Verbindung zu AWS zur Erkennung von Sicherheitslücken und zur Risikobewertung herstellen

Sie können die Security Command Center Enterprise-Stufe mit Ihrer AWS-Umgebung verbinden, können Sie Folgendes tun:

• Sicherheitslücken und Fehlkonfigurationen in der Software erkennen und beheben in Ihrer AWS-Umgebung
• Sicherheitsstatus für AWS erstellen und verwalten
• Identifizieren Sie potenzielle Angriffspfade vom öffentlichen Internet zu Ihren hochwertigen AWS-Assets
• Zuordnung der Compliance von AWS-Ressourcen zu verschiedenen Standards und Benchmarks

Durch die Verbindung von Security Command Center mit AWS wird ein zentraler Ort für Ihre Sicherheit geschaffen um Bedrohungen und Schwachstellen Google Cloud und AWS.

Damit Security Command Center Ihre AWS-Organisation überwachen kann, müssen Sie eine Verbindung über einen Google Cloud-Dienst-Agent und ein AWS-Konto mit Zugriff auf die Ressourcen, die Sie überwachen möchten. Security Command Center nutzt diese Verbindung, um regelmäßig Daten in allen AWS-Konten und Regionen, die Sie definieren.

In diesem Dokument wird beschrieben, wie Sie die Verbindung mit AWS einrichten. Bei der Einrichtung eine Verbindung, konfigurieren Sie Folgendes:

• Eine Reihe von Konten in AWS, die direkten Zugriff auf AWS haben die Sie überwachen möchten. In der Google Cloud Console werden als Sammlerkonten bezeichnet.
• Ein Konto in AWS mit den entsprechenden Richtlinien und Rollen, die zugelassen werden sollen Authentifizierung bei Collector-Konten. In der Google Cloud Console Dieses Konto wird als delegiertes Konto bezeichnet. Sowohl das delegierte Konto und die Collector-Konten müssen sich in derselben AWS-Organisation befinden.
• Ein Dienst-Agent in Google Cloud, der eine Verbindung zum delegierten Netzwerk herstellt für die Authentifizierung.
• Pipeline zum Erfassen von Asset-Daten aus AWS-Ressourcen.
• (Optional) Berechtigungen für den Schutz sensibler Daten für ein Profil Ihre AWS-Inhalte.

Diese Verbindung gilt nicht für die SIEM-Funktionen von Security Command Center mit dem Sie AWS-Logs zur Bedrohungserkennung aufnehmen können.

Das folgende Diagramm zeigt diese Konfiguration. Das Mandantenprojekt ist ein Projekt das automatisch erstellt wird und die Pipeline zur Asset-Datenerfassung enthält Instanz.

Hinweise

Führen Sie diese Schritte aus, bevor Sie die verbleibenden Aufgaben auf dieser Seite ausführen.

Security Command Center Enterprise-Stufe aktivieren

Führen Sie Schritt 1 und Schritt 2 des Einrichtungsleitfadens aus, um Security Command Center zu aktivieren Enterprise-Stufe

Berechtigungen einrichten

Um die Berechtigungen zu erhalten, die Sie zur Verwendung des AWS-Connectors benötigen, bitten Sie Ihren Administrator, Ihnen IAM-Rolle Cloud Asset Owner (roles/cloudasset.owner) Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

AWS-Konten erstellen

Achten Sie darauf, dass Sie die folgenden AWS-Ressourcen erstellt haben:

• AWS IAM Nutzer mit AWS-IAM-Zugriff für die AWS-Kontokonsolen des Bevollmächtigten und des Collectors.

• AWS-Konto ID für ein AWS-Konto, das Sie als delegiertes Konto verwenden können. Bei Bedarf Security Command Center zur automatischen Erkennung von AWS-Konten, um Ressourcen zu finden. muss ein delegiertes Konto an ein AWS-Konto Organisation und einer der folgenden Werte sein:

  • Ein AWS-Verwaltungskonto

  • Ein delegierter AWS-Administrator.

  • Ein AWS-Konto mit ressourcenbasierter Delegierung Richtlinie mit den Berechtigungen organization und list. Beispiel finden Sie unter Beispiel: Organisation, Organisationseinheiten, Konten und Richtlinien.

Security Command Center konfigurieren

1. Rufen Sie in der Google Cloud Console die Seite für die Einrichtung auf.

   Zur Einrichtung

2. Wählen Sie die aktivierte Organisation aus Security Command Center Enterprise-Stufe aktiviert.

3. Klicken Sie auf Schritt 3: Amazon Web Services-Connector (AWS) einrichten.

4. Geben Sie unter Delegierte Konto-ID die AWS-Konto-ID für das AWS-Konto ein. Konto, das Sie als delegiertes Konto verwenden können.

5. Damit Sensitive Data Protection ein Profil für Ihre AWS-Daten erstellt, Google Notizen Berechtigungen für den Schutz sensibler Daten gewähren Erkennung ausgewählt. Mit dieser Option werden AWS IAM-Berechtigungen in der CloudFormation-Vorlage für den Collector Rolle.

   Durch diese Option gewährte AWS IAM-Berechtigungen

   • s3:GetBucketLocation
   • s3:ListAllMyBuckets
   • s3:GetBucketPolicyStatus
   • s3:ListBucket
   • s3:GetObject
   • iam:ListAttachedRolePolicies
   • iam:GetPolicy
   • iam:GetPolicyVersion
   • iam:ListRolePolicies
   • iam:GetRolePolicy

   Mit dieser Option werden der Collector-Rolle nur die erforderlichen AWS-Berechtigungen gewährt. Aktivieren Sie sensible Daten, um ein Profil für AWS-Daten zu erstellen. gefunden werden.

6. Sehen Sie sich optional die erweiterten Optionen an.

7. Klicken Sie auf Weiter. Die Seite Mit AWS verbinden wird geöffnet.

8. Führen Sie einen dieser Schritte aus:

   • CloudFormation-Vorlagen für die delegierte Rolle herunterladen und prüfen und die Collector-Rolle.
   • Wenn Sie die erweiterten Optionen konfiguriert haben oder das Standard-AWS ändern müssen Rollennamen (aws-delegated-role, aws-collector-role und aws-sensitive-data-protection-role) wählen Sie AWS-Konten konfigurieren aus. manuell. Dienst-Agent-ID, delegierter Rollenname und Collector kopieren und den Namen der Collector-Rolle für den Schutz sensibler Daten.

   Sie können die Rollennamen nach dem Erstellen der Verbindung nicht mehr ändern.

Klicken Sie nicht auf Erstellen. Stattdessen Konfigurieren Sie Ihre AWS-Umgebung.

AWS-Umgebung konfigurieren

Sie können Ihre AWS-Umgebung mit einer der folgenden Methoden einrichten:

• CloudFormation-Vorlagen verwenden, die Sie in Security Command Center konfigurieren Anweisungen finden Sie unter Richten Sie Ihre AWS-Umgebung mit CloudFormation-Vorlagen ein.
• Wenn Sie benutzerdefinierte Einstellungen oder Rollennamen verwenden, konfigurieren Sie den AWS manuell verwalten. Anweisungen finden Sie unter Konfigurieren Sie AWS-Konten manuell.

AWS-Umgebung mit CloudFormation-Vorlagen einrichten

Wenn Sie CloudFormation-Vorlagen heruntergeladen haben, führen Sie die folgenden Schritte aus, um AWS einzurichten. zu verbessern.

1. Melden Sie sich im AWS Delegate-Konto an. Console Achten Sie darauf, dass Sie in dem bevollmächtigten Konto angemeldet sind, über das andere Collector-AWS-Konten.
2. Rufen Sie AWS CloudFormation auf. Vorlagenkonsole.

3. Erstellen Sie mithilfe der delegierten Rollenvorlagendatei einen Stapel. Weitere Informationen Siehe Stapel aus vorhandenen Ressourcen mit AWS Management erstellen Konsole finden Sie in der AWS-Dokumentation.

   Gehen Sie die Aufforderungen durch:

   1. Beim Angeben einer Vorlage die delegierte Rolle hochladen Vorlagendatei.
   2. Geben Sie bei der Angabe der Stapeldetails einen Stapelnamen ein.

   3. Überprüfen Sie die Parameter. Die Rolle „Delegat“ und „Collector“ muss aktiviert sein Namen mit denen auf der Seite Mit AWS verbinden übereinstimmen. in der Google Cloud Console.

   4. Aktualisieren Sie die Stapeloptionen gemäß den Anforderungen Ihrer Organisation.

   Warten Sie, bis der Stapel erstellt wurde. Wenn ein Problem auftritt, siehe Fehlerbehebung

   Wenn Sie AWS-Konten einzeln hinzufügen (durch Deaktivieren der automatischen Erkennung für Konten) können Sie auch separate Stacks für jedes AWS-Konto erstellen. wie Sie einen einzelnen Stack-Satz erstellen.

4. Die Verwendung eines AWS-Verwaltungskontos oder eines anderen Mitgliedskontos, das als erstellen Sie einen Stack-Satz. Weitere Informationen finden Sie unter Stackset mit Dienstverwaltet erstellen Berechtigungen finden Sie in der AWS-Dokumentation.

   Gehen Sie die Aufforderungen durch:

   1. Wenn Sie eine Vorlage angeben, laden Sie die Collector-Rollenvorlage hoch -Datei.
   2. Überprüfen und aktualisieren Sie beim Angeben der StackSet-Details Konto-ID und Rollennamen zu delegieren.
   3. Konfigurieren Sie die Optionen für die Stapelgruppe entsprechend den Anforderungen Ihrer Organisation.

   4. Wenn Sie die Bereitstellungsoptionen angeben, wählen Sie Ihre Bereitstellungsziele aus. Sie können die Bereitstellung in der gesamten AWS-Organisation oder in einer Organisationseinheit, die alle AWS-Konten enthält, die Sie Daten sammeln.

   5. Geben Sie die AWS-Regionen an, in denen die Rollen und Richtlinien erstellt werden sollen. Da Rollen globale Ressourcen sind, müssen Sie nicht mehrere Regionen.

   6. Ändern Sie bei Bedarf weitere Einstellungen.

   7. Prüfen Sie die Änderungen und erstellen Sie die Stapelgruppe. Wenn Sie eine Fehlermeldung erhalten, Weitere Informationen zur Fehlerbehebung

5. Separaten Stack bereitstellen, um die Collector-Rolle bereitzustellen unter da eine AWS CloudFormation-Stack-Gruppe keine Stack-Instanzen unter einem Verwaltungskonto. Weitere Informationen finden Sie unter DeploymentTargets finden Sie in der AWS-Dokumentation.

Informationen zum Abschließen des Integrationsprozesses finden Sie unter Schließen Sie den Integrationsprozess ab.

AWS-Konten manuell konfigurieren

Wenn Sie die CloudFormation-Vorlagen nicht verwenden können, z. B. Rollennamen ändern oder die Integration anpassen), können Sie den erforderliche AWS IAM-Richtlinien und AWS IAM-Rollen manuell.

Sie müssen AWS IAM-Richtlinien und AWS IAM-Rollen für das delegierte Konto erstellen und die Collector-Konten.

AWS-IAM-Richtlinie für die delegierte Rolle erstellen

So erstellen Sie eine AWS-IAM-Richtlinie für die delegierte Rolle (eine delegierte Richtlinie): führen Sie folgende Schritte aus:

1. Melden Sie sich in der AWS delegieren Konto-Konsole

2. Klicken Sie auf Richtlinien > Richtlinie erstellen.

3. Klicken Sie auf JSON und fügen Sie einen der folgenden Werte ein, je nachdem, die Option Berechtigungen für den Schutz sensibler Daten gewähren Erkennung unter Konfigurieren Security Command Center

   Berechtigungen für den Schutz sensibler Daten gewähren Entdeckung: gelöscht

   {
     "Version": "2012-10-17",
     "Statement": [
         {
             "Action": "sts:AssumeRole",
             "Resource": "arn:aws:iam::*:role/COLLECTOR_ROLE_NAME",
             "Effect": "Allow"
         },
         {
             "Action": [
                 "organizations:List*",
                 "organizations:Describe*"
             ],
             "Resource": "*",
             "Effect": "Allow"
         }
     ]
   }
   

   Ersetzen Sie COLLECTOR_ROLE_NAME durch den Namen des Collector-Rolle, die Sie beim Konfigurieren von Security Command Center kopiert haben (die Standardwert ist aws-collector-role).

   Berechtigungen für den Schutz sensibler Daten gewähren Erkennung: ausgewählt

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Action": "sts:AssumeRole",
         "Resource": [
           "arn:aws:iam::*:role/COLLECTOR_ROLE_NAME",
           "arn:aws:iam::*:role/SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME"
         ],
         "Effect": "Allow"
       },
       {
         "Action": [
           "organizations:List*",
           "organizations:Describe*"
         ],
         "Resource": "*",
         "Effect": "Allow"
       }
     ]
   }
   

   Ersetzen Sie Folgendes:

   • COLLECTOR_ROLE_NAME: der Name des Konfigurationsdaten-Collector-Rolle, die Sie kopiert haben, als Sie Security Command Center konfigurieren (Standardwert ist aws-collector-role)
   • SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME: die Name der Collector-Rolle für den Schutz sensibler Daten, die Sie beim Kopieren kopiert haben Security Command Center konfigurieren (Standardwert ist aws-sensitive-data-protection-role)

4. Klicken Sie auf Weiter.

5. Geben Sie im Abschnitt Richtliniendetails einen Namen und eine Beschreibung für das .

6. Klicken Sie auf Richtlinie erstellen.

AWS-IAM-Rolle für die Vertrauensbeziehung zwischen AWS und Google Cloud erstellen

Erstellen Sie eine delegierte Rolle, die eine vertrauenswürdige Beziehung zwischen AWS und Google Cloud Diese Rolle verwendet die delegierte Richtlinie, die erstellt wurde in Erstellen Sie die AWS-IAM-Richtlinie für die delegierte Rolle.

1. Melden Sie sich in der Konsole zum Delegieren von AWS-Konten als AWS-Nutzer, der IAM-Rollen und -Richtlinien erstellen kann.

2. Klicken Sie auf Rollen > Rolle erstellen.

3. Klicken Sie unter Typ der vertrauenswürdigen Entität auf Webidentität.

4. Klicken Sie unter Identity Provider (Identitätsanbieter) auf Google.

5. Geben Sie unter Zielgruppe die Dienstkonto-ID ein, die Sie beim Erstellen der Kampagne kopiert haben. das Security Command Center konfiguriert haben. Klicken Sie auf Weiter.

6. Um der delegierten Rolle Zugriff auf die Collector-Rollen zu gewähren, hängen Sie die für die Rolle festlegen. Suchen Sie nach der delegierten Richtlinie, die erstellt in Erstellen Sie die AWS-IAM-Richtlinie für die delegierte Rolle. und wählen Sie es aus.

7. Geben Sie im Abschnitt Rollendetails den Namen der delegierten Rolle ein, die die Sie kopiert haben, Sicherheitsbefehlszentrale konfiguriert (Der Standardname ist aws-delegated-role.)

8. Klicken Sie auf Rolle erstellen.

AWS-IAM-Richtlinie für die Erfassung von Asset-Konfigurationsdaten erstellen

So erstellen Sie eine AWS-IAM-Richtlinie für die Erfassung von Asset-Konfigurationsdaten (ein Collector) entsprechen, führen Sie folgende Schritte aus:

1. Melden Sie sich in der AWS-Collector-Kontokonsole

2. Klicken Sie auf Richtlinien > Richtlinie erstellen.

3. Klicken Sie auf JSON und fügen Sie Folgendes ein:

   {
     "Version": "2012-10-17",
     "Statement": [
         {
             "Effect": "Allow",
             "Action": [
                 "ce:GetCostAndUsage",
                 "dynamodb:DescribeTableReplicaAutoScaling",
                 "identitystore:ListGroupMemberships",
                 "identitystore:ListGroups",
                 "identitystore:ListUsers",
                 "lambda:GetFunction",
                 "lambda:GetFunctionConcurrency",
                 "logs:ListTagsForResource",
                 "s3express:GetBucketPolicy",
                 "s3express:ListAllMyDirectoryBuckets",
                 "wafv2:GetIPSet"
             ],
             "Resource": [
                 "*"
             ]
         },
         {
             "Effect": "Allow",
             "Action": [
                 "apigateway:GET"
             ],
             "Resource": [
                 "arn:aws:apigateway:*::/usageplans",
                 "arn:aws:apigateway:*::/usageplans/*/keys",
                 "arn:aws:apigateway:*::/vpclinks/*"
             ]
         }
     ]
   
   }
   

4. Klicken Sie auf Weiter.

5. Geben Sie im Abschnitt Richtliniendetails einen Namen und eine Beschreibung für das .

6. Klicken Sie auf Richtlinie erstellen.

7. Wiederholen Sie diese Schritte für jedes Collector-Konto.

AWS IAM-Rolle für die Erfassung von Asset-Konfigurationsdaten in jedem Konto erstellen

Collector-Rolle erstellen, mit der Security Command Center Asset-Konfigurationsdaten abrufen kann von AWS. Diese Rolle verwendet die Collector-Richtlinie, die in Erstellen der AWS-IAM-Richtlinie für Asset-Konfigurationsdaten erfasst werden.

1. Melden Sie sich in der AWS-Collector-Kontokonsole als Nutzer, der IAM-Rollen für die Collector-Konten erstellen kann.

2. Klicken Sie auf Rollen > Rolle erstellen.

3. Klicken Sie unter Typ der vertrauenswürdigen Entität auf Benutzerdefinierte Vertrauensrichtlinie.

4. Fügen Sie im Abschnitt Benutzerdefinierte Vertrauensrichtlinie Folgendes ein:

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
           "AWS": "arn:aws:iam::DELEGATE_ACCOUNT_ID:role/DELEGATE_ACCOUNT_ROLE"
         },
         "Action": "sts:AssumeRole"
       }
     ]
   }
   

   Ersetzen Sie Folgendes:

   • DELEGATE_ACCOUNT_ID: die AWS-Konto-ID für das delegierte Konto
   • DELEGATE_ACCOUNT_ROLE: der delegierte Rollenname, der die Sie kopiert haben, das Security Command Center konfiguriert haben.

5. So gewähren Sie dieser Collector-Rolle Zugriff auf Ihre AWS-Asset-Konfigurationsdaten: die Berechtigungsrichtlinien an die Rolle anhängen. Nach dem benutzerdefinierten Collector suchen Richtlinie erstellt in Erstellen Sie die AWS-IAM-Richtlinie für die Erfassung von Asset-Konfigurationsdaten. und wählen Sie es aus.

6. Suchen Sie nach den folgenden verwalteten Richtlinien und wählen Sie sie aus:

   • arn:aws:iam::aws:policy/job-function/ViewOnlyAccess
   • arn:aws:iam::aws:policy/SecurityAudit

7. Geben Sie im Abschnitt Rollendetails den Namen der Konfigurationsdaten ein. Collector-Rolle, die Sie bei der Konfiguration Security Command Center.

8. Klicken Sie auf Rolle erstellen.

9. Wiederholen Sie diese Schritte für jedes Collector-Konto.

Wenn Sie die Option Berechtigungen für Sensitive Data Protection gewähren Erkennung unter Konfigurieren Security Command Center und fahren Sie dann mit dem nächsten .

Wenn Sie die Option Berechtigungen für Sensitive Data Protection gewähren nicht aktiviert haben Discovery-Kästchen und füllen Sie die Integrationsprozess.

AWS-IAM-Richtlinie für Sensitive Data Protection erstellen

Führen Sie diese Schritte aus, wenn Sie die Option Berechtigungen für Sensitive Data Protection gewähren Discovery-Kästchen Security Command Center konfigurieren

So erstellen Sie eine AWS-IAM-Richtlinie für Sensitive Data Protection (ein Collector) entsprechen, führen Sie folgende Schritte aus:

1. Melden Sie sich in der AWS-Collector-Kontokonsole

2. Klicken Sie auf Richtlinien > Richtlinie erstellen.

3. Klicken Sie auf JSON und fügen Sie Folgendes ein:

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Action": [
           "s3:GetBucketLocation",
           "s3:ListAllMyBuckets",
           "s3:GetBucketPolicyStatus",
           "s3:ListBucket",
           "s3:GetObject"
         ],
         "Resource": [
           "arn:aws:s3:::*"
         ]
       },
       {
         "Effect": "Allow",
         "Action": [
           "iam:ListAttachedRolePolicies",
           "iam:ListRolePolicies",
           "iam:GetPolicy",
           "iam:GetPolicyVersion",
           "iam:GetRolePolicy"
         ],
         "Resource": [
           "*"
         ]
       }
     ]
   }
   

4. Klicken Sie auf Weiter.

5. Geben Sie im Abschnitt Richtliniendetails einen Namen und eine Beschreibung für das .

6. Klicken Sie auf Richtlinie erstellen.

7. Wiederholen Sie diese Schritte für jedes Collector-Konto.

AWS IAM-Rolle für Sensitive Data Protection in jedem Konto erstellen

Führen Sie diese Schritte aus, wenn Sie die Option Berechtigungen für Sensitive Data Protection gewähren Discovery-Kästchen Security Command Center konfigurieren

Erstellen Sie die Collector-Rolle, mit der Sensitive Data Protection ein Profil Inhalte Ihrer AWS-Ressourcen. Diese Rolle verwendet die Collector-Richtlinie, die die unter AWS-IAM-Richtlinie erstellen für Schutz sensibler Daten

1. Melden Sie sich in der AWS-Collector-Kontokonsole als Nutzer, der IAM-Rollen für Collector-Konten erstellen kann.

2. Klicken Sie auf Rollen > Rolle erstellen.

3. Klicken Sie unter Typ der vertrauenswürdigen Entität auf Benutzerdefinierte Vertrauensrichtlinie.

4. Fügen Sie im Abschnitt Benutzerdefinierte Vertrauensrichtlinie Folgendes ein:

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
           "AWS": "arn:aws:iam::DELEGATE_ACCOUNT_ID:role/DELEGATE_ACCOUNT_ROLE"
         },
         "Action": "sts:AssumeRole"
       }
     ]
   }
   

   Ersetzen Sie Folgendes:

   • DELEGATE_ACCOUNT_ID: die AWS-Konto-ID für das bevollmächtigtes Konto
   • DELEGATE_ACCOUNT_ROLE: die delegierte Rolle Name, den Sie bei der Konfiguration Security Command Center

5. So gewähren Sie dieser Collector-Rolle Zugriff auf die Inhalte Ihrer AWS-Ressourcen: die Berechtigungsrichtlinien an die Rolle anhängen. Nach dem benutzerdefinierten Collector suchen Richtlinie, die unter AWS-IAM-Richtlinie erstellen für Schutz sensibler Daten und wählen Sie es aus.

6. Geben Sie im Abschnitt Rollendetails den Namen der Rolle für Schutz sensibler Daten, den Sie bei der Konfiguration Security Command Center.

7. Klicken Sie auf Rolle erstellen.

8. Wiederholen Sie diese Schritte für jedes Collector-Konto.

Informationen zum Abschließen des Integrationsprozesses finden Sie unter Schließen Sie den Integrationsprozess ab.

Integration abschließen

1. Rufen Sie in der Google Cloud Console die Seite Amazon Web Services-Connector hinzufügen auf.

   Zum Amazon Web Services-Connector

2. Klicken Sie auf Connector testen, um zu prüfen, ob Security Command Center eine Verbindung zu diesem herstellen kann. Ihre AWS-Umgebung. Wenn die Verbindung hergestellt wurde, hat der Test dass die delegierte Rolle alle erforderlichen Berechtigungen hat, um Collector-Rollen. Wenn die Verbindung nicht hergestellt werden konnte, lesen Sie die Informationen unter Fehlerbehebung. Fehler beim Testen der Verbindung.

3. Klicken Sie auf Erstellen.

Benutzerdefinierte Konfiguration

In diesem Abschnitt werden einige Möglichkeiten zum Anpassen der Verbindung beschrieben. zwischen Security Command Center und AWS. Diese Optionen sind auf der Seite Erweiterte Optionen (optional) des Amazon Web Services-Connector hinzufügen in der Google Cloud Console.

Standardmäßig erkennt Security Command Center Ihre AWS-Konten automatisch auf allen AWS-Regionen. Die Verbindung verwendet den Globaler Standardendpunkt für den AWS Security Token Service und die Standardabfragen pro Sekunde (Queries per Second, QPS) für den AWS-Dienst, den Sie des Monitorings. Mit diesen erweiterten Optionen können Sie die Standardeinstellungen anpassen.

Option	Beschreibung
Angeben, welche AWS-Konten verwendet werden sollen	Sie können Security Command Center die AWS-Konten automatisch erkennen lassen oder eine Liste von AWS-Konten bereitstellen, mit denen Security Command Center Ressourcen finden kann.
Geben Sie an, welche AWS-Konten ausgeschlossen werden sollen	Wenn Sie Security Command Center automatisch Konten erkennen lassen, können Sie eine Liste von AWS-Konten angeben, die Security Command Center zum Auffinden von Ressourcen nicht verwenden kann.
Geben Sie an, welche AWS-Regionen überwacht werden sollen	Sie können eine oder mehrere AWS-Regionen für Security Command Center auswählen, um überwachen. Lassen Sie das Feld AWS regions (AWS-Regionen) leer: überwachen Sie alle Regionen.
Standardabfragen pro Sekunde für AWS-Dienste überschreiben	Sie können die Anzahl der Abfragen pro Sekunde ändern, um das Kontingentlimit für Security Command Center. Legen Sie für die Überschreibung einen Wert fest, der kleiner als der Wert ist Standardwert für diesen Dienst und größer oder gleich 1. Der Standardwert ist der Maximalwert. Wenn Sie die Abfragen pro Sekunde ändern, kann Security Command Center Probleme beim Abrufen von Daten haben. Es ist daher nicht empfehlenswert, diesen Wert zu ändern.
Endpunkt für AWS Security Token Service ändern	Sie können einen bestimmten Endpunkt für AWS angeben Security Token Service (z. B. https://sts.us-east-2.amazonaws.com). AWS verlassen Das Feld Security Token Service (AWS STS) (optional) ist leer. den standardmäßigen globalen Endpunkt (https://sts.amazonaws.com).

Fehlerbehebung

Dieser Abschnitt enthält einige häufige Probleme, die auftreten können, wenn Sie Security Command Center in AWS integrieren.

Ressourcen sind bereits vorhanden

Dieser Fehler tritt in der AWS-Umgebung auf, wenn Sie versuchen, das AWS-IAM zu erstellen Richtlinien und AWS IAM-Rollen. Dieses Problem tritt auf, wenn die Rolle bereits in und versuchen, es erneut zu erstellen.

So beheben Sie das Problem:

• Prüfen, ob die Rolle oder Richtlinie, die Sie erstellen, bereits vorhanden ist und die in diesem Leitfaden aufgeführten Anforderungen erfüllt.
• Ändern Sie bei Bedarf den Rollennamen, um Konflikte zu vermeiden.

Ungültiges Hauptkonto in Richtlinie

Dieser Fehler kann in der AWS-Umgebung auftreten, wenn Sie den Collector erstellen Rollen, aber die Rolle "Delegieren" ist noch nicht vorhanden.

Um dieses Problem zu beheben, führen Sie die Schritte unter AWS-IAM-Richtlinie erstellen für die delegierte Rolle und warten, bis die Delegatrolle erstellt wird, bevor Sie fortfahren.

Drosselungseinschränkungen in AWS

AWS drosselt API-Anfragen für jedes AWS-Konto pro Konto oder Region zu verstehen. Damit diese Limits nicht überschritten werden, wenn Security Command Center Daten erhebt Asset-Konfigurationsdaten von AWS erhalten, erfasst Security Command Center die Daten zu einem festen für jeden AWS-Dienst eine maximale Anzahl von Abfragen pro Sekunde, wie in der API-Dokumentation für den AWS-Dienst.

Wenn in Ihrer AWS-Umgebung aufgrund der Abfragen pro Sekunde eine Anfragedrosselung auftritt können Sie das Problem so beheben:

• In den Einstellungen des AWS-Connectors , legen Sie eine benutzerdefinierte Abfragen pro Sekunde für den AWS-Dienst, bei dem Probleme mit der Anfragedrosselung auftreten.

• Schränken Sie die Berechtigungen der AWS-Collector-Rolle so ein, dass die Daten aus dieser nicht mehr erfasst. Diese Risikominderungstechnik verhindert, dass die Angriffspfadsimulationen für AWS nicht ordnungsgemäß funktionieren.

Durch den Widerruf aller Berechtigungen in AWS wird der Daten-Collector-Prozess angehalten sofort. Durch das Löschen des AWS-Connectors werden die Daten nicht sofort gestoppt Collector-Prozess, aber er startet nach Abschluss nicht wieder.

Fehlerbehebung beim Testen der Verbindung

Diese Fehler können auftreten, wenn Sie die Verbindung zwischen Security Command Center und AWS.

AWS_FAILED_TO_ASSUME_DELEGATED_ROLE

Die Verbindung ist ungültig, da der Google Cloud-Dienst-Agent nicht voraussetzen kann die delegierte Rolle.

Gehen Sie so vor, um dieses Problem zu beheben:

• Prüfen Sie, ob die delegierte Rolle vorhanden ist. Informationen zum Erstellen finden Sie unter Erstellen Sie eine AWS-IAM-Rolle für die Vertrauensbeziehung zwischen AWS und Google Cloud.

• Die Inline-Richtlinie der delegierten Rolle fehlt. Ohne sie kann der Dienst-Agent die Rolle nicht übernehmen. Um zu überprüfen, ob die Inline- Richtlinie existiert, siehe Erstellen Sie eine AWS-IAM-Rolle für die Vertrauensbeziehung zwischen AWS und Google Cloud.

AWS_FAILED_TO_LIST_ACCOUNTS

Die Verbindung ist ungültig, da die automatische Erkennung aktiviert und der delegierte Dienst nicht alle AWS-Konten in den Organisationen abrufen.

Dieses Problem bedeutet, dass die Richtlinie Aktion „organizations:ListAccounts“ für die delegierte Rolle fehlt bei bestimmten Ressourcen. Prüfen Sie, welche Ressourcen fehlen, um dieses Problem zu beheben. Zur Bestätigung Die Einstellungen für die delegierte Richtlinie finden Sie unter Erstellen Sie die AWS-IAM-Richtlinie für die delegierte Rolle.

AWS_INVALID_COLLECTOR_ACCOUNTS

Die Verbindung ist ungültig, da ungültige Collector-Konten vorhanden sind. Die enthält weitere Informationen über mögliche Ursachen, einschließlich Folgendes:

• AWS_FAILED_TO_ASSUME_COLLECTOR_ROLE
• AWS_COLLECTOR_ROLE_POLICY_MISSING_REQUIRED_PERMISSION

AWS_FAILED_TO_ASSUME_COLLECTOR_ROLE

Das Collector-Konto ist ungültig, da die delegierte Rolle das Ereignis Collector-Rolle im Collector-Konto an.

Gehen Sie so vor, um dieses Problem zu beheben:

• Prüfen Sie, ob die Collector-Rolle vorhanden ist.

  • Informationen zum Erstellen der Collector-Rolle für Asset-Konfigurationsdaten finden Sie unter Erstellen der AWS-IAM-Rolle für die Erfassung von Asset-Konfigurationsdaten in jedem Konto.
  • Informationen zum Erstellen der Collector-Rolle für Sensitive Data Protection finden Sie unter Erstellen die AWS IAM-Rolle für Sensitive Data Protection in jedem Konto.

• Die Richtlinie, die es der delegierten Rolle erlaubt, den Collector zu übernehmen Rolle fehlt. Informationen zum Vorhandensein der Richtlinie finden Sie unter Erstellen Sie die AWS-IAM-Richtlinie für die delegierte Rolle.

AWS_COLLECTOR_ROLE_POLICY_MISSING_REQUIRED_PERMISSION

Die Verbindung ist ungültig, da in der Collector-Richtlinie einige der erforderlichen Berechtigungseinstellungen.

Um dieses Problem zu beheben, sollten Sie die folgenden Ursachen in Betracht ziehen:

• Einige der erforderlichen verwalteten AWS-Richtlinien sind möglicherweise nicht mit dem Collector-Rolle für Asset-Konfigurationsdaten. Um zu prüfen, ob alle Richtlinien angehängt, siehe Schritt 6 im Artikel AWS IAM-Rolle für Asset-Konfiguration erstellen die Datenerhebung in den einzelnen Konto.

• Es kann eines der folgenden Probleme mit einer Collector-Richtlinie vorliegen:

  • Die Collector-Richtlinie ist möglicherweise nicht vorhanden.
  • Die Collector-Richtlinie ist nicht mit der Collector-Rolle verknüpft.
  • Die Collector-Richtlinie enthält nicht alle erforderlichen Berechtigungen.

  Informationen zum Beheben von Problemen mit einer Collector-Richtlinie finden Sie hier:

  • AWS-IAM-Richtlinie für Asset-Konfigurationsdaten erstellen Sammlung
  • Erstellen Sie die AWS-IAM-Richtlinie für Schutz sensibler Daten

Nächste Schritte

• Fahren Sie mit Schritt 4 des Einrichtungsleitfadens in der Console
• Prüfen und beheben Sie die von AWS ermittelten Sicherheitslücken.
• Sicherheit erstellen und verwalten Posture für AWS.
• Angriffspfadsimulationen für AWS erstellen Ressourcen
• Karten-Compliance von AWS Ressourcen mit verschiedenen Standards und Benchmarks.