Se connecter à AWS pour détecter les failles et évaluer les risques

Vous pouvez connecter le niveau Security Command Center Enterprise à votre environnement AWS pour : vous pouvez effectuer les opérations suivantes:

• Détectez et corrigez les failles et erreurs de configuration logicielles. dans votre environnement AWS
• Créer et gérer une stratégie de sécurité pour AWS
• Identifiez les vecteurs d'attaque potentiels, de l'Internet public à vos ressources de forte valeur Éléments AWS
• Mapper la conformité des ressources AWS avec différentes normes et analyses comparatives

Connecter Security Command Center à AWS crée un emplacement unique pour votre sécurité de l'équipe des opérations pour gérer et corriger les menaces et les vulnérabilités Google Cloud et AWS.

Pour permettre à Security Command Center de surveiller votre organisation AWS, vous devez configurer un à l'aide d'un agent de service Google Cloud et un compte AWS qui a accès aux ressources que vous souhaitez surveiller. Security Command Center utilise cette connexion pour collecter régulièrement des données tous les comptes et régions AWS que vous définissez.

Ce document explique comment configurer la connexion avec AWS. Lorsque vous configurez une connexion, vous configurez les éléments suivants:

• Une série de comptes dans AWS disposant d'un accès direct à l'AWS aux ressources à surveiller. Dans la console Google Cloud, ces sont appelés comptes de collecteur.
• Un compte AWS disposant des stratégies et des rôles appropriés une authentification unique aux comptes de collecteur. Dans la console Google Cloud, il s'agit du compte délégué. Le compte délégué et les comptes de collecteur doivent se trouver dans la même organisation AWS.
• Un agent de service dans Google Cloud qui se connecte au compte pour l'authentification.
• Pipeline permettant de collecter des données d'éléments à partir de ressources AWS.
• (Facultatif) Autorisations liées à la protection des données sensibles pour le profilage votre contenu AWS.

Cette connexion ne s'applique pas aux fonctionnalités SIEM de Security Command Center qui vous permettent d'ingérer des journaux AWS pour détecter les menaces.

Le schéma suivant présente cette configuration. Le projet locataire est un projet qui est créé automatiquement et qui contient votre pipeline de collecte des données sur les éléments Compute Engine.

Avant de commencer

Effectuez ces tâches avant de terminer celles qui figurent sur cette page.

Activer le niveau Security Command Center Enterprise

Suivez les étapes 1 et 2 du guide de configuration pour activer Security Command Center. Niveau Entreprise.

Configurer les autorisations

Pour obtenir les autorisations nécessaires pour utiliser le connecteur AWS, demandez à votre administrateur de vous accorder le Rôle IAM Propriétaire d'éléments cloud (roles/cloudasset.owner). Pour en savoir plus sur l'attribution de rôles, consultez la section Gérer les accès.

Vous pouvez également obtenir les autorisations requises via des rôles personnalisés ou d'autres rôles prédéfinis.

Créer des comptes AWS

Assurez-vous d'avoir créé les ressources AWS suivantes:

• Un IAM AWS utilisateur par Accès IAM à AWS pour les consoles de compte AWS déléguées et de collecteur.

• Le compte AWS ID pour un compte AWS que vous pouvez utiliser comme compte délégué. Si vous voulez Security Command Center pour détecter automatiquement les comptes AWS afin de trouver des ressources, délégué doit être associé à un AWS organisation et doit correspondre à l'un des éléments suivants:

  • Un compte de gestion AWS

  • Un administrateur délégué AWS.

  • Un compte AWS avec une délégation basée sur les ressources règlement qui fournit les autorisations organization et list. Exemple : consultez la section Exemple: Afficher l'organisation, les UO, les comptes et règles.

Configurer Security Command Center

1. Dans la console Google Cloud, accédez à la page de configuration.

   Accéder à la configuration

2. Sélectionnez l'organisation que vous avez activée Niveau de sécurité de Security Command Center Enterprise activé.

3. Cliquez sur Étape 3: Configurer le connecteur Amazon Web Services (AWS).

4. Dans ID de compte délégué, saisissez l'ID de compte AWS correspondant au compte AWS. que vous pouvez utiliser comme compte délégué.

5. Pour permettre à Sensitive Data Protection de profiler vos données AWS, conserver Accorder des autorisations pour la protection des données sensibles découverte sélectionnée. Cette option permet d'ajouter des autorisations IAM AWS Modèle CloudFormation pour le collecteur rôle.

   Autorisations IAM AWS accordées par cette option

   • s3:GetBucketLocation
   • s3:ListAllMyBuckets
   • s3:GetBucketPolicyStatus
   • s3:ListBucket
   • s3:GetObject
   • iam:ListAttachedRolePolicies
   • iam:GetPolicy
   • iam:GetPolicyVersion
   • iam:ListRolePolicies
   • iam:GetRolePolicy

   Cette option n'accorde que les autorisations AWS requises au rôle de collecteur. Pour profiler vos données AWS, activez les données sensibles découverte.

6. Si vous le souhaitez, examinez les options avancées.

7. Cliquez sur Continuer. La page Se connecter à AWS s'ouvre.

8. Effectuez l'une des actions suivantes :

   • Télécharger et examiner les modèles CloudFormation pour le rôle délégué et le rôle de collecteur.
   • Si vous avez configuré les options avancées ou si vous devez modifier la valeur AWS par défaut les noms de rôle (aws-delegated-role, aws-collector-role et aws-sensitive-data-protection-role), sélectionnez Configurer des comptes AWS manuellement. Copiez l'ID de l'agent de service, le nom du rôle délégué et le collecteur et le nom du rôle de collecteur de protection des données sensibles.

   Une fois la connexion créée, vous ne pouvez plus modifier les noms des rôles.

Ne cliquez pas sur Créer. À la place, configurer votre environnement AWS.

Configurer votre environnement AWS

Vous pouvez configurer votre environnement AWS à l'aide de l'une des méthodes suivantes:

• Utilisez les modèles CloudFormation que vous avez téléchargés Configurez Security Command Center. Pour savoir comment procéder, consultez Utilisez des modèles CloudFormation pour configurer votre environnement AWS.
• Si vous utilisez des paramètres ou des noms de rôles personnalisés, configurez l'AWS manuellement. Pour savoir comment procéder, consultez Configurez des comptes AWS manuellement.

Utiliser des modèles CloudFormation pour configurer votre environnement AWS

Si vous avez téléchargé des modèles CloudFormation, suivez ces étapes pour configurer votre environnement.

1. Connectez-vous au compte délégué AWS. console. Assurez-vous que que vous êtes connecté au compte délégué qui est utilisé pour supposer que d'autres collecteurs AWS.
2. Accédez à la page AWS CloudFormation Google Cloud.

3. Créez une pile à l'aide du fichier de modèle du rôle délégué. Pour plus d'informations, consultez la page Créer une pile à partir de ressources existantes à l'aide du module Console dans la documentation AWS.

   À mesure que vous parcourez les invites, procédez comme suit:

   1. Lorsque vous spécifiez un modèle, importez le rôle délégué fichier de modèle.
   2. Lorsque vous spécifiez les détails de la pile, saisissez un nom de pile.

   3. Vérifiez les paramètres. Assurez-vous que les rôles de délégué et de collecteur correspondent à ceux répertoriés sur la page Se connecter à AWS dans la console Google Cloud.

   4. Conformément aux exigences de votre organisation, mettez à jour les options de pile.

   Attendez que la pile soit créée. Si un problème survient, consultez Dépannage

   Si vous choisissez d'ajouter des comptes AWS individuellement (en désactivant la découverte automatique pour ), vous pouvez également créer des piles distinctes pour chaque compte AWS. de la création d'un seul ensemble de piles.

4. À l'aide d'un compte de gestion AWS ou d'un compte membre enregistré en tant que un administrateur délégué, créer un ensemble de piles. Pour en savoir plus, consultez Créer un ensemble de piles avec des ressources autorisations dans la documentation AWS.

   À mesure que vous parcourez les invites, procédez comme suit:

   1. Lorsque vous spécifiez un modèle, importez le modèle du rôle de collecteur .
   2. Lorsque vous spécifiez les détails du StackSet, vérifiez et mettez à jour le l'ID de compte et les noms des rôles délégués.
   3. Selon les exigences de votre organisation, configurez vos options d'ensemble de piles.

   4. Lorsque vous spécifiez les options de déploiement, choisissez vos cibles de déploiement. Vous pouvez effectuer le déploiement à l'échelle de l'organisation AWS qui inclut tous les comptes AWS auxquels à partir duquel vous collectez des données.

   5. Spécifiez les régions AWS dans lesquelles créer les rôles et les stratégies. Les rôles étant des ressources globales, il n'est pas nécessaire de spécifier plusieurs dans différentes régions.

   6. Modifiez d'autres paramètres si nécessaire.

   7. Examinez les modifications et créez l'ensemble de piles. Si vous recevez un message d'erreur, consultez la section Dépannage.

5. Déployez une pile distincte pour provisionner le rôle de collecteur le compte de gestion, car un ensemble de piles AWS CloudFormation ne crée pas et les instances de la pile au niveau d'un compte de gestion. Pour en savoir plus, consultez DeploymentTargets dans la documentation AWS.

Pour terminer le processus d'intégration, consultez Terminez le processus d'intégration.

Configurer des comptes AWS manuellement

Si vous ne pouvez pas utiliser les modèles CloudFormation (par exemple, si vous utilisez noms de rôles différents ou si vous personnalisez l'intégration), vous pouvez créer manuellement les stratégies IAM AWS requises et les rôles IAM AWS requis.

Vous devez créer des stratégies et des rôles IAM AWS pour le compte délégué et les comptes de collecteur.

Créer la stratégie AWS IAM pour le rôle délégué

Pour créer une stratégie AWS IAM pour le rôle délégué (une stratégie déléguée), procédez comme suit:

1. Connectez-vous au Console de compte délégué AWS.

2. Cliquez sur Règles > Créer une règle

3. Cliquez sur JSON et collez l'un des éléments suivants, selon que vous sélectionné l'option Accorder des autorisations pour la protection des données sensibles découverte dans Configurer Security Command Center.

   Accorder des autorisations pour la protection des données sensibles discovery: effacé

   {
     "Version": "2012-10-17",
     "Statement": [
         {
             "Action": "sts:AssumeRole",
             "Resource": "arn:aws:iam::*:role/COLLECTOR_ROLE_NAME",
             "Effect": "Allow"
         },
         {
             "Action": [
                 "organizations:List*",
                 "organizations:Describe*"
             ],
             "Resource": "*",
             "Effect": "Allow"
         }
     ]
   }
   

   Remplacez COLLECTOR_ROLE_NAME par le nom du que vous avez copié lors de la configuration de Security Command Center (le la valeur par défaut est aws-collector-role).

   Accorder des autorisations pour la protection des données sensibles discovery: sélectionné

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Action": "sts:AssumeRole",
         "Resource": [
           "arn:aws:iam::*:role/COLLECTOR_ROLE_NAME",
           "arn:aws:iam::*:role/SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME"
         ],
         "Effect": "Allow"
       },
       {
         "Action": [
           "organizations:List*",
           "organizations:Describe*"
         ],
         "Resource": "*",
         "Effect": "Allow"
       }
     ]
   }
   

   Remplacez les éléments suivants :

   • COLLECTOR_ROLE_NAME: nom du le rôle de collecteur de données de configuration que vous avez copié lors configurer Security Command Center (la valeur par défaut est aws-collector-role)
   • SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME: le nom du rôle de collecteur de protection des données sensibles que vous avez copié lors de la configurer Security Command Center (la valeur par défaut est aws-sensitive-data-protection-role)

4. Cliquez sur Suivant.

5. Dans la section Détails des règles, saisissez un nom et une description pour la .

6. Cliquez sur Créer une règle.

Créer un rôle AWS IAM pour la relation d'approbation entre AWS et Google Cloud

Créer un rôle délégué qui établit une relation de confiance entre AWS et Google Cloud. Ce rôle utilise la stratégie déléguée créée dans Créez la stratégie AWS IAM pour le rôle délégué.

1. Connectez-vous au Console de compte délégué AWS en tant qu'utilisateur AWS pouvant créer des rôles et des stratégies IAM.

2. Cliquez sur Rôles > Créer un rôle

3. Dans le champ Type d'entité approuvé, cliquez sur Identité Web.

4. Dans le champ Identity Provider (Fournisseur d'identité), cliquez sur Google.

5. Pour Audience, saisissez l'ID de compte de service que vous avez copié lorsque vous avez configuré Security Command Center. Cliquez sur Next (Suivant).

6. Pour accorder au rôle délégué l'accès aux rôles de collecteur, associez le des stratégies d'autorisation au rôle. Recherchez la règle déléguée créé dans Créer la stratégie AWS IAM pour le rôle délégué et sélectionnez-la.

7. Dans la section Détails du rôle, saisissez le nom du rôle délégué que que vous avez copiés lorsque vous Security Command Center configuré (le nom par défaut est aws-delegated-role).

8. Cliquez sur Créer un rôle.

Créer la stratégie AWS IAM pour collecter les données de configuration des éléments

Pour créer une stratégie AWS IAM pour collecter les données de configuration des éléments (un collecteur ), procédez comme suit:

1. Connectez-vous au Console du compte de collecteur AWS

2. Cliquez sur Règles > Créer une règle

3. Cliquez sur JSON et collez le contenu suivant:

   {
     "Version": "2012-10-17",
     "Statement": [
         {
             "Effect": "Allow",
             "Action": [
                 "ce:GetCostAndUsage",
                 "dynamodb:DescribeTableReplicaAutoScaling",
                 "identitystore:ListGroupMemberships",
                 "identitystore:ListGroups",
                 "identitystore:ListUsers",
                 "lambda:GetFunction",
                 "lambda:GetFunctionConcurrency",
                 "logs:ListTagsForResource",
                 "s3express:GetBucketPolicy",
                 "s3express:ListAllMyDirectoryBuckets",
                 "wafv2:GetIPSet"
             ],
             "Resource": [
                 "*"
             ]
         },
         {
             "Effect": "Allow",
             "Action": [
                 "apigateway:GET"
             ],
             "Resource": [
                 "arn:aws:apigateway:*::/usageplans",
                 "arn:aws:apigateway:*::/usageplans/*/keys",
                 "arn:aws:apigateway:*::/vpclinks/*"
             ]
         }
     ]
   
   }
   

4. Cliquez sur Suivant.

5. Dans la section Détails des règles, saisissez un nom et une description pour la .

6. Cliquez sur Créer une règle.

7. Répétez ces étapes pour chaque compte de collecteur.

Créer le rôle IAM AWS pour la collecte des données de configuration des éléments dans chaque compte

Créer le rôle de collecteur permettant à Security Command Center d'obtenir les données de configuration des éléments depuis AWS. Ce rôle utilise la stratégie de collecteur créée dans la section Créer le Stratégie IAM AWS pour les données de configuration des éléments collection.

1. Connectez-vous au Console du compte de collecteur AWS en tant qu'utilisateur pouvant créer des rôles IAM pour les comptes de collecteur.

2. Cliquez sur Rôles > Créer un rôle

3. Pour Type d'entité de confiance, cliquez sur Règle de confiance personnalisée.

4. Dans la section Règle de confiance personnalisée, collez le contenu suivant:

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
           "AWS": "arn:aws:iam::DELEGATE_ACCOUNT_ID:role/DELEGATE_ACCOUNT_ROLE"
         },
         "Action": "sts:AssumeRole"
       }
     ]
   }
   

   Remplacez les éléments suivants :

   • DELEGATE_ACCOUNT_ID: ID de compte AWS pour le compte délégué
   • DELEGATE_ACCOUNT_ROLE: nom du rôle délégué que que vous avez copiés lorsque vous Security Command Center configuré

5. Pour accorder à ce rôle de collecteur l'accès à vos données de configuration d'éléments AWS, associer les stratégies d'autorisation au rôle. Rechercher le collecteur personnalisé qui a été créée dans Créez la stratégie AWS IAM pour la collecte des données de configuration des éléments. et sélectionnez-la.

6. Recherchez et sélectionnez les règles gérées suivantes:

   • arn:aws:iam::aws:policy/job-function/ViewOnlyAccess
   • arn:aws:iam::aws:policy/SecurityAudit

7. Dans la section Role details (Détails du rôle), saisissez le nom des données de configuration. que vous avez copié lors de la configuration Security Command Center.

8. Cliquez sur Créer un rôle.

9. Répétez ces étapes pour chaque compte de collecteur.

Si vous avez sélectionné l'option Accorder des autorisations pour la protection des données sensibles découverte dans Configurer Security Command Center, puis passez .

Si vous n'avez pas activé l'option Accorder des autorisations pour la protection des données sensibles de découverte, puis complétez processus d'intégration.

Créer la stratégie AWS IAM pour la protection des données sensibles

Suivez ces étapes si vous avez sélectionné l'option Accorder des autorisations pour la protection des données sensibles découverte dans Configurer Security Command Center

Pour créer une stratégie AWS IAM pour Sensitive Data Protection (un collecteur ), procédez comme suit:

1. Connectez-vous au Console du compte de collecteur AWS

2. Cliquez sur Règles > Créer une règle

3. Cliquez sur JSON et collez le contenu suivant:

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Action": [
           "s3:GetBucketLocation",
           "s3:ListAllMyBuckets",
           "s3:GetBucketPolicyStatus",
           "s3:ListBucket",
           "s3:GetObject"
         ],
         "Resource": [
           "arn:aws:s3:::*"
         ]
       },
       {
         "Effect": "Allow",
         "Action": [
           "iam:ListAttachedRolePolicies",
           "iam:ListRolePolicies",
           "iam:GetPolicy",
           "iam:GetPolicyVersion",
           "iam:GetRolePolicy"
         ],
         "Resource": [
           "*"
         ]
       }
     ]
   }
   

4. Cliquez sur Suivant.

5. Dans la section Détails des règles, saisissez un nom et une description pour la .

6. Cliquez sur Créer une règle.

7. Répétez ces étapes pour chaque compte de collecteur.

Créer le rôle IAM AWS pour la protection des données sensibles dans chaque compte

Suivez ces étapes si vous avez sélectionné l'option Accorder des autorisations pour la protection des données sensibles découverte dans Configurer Security Command Center

Créez le rôle de collecteur qui permet à la protection des données sensibles de profiler le contenu de vos ressources AWS. Ce rôle utilise la stratégie de collecteur qui était dans Créer la stratégie AWS IAM pour Sensitive Data Protection.

1. Connectez-vous au Console du compte de collecteur AWS en tant qu'utilisateur pouvant créer des rôles IAM pour les comptes de collecteur.

2. Cliquez sur Rôles > Créer un rôle

3. Pour Type d'entité de confiance, cliquez sur Règle de confiance personnalisée.

4. Dans la section Règle de confiance personnalisée, collez le contenu suivant:

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
           "AWS": "arn:aws:iam::DELEGATE_ACCOUNT_ID:role/DELEGATE_ACCOUNT_ROLE"
         },
         "Action": "sts:AssumeRole"
       }
     ]
   }
   

   Remplacez les éléments suivants :

   • DELEGATE_ACCOUNT_ID: ID de compte AWS pour le délégué de compte
   • DELEGATE_ACCOUNT_ROLE: rôle délégué nom que vous avez copié lors de la configuration Security Command Center

5. Pour accorder à ce rôle de collecteur l'accès au contenu de vos ressources AWS, associer les stratégies d'autorisation au rôle. Rechercher le collecteur personnalisé que vous avez créée à l'étape Créer la stratégie IAM AWS pour Sensitive Data Protection et sélectionnez-la.

6. Dans la section Détails du rôle, saisissez le nom du rôle pour Protection des données sensibles que vous avez copiée lors de la configuration Security Command Center.

7. Cliquez sur Créer un rôle.

8. Répétez ces étapes pour chaque compte de collecteur.

Pour terminer le processus d'intégration, consultez Terminez le processus d'intégration.

Terminer le processus d'intégration

1. Dans la console Google Cloud, accédez à la page Ajouter un connecteur Amazon Web Services.

   Accéder au connecteur Amazon Web Services

2. Cliquez sur Tester le connecteur pour vérifier que Security Command Center peut se connecter dans votre environnement AWS. Si la connexion est établie, le test a déterminé que le rôle délégué dispose de toutes les autorisations requises les rôles de collecteur. Si la connexion échoue, consultez la section Dépannage lors du test de la connexion.

3. Cliquez sur Créer.

Configuration personnalisée

Cette section décrit quelques-unes des façons de personnaliser la connexion entre Security Command Center et AWS. Ces options sont disponibles dans la section Paramètres avancés options (facultatif) de la Ajouter un connecteur Amazon Web Services de la console Google Cloud.

Par défaut, Security Command Center détecte automatiquement vos comptes AWS Régions AWS. La connexion utilise Point de terminaison mondial par défaut pour AWS Security Token Service et les requêtes par seconde (RPS) par défaut pour le service AWS la surveillance. Ces options avancées vous permettent de personnaliser les valeurs par défaut.

Option	Description
Spécifier les comptes AWS à utiliser	Vous pouvez laisser Security Command Center détecter les comptes AWS automatiquement, ou vous pouvez fournir une liste de comptes AWS qu'il peut utiliser pour rechercher des ressources.
Spécifier les comptes AWS à exclure	Si vous autorisez Security Command Center à détecter automatiquement les comptes, vous pouvez fournir une liste de comptes AWS que Security Command Center ne peut pas utiliser pour rechercher des ressources.
Spécifiez les régions AWS à surveiller	Vous pouvez sélectionner une ou plusieurs régions AWS pour que Security Command Center surveiller. Laissez le champ Régions AWS vide pour pour surveiller toutes les régions.
Ignorer les requêtes par seconde (RPS) par défaut pour les services AWS	Vous pouvez modifier le nombre de RPS pour contrôler la limite de quota pour Security Command Center. Définissez le forçage sur une valeur inférieure à la valeur valeur par défaut pour ce service, et supérieure ou égale à 1. La valeur par défaut est la valeur maximale. Si vous modifiez les RPS, Security Command Center peut rencontrer des problèmes lors de la récupération des données. Par conséquent, nous vous déconseillons de la modifier.
Modifier le point de terminaison pour AWS Security Token Service	Vous pouvez spécifier un point de terminaison spécifique pour le Security Token Service (par exemple, https://sts.us-east-2.amazonaws.com). Quittez AWS Le champ Security Token Service (AWS STS) (facultatif) est vide pour pouvoir être utilisé le point de terminaison global par défaut (https://sts.amazonaws.com).

Dépannage

Cette section inclut quelques problèmes courants que vous pouvez rencontrer lorsque vous en intégrant Security Command Center à AWS.

Les ressources existent déjà

Cette erreur se produit dans l'environnement AWS lorsque vous essayez de créer l'IAM AWS et les rôles IAM AWS. Ce problème se produit lorsque le rôle existe déjà dans votre compte AWS et que vous essayez de le créer à nouveau.

Pour résoudre ce problème, procédez comme suit :

• Vérifier si le rôle ou la règle que vous créez existe déjà et répond aux exigences indiquées dans ce guide.
• Si nécessaire, modifiez le nom du rôle pour éviter tout conflit.

Compte principal non valide dans la règle

Cette erreur peut se produire dans l'environnement AWS lors de la création du collecteur mais le rôle de délégué n'existe pas encore.

Pour résoudre ce problème, suivez la procédure décrite dans Créer la stratégie AWS IAM pour le délégué et attendre que le rôle délégué avant de continuer.

Limites de limitation dans AWS

AWS limite les requêtes API pour chaque compte AWS au niveau d'un compte ou d'une région à la base. Pour s'assurer que ces limites ne sont pas dépassées lorsque Security Command Center collecte de configuration d'éléments provenant d'AWS, Security Command Center collecte les données de RPS maximum pour chaque service AWS, comme décrit dans la documentation de l'API pour la Service AWS.

Si vous rencontrez une limitation des requêtes dans votre environnement AWS en raison des RPS consommées, vous pouvez atténuer le problème en procédant comme suit:

• Dans les paramètres du connecteur AWS , définissez une RPS pour le service AWS qui rencontre des problèmes de limitation des requêtes.

• Limitez les autorisations du rôle de collecteur AWS afin que les données de ce rôle un service spécifique n'est plus collecté. Cette technique d'atténuation empêche les simulations de chemin d'attaque ne fonctionnent pas correctement pour AWS.

La révocation de toutes les autorisations dans AWS arrête le processus du collecteur de données immédiatement. La suppression du connecteur AWS n'entraîne pas l'arrêt immédiat des données du collecteur, mais il ne redémarrera pas une fois qu'il sera terminé.

Résoudre les erreurs lors du test de la connexion

Ces erreurs peuvent se produire lorsque vous testez la connexion Security Command Center et AWS.

AWS_FAILED_TO_ASSUME_DELEGATED_ROLE

La connexion n'est pas valide, car l'agent de service Google Cloud ne peut pas supposer le rôle délégué.

Pour résoudre ce problème, tenez compte des points suivants:

• Vérifiez que le rôle délégué existe. Pour le créer, consultez Créez un rôle AWS IAM pour la relation d'approbation entre AWS et Google Cloud.

• La stratégie intégrée du rôle délégué est manquante. Sans cela, l'agent de service ne peut pas en assumer le rôle. Pour vérifier que l'objet inline existe, consultez Créez un rôle AWS IAM pour la relation d'approbation entre AWS et Google Cloud.

AWS_FAILED_TO_LIST_ACCOUNTS

La connexion n'est pas valide car la découverte automatique est activée et la délégation ne peut pas obtenir tous les comptes AWS des organisations.

Ce problème indique que la stratégie d'autorisation L'action organizations:ListAccounts appliquée au rôle délégué est manquante sur certains ressources. Pour résoudre ce problème, vérifiez quelles ressources sont manquantes. Pour effectuer la validation les paramètres de la règle déléguée, consultez Créez la stratégie AWS IAM pour le rôle délégué.

AWS_INVALID_COLLECTOR_ACCOUNTS

La connexion n'est pas valide, car il existe des comptes de collecteur non valides. La affiche des informations supplémentaires sur les causes possibles, parmi lesquelles : les éléments suivants:

• AWS_FAILED_TO_ASSUME_COLLECTOR_ROLE
• AWS_COLLECTOR_ROLE_POLICY_MISSING_REQUIRED_PERMISSION

AWS_FAILED_TO_ASSUME_COLLECTOR_ROLE

Le compte de collecteur n'est pas valide, car le rôle délégué ne peut pas supposer que le compte le rôle de collecteur dans le compte de collecteur.

Pour résoudre ce problème, tenez compte des points suivants:

• Vérifiez que le rôle de collecteur existe.

  • Pour créer le rôle de collecteur pour les données de configuration des éléments, consultez la section Créer le rôle Rôle IAM AWS pour la collecte des données de configuration des éléments dans chaque compte.
  • Pour créer le rôle de collecteur pour la protection des données sensibles, consultez la section Créer le rôle IAM AWS pour la protection des données sensibles dans chaque compte.

• Règle permettant au rôle délégué d'assumer le collecteur est manquant. Pour vérifier que la règle existe, consultez Créez la stratégie AWS IAM pour le rôle délégué.

AWS_COLLECTOR_ROLE_POLICY_MISSING_REQUIRED_PERMISSION

La connexion n'est pas valide car la stratégie de collecteur ne contient pas certains des et les paramètres d'autorisation requis.

Pour résoudre ce problème, prenez en compte les causes suivantes:

• Certaines des stratégies AWS gérées requises peuvent ne pas être associées au de collecteur pour les données de configuration des éléments. Pour vérifier que toutes les stratégies consultez l'étape 6 de la section Créer le rôle AWS IAM pour la configuration des éléments la collecte de données compte.

• L'un des problèmes suivants peut se produire avec une stratégie de collecteur:

  • La stratégie de collecteur n'existe peut-être pas.
  • La stratégie de collecteur n'est pas associée au rôle de collecteur.
  • La stratégie de collecteur n'inclut pas toutes les autorisations requises.

  Pour résoudre les problèmes liés à une stratégie de collecteur, consultez les pages suivantes:

  • Créer la stratégie AWS IAM pour les données de configuration des éléments collection
  • Créez la stratégie AWS IAM pour Sensitive Data Protection

Étape suivante

• Passez à l'étape 4 du guide de configuration console.
• Examinez et corrigez les failles identifiées par AWS.
• Créez et gérez un compte de sécurité pour AWS.
• Créer des simulations de chemin d'attaque pour AWS ressources.
• Cartographier la conformité d'AWS des ressources à l'aide les normes et les benchmarks.