Cómo conectarse a AWS para la detección de vulnerabilidades y la evaluación de riesgos

Puedes conectar el nivel de Security Command Center Enterprise a tu entorno de Amazon Web Services (AWS) para realizar las siguientes acciones:

  • Detecta y corrige vulnerabilidades y parámetros de configuración incorrectos del software en tu entorno de AWS
  • Crea y administra una postura de seguridad para AWS
  • Identifica posibles rutas de ataque desde la Internet pública a tus activos de AWS de alto valor
  • Asigna el cumplimiento de los recursos de AWS a varios estándares y comparativas

Conectar Security Command Center a AWS crea un lugar único para que tu equipo de operaciones de seguridad administre y corrija amenazas y vulnerabilidades en Google Cloud y AWS.

Para permitir que Security Command Center supervise tu organización de AWS, debes configurar una conexión con un agente de servicio de Google Cloud y una cuenta de AWS que tenga acceso a los recursos que deseas supervisar. Security Command Center usa esta conexión para recopilar datos de forma periódica en todas las regiones y cuentas de AWS que definas.

Puedes crear una conexión de AWS para cada organización de Google Cloud. El conector usa llamadas a la API para recopilar datos de activos de AWS. Estas llamadas a la API pueden generar cargos de AWS.

En este documento, se describe cómo configurar la conexión con AWS. Cuando configuras una conexión, debes configurar lo siguiente:

  • Una serie de cuentas en AWS que tienen acceso directo a los recursos de AWS que deseas supervisar. En la consola de Google Cloud, estas cuentas se denominan cuentas de recopilador.
  • Una cuenta en AWS que tenga las políticas y los roles adecuados para permitir la autenticación en las cuentas de recopilador En la consola de Google Cloud, esta cuenta se denomina cuenta delegada. Tanto la cuenta delegada como las cuentas de colector deben estar en la misma organización de AWS.
  • Un agente de servicio en Google Cloud que se conecta a la cuenta delegada para la autenticación.
  • Una canalización para recopilar datos de activos de los recursos de AWS.
  • Permisos (opcionales) para que Sensitive Data Protection genere perfiles de tu contenido de AWS

Esta conexión no se aplica a las funciones de SIEM de Security Command Center que te permiten transferir registros de AWS para la detección de amenazas.

En el siguiente diagrama, se muestra esta configuración. El proyecto de usuario es un proyecto que se crea automáticamente y contiene la instancia de tu canalización de recopilación de datos de activos.

Configuración de AWS y Security Command Center

Antes de comenzar

Completa estas tareas antes de completar las restantes en esta página.

Activa el nivel de Security Command Center Enterprise

Completa el paso 1 y el paso 2 de la guía de configuración para activar el nivel de Security Command Center Enterprise.

Configura los permisos

Para obtener los permisos que necesitas para usar el conector de AWS, pídele a tu administrador que te otorgue el rol de IAM de propietario de recursos de Cloud (roles/cloudasset.owner). Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

También puedes obtener los permisos necesarios mediante roles personalizados o cualquier otro rol predefinido.

Crea cuentas de AWS

Asegúrate de que creaste los siguientes recursos de AWS:

Configura el conector de AWS

  1. En la consola de Google Cloud, ve a la página Guía de configuración de Security Command Center.

    Ir a la Guía de configuración

  2. Selecciona la organización en la que activaste el nivel de Security Command Center Enterprise. Se abrirá la página Guía de configuración.

  3. Haz clic en Paso 3: Configura la integración de los servicios web de Amazon (AWS). Se abrirá la página Conectores.

  4. Selecciona Agregar conector > Amazon Web Services. Se abrirá la página Configurar conector.

  5. En ID de cuenta de delegado, ingresa el ID de la cuenta de AWS que puedes usar como cuenta de delegado.

  6. Para permitir que Sensitive Data Protection genere perfiles de tus datos de AWS, mantén seleccionada la opción Otorgar permisos para el descubrimiento de Sensitive Data Protection. Esta opción agrega permisos de IAM de AWS en la plantilla de CloudFormation para el rol de recopilador.

    Permisos de IAM de AWS que otorga esta opción

    • s3:GetBucketLocation
    • s3:ListAllMyBuckets
    • s3:GetBucketPolicyStatus
    • s3:ListBucket
    • s3:GetObject
    • s3:GetObjectVersion
    • s3:GetBucketPublicAccessBlock
    • s3:GetBucketOwnershipControls
    • s3:GetBucketTagging
    • iam:ListAttachedRolePolicies
    • iam:GetPolicy
    • iam:GetPolicyVersion
    • iam:ListRolePolicies
    • iam:GetRolePolicy
    • ce:GetCostAndUsage
    • dynamodb:DescribeTableReplicaAutoScaling
    • identitystore:ListGroupMemberships
    • identitystore:ListGroups
    • identitystore:ListUsers
    • lambda:GetFunction
    • lambda:GetFunctionConcurrency
    • logs:ListTagsForResource
    • s3express:CreateSession
    • s3express:GetBucketPolicy
    • s3express:ListAllMyDirectoryBuckets
    • wafv2:GetIPSet

  7. De manera opcional, revisa y edita las Opciones avanzadas. Consulta Cómo personalizar la configuración del conector de AWS para obtener información sobre opciones adicionales.

  8. Haga clic en Continuar. Se abrirá la página Conectarse a AWS.

  9. Realiza una de las siguientes acciones:

    • Descarga y revisa las plantillas de CloudFormation para el rol delegado y el rol de recopilador.
    • Si configuraste las opciones avanzadas o necesitas cambiar los nombres de rol predeterminados de AWS (aws-delegated-role, aws-collector-role y aws-sensitive-data-protection-role), selecciona Configurar cuentas de AWS manualmente. Copia el ID del agente de servicio, el nombre del rol delegado, el nombre del rol del recopilador y el nombre del rol del recopilador de Sensitive Data Protection.

    No puedes cambiar los nombres de los roles después de crear la conexión.

No hagas clic en Crear. En su lugar, configura tu entorno de AWS.

Configura tu entorno de AWS

Puedes configurar tu entorno de AWS con uno de los siguientes métodos:

Usa plantillas de CloudFormation para configurar tu entorno de AWS

Si descargaste plantillas de CloudFormation, sigue estos pasos para configurar tu entorno de AWS.

  1. Accede a la consola de la cuenta de delegado de AWS. Asegúrate de haber accedido a la cuenta de delegado que se usa para asumir otras cuentas de AWS del recopilador (es decir, una cuenta de administración de AWS o cualquier cuenta de miembro registrada como administrador delegado).
  2. Ve a la consola de Plantillas de AWS CloudFormation.

  3. Crea una pila que aprovisione el rol de delegado:

    1. En la página Stacks, haz clic en Create stack > With new resources (standard).
    2. Cuando especifiques una plantilla, sube el archivo de plantilla de rol delegado.
    3. Cuando especifiques los detalles de la pila, ingresa un nombre para ella.

    4. Si cambiaste el nombre del rol delegado, del rol de recopilador o del rol de Protección de datos sensibles, actualiza los parámetros según corresponda. Los parámetros que ingreses deben coincidir con los que se indican en la página Connect to AWS de la consola de Google Cloud.

    5. Según lo requiera tu organización, actualiza las opciones de pila.

    6. En la página Revisar y crear, selecciona Reconozco que AWS CloudFormation podría crear recursos de IAM con nombres personalizados.

    7. Haz clic en Enviar para crear la pila.

    Espera a que se cree la pila. Si se produce un problema, consulta Solución de problemas. Para obtener más información, consulta Cómo crear una pila en la consola de AWS CloudFormation en la documentación de AWS.

  4. Crea un conjunto de pilas que aprovisione roles de recopilador.

    1. En la página StackSets, haz clic en Create StackSet.

    2. Haz clic en Permisos administrados por el servicio.

    3. Cuando especifiques una plantilla, sube el archivo de plantilla de rol de recopilador.

    4. Cuando especifiques los detalles del StackSet, ingresa un nombre y una descripción para el conjunto de pilas.

    5. Ingresa el ID de la cuenta delegada.

    6. Si cambiaste el nombre del rol delegado, del rol de recopilador o del rol de Protección de datos sensibles, actualiza los parámetros según corresponda. Los parámetros que ingreses deben coincidir con los que se indican en la página Connect to AWS de la consola de Google Cloud.

    7. Según lo requiera tu organización, configura las opciones de tu conjunto de pilas.

    8. Cuando especifiques las opciones de implementación, elige tus destinos de implementación. Puedes realizar la implementación en toda la organización de AWS o en una unidad organizativa (UO) que incluya todas las cuentas de AWS de las que deseas recopilar datos.

    9. Especifica las regiones de AWS en las que se crearán los roles y las políticas. Dado que los roles son recursos globales, no necesitas especificar varias regiones.

    10. Cambia otros parámetros de configuración si es necesario.

    11. Revisa los cambios y haz clic en Enviar para crear el conjunto de pilas. Si recibes un error, consulta Solución de problemas. Para obtener más información, consulta Crea un conjunto de pilas con permisos administrados por el servicio en la documentación de AWS.

  5. Si necesitas recopilar datos de la cuenta de administración, accede a esta y, luego, implementa una pila independiente para aprovisionar los roles de recopilador. Cuando especifiques la plantilla, sube el archivo de plantilla de rol recopilador.

    Este paso es necesario porque los conjuntos de pilas de AWS CloudFormation no crean instancias de pilas en las cuentas de administración. Para obtener más información, consulta DeploymentTargets en la documentación de AWS.

Para completar el proceso de integración, consulta Cómo completar el proceso de integración.

Configura cuentas de AWS de forma manual

Si no puedes usar las plantillas de CloudFormation (por ejemplo, usas nombres de roles diferentes o personalizas la integración), puedes crear las políticas de IAM de AWS y los roles de IAM de AWS requeridos de forma manual.

Debes crear políticas y roles de IAM de AWS para la cuenta delegada y las cuentas de recopilador.

Crea la política de IAM de AWS para el rol delegado

Para crear una política de IAM de AWS para el rol delegado (una política delegada), completa lo siguiente:

  1. Accede a la consola de la cuenta de delegado de AWS.

  2. Haz clic en Políticas > Crear política.

  3. Haz clic en JSON y pega una de las siguientes opciones, según si seleccionaste la casilla de verificación Otorgar permisos para el descubrimiento de la Protección de datos sensibles en Configurar Security Command Center.

    Otorgar permisos para el descubrimiento de Sensitive Data Protection: Se borró

    {
  "Version": "2012-10-17",
  "Statement": [
      {
          "Action": "sts:AssumeRole",
          "Resource": "arn:aws:iam::*:role/COLLECTOR_ROLE_NAME",
          "Effect": "Allow"
      },
      {
          "Action": [
              "organizations:List*",
              "organizations:Describe*"
          ],
          "Resource": "*",
          "Effect": "Allow"
      }
  ]
}

    Reemplaza COLLECTOR_ROLE_NAME por el nombre del rol de recopilador que copiaste cuando configuraste Security Command Center (el valor predeterminado es aws-collector-role).

    Otorgar permisos para el descubrimiento de Sensitive Data Protection: Seleccionada

        {
      "Version": "2012-10-17",
      "Statement": [
        {
          "Action": "sts:AssumeRole",
          "Resource": [
            "arn:aws:iam::*:role/COLLECTOR_ROLE_NAME",
            "arn:aws:iam::*:role/SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME"
          ],
          "Effect": "Allow"
        },
        {
          "Action": [
            "organizations:List*",
            "organizations:Describe*"
          ],
          "Resource": "*",
          "Effect": "Allow"
        }
      ]
    }

    Reemplaza lo siguiente:

    • COLLECTOR_ROLE_NAME: Es el nombre del rol de recopilador de datos de configuración que copiaste cuando configuraste Security Command Center (el valor predeterminado es aws-collector-role).
    • SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME: Es el nombre del rol de recopilador de Protección de datos sensibles que copiaste cuando configuraste Security Command Center (el valor predeterminado es aws-sensitive-data-protection-role).

  4. Haz clic en Siguiente.

  5. En la sección Detalles de la política, ingresa un nombre y una descripción para la política.

  6. Haz clic en Crear política.

Crea un rol de IAM de AWS para la relación de confianza entre AWS y Google Cloud

Crea un rol delegado que establezca una relación de confianza entre AWS y Google Cloud. Este rol usa la política delegada que se creó en Crea la política de IAM de AWS para el rol delegado.

  1. Accede a la consola de la cuenta de AWS delegada como un usuario de AWS que pueda crear roles y políticas de IAM.

  2. Haz clic en Roles > Crear rol.

  3. En Tipo de entidad de confianza, haz clic en Entidad web.

  4. En Proveedor de identidad, haz clic en Google.

  5. En Público, ingresa el ID del agente de servicio que copiaste cuando configuraste Security Command Center. Haz clic en Siguiente.

  6. Para otorgar al rol delegado acceso a los roles de recopilador, adjunta las políticas de permisos al rol. Busca la política delegada que se creó en Crea la política de IAM de AWS para el rol delegado y selecciónala.

  7. En la sección Detalles del rol, ingresa el Nombre del rol delegado que copiaste cuando configuraste Security Command Center (el nombre predeterminado es aws-delegated-role).

  8. Haz clic en Crear rol.

Crea la política de IAM de AWS para la recopilación de datos de configuración de activos

Para crear una política de IAM de AWS para la recopilación de datos de configuración de activos (una política de recopilador), completa lo siguiente:

  1. Accede a la consola de la cuenta de recopilador de AWS.

  2. Haz clic en Políticas > Crear política.

  3. Haz clic en JSON y pega lo siguiente:

    {
  "Version": "2012-10-17",
  "Statement": [
      {
          "Effect": "Allow",
          "Action": [
              "ce:GetCostAndUsage",
              "dynamodb:DescribeTableReplicaAutoScaling",
              "identitystore:ListGroupMemberships",
              "identitystore:ListGroups",
              "identitystore:ListUsers",
              "lambda:GetFunction",
              "lambda:GetFunctionConcurrency",
              "logs:ListTagsForResource",
              "s3express:GetBucketPolicy",
              "s3express:ListAllMyDirectoryBuckets",
              "wafv2:GetIPSet"
          ],
          "Resource": [
              "*"
          ]
      },
      {
          "Effect": "Allow",
          "Action": [
              "apigateway:GET"
          ],
          "Resource": [
              "arn:aws:apigateway:*::/usageplans",
              "arn:aws:apigateway:*::/usageplans/*/keys",
              "arn:aws:apigateway:*::/vpclinks/*"
          ]
      }
  ]

}

  4. Haz clic en Siguiente.

  5. En la sección Detalles de la política, ingresa un nombre y una descripción para la política.

  6. Haz clic en Crear política.

  7. Repite estos pasos para cada cuenta de recopilador.

Crea el rol de IAM de AWS para la recopilación de datos de configuración de activos en cada cuenta

Crea el rol de recopilador que permite que Security Command Center obtenga datos de configuración de activos de AWS. Este rol usa la política del recopilador que se creó en Crea la política de IAM de AWS para la recopilación de datos de configuración de activos.

  1. Accede a la consola de la cuenta de recopilador de AWS como un usuario que pueda crear roles de IAM para las cuentas de recopilador.

  2. Haz clic en Roles > Crear rol.

  3. En Tipo de entidad de confianza, haz clic en Política de confianza personalizada.

  4. En la sección Política de confianza personalizada, pega lo siguiente:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::DELEGATE_ACCOUNT_ID:role/DELEGATE_ACCOUNT_ROLE"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

    Reemplaza lo siguiente:

  5. Para otorgar a este rol de recopilador acceso a tus datos de configuración de activos de AWS, adjunta las políticas de permisos al rol. Busca la política del recopilador personalizado que se creó en Crea la política de IAM de AWS para la recopilación de datos de configuración de activos y selecciónala.

  6. Busca y selecciona las siguientes políticas administradas:

    • arn:aws:iam::aws:policy/job-function/ViewOnlyAccess
    • arn:aws:iam::aws:policy/SecurityAudit

  7. En la sección Role details, ingresa el nombre del rol de recopilador de datos de configuración que copiaste cuando configuraste Security Command Center.

  8. Haz clic en Crear rol.

  9. Repite estos pasos para cada cuenta de recopilador.

Si seleccionaste la casilla de verificación Otorgar permisos para el descubrimiento de la protección de datos sensibles en Configurar Security Command Center, continúa con la siguiente sección.

Si no habilitaste la casilla de verificación Otorgar permisos para el descubrimiento de Sensitive Data Protection, completa el proceso de integración.

Crea la política de IAM de AWS para la Protección de datos sensibles

Completa estos pasos si seleccionaste la casilla de verificación Otorgar permisos para el descubrimiento de la protección de datos sensibles en Configurar Security Command Center.

Para crear una política de IAM de AWS para la Protección de datos sensibles (una política de recopilación), completa lo siguiente:

  1. Accede a la consola de la cuenta de recopilador de AWS.

  2. Haz clic en Políticas > Crear política.

  3. Haz clic en JSON y pega lo siguiente:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:GetBucketLocation",
        "s3:ListAllMyBuckets",
        "s3:GetBucketPolicyStatus",
        "s3:ListBucket",
        "s3:GetObject",
        "s3:GetObjectVersion",
        "s3:GetBucketPublicAccessBlock",
        "s3:GetBucketOwnershipControls",
        "s3:GetBucketTagging"
      ],
      "Resource": ["arn:aws:s3:::*"]
    },
    {
      "Effect": "Allow",
      "Action": [
        "iam:ListAttachedRolePolicies",
        "iam:GetPolicy",
        "iam:GetPolicyVersion",
        "iam:ListRolePolicies",
        "iam:GetRolePolicy",
        "ce:GetCostAndUsage",
        "dynamodb:DescribeTableReplicaAutoScaling",
        "identitystore:ListGroupMemberships",
        "identitystore:ListGroups",
        "identitystore:ListUsers",
        "lambda:GetFunction",
        "lambda:GetFunctionConcurrency",
        "logs:ListTagsForResource",
        "s3express:GetBucketPolicy",
        "s3express:ListAllMyDirectoryBuckets",
        "wafv2:GetIPSet"
      ],
      "Resource": ["*"]
    },
    {
      "Effect": "Allow",
      "Action": [
          "s3express:CreateSession"
      ],
      "Resource": ["arn:aws:s3express:*:*:bucket/*"]
    }
  ]
}

  4. Haz clic en Siguiente.

  5. En la sección Detalles de la política, ingresa un nombre y una descripción para la política.

  6. Haz clic en Crear política.

  7. Repite estos pasos para cada cuenta de recopilador.

Crea el rol de IAM de AWS para la Protección de datos sensibles en cada cuenta

Completa estos pasos si seleccionaste la casilla de verificación Otorgar permisos para el descubrimiento de la protección de datos sensibles en Configurar Security Command Center.

Crea el rol de recopilador que permite que Sensitive Data Protection genere perfiles del contenido de tus recursos de AWS. Este rol usa la política del recopilador que se creó en Crea la política de IAM de AWS para la Protección de datos sensibles.

  1. Accede a la consola de la cuenta de recopilador de AWS como un usuario que pueda crear roles de IAM para las cuentas de recopilador.

  2. Haz clic en Roles > Crear rol.

  3. En Tipo de entidad de confianza, haz clic en Política de confianza personalizada.

  4. En la sección Política de confianza personalizada, pega lo siguiente:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::DELEGATE_ACCOUNT_ID:role/DELEGATE_ACCOUNT_ROLE"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

    Reemplaza lo siguiente:

  5. Para otorgar a este rol de recopilador acceso al contenido de tus recursos de AWS, adjunta las políticas de permisos al rol. Busca la política del recopilador personalizado que se creó en Crea la política de IAM de AWS para la protección de datos sensibles y selecciónala.

  6. En la sección Detalles del rol, ingresa el nombre del rol de Sensitive Data Protection que copiaste cuando configuraste Security Command Center.

  7. Haz clic en Crear rol.

  8. Repite estos pasos para cada cuenta de recopilador.

Para completar el proceso de integración, consulta Cómo completar el proceso de integración.

Completa el proceso de integración

  1. En la consola de Google Cloud, en la página Test connector, haz clic en Test connector para verificar que Security Command Center pueda conectarse a tu entorno de AWS. Si la conexión se realiza correctamente, la prueba determina que el rol delegado tiene todos los permisos necesarios para asumir los roles de recopilador. Si la conexión no se realiza correctamente, consulta Cómo solucionar errores cuando se prueba la conexión.

  2. Haz clic en Crear.

Personaliza la configuración del conector de AWS

En esta sección, se describen algunas de las formas en que puedes personalizar la conexión entre Security Command Center y AWS. Estas opciones están disponibles en la sección Opciones avanzadas (opcional) de la página Agregar conector de Amazon Web Services en la consola de Google Cloud.

De forma predeterminada, Security Command Center descubre automáticamente tus cuentas de AWS en todas las regiones de AWS. La conexión usa el extremo global predeterminado del servicio de token de seguridad de AWS y las consultas por segundo (QPS) predeterminadas para el servicio de AWS que estás supervisando. Estas opciones avanzadas te permiten personalizar los valores predeterminados.

Opción Descripción
Agrega cuentas de conectores de AWS Selecciona el campo Agregar cuentas automáticamente (recomendado) para permitir que Security Command Center descubra las cuentas de AWS automáticamente o selecciona Agregar cuentas de forma individual y proporciona una lista de cuentas de AWS que Security Command Center pueda usar para encontrar recursos.
Cómo excluir cuentas de conectores de AWS Si seleccionaste el campo Agregar cuentas de forma individual en la sección Agregar cuentas de conector de AWS, proporciona una lista de las cuentas de AWS que Security Command Center no debe usar para encontrar recursos.
Selecciona regiones para recopilar datos Selecciona una o más regiones de AWS para que Security Command Center recopile datos. Deja el campo Regiones de AWS vacío para recopilar datos de todas las regiones.
Consultas por segundo (QPS) máximas para los servicios de AWS Puedes cambiar el QPS para controlar el límite de cuota de Security Command Center. Establece la anulación en un valor inferior al valor predeterminado de ese servicio y superior o igual a 1. El valor predeterminado es el valor máximo. Si cambias el QPS, es posible que Security Command Center tenga problemas para recuperar datos. Por lo tanto, no recomendamos cambiar este valor.
Extremo del servicio de tokens de seguridad de AWS Puedes especificar un extremo específico para el servicio de tokens de seguridad de AWS (por ejemplo, https://sts.us-east-2.amazonaws.com). Deja el campo Servicio de tokens de seguridad de AWS vacío para usar el extremo global predeterminado (https://sts.amazonaws.com).

Otorga permisos de descubrimiento de datos sensibles a un conector de AWS existente

Para realizar el descubrimiento de datos sensibles en tu contenido de AWS, necesitas un conector de AWS que tenga los permisos de IAM de AWS obligatorios.

En esta sección, se describe cómo otorgar esos permisos a un conector de AWS existente. Los pasos que debes seguir dependen de si configuraste tu entorno de AWS con plantillas de CloudFormation o de forma manual.

Actualiza un conector existente con plantillas de CloudFormation

Si configuraste tu entorno de AWS con plantillas de CloudFormation, sigue estos pasos para otorgar permisos de descubrimiento de datos sensibles a tu conector de AWS existente.

  1. En la consola de Google Cloud, ve a la página Guía de configuración de Security Command Center.

    Ir a la Guía de configuración

  2. Selecciona la organización en la que activaste el nivel de Security Command Center Enterprise. Se abrirá la página Guía de configuración.

  3. Haz clic en Paso 3: Configura la integración de los servicios web de Amazon (AWS). Se abrirá la página Conectores.

  4. En el conector de AWS, haz clic en Más > Editar.

  5. En la sección Revisar tipos de datos, selecciona Otorgar permisos para el descubrimiento de Sensitive Data Protection.

  6. Haga clic en Continuar. Se abrirá la página Conectarse a AWS.

  7. Haz clic en Descargar plantilla de rol delegado. La plantilla se descargará en tu computadora.

  8. Haz clic en Descargar plantilla de rol de recopilador. La plantilla se descargará en tu computadora.

  9. Haga clic en Continuar. Se abrirá la página Test connector. Aún no pruebes el conector.

  10. En la consola de CloudFormation, actualiza la plantilla de pila para el rol delegado:

    1. Accede a la consola de la cuenta de delegado de AWS. Asegúrate de haber accedido a la cuenta de delegado que se usa para asumir otras cuentas de AWS del recopilador.
    2. Ve a la consola de AWS CloudFormation.

    3. Reemplaza la plantilla de pila del rol delegado por la plantilla de rol delegado actualizada que descargaste.

      Para obtener más información, consulta Cómo actualizar la plantilla de una pila (consola) en la documentación de AWS.

  11. Actualiza el conjunto de pila para el rol de recopilador:

    1. Con una cuenta de administración de AWS o cualquier cuenta de miembro registrada como administrador delegado, ve a la consola de AWS CloudFormation.

    2. Reemplaza la plantilla del conjunto de pilas para el rol de recopilador por la plantilla de rol de recopilador actualizada que descargaste.

      Para obtener más información, consulta Cómo actualizar tu conjunto de pilas con la consola de AWS CloudFormation en la documentación de AWS.

  12. Si necesitas recopilar datos de la cuenta de administración, accede a ella y reemplaza la plantilla en la pila del colector por la plantilla de rol de colector actualizada que descargaste.

    Este paso es necesario porque los conjuntos de pilas de AWS CloudFormation no crean instancias de pilas en las cuentas de administración. Para obtener más información, consulta DeploymentTargets en la documentación de AWS.

  13. En la consola de Google Cloud, en la página Probar conector, haz clic en Probar conector. Si la conexión se realiza correctamente, la prueba determina que el rol delegado tiene todos los permisos necesarios para asumir los roles de recopilador. Si la conexión no se realiza correctamente, consulta Cómo solucionar errores cuando se prueba la conexión.

  14. Haz clic en Guardar.

Cómo actualizar un conector existente de forma manual

Si configuraste tus cuentas de AWS de forma manual cuando creaste el conector de AWS, sigue estos pasos para otorgar permisos de descubrimiento de datos sensibles a tu conector de AWS existente.

  1. En la consola de Google Cloud, ve a la página Guía de configuración de Security Command Center.

    Ir a la Guía de configuración

  2. Selecciona la organización en la que activaste el nivel de Security Command Center Enterprise. Se abrirá la página Guía de configuración.

  3. Haz clic en Paso 3: Configura la integración de los servicios web de Amazon (AWS). Se abrirá la página Conectores.

  4. En el conector de AWS, haz clic en Más > Editar.

  5. En la sección Revisar tipos de datos, selecciona Otorgar permisos para el descubrimiento de Sensitive Data Protection.

  6. Haga clic en Continuar. Se abrirá la página Conectarse a AWS.

  7. Haz clic en Configura cuentas de AWS manualmente (recomendado si usas parámetros de configuración avanzados o nombres de rol personalizados).

  8. Copia los valores de los siguientes campos:

    • Nombre del rol delegado
    • Nombre de rol del recopilador
    • Nombre del rol de recopilador de Sensitive Data Protection

  9. Haga clic en Continuar. Se abrirá la página Test connector. Aún no pruebes el conector.

  10. En la consola de la cuenta de AWS delegada, actualiza la política de IAM de AWS para que el rol delegado use el siguiente JSON:

        {
      "Version": "2012-10-17",
      "Statement": [
        {
          "Action": "sts:AssumeRole",
          "Resource": [
            "arn:aws:iam::*:role/COLLECTOR_ROLE_NAME",
            "arn:aws:iam::*:role/SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME"
          ],
          "Effect": "Allow"
        },
        {
          "Action": [
            "organizations:List*",
            "organizations:Describe*"
          ],
          "Resource": "*",
          "Effect": "Allow"
        }
      ]
    }

    Reemplaza lo siguiente:

    • COLLECTOR_ROLE_NAME: Es el nombre del rol de recopilador de datos de configuración que copiaste (el valor predeterminado es aws-collector-role).
    • SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME: Es el nombre del rol de recopilador de Sensitive Data Protection que copiaste (el valor predeterminado es aws-sensitive-data-protection-role).

    Para obtener más información, consulta Cómo editar políticas administradas por el cliente (consola) en la documentación de AWS.

  11. Para cada cuenta de recopilador, realiza estos procedimientos:

    1. Crea la política de IAM de AWS para la protección de datos sensibles.

    2. Crea el rol de IAM de AWS para Sensitive Data Protection en cada cuenta.

  12. En la consola de Google Cloud, en la página Probar conector, haz clic en Probar conector. Si la conexión se realiza correctamente, la prueba determina que el rol delegado tiene todos los permisos necesarios para asumir los roles de recopilador. Si la conexión no se realiza correctamente, consulta Cómo solucionar errores cuando se prueba la conexión.

  13. Haz clic en Guardar.

Soluciona problemas

En esta sección, se incluyen algunos problemas comunes que puedes encontrar cuando integras Security Command Center con AWS.

Los recursos ya existen

Este error ocurre en el entorno de AWS cuando intentas crear las políticas y los roles de IAM de AWS. Este problema se produce cuando el rol ya existe en tu cuenta de AWS y estás intentando volver a crearlo.

Para resolver este problema, realiza lo siguiente:

  • Verifica si el rol o la política que estás creando ya existe y satisface los requisitos que se indican en esta guía.
  • Si es necesario, cambia el nombre del rol para evitar conflictos.

El principal de la política no es válido

Este error puede ocurrir en el entorno de AWS cuando creas los roles de recopilador, pero el rol de delegado aún no existe.

Para resolver este problema, completa los pasos que se indican en Crea la política de IAM de AWS para el rol delegado y espera a que se cree el rol delegado antes de continuar.

Limitaciones de regulación en AWS

AWS limita las solicitudes a la API de cada cuenta de AWS por cuenta o por región. Para garantizar que no se superen estos límites cuando Security Command Center recopila datos de configuración de activos de AWS, Security Command Center recopila los datos a una QPS máxima fija para cada servicio de AWS, como se describe en la documentación de la API del servicio de AWS.

Si experimentas la limitación de solicitudes en tu entorno de AWS debido a las QPS que se consumen, puedes mitigar el problema completando lo siguiente:

  • En la página de configuración del conector de AWS, establece un QPS personalizado para el servicio de AWS que tiene problemas de limitación de solicitudes.

  • Restringe los permisos del rol de recopilador de AWS para que ya no se recopilen los datos de ese servicio específico. Esta técnica de mitigación evita que las simulaciones de las rutas de ataque funcionen correctamente en AWS.

Si revocas todos los permisos en AWS, se detendrá el proceso del recopilador de datos de inmediato. Si borras el conector de AWS, no se detendrá de inmediato el proceso del recopilador de datos, pero no se volverá a iniciar después de que finalice.

Cómo solucionar problemas cuando se prueba la conexión

Estos errores pueden ocurrir cuando pruebas la conexión entre Security Command Center y AWS.

AWS_FAILED_TO_ASSUME_DELEGATED_ROLE

La conexión no es válida porque el agente de servicio de Google Cloud no puede asumir el rol delegado.

Para resolver este problema, considera lo siguiente:

AWS_FAILED_TO_LIST_ACCOUNTS

La conexión no es válida porque el descubrimiento automático está habilitado y el rol delegado no puede recuperar todas las cuentas de AWS de las organizaciones.

Este problema indica que falta la política para permitir la acción organizations:ListAccounts en el rol delegado en ciertos recursos. Para resolver este problema, verifica qué recursos faltan. Para verificar la configuración de la política delegada, consulta Crea la política de IAM de AWS para el rol delegado.

AWS_INVALID_COLLECTOR_ACCOUNTS

La conexión no es válida porque hay cuentas de recopilador no válidas. El mensaje de error incluye más información sobre las posibles causas, que incluyen las siguientes:

AWS_FAILED_TO_ASSUME_COLLECTOR_ROLE

La cuenta de recopilador no es válida porque el rol delegado no puede asumir el rol de recopilador en la cuenta de recopilador.

Para resolver este problema, considera lo siguiente:

AWS_COLLECTOR_ROLE_POLICY_MISSING_REQUIRED_PERMISSION

La conexión no es válida porque a la política del recopilador le faltan algunos de los parámetros de configuración de permisos necesarios.

Para resolver este problema, considera las siguientes causas:

¿Qué sigue?