Conéctate a AWS para detectar vulnerabilidades y evaluar riesgos

Puedes conectar el nivel de Security Command Center Enterprise a tu Amazon Web Services (AWS) para que puedas hacer lo siguiente:

  • Detecta y soluciona vulnerabilidades y parámetros de configuración incorrectos de software en tu entorno de AWS
  • Crea y administra una postura de seguridad para AWS
  • Identifica posibles rutas de ataque desde la Internet pública hasta tu red de alto valor Recursos de AWS
  • Mapear el cumplimiento de los recursos de AWS con varios estándares y comparativas

Conectar Security Command Center a AWS crea un solo lugar para tu seguridad de operaciones para administrar y corregir amenazas y vulnerabilidades en toda Google Cloud y AWS.

Para permitir que Security Command Center supervise tu organización de AWS, debes configurar una de servicio de Google Cloud con un agente de servicio de Google Cloud y una cuenta de AWS que tenga acceso a los recursos que quieres supervisar. Security Command Center usa esta conexión para recopilar datos periódicamente todas las cuentas y regiones de AWS que definas.

Puedes crear una conexión de AWS para cada organización de Google Cloud.

En este documento, se describe cómo configurar la conexión con AWS. Cuando configuras una conexión, debes configurar lo siguiente:

  • Una serie de cuentas en AWS que tienen acceso directo a la herramienta recursos que quieres supervisar. En la consola de Google Cloud, estos se denominan cuentas de recopilador.
  • Una cuenta en AWS que tenga las políticas y los roles adecuados para permitir autenticación con las cuentas de recopilador. En la consola de Google Cloud, esta cuenta se denomina cuenta delegada. La cuenta delegada y las cuentas de colector deben estar en la misma organización de AWS.
  • Un agente de servicio en Google Cloud que se conecta al para la autenticación.
  • Una canalización para recopilar datos de los recursos de los recursos de AWS.
  • Permisos (opcionales) para que Sensitive Data Protection genere perfiles de tu contenido de AWS

Esta conexión no se aplica a las capacidades de SIEM de Security Command Center que te permiten transferir registros de AWS para la detección de amenazas.

En el siguiente diagrama, se muestra esta configuración. El proyecto de usuario es un proyecto que se crea automáticamente y contiene tu canalización de recopilación de datos de recursos instancia.

Configuración de AWS y Security Command Center.

Antes de comenzar

Completa estas tareas antes de completar las tareas restantes de esta página.

Activa el nivel de Security Command Center Enterprise

Completa los pasos 1 y 2 de la guía de configuración para activar Security Command Center Nivel empresarial.

Configura los permisos

Para obtener los permisos que necesitas para usar el conector de AWS, pídele a tu administrador que te otorgue el rol de IAM de propietario de recursos de Cloud (roles/cloudasset.owner). Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

También puedes obtener los permisos necesarios mediante roles personalizados o cualquier otro rol predefinido.

Crea cuentas de AWS

Asegúrate de haber creado los siguientes recursos de AWS:

Configura Security Command Center

  1. En la consola de Google Cloud, ve a la página Guía de configuración del Security Command Center.

    Ir a la Guía de configuración

  2. Selecciona la organización en la que activaste el nivel de Security Command Center Enterprise. Se abrirá la página Guía de configuración.

  3. Haz clic en Paso 3: Configurar el conector de Amazon Web Services (AWS).

  4. En ID de cuenta delegada, ingresa el ID de la cuenta de AWS que puedes usar como cuenta delegada.

  5. Para permitir que Sensitive Data Protection genere el perfil de tus datos de AWS, conservar Otorgar permisos para la protección de datos sensibles discovery seleccionado. Esta opción agrega permisos de IAM de AWS en la plantilla de CloudFormation para el rol de recopilador.

    Permisos de IAM de AWS que otorga esta opción

    • s3:GetBucketLocation
    • s3:ListAllMyBuckets
    • s3:GetBucketPolicyStatus
    • s3:ListBucket
    • s3:GetObject
    • s3:GetObjectVersion
    • s3:GetBucketPublicAccessBlock
    • s3:GetBucketOwnershipControls
    • s3:GetBucketTagging
    • iam:ListAttachedRolePolicies
    • iam:GetPolicy
    • iam:GetPolicyVersion
    • iam:ListRolePolicies
    • iam:GetRolePolicy
    • ce:GetCostAndUsage
    • dynamodb:DescribeTableReplicaAutoScaling
    • identitystore:ListGroupMemberships
    • identitystore:ListGroups
    • identitystore:ListUsers
    • lambda:GetFunction
    • lambda:GetFunctionConcurrency
    • logs:ListTagsForResource
    • s3express:CreateSession
    • s3express:GetBucketPolicy
    • s3express:ListAllMyDirectoryBuckets
    • wafv2:GetIPSet
  6. De manera opcional, revisa y edita las Opciones avanzadas. Consulta Personaliza la configuración del conector de AWS para información sobre opciones adicionales.

  7. Haga clic en Continuar. Se abrirá la página Conectarse a AWS.

  8. Realiza una de las siguientes acciones:

    • Descarga y revisa las plantillas de CloudFormation para el rol delegado y el de recopilador.
    • Si configuraste las opciones avanzadas o necesitas cambiar los nombres de rol predeterminados de AWS (aws-delegated-role, aws-collector-role y aws-sensitive-data-protection-role), selecciona Configurar cuentas de AWS manualmente. Copia el ID del agente de servicio, el nombre de rol delegado, el recopilador nombre del rol y el de rol recopilador de Sensitive Data Protection.

    No puedes cambiar los nombres de los roles después de crear la conexión.

No hagas clic en Crear. En cambio, Configura tu entorno de AWS.

Configura tu entorno de AWS

Puedes configurar tu entorno de AWS con uno de los siguientes métodos:

Usa plantillas de CloudFormation para configurar tu entorno de AWS

Si descargaste plantillas CloudFormation, sigue estos pasos para configurar tu cuenta de AWS en un entorno de nube.

  1. Accede a la cuenta delegada de AWS Console. Asegúrate de que que hayas accedido a la cuenta delegada que se usa para asumir otros cuentas de AWS de colector (es decir, una cuenta de administración de AWS o cualquier cuenta de miembro registrada como administrador delegado).
  2. Ve a AWS CloudFormation. plantilla de Cloud.
  3. Crea una pila que aprovisione el rol de delegado:

    1. En la página Stacks, haz clic en Create stack > With new resources (standard).
    2. Cuando especifiques una plantilla, sube el rol delegado archivo de plantilla.
    3. Cuando especifiques los detalles de la pila, ingresa un nombre para ella.
    4. Si cambiaste el nombre del rol delegado, del rol de recopilador o del rol de Protección de datos sensibles, actualiza los parámetros según corresponda. El los parámetros que ingreses deben coincidir con los que aparecen en la La página Conéctate a AWS en la consola de Google Cloud.

    5. Según lo requiera tu organización, actualiza las opciones de pila.

    6. En la página Revisar y crear, selecciona Reconozco que AWS CloudFormation podría crear recursos de IAM con nombres personalizados.

    7. Haz clic en Submit para crear la pila.

    Espera a que se cree la pila. Si se produce un problema, consulta Solución de problemas Para obtener más información, consulta Crea una pila en AWS CloudFormation consola en la documentación de AWS.

  4. Crea un conjunto de pila que aprovisione las funciones de colector.

    1. En la página StackSets, haz clic en Create StackSet.
    2. Haz clic en Permisos administrados por servicios.

    3. Cuando especifiques una plantilla, sube el archivo de plantilla de rol de recopilador.

    4. Cuando especifiques los detalles del StackSet, ingresa un nombre para el conjunto de pila y descripción.

    5. Ingresa el ID de la cuenta delegada.

    6. Si cambiaste el nombre del rol delegado, rol de recopilador o rol de protección de datos sensibles, actualiza los parámetros según corresponda. El los parámetros que ingreses deben coincidir con los que aparecen en la La página Conéctate a AWS en la consola de Google Cloud.

    7. Según lo requiera tu organización, configura las opciones de tu conjunto de pilas.

    8. Cuando especifiques las opciones de implementación, elige tus objetivos de implementación. Puede hacer una implementación en toda la organización de AWS unidad organizativa (UO) que incluya todas las cuentas de AWS que deseas para recopilar los datos.

    9. Especifica las regiones de AWS en las que se crearán los roles y las políticas. Debido a que los roles son recursos globales, no necesitas especificar varios regiones.

    10. Cambia otros parámetros de configuración si es necesario.

    11. Revisa los cambios y haz clic en Enviar para crear el conjunto de pilas. Si recibes un error, consulta Solución de problemas. Para obtener más información, consulta Crear un conjunto de pilas con políticas permisos en la documentación de AWS.

  5. Si necesitas recopilar datos de la cuenta de administración, accede a la de administración del clúster y, luego, implementarás una pila separada para aprovisionar el recopilador roles de seguridad. Cuando especifiques la plantilla, sube la plantilla de rol recopilador .

    Este paso es necesario porque los conjuntos de pilas de AWS CloudFormation no crean instancias de pila en las cuentas de administración. Para obtener más información, consulta DeploymentTargets en la documentación de AWS.

Para completar el proceso de integración, consulta Completa el proceso de integración.

Configura cuentas de AWS manualmente

Si no puedes usar las plantillas de CloudFormation (p. ej., si usas o si personalizas la integración), puedes crear el las políticas de IAM de AWS requeridas y los roles de IAM de AWS de forma manual.

Debes crear políticas y roles de IAM de AWS para la cuenta delegada y las cuentas de recopilador.

Crea la política de IAM de AWS para el rol delegado

A fin de crear una política de IAM de AWS para el rol delegado (una política delegada), completa lo siguiente:

  1. Accede al Consola de cuenta delegada de AWS.

  2. Haz clic en Políticas > Crea una política.

  3. Haz clic en JSON y pega una de las siguientes opciones, según si seleccionaste la casilla de verificación Otorgar permisos para el descubrimiento de la Protección de datos sensibles en Configurar Security Command Center.

    Otorga permisos para la protección de datos sensibles descubrimiento: borrado

    {
      "Version": "2012-10-17",
      "Statement": [
          {
              "Action": "sts:AssumeRole",
              "Resource": "arn:aws:iam::*:role/COLLECTOR_ROLE_NAME",
              "Effect": "Allow"
          },
          {
              "Action": [
                  "organizations:List*",
                  "organizations:Describe*"
              ],
              "Resource": "*",
              "Effect": "Allow"
          }
      ]
    }
    

    Reemplaza COLLECTOR_ROLE_NAME por el nombre del que copiaste cuando configuraste Security Command Center (el el valor predeterminado es aws-collector-role).

    Otorga permisos para la protección de datos sensibles descubrimiento: seleccionado

        {
          "Version": "2012-10-17",
          "Statement": [
            {
              "Action": "sts:AssumeRole",
              "Resource": [
                "arn:aws:iam::*:role/COLLECTOR_ROLE_NAME",
                "arn:aws:iam::*:role/SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME"
              ],
              "Effect": "Allow"
            },
            {
              "Action": [
                "organizations:List*",
                "organizations:Describe*"
              ],
              "Resource": "*",
              "Effect": "Allow"
            }
          ]
        }
        

    Reemplaza lo siguiente:

    • COLLECTOR_ROLE_NAME: Es el nombre de la de recopilador de datos de configuración que copiaste cuando configurar Security Command Center (el valor predeterminado es aws-collector-role)
    • SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME: el nombre del rol de recopilador de Sensitive Data Protection que copiaste cuando configurar Security Command Center (el valor predeterminado es aws-sensitive-data-protection-role)
  4. Haz clic en Siguiente.

  5. En la sección Detalles de la política, ingresa un nombre y una descripción para la política.

  6. Haz clic en Crear política.

Crea un rol de IAM de AWS para la relación de confianza entre AWS y Google Cloud

Crear un rol delegado que establezca una relación de confianza entre AWS y en Google Cloud. Este rol usa la política delegada que se creó en Crea la política de IAM de AWS para el rol delegado.

  1. Accede al Consola de cuenta delegada de AWS como un usuario de AWS capaz de crear roles y políticas de IAM.

  2. Haz clic en Roles > Crear rol

  3. En Tipo de entidad de confianza, haz clic en Identidad en la Web.

  4. En Proveedor de identidad, haz clic en Google.

  5. En Público, ingresa el ID del agente de servicio que copiaste cuando Security Command Center configurado. Haz clic en Siguiente.

  6. Para otorgar al rol delegado acceso a los roles de colector, adjunta el las políticas de permisos del rol. Busca la política delegada que se creó en Crea la política de IAM de AWS para el rol delegado y selecciónala.

  7. En la sección Detalles del rol, ingresa el Nombre del rol delegado que que copiaste cuando Security Command Center configurado (el nombre predeterminado es aws-delegated-role).

  8. Haz clic en Crear rol.

Crea la política de IAM de AWS para la recopilación de datos de configuración de recursos

Para crear una política de IAM de AWS para la recopilación de datos de configuración de activos (una política de recopilador), completa lo siguiente:

  1. Accede al Consola de la cuenta de recopilador de AWS.

  2. Haz clic en Políticas > Crea una política.

  3. Haz clic en JSON y pega lo siguiente:

    {
      "Version": "2012-10-17",
      "Statement": [
          {
              "Effect": "Allow",
              "Action": [
                  "ce:GetCostAndUsage",
                  "dynamodb:DescribeTableReplicaAutoScaling",
                  "identitystore:ListGroupMemberships",
                  "identitystore:ListGroups",
                  "identitystore:ListUsers",
                  "lambda:GetFunction",
                  "lambda:GetFunctionConcurrency",
                  "logs:ListTagsForResource",
                  "s3express:GetBucketPolicy",
                  "s3express:ListAllMyDirectoryBuckets",
                  "wafv2:GetIPSet"
              ],
              "Resource": [
                  "*"
              ]
          },
          {
              "Effect": "Allow",
              "Action": [
                  "apigateway:GET"
              ],
              "Resource": [
                  "arn:aws:apigateway:*::/usageplans",
                  "arn:aws:apigateway:*::/usageplans/*/keys",
                  "arn:aws:apigateway:*::/vpclinks/*"
              ]
          }
      ]
    
    }
    
  4. Haz clic en Siguiente.

  5. En la sección Detalles de la política, ingresa un nombre y una descripción para la política.

  6. Haz clic en Crear política.

  7. Repite estos pasos para cada cuenta de cobro.

Crea el rol de IAM de AWS para la recopilación de datos de configuración de recursos en cada cuenta

Crea el rol de recopilador que permite que Security Command Center obtenga datos de configuración de recursos desde AWS. Este rol usa la política de recopilador que se creó en Crea la Política de IAM de AWS para datos de configuración de recursos colección.

  1. Accede al Consola de la cuenta de recopilador de AWS como un usuario que puede crear roles de IAM para las cuentas de recopilador.

  2. Haz clic en Roles > Crear rol

  3. En Tipo de entidad de confianza, haz clic en Política de confianza personalizada.

  4. En la sección Política de confianza personalizada, pega lo siguiente:

    {
      "Version": "2012-10-17",
      "Statement": [
        {
          "Effect": "Allow",
          "Principal": {
            "AWS": "arn:aws:iam::DELEGATE_ACCOUNT_ID:role/DELEGATE_ACCOUNT_ROLE"
          },
          "Action": "sts:AssumeRole"
        }
      ]
    }
    

    Reemplaza lo siguiente:

    • DELEGATE_ACCOUNT_ID: Es el ID de la cuenta de AWS de la cuenta delegada.
    • DELEGATE_ACCOUNT_ROLE: Es el nombre de rol delegado que que copiaste cuando configuraste Security Command Center.
  5. Para otorgar a este rol de recopilador acceso a tus datos de configuración de recursos de AWS, adjuntar las políticas de permisos al rol. Buscar el recopilador personalizado política que se creó en Crea la política de IAM de AWS para la recopilación de datos de configuración de recursos. y selecciónalo.

  6. Busca y selecciona las siguientes políticas administradas:

    • arn:aws:iam::aws:policy/job-function/ViewOnlyAccess
    • arn:aws:iam::aws:policy/SecurityAudit
  7. En la sección Detalles del rol, ingresa el nombre de los datos de configuración. de recopilador de registros que copiaste cuando configuraste Security Command Center.

  8. Haz clic en Crear rol.

  9. Repite estos pasos para cada cuenta de cobro.

Si seleccionaste la opción Otorgar permisos para la protección de datos sensibles descubrimiento en Configurar Security Command Center y, luego, pasa al siguiente sección.

Si no habilitaste la casilla de verificación Otorgar permisos para el descubrimiento de Sensitive Data Protection, completa el proceso de integración.

Crea la política de IAM de AWS para la protección de datos sensibles

Completa estos pasos si seleccionaste Otorgar permisos para Sensitive Data Protection discovery en Configura Security Command Center.

Para crear una política de IAM de AWS para Sensitive Data Protection (un recopilador completa), completa lo siguiente:

  1. Accede al Consola de la cuenta de recopilador de AWS.

  2. Haz clic en Políticas > Crea una política.

  3. Haz clic en JSON y pega lo siguiente:

    {
      "Version": "2012-10-17",
      "Statement": [
        {
          "Effect": "Allow",
          "Action": [
            "s3:GetBucketLocation",
            "s3:ListAllMyBuckets",
            "s3:GetBucketPolicyStatus",
            "s3:ListBucket",
            "s3:GetObject",
            "s3:GetObjectVersion",
            "s3:GetBucketPublicAccessBlock",
            "s3:GetBucketOwnershipControls",
            "s3:GetBucketTagging"
          ],
          "Resource": ["arn:aws:s3:::*"]
        },
        {
          "Effect": "Allow",
          "Action": [
            "iam:ListAttachedRolePolicies",
            "iam:GetPolicy",
            "iam:GetPolicyVersion",
            "iam:ListRolePolicies",
            "iam:GetRolePolicy",
            "ce:GetCostAndUsage",
            "dynamodb:DescribeTableReplicaAutoScaling",
            "identitystore:ListGroupMemberships",
            "identitystore:ListGroups",
            "identitystore:ListUsers",
            "lambda:GetFunction",
            "lambda:GetFunctionConcurrency",
            "logs:ListTagsForResource",
            "s3express:GetBucketPolicy",
            "s3express:ListAllMyDirectoryBuckets",
            "wafv2:GetIPSet"
          ],
          "Resource": ["*"]
        },
        {
          "Effect": "Allow",
          "Action": [
              "s3express:CreateSession"
          ],
          "Resource": ["arn:aws:s3express:*:*:bucket/*"]
        }
      ]
    }
    
  4. Haz clic en Siguiente.

  5. En la sección Detalles de la política, ingresa un nombre y una descripción para la política.

  6. Haz clic en Crear política.

  7. Repite estos pasos para cada cuenta de cobro.

Crea el rol de IAM de AWS para Sensitive Data Protection en cada cuenta

Completa estos pasos si seleccionaste Otorgar permisos para Sensitive Data Protection discovery en Configura Security Command Center.

Crear el rol de recopilador que permite que Sensitive Data Protection genere el perfil de el contenido de tus recursos de AWS. Este rol usa la política de recopilador que se en Crea la política de IAM de AWS para Protección de datos sensibles.

  1. Accede al Consola de la cuenta de recopilador de AWS como un usuario que puede crear roles de IAM para cuentas de recopilador.

  2. Haz clic en Roles > Crear rol

  3. En Tipo de entidad de confianza, haz clic en Política de confianza personalizada.

  4. En la sección Política de confianza personalizada, pega lo siguiente:

    {
      "Version": "2012-10-17",
      "Statement": [
        {
          "Effect": "Allow",
          "Principal": {
            "AWS": "arn:aws:iam::DELEGATE_ACCOUNT_ID:role/DELEGATE_ACCOUNT_ROLE"
          },
          "Action": "sts:AssumeRole"
        }
      ]
    }
    

    Reemplaza lo siguiente:

  5. Para otorgar a este rol de recopilador acceso al contenido de tus recursos de AWS, adjunta las políticas de permisos al rol. Buscar el recopilador personalizado política que se creó en Crea la política de IAM de AWS para Protección de datos sensibles, y selecciónalo.

  6. En la sección Detalles del rol, ingresa el nombre del rol para Sensitive Data Protection que copiaste cuando configuraste Security Command Center.

  7. Haz clic en Crear rol.

  8. Repite estos pasos para cada cuenta de cobro.

Para completar el proceso de integración, consulta Completa el proceso de integración.

Completa el proceso de integración

  1. En la consola de Google Cloud, en la página Conector de prueba, haz clic en Probar de seguridad para verificar que Security Command Center pueda conectarse tu entorno de AWS. Si la conexión es exitosa, la prueba determinó que el rol delegado tenga todos los permisos necesarios para asumir y recopilador de registros. Si la conexión no se realiza correctamente, consulta Cómo solucionar errores cuando se prueba la conexión.

  2. Haz clic en Crear.

Personaliza la configuración del conector de AWS

En esta sección, se describen algunas de las formas en las que puedes personalizar la conexión. entre Security Command Center y AWS. Estas opciones se encuentran disponibles en la pestaña Avanzado options (opcional) de la Agrega un conector de Amazon Web Services en la consola de Google Cloud.

De forma predeterminada, Security Command Center detecta automáticamente tus cuentas de AWS en todas las Regiones de AWS. La conexión usa el extremo global predeterminado para el servicio de tokens de seguridad de AWS y las consultas por segundo (QPS) predeterminadas para el servicio de AWS y supervisión de los datos. Estas opciones avanzadas te permiten personalizar los valores predeterminados.

Opción Descripción
Agrega cuentas de conectores de AWS Selecciona el campo Agregar cuentas automáticamente (recomendado) para permitir que Security Command Center descubra las cuentas de AWS automáticamente o selecciona Agregar cuentas de forma individual y proporciona una lista de cuentas de AWS que Security Command Center pueda usar para encontrar recursos.
Cómo excluir cuentas de conectores de AWS Si seleccionaste el campo Agregar cuentas de forma individual en la sección Agregar cuentas de conector de AWS, proporciona una lista de las cuentas de AWS que Security Command Center no debe usar para encontrar recursos.
Selecciona las regiones en las que quieres recopilar datos Selecciona una o más regiones de AWS para que Security Command Center recopile datos. Deja el El campo Regiones de AWS está vacío para recopilar datos de todas las regiones.
Cantidad máxima de consultas por segundo (QPS) para los servicios de AWS Puedes cambiar las QPS para controlar el límite de cuota Security Command Center. Establece la anulación en un valor menor que la el valor predeterminado para ese servicio, mayor o igual que 1. El valor predeterminado es el valor máximo. Si cambias las QPS, Security Command Center podría generar problemas y recuperar datos. Por lo tanto, no recomendamos cambiar este valor.
Extremo del servicio de tokens de seguridad de AWS Puedes especificar un extremo específico para Servicio de tokens de seguridad (por ejemplo, https://sts.us-east-2.amazonaws.com) Deja vacío el campo Servicio de tokens de seguridad de AWS para usarlo el extremo global predeterminado (https://sts.amazonaws.com).

Otorga permisos de detección de datos sensibles a un conector de AWS existente

Para realizar un descubrimiento de datos sensibles en tu contenido de AWS, necesitas una Conector de AWS que tenga la IAM de AWS requerida permisos.

En esta sección, se describe cómo otorgar esos permisos a una cuenta de AWS o del conector. Los pasos que debes seguir dependen de si configuraste tu entorno de AWS con plantillas de CloudFormation o manualmente.

Actualiza un conector existente con plantillas de CloudFormation

Si configuras tu entorno de AWS con CloudFormation plantillas y sigue estos pasos para otorgar acceso a datos sensibles de descubrimiento para tu conector de AWS existente.

  1. En la consola de Google Cloud, ve a la página Guía de configuración del Security Command Center.

    Ir a la Guía de configuración

  2. Selecciona la organización en la que activaste el nivel de Security Command Center Enterprise. Se abrirá la página Guía de configuración.

  3. Haz clic en Paso 3: Configurar la integración de Amazon Web Services (AWS). El Conectores.

  4. Para el conector AWS, haz clic en AWS.

  5. En la sección Revisar tipos de datos, selecciona Otorgar permisos para la protección de datos sensibles. discovery.

  6. Haga clic en Continuar. Se abrirá la página Conectarse a AWS.

  7. Haz clic en Descargar plantilla de rol delegado. La plantilla se descargará en tu computadora.

  8. Haz clic en Descargar plantilla de rol recopilador. La plantilla se descarga en en tu computadora.

  9. Haga clic en Continuar. Se abrirá la página Conector de prueba. No pruebes más grande de todas.

  10. En la consola de CloudFormation, actualiza la plantilla de pila para las cuentas rol:

    1. Accede a la cuenta delegada de AWS Console. Asegúrate de haber firmado a la cuenta delegada que se usa para suplantar a otro colector de AWS cuentas de servicio.
    2. Ve a la página de AWS CloudFormation.
    3. Reemplaza la plantilla de pila para el rol delegado por la plantilla actualizada plantilla de rol delegado que descargaste.

      Para obtener más información, consulta Actualiza la plantilla de una pila. (consola) en la documentación de AWS.

  11. Actualiza el conjunto de pilas para el rol de recopilador:

    1. Usar una cuenta de administración de AWS o cualquier cuenta de miembro registrada como como administrador delegado, ve a la página CloudFormation.
    2. Reemplaza la plantilla del conjunto de pilas para el rol de recopilador por la versión actualizada de rol recopilador de imágenes que descargaste.

      Para obtener más información, consulta Actualizar tu conjunto de pilas con la API de CloudFormation consola en la documentación de AWS.

  12. Si necesitas recopilar datos de la cuenta de administración, accede a la cuenta de administración y reemplaza la plantilla en el recopilador. con la plantilla de rol de recopilador actualizada que descargaste.

    Este paso es necesario porque los conjuntos de pilas de AWS CloudFormation no crean una pila. en las cuentas de administración. Para obtener más información, consulta DeploymentTargets en la documentación de AWS.

  13. En la consola de Google Cloud, en la página Conector de prueba, haz clic en Probar conector. Si la conexión es exitosa, la prueba determinó que el rol delegado tiene todos los permisos necesarios para asumir el rol de recopilador roles de seguridad. Si la conexión no se realiza correctamente, consulta Solución de problemas de probar la conexión

  14. Haz clic en Guardar.

Actualizar manualmente un conector existente

Si configuraste tus cuentas de AWS manualmente cuando creaste el conector de AWS y sigue estos pasos para otorgar datos sensibles de descubrimiento para tu conector de AWS existente.

  1. En la consola de Google Cloud, ve a la página Guía de configuración del Security Command Center.

    Ir a la Guía de configuración

  2. Selecciona la organización en la que activaste el nivel de Security Command Center Enterprise. Se abrirá la página Guía de configuración.

  3. Haz clic en Paso 3: Configurar la integración de Amazon Web Services (AWS). El Conectores.

  4. Para el conector AWS, haz clic en AWS.

  5. En la sección Revisar tipos de datos, selecciona Otorgar permisos para la protección de datos sensibles. discovery.

  6. Haga clic en Continuar. Se abrirá la página Conectarse a AWS.

  7. Haz clic en Configura cuentas de AWS manualmente (recomendado si usas parámetros de configuración avanzados o nombres de rol personalizados).

  8. Copia los valores de los siguientes campos:

    • Nombre de rol delegado
    • Nombre de rol recaudador
    • Nombre de rol recopilador de Sensitive Data Protection
  9. Haga clic en Continuar. Se abrirá la página Conector de prueba. Aún no pruebes el conector.

  10. En la consola de la cuenta delegada de AWS, actualiza la política de IAM de AWS para que el rol delegado use el siguiente JSON:

        {
          "Version": "2012-10-17",
          "Statement": [
            {
              "Action": "sts:AssumeRole",
              "Resource": [
                "arn:aws:iam::*:role/COLLECTOR_ROLE_NAME",
                "arn:aws:iam::*:role/SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME"
              ],
              "Effect": "Allow"
            },
            {
              "Action": [
                "organizations:List*",
                "organizations:Describe*"
              ],
              "Resource": "*",
              "Effect": "Allow"
            }
          ]
        }
        

    Reemplaza lo siguiente:

    • COLLECTOR_ROLE_NAME: Es el nombre del rol de recopilador de datos de configuración que copiaste (el valor predeterminado es aws-collector-role).
    • SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME: Es el nombre del rol de recopilador de Sensitive Data Protection que copiaste (el valor predeterminado es aws-sensitive-data-protection-role).

    Para obtener más información, consulta Edición de políticas administradas por el cliente (consola) en la documentación de AWS.

  11. Para cada cuenta de recopilador, realiza estos procedimientos:

    1. Crea la política de IAM de AWS para Protección de datos sensibles.

    2. Crea el rol de IAM de AWS para Sensitive Data Protection en cada cuenta.

  12. En la consola de Google Cloud, en la página Conector de prueba, haz clic en Probar conector. Si la conexión es exitosa, la prueba determinó que el rol delegado tiene todos los permisos necesarios para asumir el rol de recopilador roles de seguridad. Si la conexión no se realiza correctamente, consulta Solución de problemas de probar la conexión

  13. Haz clic en Guardar.

Soluciona problemas

Esta sección incluye algunos problemas habituales que podrías encontrar al e integrar Security Command Center con AWS.

Los recursos ya existen

Este error se produce en el entorno de AWS cuando intentas crear la IAM de AWS y roles de IAM de AWS. Este problema ocurre cuando el rol ya existe en tu cuenta de AWS y tratas de crearla de nuevo.

Para resolver este problema, realiza lo siguiente:

  • Verifica si el rol o la política que estás creando ya existe y satisfaga los requisitos que se indican en esta guía.
  • Si es necesario, cambia el nombre del rol para evitar conflictos.

Principal no válida en la política

Este error puede ocurrir en el entorno de AWS cuando creas el colector roles, pero el de delegado aún no existe.

Para resolver este problema, completa los pasos que se indican en Crea la política de IAM de AWS para rol delegado y esperar hasta que el rol delegado antes de continuar.

Limitaciones de regulación en AWS

AWS limita las solicitudes a la API para cada cuenta de AWS en una cuenta o por región base. Para garantizar que estos límites no se excedan cuando Security Command Center recopile de configuración de recursos de AWS, Security Command Center los recopila de QPS para cada servicio de AWS, tal como se indica en la documentación de la API para el servicio de AWS.

Si experimentas una limitación de solicitudes en tu entorno de AWS debido a las QPS puedes mitigar el problema completando lo siguiente:

  • En la configuración del conector de AWS de la aplicación, establece una Las QPS del servicio de AWS que experimenta problemas de limitación de solicitudes.

  • Restringe los permisos del rol de colector de AWS para que los datos de este un servicio específico ya no se recopilan. Esta técnica de mitigación evita que las simulaciones de las rutas de ataque funcionen correctamente en AWS.

Revocar todos los permisos en AWS detiene el proceso de recopilación de datos de inmediato. Borrar el conector de AWS no detiene los datos de inmediato recopilador de imágenes, pero no volverá a iniciarse cuando finalice.

Soluciona errores cuando pruebas la conexión

Estos errores pueden ocurrir cuando pruebas la conexión entre Security Command Center y AWS.

AWS_FAILED_TO_ASSUME_DELEGATED_ROLE

La conexión no es válida porque el agente de servicio de Google Cloud no puede asumir el rol delegado.

Para resolver este problema, considera lo siguiente:

AWS_FAILED_TO_LIST_ACCOUNTS

La conexión no es válida porque el descubrimiento automático está habilitado y el no puede obtener todas las cuentas de AWS de las organizaciones.

Este problema indica que la política que permite Falta la acción organizations:ListAccounts en el rol delegado en ciertos de Google Cloud. Para resolver este problema, verifica qué recursos faltan. Para verificar la configuración de la política delegada, consulta Crea la política de IAM de AWS para el rol delegado.

AWS_INVALID_COLLECTOR_ACCOUNTS

La conexión no es válida porque hay cuentas de recaudador no válidas. El incluye más información sobre las posibles causas, que incluyen lo siguiente:

AWS_FAILED_TO_ASSUME_COLLECTOR_ROLE

La cuenta de recaudador no es válida porque el rol delegado no puede asumir la de recopilador en la cuenta de recopilador.

Para resolver este problema, considera lo siguiente:

AWS_COLLECTOR_ROLE_POLICY_MISSING_REQUIRED_PERMISSION

La conexión no es válida porque a la política de recopilador le faltan algunos de los la configuración de permisos requerida.

Para resolver este problema, considera las siguientes causas:

¿Qué sigue?