
        "s3express:ListAllMyDirectoryBuckets",
        "wafv2:GetIPSet"
      ],
      "Resource": ["*"]
    },
    {
      "Effect": "Allow",
      "Action": [
          "s3express:CreateSession"
      ],
      "Resource": ["arn:aws:s3express:*:*:bucket/*"]
    }
  ]
}

  4. Klicken Sie auf Weiter.

  5. Geben Sie im Abschnitt Richtliniendetails einen Namen und eine Beschreibung für die Richtlinie ein.

  6. Klicken Sie auf Richtlinie erstellen.

  7. Wiederholen Sie diese Schritte für jedes Collector-Konto.

AWS-IAM-Rolle für den Schutz sensibler Daten in jedem Konto erstellen

Führen Sie diese Schritte aus, wenn Sie unter Security Command Center konfigurieren das Kästchen Berechtigungen für die Sensitive Data Protection-Erkennung gewähren angeklickt haben.

Erstellen Sie die Collector-Rolle, mit der Sensitive Data Protection ein Profil für die Inhalte Ihrer AWS-Ressourcen. Diese Rolle verwendet die Collector-Richtlinie, die die unter AWS-IAM-Richtlinie erstellen für Schutz sensibler Daten

  1. Melden Sie sich in der AWS-Collector-Kontokonsole als Nutzer, der IAM-Rollen für Collector-Konten erstellen kann.

  2. Klicken Sie auf Rollen > Rolle erstellen.

  3. Klicken Sie unter Typ der vertrauenswürdigen Entität auf Benutzerdefinierte Vertrauensrichtlinie.

  4. Fügen Sie im Abschnitt Benutzerdefinierte Vertrauensrichtlinie Folgendes ein:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::DELEGATE_ACCOUNT_ID:role/DELEGATE_ACCOUNT_ROLE"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

    Ersetzen Sie Folgendes:

  5. Wenn Sie dieser Rolle Zugriff auf den Inhalt Ihrer AWS-Ressourcen gewähren möchten, hängen Sie die Berechtigungsrichtlinien an die Rolle an. Suchen Sie nach der benutzerdefinierten Richtlinie für Datensammler, die Sie unter AWS IAM-Richtlinie zum Schutz sensibler Daten erstellen erstellt haben, und wählen Sie sie aus.

  6. Geben Sie im Abschnitt Rollendetails den Namen der Rolle für den Schutz sensibler Daten ein, die Sie beim Konfigurieren von Security Command Center kopiert haben.

  7. Klicken Sie auf Rolle erstellen.

  8. Wiederholen Sie diese Schritte für jedes Konto des Dienstleisters.

Informationen zum Abschließen des Integrationsprozesses finden Sie unter Schließen Sie den Integrationsprozess ab.

Integration abschließen

  1. Klicken Sie in der Google Cloud Console auf der Seite Connector testen auf Connector testen, um zu prüfen, ob Security Command Center eine Verbindung zu Ihrer AWS-Umgebung herstellen kann. Wenn die Verbindung erfolgreich hergestellt wurde, hat der Test ergeben, dass die delegierte Rolle alle erforderlichen Berechtigungen hat, um die Rollen des Datensammlers zu übernehmen. Wenn die Verbindung nicht erfolgreich ist, lesen Sie den Hilfeartikel Fehlerbehebung beim Testen der Verbindung.

  2. Klicken Sie auf Erstellen.

Konfiguration des AWS-Connectors anpassen

In diesem Abschnitt werden einige Möglichkeiten beschrieben, wie Sie die Verbindung zwischen Security Command Center und AWS anpassen können. Diese Optionen sind auf der Seite Erweiterte Optionen (optional) des Amazon Web Services-Connector hinzufügen in der Google Cloud Console.

Standardmäßig erkennt Security Command Center Ihre AWS-Konten automatisch auf allen AWS-Regionen. Für die Verbindung wird der globale Standardendpunkt für den AWS Security Token Service und die Standardanzahl von Abfragen pro Sekunde (Queries per Second, QPS) für den AWS-Dienst verwendet, den Sie überwachen. Mit diesen erweiterten Optionen können Sie die Standardeinstellungen anpassen.

Option Beschreibung
AWS-Connector-Konten hinzufügen Wählen Sie das Feld Konten automatisch hinzufügen (empfohlen) aus, damit Security Command Center AWS-Konten automatisch erkennen oder Konten einzeln hinzufügen auswählen und stellen Sie eine Liste von AWS-Konten bereit, mit denen Security Command Center nach Ressourcen suchen kann.
AWS-Connector-Konten ausschließen Wenn Sie im Abschnitt AWS-Connector-Konten hinzufügen das Feld Konten einzeln hinzufügen ausgewählt haben, geben Sie eine Liste der AWS-Konten an, die Security Command Center nicht zum Suchen nach Ressourcen verwenden soll.
Regionen für die Datenerhebung auswählen Wählen Sie eine oder mehrere AWS-Regionen für Security Command Center aus, aus denen Daten erfasst werden sollen. Verlassen Sie die Das Feld AWS regions (AWS-Regionen) ist leer, um Daten aus allen Regionen zu erfassen.
Maximale Anzahl von Abfragen pro Sekunde (QPS) für AWS-Dienste Sie können die QPS ändern, um das Kontingentlimit für Security Command Center zu steuern. Legen Sie für die Überschreibung einen Wert fest, der kleiner als der Standardwert für diesen Dienst und größer oder gleich 1 ist. Der Standardwert ist der Maximalwert. Wenn Sie die Abfragen pro Sekunde ändern, können in Security Command Center Probleme auftreten Abrufen von Daten. Es ist daher nicht empfehlenswert, diesen Wert zu ändern.
Endpunkt für AWS Security Token Service Sie können einen bestimmten Endpunkt für den AWS Security Token Service angeben, z. B. https://sts.us-east-2.amazonaws.com. Lassen Sie das Feld AWS Security Token Service leer, um den standardmäßigen globalen Endpunkt (https://sts.amazonaws.com) zu verwenden.

Einem vorhandenen AWS-Connector Berechtigungen für die Erkennung sensibler Daten gewähren

Um sensible Daten in Ihren AWS-Inhalten zu ermitteln, benötigen Sie eine AWS-Connector mit dem erforderlichen AWS-IAM Berechtigungen

In diesem Abschnitt wird beschrieben, wie Sie diese Berechtigungen einem vorhandenen AWS-Konto gewähren. Connector. Die erforderlichen Schritte hängen davon ab, ob Sie konfigurierte Ihre AWS-Umgebung mithilfe von CloudFormation-Vorlagen oder manuell.

Vorhandenen Connector mit CloudFormation-Vorlagen aktualisieren

Wenn Sie Ihre AWS-Umgebung mit CloudFormation-Vorlagen eingerichtet haben, folgen Sie dieser Anleitung, um Ihrem vorhandenen AWS-Connector Berechtigungen für die Erkennung sensibler Daten zu gewähren.

  1. Rufen Sie in der Google Cloud Console die Seite Einrichtungsleitfaden des Security Command Center auf.

    Einrichtungsleitfaden aufrufen

  2. Wählen Sie die Organisation aus, in der Sie Security Command Center Enterprise aktiviert haben. Die Seite Einrichtungsanleitung wird geöffnet.

  3. Klicken Sie auf Schritt 3: Einbindung von Amazon Web Services (AWS) einrichten. Die Seite Connectors wird geöffnet.

  4. Klicken Sie für den AWS-Connector auf  Dreipunkt-Menü > Bearbeiten.

  5. Wählen Sie im Abschnitt Datentypen überprüfen die Option Berechtigungen für Sensitive Data Protection gewähren zur besseren Auffindbarkeit.

  6. Klicken Sie auf Weiter. Die Seite Mit AWS verbinden wird geöffnet.

  7. Klicken Sie auf Vorlage für delegierte Rollen herunterladen. Die Vorlage wird auf auf Ihrem Computer.

  8. Klicken Sie auf Collector-Rollenvorlage herunterladen. Die Vorlage wird auf auf Ihrem Computer.

  9. Klicken Sie auf Weiter. Die Seite Connector testen wird geöffnet. Testen Sie nicht Connectors noch nicht verwendet.

  10. Aktualisieren Sie in der CloudFormation-Konsole die Stack-Vorlage für die delegierte Rolle:

    1. Melden Sie sich im AWS Delegate-Konto an. Konsolen aus. Sie müssen in dem delegierten Konto angemeldet sein, mit dem andere AWS-Konten von Dienstleistern übernommen werden.
    2. Rufen Sie die AWS CloudFormation-Konsole.

    3. Ersetzen Sie die Stapelvorlage für die delegierte Rolle durch die aktualisierte delegierte Rollenvorlage, die Sie heruntergeladen haben.

      Weitere Informationen finden Sie unter Vorlage eines Stapels aktualisieren (Konsole) finden Sie in der AWS-Dokumentation.

  11. Aktualisieren Sie den Stacksatz für die Rolle „Collector“:

    1. Rufen Sie mit einem AWS-Verwaltungskonto oder einem Mitgliedskonto, das als delegierter Administrator registriert ist, die AWS CloudFormation Console auf.

    2. Ersetzen Sie die Stapelsatzvorlage für die Collector-Rolle durch die aktualisierte Collector-Rollenvorlage, die Sie heruntergeladen haben.

      Weitere Informationen finden Sie unter Stackset mit AWS aktualisieren CloudFormation Console finden Sie in der AWS-Dokumentation.

  12. Wenn Sie Daten aus dem Verwaltungskonto erfassen möchten, melden Sie sich im Verwaltungskonto an und ersetzen Sie die Vorlage im Collector-Stack durch die aktualisierte Vorlage für die Collector-Rolle, die Sie heruntergeladen haben.

    Dieser Schritt ist erforderlich, da AWS CloudFormation-Stacksets keinen Stack erstellen in Verwaltungskonten. Weitere Informationen finden Sie unter DeploymentTargets finden Sie in der AWS-Dokumentation.

  13. Klicken Sie in der Google Cloud Console auf der Seite Test-Connector auf Test-Connector. Wenn die Verbindung erfolgreich ist, wurde im Test festgestellt, dass die delegierte Rolle alle erforderlichen Berechtigungen hat, um die Rollen des Datensammlers zu übernehmen. Wenn die Verbindung nicht erfolgreich hergestellt werden kann, lesen Sie den Hilfeartikel Fehlerbehebung bei Verbindungstests.

  14. Klicken Sie auf Speichern.

Vorhandenen Connector manuell aktualisieren

Wenn Sie Ihre AWS-Konten manuell konfiguriert haben, während Sie den AWS-Connector erstellt haben, führen Sie dann die folgenden Schritte aus, um sensible Daten zu gewähren. Erkennungsberechtigungen für Ihren vorhandenen AWS-Connector.

  1. Rufen Sie in der Google Cloud Console die Seite Einrichtungsleitfaden des Security Command Center auf.

    Einrichtungsleitfaden aufrufen

  2. Wählen Sie die Organisation aus, in der Sie Security Command Center Enterprise aktiviert haben. Die Seite Einrichtungsanleitung wird geöffnet.

  3. Klicken Sie auf Schritt 3: Einbindung von Amazon Web Services (AWS) einrichten. Die Seite Connectors wird geöffnet.

  4. Klicken Sie für den AWS-Connector auf Mehr > Bearbeiten.

  5. Wählen Sie im Abschnitt Datentypen überprüfen die Option Berechtigungen für die Erkennung sensibler Daten gewähren aus.

  6. Klicken Sie auf Weiter. Die Seite Verbindung zu AWS herstellen wird geöffnet.

  7. Klicken Sie auf AWS-Konten manuell konfigurieren (empfohlen, wenn Sie erweiterte Einstellungen oder benutzerdefinierte Rollennamen verwenden).

  8. Kopieren Sie die Werte der folgenden Felder:

    • Delegierter Rollenname
    • Collector-Rollenname
    • Name der Collector-Rolle für den Schutz sensibler Daten

  9. Klicken Sie auf Weiter. Die Seite Connector testen wird geöffnet. Testen Sie den Anschluss noch nicht.

  10. Aktualisieren Sie in der Konsole für delegierte AWS-Konten die AWS-IAM-Richtlinie für die delegierte Rolle, damit die folgende JSON verwendet wird:

        {
      "Version": "2012-10-17",
      "Statement": [
        {
          "Action": "sts:AssumeRole",
          "Resource": [
            "arn:aws:iam::*:role/COLLECTOR_ROLE_NAME",
            "arn:aws:iam::*:role/SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME"
          ],
          "Effect": "Allow"
        },
        {
          "Action": [
            "organizations:List*",
            "organizations:Describe*"
          ],
          "Resource": "*",
          "Effect": "Allow"
        }
      ]
    }

    Ersetzen Sie Folgendes:

    • COLLECTOR_ROLE_NAME: der Name der Konfiguration Data-Collector-Rolle kopiert haben (Standardeinstellung ist aws-collector-role)
    • SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME: der Name der kopierten Rolle „Sensitive Data Protection-Collector“ (Standard: aws-sensitive-data-protection-role)

    Weitere Informationen finden Sie unter Vom Kunden verwaltete Richtlinien bearbeiten (Konsole) finden Sie in der AWS-Dokumentation.

  11. Führen Sie für jedes Konto des Dienstleisters die folgenden Schritte aus:

    1. Erstellen Sie die AWS-IAM-Richtlinie für Schutz sensibler Daten

    2. Erstellen Sie jeweils die AWS-IAM-Rolle für Sensitive Data Protection Konto.

  12. Klicken Sie in der Google Cloud Console auf der Seite Test-Connector auf Test-Connector. Wenn die Verbindung erfolgreich ist, wurde im Test festgestellt, dass die delegierte Rolle alle erforderlichen Berechtigungen hat, um die Rollen des Datensammlers zu übernehmen. Wenn die Verbindung nicht erfolgreich hergestellt werden kann, lesen Sie den Hilfeartikel Fehlerbehebung bei Verbindungstests.

  13. Klicken Sie auf Speichern.

Fehlerbehebung

In diesem Abschnitt werden einige häufige Probleme beschrieben, die bei der Einbindung von Security Command Center in AWS auftreten können.

Ressourcen sind bereits vorhanden

Dieser Fehler tritt in der AWS-Umgebung auf, wenn Sie versuchen, das AWS-IAM zu erstellen Richtlinien und AWS IAM-Rollen. Dieses Problem tritt auf, wenn die Rolle bereits in und versuchen, es erneut zu erstellen.

So beheben Sie das Problem:

  • Prüfen, ob die Rolle oder Richtlinie, die Sie erstellen, bereits vorhanden ist und die in diesem Leitfaden aufgeführten Anforderungen erfüllt.
  • Ändere bei Bedarf den Rollennamen, um Konflikte zu vermeiden.

Ungültiges Hauptkonto in der Richtlinie

Dieser Fehler kann in der AWS-Umgebung auftreten, wenn Sie die Rollen für die Datensammler erstellen, die delegierte Rolle aber noch nicht vorhanden ist.

Führen Sie die Schritte unter AWS IAM-Richtlinie für die delegierte Rolle erstellen aus, um das Problem zu beheben. Warten Sie, bis die delegierte Rolle erstellt wurde, bevor Sie fortfahren.

Drosselungseinschränkungen in AWS

AWS drosselt API-Anfragen für jedes AWS-Konto pro Konto oder Region zu verstehen. Damit diese Limits nicht überschritten werden, wenn Security Command Center Asset-Konfigurationsdaten von AWS erhebt, werden die Daten mit einer festen maximalen QPS für jeden AWS-Dienst erfasst, wie in der API-Dokumentation für den AWS-Dienst beschrieben.

Wenn in Ihrer AWS-Umgebung aufgrund der Abfragen pro Sekunde eine Anfragedrosselung auftritt können Sie das Problem so beheben:

  • In den Einstellungen des AWS-Connectors , legen Sie eine benutzerdefinierte Abfragen pro Sekunde für den AWS-Dienst, bei dem Probleme mit der Anfragedrosselung auftreten.

  • Schränken Sie die Berechtigungen der AWS-Collector-Rolle so ein, dass die Daten aus dieser nicht mehr erfasst. Diese Minderungstechnik verhindert, dass Simulationen von Angriffspfaden für AWS ordnungsgemäß funktionieren.

Wenn Sie alle Berechtigungen in AWS widerrufen, wird der Datenerhebungsprozess sofort beendet. Wenn Sie den AWS-Connector löschen, wird der Datenerfassungsprozess nicht sofort beendet. Er wird aber nach Abschluss nicht wieder gestartet.

Fehlerbehebung beim Testen der Verbindung

Diese Fehler können beim Testen der Verbindung zwischen Security Command Center und AWS auftreten.

AWS_FAILED_TO_ASSUME_DELEGATED_ROLE

Die Verbindung ist ungültig, da der Google Cloud-Dienst-Agent nicht voraussetzen kann die delegierte Rolle.

Gehen Sie so vor, um dieses Problem zu beheben:

AWS_FAILED_TO_LIST_ACCOUNTS

Diese Verbindung ist ungültig, da die automatische Erkennung aktiviert ist und die delegierte Rolle nicht alle AWS-Konten in den Organisationen abrufen kann.

Dieses Problem weist darauf hin, dass die Richtlinie Aktion „organizations:ListAccounts“ für die delegierte Rolle fehlt bei bestimmten Ressourcen. Prüfen Sie, welche Ressourcen fehlen, um das Problem zu beheben. Informationen zum Überprüfen der Einstellungen für die delegierte Richtlinie finden Sie unter AWS IAM-Richtlinie für die delegierte Rolle erstellen.

AWS_INVALID_COLLECTOR_ACCOUNTS

Die Verbindung ist ungültig, da ungültige Collector-Konten vorhanden sind. Die enthält weitere Informationen über mögliche Ursachen, einschließlich Folgendes:

AWS_FAILED_TO_ASSUME_COLLECTOR_ROLE

Das Collector-Konto ist ungültig, da die delegierte Rolle die Rolle „Collector“ im Collector-Konto nicht übernehmen kann.

Beachten Sie Folgendes, um das Problem zu beheben:

AWS_COLLECTOR_ROLE_POLICY_MISSING_REQUIRED_PERMISSION

Die Verbindung ist ungültig, da in der Richtlinie für den Datensammler einige der erforderlichen Berechtigungseinstellungen fehlen.

Um dieses Problem zu beheben, sollten Sie die folgenden Ursachen in Betracht ziehen:

Nächste Schritte