Menghubungkan ke AWS untuk deteksi kerentanan dan penilaian risiko

Anda dapat menghubungkan paket Security Command Center Enterprise ke lingkungan Amazon Web Services (AWS) sehingga Anda dapat melakukan hal berikut:

  • Mendeteksi dan memperbaiki kerentanan software serta kesalahan konfigurasi di lingkungan AWS Anda
  • Membuat dan mengelola postur keamanan untuk AWS
  • Identifikasi potensi jalur serangan dari internet publik ke aset AWS bernilai tinggi Anda
  • Memetakan kepatuhan resource AWS dengan berbagai standar dan tolok ukur

Menghubungkan Security Command Center ke AWS akan membuat satu tempat bagi tim operasi keamanan Anda untuk mengelola dan memperbaiki ancaman serta kerentanan di seluruh Google Cloud dan AWS.

Agar Security Command Center dapat memantau organisasi AWS Anda, Anda harus mengonfigurasi koneksi menggunakan agen layanan Google Cloud dan akun AWS yang memiliki akses ke resource yang ingin Anda pantau. Security Command Center menggunakan koneksi ini untuk mengumpulkan data secara berkala di semua akun dan region AWS yang Anda tentukan.

Anda dapat membuat satu koneksi AWS untuk setiap organisasi Google Cloud. Konektor menggunakan panggilan API untuk mengumpulkan data aset AWS. Panggilan API ini dapat dikenai biaya AWS.

Dokumen ini menjelaskan cara menyiapkan koneksi dengan AWS. Saat menyiapkan koneksi, Anda akan mengonfigurasi hal berikut:

  • Serangkaian akun di AWS yang memiliki akses langsung ke resource AWS yang ingin Anda pantau. Di konsol Google Cloud, akun ini disebut akun kolektor.
  • Akun di AWS yang memiliki kebijakan dan peran yang sesuai untuk mengizinkan autentikasi ke akun kolektor. Di konsol Google Cloud, akun ini disebut akun yang didelegasikan. Akun yang didelegasikan dan akun kolektor harus berada di organisasi AWS yang sama.
  • Agen layanan di Google Cloud yang terhubung ke akun yang didelegasikan untuk autentikasi.
  • Pipeline untuk mengumpulkan data aset dari resource AWS.
  • (Opsional) Izin untuk Sensitive Data Protection guna membuat profil konten AWS Anda.

Koneksi ini tidak berlaku untuk kemampuan SIEM Security Command Center yang memungkinkan Anda menyerap log AWS untuk deteksi ancaman.

Diagram berikut menunjukkan konfigurasi ini. Project tenant adalah project yang dibuat secara otomatis dan berisi instance pipeline pengumpulan data aset Anda.

Konfigurasi AWS dan Security Command Center.

Sebelum memulai

Selesaikan tugas ini sebelum Anda menyelesaikan tugas lainnya di halaman ini.

Mengaktifkan paket Security Command Center Enterprise

Selesaikan langkah 1 dan langkah 2 panduan penyiapan untuk mengaktifkan paket Enterprise Security Command Center.

Siapkan izin

Untuk mendapatkan izin yang diperlukan guna menggunakan konektor AWS, minta administrator untuk memberi Anda peran IAM Cloud Asset Owner (roles/cloudasset.owner). Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.

Membuat akun AWS

Pastikan Anda telah membuat resource AWS berikut:

Mengonfigurasi konektor AWS

  1. Di konsol Google Cloud, buka halaman Panduan penyiapan di Security Command Center.

    Buka Panduan penyiapan

  2. Pilih organisasi tempat Anda mengaktifkan paket Security Command Center Enterprise. Halaman Panduan penyiapan akan terbuka.

  3. Klik Langkah 3: Siapkan integrasi Amazon Web Services (AWS). Halaman Konektor akan terbuka.

  4. Pilih Tambahkan konektor > Amazon Web Services. Halaman Konfigurasi konektor akan terbuka.

  5. Di ID akun yang didelegasikan, masukkan ID akun AWS untuk akun AWS yang dapat Anda gunakan sebagai akun yang didelegasikan.

  6. Agar Perlindungan Data Sensitif dapat membuat profil data AWS Anda, tetap pilih Berikan izin untuk penemuan Perlindungan Data Sensitif. Opsi ini menambahkan izin AWS IAM di template CloudFormation untuk peran kolektor.

    Izin AWS IAM yang diberikan oleh opsi ini

    • s3:GetBucketLocation
    • s3:ListAllMyBuckets
    • s3:GetBucketPolicyStatus
    • s3:ListBucket
    • s3:GetObject
    • s3:GetObjectVersion
    • s3:GetBucketPublicAccessBlock
    • s3:GetBucketOwnershipControls
    • s3:GetBucketTagging
    • iam:ListAttachedRolePolicies
    • iam:GetPolicy
    • iam:GetPolicyVersion
    • iam:ListRolePolicies
    • iam:GetRolePolicy
    • ce:GetCostAndUsage
    • dynamodb:DescribeTableReplicaAutoScaling
    • identitystore:ListGroupMemberships
    • identitystore:ListGroups
    • identitystore:ListUsers
    • lambda:GetFunction
    • lambda:GetFunctionConcurrency
    • logs:ListTagsForResource
    • s3express:CreateSession
    • s3express:GetBucketPolicy
    • s3express:ListAllMyDirectoryBuckets
    • wafv2:GetIPSet

  7. Secara opsional, tinjau dan edit Opsi lanjutan. Lihat Menyesuaikan konfigurasi konektor AWS untuk mengetahui informasi tentang opsi tambahan.

  8. Klik Lanjutkan. Halaman Connect to AWS akan terbuka.

  9. Selesaikan salah satu langkah berikut:

    • Download dan tinjau template CloudFormation untuk peran yang didelegasikan dan peran kolektor.
    • Jika Anda mengonfigurasi opsi lanjutan atau perlu mengubah nama peran AWS default (aws-delegated-role, aws-collector-role, dan aws-sensitive-data-protection-role), pilih Konfigurasi akun AWS secara manual. Salin ID agen layanan, nama peran yang didelegasikan, nama peran kolektor, dan nama peran kolektor Sensitive Data Protection.

    Anda tidak dapat mengubah nama peran setelah membuat koneksi.

Jangan klik Create. Sebagai gantinya, konfigurasi lingkungan AWS Anda.

Mengonfigurasi lingkungan AWS Anda

Anda dapat menyiapkan lingkungan AWS menggunakan salah satu metode berikut:

Menggunakan template CloudFormation untuk menyiapkan lingkungan AWS

Jika Anda mendownload template CloudFormation, gunakan langkah-langkah berikut untuk menyiapkan lingkungan AWS.

  1. Login ke konsol akun delegator AWS. Pastikan Anda login ke akun delegasi yang digunakan untuk mengambil akun AWS kolektor lainnya (yaitu, akun pengelolaan AWS atau akun anggota yang terdaftar sebagai administrator yang didelegasikan).
  2. Buka konsol AWS CloudFormation Template.

  3. Buat stack yang menyediakan peran delegasi:

    1. Di halaman Stacks, klik Create stack > With new resources (standard).
    2. Saat menentukan template, upload file template peran yang didelegasikan.
    3. Saat menentukan detail stack, masukkan nama stack.

    4. Jika Anda mengubah nama peran untuk peran yang didelegasikan, peran pengumpulan, atau peran Perlindungan Data Sensitif, perbarui parameter yang sesuai. Parameter yang Anda masukkan harus cocok dengan parameter yang tercantum di halaman Connect to AWS di konsol Google Cloud.

    5. Sesuai dengan yang diwajibkan oleh organisasi Anda, perbarui opsi stack.

    6. Di halaman Tinjau dan buat, pilih Saya mengonfirmasi bahwa AWS CloudFormation dapat membuat resource IAM dengan nama kustom.

    7. Klik Kirim untuk membuat stack.

    Tunggu hingga stack dibuat. Jika terjadi masalah, lihat Pemecahan masalah. Untuk mengetahui informasi selengkapnya, lihat Membuat stack di konsol AWS CloudFormation dalam dokumentasi AWS.

  4. Buat set stack yang menyediakan peran kolektor.

    1. Di halaman StackSets, klik Create StackSet.

    2. Klik Izin yang dikelola layanan.

    3. Saat menentukan template, upload file template peran kolektor.

    4. Saat menentukan detail StackSet, masukkan nama dan deskripsi set stack.

    5. Masukkan ID akun penerima delegasi.

    6. Jika Anda mengubah nama peran untuk peran yang didelegasikan, peran pengumpulan, atau peran Perlindungan Data Sensitif, perbarui parameter yang sesuai. Parameter yang Anda masukkan harus cocok dengan parameter yang tercantum di halaman Connect to AWS di konsol Google Cloud.

    7. Sesuai dengan yang diperlukan oleh organisasi Anda, konfigurasikan opsi set stack.

    8. Saat menentukan opsi deployment, pilih target deployment Anda. Anda dapat men-deploy ke seluruh organisasi AWS atau men-deploy ke unit organisasi (OU) yang menyertakan semua akun AWS yang ingin Anda gunakan untuk mengumpulkan data.

    9. Tentukan region AWS tempat peran dan kebijakan akan dibuat. Karena peran adalah resource global, Anda tidak perlu menentukan beberapa region.

    10. Ubah setelan lainnya jika diperlukan.

    11. Tinjau perubahan dan klik Kirim untuk membuat set stack. Jika Anda menerima error, lihat Pemecahan masalah. Untuk mengetahui informasi selengkapnya, lihat Membuat set stack dengan izin yang dikelola layanan dalam dokumentasi AWS.

  5. Jika Anda perlu mengumpulkan data dari akun pengelolaan, login ke akun pengelolaan dan deploy stack terpisah untuk menyediakan peran kolektor. Saat menentukan template, upload file template peran kolektor.

    Langkah ini diperlukan karena set stack AWS CloudFormation tidak membuat instance stack di akun pengelolaan. Untuk mengetahui informasi selengkapnya, lihat DeploymentTargets dalam dokumentasi AWS.

Untuk menyelesaikan proses integrasi, lihat Menyelesaikan proses integrasi.

Mengonfigurasi akun AWS secara manual

Jika tidak dapat menggunakan template CloudFormation (misalnya, Anda menggunakan nama peran yang berbeda atau menyesuaikan integrasi), Anda dapat membuat kebijakan AWS IAM dan peran AWS IAM yang diperlukan secara manual.

Anda harus membuat kebijakan AWS IAM dan peran AWS IAM untuk akun yang didelegasikan dan akun kolektor.

Membuat kebijakan AWS IAM untuk peran yang didelegasikan

Untuk membuat kebijakan AWS IAM bagi peran yang didelegasikan (kebijakan yang didelegasikan), selesaikan langkah-langkah berikut:

  1. Login ke konsol akun delegasi AWS.

  2. Klik Kebijakan > Buat kebijakan.

  3. Klik JSON dan tempel salah satu dari berikut ini, bergantung pada apakah Anda memilih kotak centang Berikan izin untuk penemuan Perlindungan Data Sensitif di Konfigurasi Security Command Center.

    Memberikan izin untuk penemuan Perlindungan Data Sensitif: dihapus

    {
  "Version": "2012-10-17",
  "Statement": [
      {
          "Action": "sts:AssumeRole",
          "Resource": "arn:aws:iam::*:role/COLLECTOR_ROLE_NAME",
          "Effect": "Allow"
      },
      {
          "Action": [
              "organizations:List*",
              "organizations:Describe*"
          ],
          "Resource": "*",
          "Effect": "Allow"
      }
  ]
}

    Ganti COLLECTOR_ROLE_NAME dengan nama peran kolektor yang Anda salin saat mengonfigurasi Security Command Center (defaultnya adalah aws-collector-role).

    Berikan izin untuk penemuan Perlindungan Data Sensitif: dipilih

        {
      "Version": "2012-10-17",
      "Statement": [
        {
          "Action": "sts:AssumeRole",
          "Resource": [
            "arn:aws:iam::*:role/COLLECTOR_ROLE_NAME",
            "arn:aws:iam::*:role/SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME"
          ],
          "Effect": "Allow"
        },
        {
          "Action": [
            "organizations:List*",
            "organizations:Describe*"
          ],
          "Resource": "*",
          "Effect": "Allow"
        }
      ]
    }

    Ganti kode berikut:

  4. Klik Berikutnya.

  5. Di bagian Detail kebijakan, masukkan nama dan deskripsi untuk kebijakan.

  6. Klik Create policy.

Membuat peran AWS IAM untuk hubungan kepercayaan antara AWS dan Google Cloud

Buat peran yang didelegasikan yang menyiapkan hubungan tepercaya antara AWS dan Google Cloud. Peran ini menggunakan kebijakan yang didelegasikan yang dibuat di Membuat kebijakan AWS IAM untuk peran yang didelegasikan.

  1. Login ke konsol akun delegasi AWS sebagai pengguna AWS yang dapat membuat peran dan kebijakan IAM.

  2. Klik Peran > Buat peran.

  3. Untuk Jenis entitas tepercaya, klik Identitas Web.

  4. Untuk Penyedia Identitas, klik Google.

  5. Untuk Audience, masukkan ID agen layanan yang Anda salin saat mengonfigurasi Security Command Center. Klik Berikutnya.

  6. Untuk memberikan akses peran yang didelegasikan ke peran kolektor, lampirkan kebijakan izin ke peran tersebut. Telusuri kebijakan yang didelegasikan yang dibuat di Membuat kebijakan AWS IAM untuk peran yang didelegasikan, lalu pilih kebijakan tersebut.

  7. Di bagian Role details, masukkan Delegated role name yang Anda salin saat mengonfigurasi Security Command Center (nama default-nya adalah aws-delegated-role).

  8. Klik Buat peran.

Membuat kebijakan AWS IAM untuk pengumpulan data konfigurasi aset

Untuk membuat kebijakan AWS IAM guna pengumpulan data konfigurasi aset (kebijakan kolektor), selesaikan langkah-langkah berikut:

  1. Login ke konsol akun kolektor AWS.

  2. Klik Kebijakan > Buat kebijakan.

  3. Klik JSON dan tempelkan kode berikut:

    {
  "Version": "2012-10-17",
  "Statement": [
      {
          "Effect": "Allow",
          "Action": [
              "ce:GetCostAndUsage",
              "dynamodb:DescribeTableReplicaAutoScaling",
              "identitystore:ListGroupMemberships",
              "identitystore:ListGroups",
              "identitystore:ListUsers",
              "lambda:GetFunction",
              "lambda:GetFunctionConcurrency",
              "logs:ListTagsForResource",
              "s3express:GetBucketPolicy",
              "s3express:ListAllMyDirectoryBuckets",
              "wafv2:GetIPSet"
          ],
          "Resource": [
              "*"
          ]
      },
      {
          "Effect": "Allow",
          "Action": [
              "apigateway:GET"
          ],
          "Resource": [
              "arn:aws:apigateway:*::/usageplans",
              "arn:aws:apigateway:*::/usageplans/*/keys",
              "arn:aws:apigateway:*::/vpclinks/*"
          ]
      }
  ]

}

  4. Klik Berikutnya.

  5. Di bagian Detail kebijakan, masukkan nama dan deskripsi untuk kebijakan.

  6. Klik Create policy.

  7. Ulangi langkah-langkah ini untuk setiap akun kolektor.

Membuat peran AWS IAM untuk pengumpulan data konfigurasi aset di setiap akun

Buat peran kolektor yang memungkinkan Security Command Center mendapatkan data konfigurasi aset dari AWS. Peran ini menggunakan kebijakan pengumpulan yang dibuat di Membuat kebijakan AWS IAM untuk pengumpulan data konfigurasi aset.

  1. Login ke konsol akun kolektor AWS sebagai pengguna yang dapat membuat peran IAM untuk akun kolektor.

  2. Klik Peran > Buat peran.

  3. Untuk Jenis entitas tepercaya, klik Kebijakan kepercayaan kustom.

  4. Di bagian Custom trust policy, tempelkan kode berikut:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::DELEGATE_ACCOUNT_ID:role/DELEGATE_ACCOUNT_ROLE"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

    Ganti kode berikut:

  5. Untuk memberikan akses peran kolektor ini ke data konfigurasi aset AWS Anda, lampirkan kebijakan izin ke peran tersebut. Telusuri kebijakan kolektor kustom yang dibuat di Membuat kebijakan AWS IAM untuk pengumpulan data konfigurasi aset, lalu pilih kebijakan tersebut.

  6. Telusuri dan pilih kebijakan terkelola berikut:

    • arn:aws:iam::aws:policy/job-function/ViewOnlyAccess
    • arn:aws:iam::aws:policy/SecurityAudit

  7. Di bagian Detail peran, masukkan nama peran kolektor data konfigurasi yang Anda salin saat mengonfigurasi Security Command Center.

  8. Klik Buat peran.

  9. Ulangi langkah-langkah ini untuk setiap akun kolektor.

Jika Anda mencentang kotak Berikan izin untuk penemuan Perlindungan Data Sensitif di Konfigurasi Security Command Center, lanjutkan ke bagian berikutnya.

Jika Anda tidak mengaktifkan kotak centang Berikan izin untuk penemuan Perlindungan Data Sensitif, selesaikan proses integrasi.

Membuat kebijakan AWS IAM untuk Sensitive Data Protection

Selesaikan langkah-langkah ini jika Anda mencentang kotak Berikan izin untuk penemuan Perlindungan Data Sensitif di Konfigurasi Security Command Center.

Untuk membuat kebijakan AWS IAM untuk Perlindungan Data Sensitif (kebijakan kolektor), selesaikan langkah-langkah berikut:

  1. Login ke konsol akun kolektor AWS.

  2. Klik Kebijakan > Buat kebijakan.

  3. Klik JSON dan tempelkan kode berikut:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:GetBucketLocation",
        "s3:ListAllMyBuckets",
        "s3:GetBucketPolicyStatus",
        "s3:ListBucket",
        "s3:GetObject",
        "s3:GetObjectVersion",
        "s3:GetBucketPublicAccessBlock",
        "s3:GetBucketOwnershipControls",
        "s3:GetBucketTagging"
      ],
      "Resource": ["arn:aws:s3:::*"]
    },
    {
      "Effect": "Allow",
      "Action": [
        "iam:ListAttachedRolePolicies",
        "iam:GetPolicy",
        "iam:GetPolicyVersion",
        "iam:ListRolePolicies",
        "iam:GetRolePolicy",
        "ce:GetCostAndUsage",
        "dynamodb:DescribeTableReplicaAutoScaling",
        "identitystore:ListGroupMemberships",
        "identitystore:ListGroups",
        "identitystore:ListUsers",
        "lambda:GetFunction",
        "lambda:GetFunctionConcurrency",
        "logs:ListTagsForResource",
        "s3express:GetBucketPolicy",
        "s3express:ListAllMyDirectoryBuckets",
        "wafv2:GetIPSet"
      ],
      "Resource": ["*"]
    },
    {
      "Effect": "Allow",
      "Action": [
          "s3express:CreateSession"
      ],
      "Resource": ["arn:aws:s3express:*:*:bucket/*"]
    }
  ]
}

  4. Klik Berikutnya.

  5. Di bagian Detail kebijakan, masukkan nama dan deskripsi untuk kebijakan.

  6. Klik Create policy.

  7. Ulangi langkah-langkah ini untuk setiap akun kolektor.

Membuat peran AWS IAM untuk Sensitive Data Protection di setiap akun

Selesaikan langkah-langkah ini jika Anda mencentang kotak Berikan izin untuk penemuan Perlindungan Data Sensitif di Konfigurasi Security Command Center.

Buat peran pengumpulan yang memungkinkan Sensitive Data Protection membuat profil konten resource AWS Anda. Peran ini menggunakan kebijakan pengumpulan yang dibuat di Membuat kebijakan AWS IAM untuk Perlindungan Data Sensitif.

  1. Login ke konsol akun kolektor AWS sebagai pengguna yang dapat membuat peran IAM untuk akun kolektor.

  2. Klik Peran > Buat peran.

  3. Untuk Jenis entitas tepercaya, klik Kebijakan kepercayaan kustom.

  4. Di bagian Custom trust policy, tempelkan kode berikut:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::DELEGATE_ACCOUNT_ID:role/DELEGATE_ACCOUNT_ROLE"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

    Ganti kode berikut:

  5. Untuk memberikan akses peran kolektor ini ke konten resource AWS Anda, lampirkan kebijakan izin ke peran tersebut. Telusuri kebijakan kolektor kustom yang dibuat di Membuat kebijakan AWS IAM untuk Perlindungan Data Sensitif, lalu pilih kebijakan tersebut.

  6. Di bagian Detail peran, masukkan nama peran untuk Perlindungan Data Sensitif yang Anda salin saat mengonfigurasi Security Command Center.

  7. Klik Buat peran.

  8. Ulangi langkah-langkah ini untuk setiap akun kolektor.

Untuk menyelesaikan proses integrasi, lihat Menyelesaikan proses integrasi.

Menyelesaikan proses integrasi

  1. Di konsol Google Cloud, pada halaman Test connector, klik Test connector untuk memverifikasi bahwa Security Command Center dapat terhubung ke lingkungan AWS Anda. Jika koneksi berhasil, pengujian akan menentukan bahwa peran yang didelegasikan memiliki semua izin yang diperlukan untuk menjalankan peran kolektor. Jika koneksi tidak berhasil, lihat Memecahkan masalah error saat menguji koneksi.

  2. Klik Create.

Menyesuaikan konfigurasi konektor AWS

Bagian ini menjelaskan beberapa cara untuk menyesuaikan koneksi antara Security Command Center dan AWS. Opsi ini tersedia di bagian Opsi lanjutan (opsional) di halaman Tambahkan konektor Amazon Web Services di konsol Google Cloud.

Secara default, Security Command Center otomatis menemukan akun AWS Anda di semua region AWS. Koneksi menggunakan endpoint global default untuk AWS Security Token Service dan kueri per detik (QPS) default untuk layanan AWS yang Anda pantau. Opsi lanjutan ini memungkinkan Anda menyesuaikan setelan default.

Opsi Deskripsi
Menambahkan akun konektor AWS Pilih kolom Tambahkan akun secara otomatis (direkomendasikan), agar Security Command Center dapat menemukan akun AWS secara otomatis, atau pilih Tambahkan akun satu per satu dan berikan daftar akun AWS yang dapat digunakan Security Command Center untuk menemukan resource.
Kecualikan akun konektor AWS Jika Anda memilih kolom Tambahkan akun satu per satu di bagian Tambahkan akun konektor AWS, berikan daftar akun AWS yang tidak boleh digunakan Security Command Center untuk menemukan resource.
Memilih region untuk mengumpulkan data Pilih satu atau beberapa region AWS tempat Security Command Center akan mengumpulkan data. Kosongkan kolom AWS regions untuk mengumpulkan data dari semua wilayah.
Kueri per detik (QPS) maksimum untuk layanan AWS Anda dapat mengubah QPS untuk mengontrol batas kuota untuk Security Command Center. Tetapkan penggantian ke nilai yang kurang dari nilai default untuk layanan tersebut, dan lebih besar dari atau sama dengan 1. Nilai defaultnya adalah nilai maksimum. Jika Anda mengubah QPS, Security Command Center mungkin mengalami masalah saat mengambil data. Oleh karena itu, sebaiknya jangan ubah nilai ini.
Endpoint untuk AWS Security Token Service Anda dapat menentukan endpoint tertentu untuk AWS Security Token Service (misalnya, https://sts.us-east-2.amazonaws.com). Biarkan kolom AWS Security Token Service kosong untuk menggunakan endpoint global default (https://sts.amazonaws.com).

Memberikan izin penemuan data sensitif ke konektor AWS yang ada

Untuk melakukan penemuan data sensitif pada konten AWS, Anda memerlukan konektor AWS yang memiliki izin AWS IAM yang diperlukan.

Bagian ini menjelaskan cara memberikan izin tersebut ke konektor AWS yang ada. Langkah-langkah yang perlu Anda lakukan bergantung pada apakah Anda mengonfigurasi lingkungan AWS menggunakan template CloudFormation atau secara manual.

Memperbarui konektor yang ada menggunakan template CloudFormation

Jika Anda menyiapkan lingkungan AWS menggunakan template CloudFormation, ikuti langkah-langkah berikut untuk memberikan izin penemuan data sensitif untuk konektor AWS yang ada.

  1. Di konsol Google Cloud, buka halaman Panduan penyiapan di Security Command Center.

    Buka Panduan penyiapan

  2. Pilih organisasi tempat Anda mengaktifkan paket Security Command Center Enterprise. Halaman Panduan penyiapan akan terbuka.

  3. Klik Langkah 3: Siapkan integrasi Amazon Web Services (AWS). Halaman Konektor akan terbuka.

  4. Untuk konektor AWS, klik Lainnya > Edit.

  5. Di bagian Tinjau jenis data, pilih Berikan izin untuk penemuan Perlindungan Data Sensitif.

  6. Klik Lanjutkan. Halaman Connect to AWS akan terbuka.

  7. Klik Download template peran yang didelegasikan. Template didownload ke komputer Anda.

  8. Klik Download template peran kolektor. Template didownload ke komputer Anda.

  9. Klik Lanjutkan. Halaman Uji konektor akan terbuka. Jangan uji konektor terlebih dahulu.

  10. Di konsol CloudFormation, perbarui template stack untuk peran yang didelegasikan:

    1. Login ke konsol akun delegator AWS. Pastikan Anda login ke akun delegasi yang digunakan untuk menggunakan akun AWS kolektor lainnya.
    2. Buka konsol AWS CloudFormation.

    3. Ganti template stack untuk peran yang didelegasikan dengan template peran yang didelegasikan yang telah diperbarui dan Anda download.

      Untuk mengetahui informasi selengkapnya, lihat Memperbarui template stack (konsol) dalam dokumentasi AWS.

  11. Perbarui set stack untuk peran kolektor:

    1. Dengan menggunakan akun pengelolaan AWS atau akun anggota yang terdaftar sebagai administrator yang didelegasikan, buka konsol AWS CloudFormation.

    2. Ganti template set stack untuk peran kolektor dengan template peran kolektor yang telah diperbarui dan Anda download.

      Untuk mengetahui informasi selengkapnya, lihat Memperbarui set stack menggunakan konsol AWS CloudFormation dalam dokumentasi AWS.

  12. Jika Anda perlu mengumpulkan data dari akun pengelolaan, login ke akun pengelolaan dan ganti template di stack pengumpulan dengan template peran pengumpulan yang diperbarui yang Anda download.

    Langkah ini diperlukan karena set stack AWS CloudFormation tidak membuat instance stack di akun pengelolaan. Untuk mengetahui informasi selengkapnya, lihat DeploymentTargets dalam dokumentasi AWS.

  13. Di konsol Google Cloud, pada halaman Test connector, klik Test connector. Jika koneksi berhasil, pengujian akan menentukan bahwa peran yang didelegasikan memiliki semua izin yang diperlukan untuk menjalankan peran pengumpul. Jika koneksi tidak berhasil, lihat Memecahkan masalah error saat menguji koneksi.

  14. Klik Simpan.

Memperbarui konektor yang ada secara manual

Jika Anda mengonfigurasi akun AWS secara manual saat membuat konektor AWS, ikuti langkah-langkah berikut untuk memberikan izin penemuan data sensitif untuk konektor AWS yang ada.

  1. Di konsol Google Cloud, buka halaman Panduan penyiapan di Security Command Center.

    Buka Panduan penyiapan

  2. Pilih organisasi tempat Anda mengaktifkan paket Security Command Center Enterprise. Halaman Panduan penyiapan akan terbuka.

  3. Klik Langkah 3: Siapkan integrasi Amazon Web Services (AWS). Halaman Konektor akan terbuka.

  4. Untuk konektor AWS, klik Lainnya > Edit.

  5. Di bagian Tinjau jenis data, pilih Berikan izin untuk penemuan Perlindungan Data Sensitif.

  6. Klik Lanjutkan. Halaman Connect to AWS akan terbuka.

  7. Klik Konfigurasikan akun AWS secara manual (direkomendasikan jika Anda menggunakan setelan lanjutan atau nama peran yang disesuaikan).

  8. Salin nilai kolom berikut:

    • Nama peran yang didelegasikan
    • Nama peran kolektor
    • Nama peran kolektor Perlindungan Data Sensitif

  9. Klik Lanjutkan. Halaman Uji konektor akan terbuka. Jangan uji konektor terlebih dahulu.

  10. Di konsol akun penerima delegasi AWS, perbarui kebijakan AWS IAM untuk peran yang didelegasikan agar menggunakan JSON berikut:

        {
      "Version": "2012-10-17",
      "Statement": [
        {
          "Action": "sts:AssumeRole",
          "Resource": [
            "arn:aws:iam::*:role/COLLECTOR_ROLE_NAME",
            "arn:aws:iam::*:role/SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME"
          ],
          "Effect": "Allow"
        },
        {
          "Action": [
            "organizations:List*",
            "organizations:Describe*"
          ],
          "Resource": "*",
          "Effect": "Allow"
        }
      ]
    }

    Ganti kode berikut:

    • COLLECTOR_ROLE_NAME: nama peran kolektor data konfigurasi yang Anda salin (defaultnya adalah aws-collector-role)
    • SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME: nama peran kolektor Sensitive Data Protection yang Anda salin (secara default adalah aws-sensitive-data-protection-role)

    Untuk mengetahui informasi selengkapnya, lihat Mengedit kebijakan yang dikelola pelanggan (konsol) dalam dokumentasi AWS.

  11. Untuk setiap akun kolektor, lakukan prosedur berikut:

    1. Buat kebijakan AWS IAM untuk Perlindungan Data Sensitif.

    2. Buat peran AWS IAM untuk Perlindungan Data Sensitif di setiap akun.

  12. Di konsol Google Cloud, pada halaman Test connector, klik Test connector. Jika koneksi berhasil, pengujian akan menentukan bahwa peran yang didelegasikan memiliki semua izin yang diperlukan untuk menjalankan peran pengumpul. Jika koneksi tidak berhasil, lihat Memecahkan masalah error saat menguji koneksi.

  13. Klik Simpan.

Pemecahan masalah

Bagian ini mencakup beberapa masalah umum yang mungkin Anda alami saat mengintegrasikan Security Command Center dengan AWS.

Resource sudah ada

Error ini terjadi di lingkungan AWS saat Anda mencoba membuat kebijakan AWS IAM dan peran AWS IAM. Masalah ini terjadi jika peran sudah ada di akun AWS dan Anda mencoba membuatnya lagi.

Untuk mengatasi masalah ini, lakukan tindakan berikut:

  • Periksa apakah peran atau kebijakan yang Anda buat sudah ada dan memenuhi persyaratan yang tercantum dalam panduan ini.
  • Jika perlu, ubah nama peran untuk menghindari konflik.

Akun utama tidak valid dalam kebijakan

Error ini dapat terjadi di lingkungan AWS saat Anda membuat peran kolektor, tetapi peran delegasi belum ada.

Untuk mengatasi masalah ini, selesaikan langkah-langkah di Membuat kebijakan AWS IAM untuk peran yang didelegasikan dan tunggu hingga peran yang didelegasikan dibuat sebelum melanjutkan.

Batasan throttling di AWS

AWS membatasi permintaan API untuk setiap akun AWS berdasarkan per akun atau per region. Untuk memastikan batas ini tidak terlampaui saat Security Command Center mengumpulkan data konfigurasi aset dari AWS, Security Command Center mengumpulkan data dengan QPS maksimum tetap untuk setiap layanan AWS, seperti yang dijelaskan dalam dokumentasi API untuk layanan AWS.

Jika mengalami throttling permintaan di lingkungan AWS karena QPS yang digunakan, Anda dapat mengurangi masalah tersebut dengan menyelesaikan hal berikut:

  • Di halaman setelan konektor AWS, tetapkan QPS kustom untuk layanan AWS yang mengalami masalah throttling permintaan.

  • Batasi izin peran kolektor AWS sehingga data dari layanan tertentu tersebut tidak dikumpulkan lagi. Teknik mitigasi ini mencegah simulasi jalur serangan berfungsi dengan benar untuk AWS.

Dengan mencabut semua izin di AWS, proses pengumpulan data akan langsung berhenti. Menghapus konektor AWS tidak akan langsung menghentikan proses kolektor data, tetapi tidak akan dimulai lagi setelah selesai.

Memecahkan masalah error saat menguji koneksi

Error ini dapat terjadi saat Anda menguji koneksi antara Security Command Center dan AWS.

AWS_FAILED_TO_ASSUME_DELEGATED_ROLE

Koneksi tidak valid karena agen layanan Google Cloud tidak dapat mengambil peran yang didelegasikan.

Untuk mengatasi masalah ini, pertimbangkan hal berikut:

AWS_FAILED_TO_LIST_ACCOUNTS

Koneksi tidak valid karena penemuan otomatis diaktifkan dan peran yang didelegasikan tidak dapat mendapatkan semua akun AWS di organisasi.

Masalah ini menunjukkan bahwa kebijakan untuk mengizinkan tindakan organizations:ListAccounts pada peran yang didelegasikan tidak ada di resource tertentu. Untuk mengatasi masalah ini, verifikasi resource mana yang tidak ada. Untuk memverifikasi setelan kebijakan yang didelegasikan, lihat Membuat kebijakan AWS IAM untuk peran yang didelegasikan.

AWS_INVALID_COLLECTOR_ACCOUNTS

Koneksi tidak valid karena ada akun kolektor yang tidak valid. Pesan error menyertakan informasi selengkapnya tentang kemungkinan penyebabnya, yang mencakup hal berikut:

AWS_FAILED_TO_ASSUME_COLLECTOR_ROLE

Akun kolektor tidak valid karena peran yang didelegasikan tidak dapat mengambil peran kolektor di akun kolektor.

Untuk mengatasi masalah ini, pertimbangkan hal berikut:

AWS_COLLECTOR_ROLE_POLICY_MISSING_REQUIRED_PERMISSION

Koneksi tidak valid karena kebijakan pengumpulan tidak memiliki beberapa setelan izin yang diperlukan.

Untuk mengatasi masalah ini, pertimbangkan penyebab berikut:

Langkah selanjutnya