Puedes conectar el nivel Enterprise de Security Command Center a tu entorno de Amazon Web Services (AWS) para hacer lo siguiente:
- Detecta y corrige las vulnerabilidades de software y los errores de configuración en tu entorno de AWS
- Crear y gestionar una postura de seguridad para AWS
- Identificar posibles rutas de ataque desde Internet pública a tus recursos de AWS de alto valor
- Mapear el cumplimiento de los recursos de AWS con varios estándares y comparativas
Al conectar Security Command Center con AWS, tu equipo de operaciones de seguridad podrá gestionar y corregir amenazas y vulnerabilidades enGoogle Cloud y AWS desde un único lugar.
Para permitir que Security Command Center monitorice tu organización de AWS, debes configurar una conexión mediante un Google Cloud agente de servicio y una cuenta de AWS que tenga acceso a los recursos que quieras monitorizar. Security Command Center usa esta conexión para recoger periódicamente datos de todas las cuentas y regiones de AWS que definas. Estos datos se tratan de la misma forma que los Datos de Servicio, tal como se indica en el Aviso de Privacidad de Google Cloud.
Puede crear una conexión a AWS por cada Google Cloud organización. El conector usa llamadas a la API para recoger datos de recursos de AWS. Estas llamadas a la API pueden generar cargos de AWS.
En este documento se describe cómo configurar la conexión con AWS. Cuando configuras una conexión, debes especificar lo siguiente:
- Una serie de cuentas de AWS que tienen acceso directo a los recursos de AWS que quieres monitorizar. En la Google Cloud consola, estas cuentas se denominan cuentas de recogida.
- Una cuenta de AWS que tiene las políticas y los roles adecuados para permitir la autenticación en las cuentas de recopilador. En la Google Cloud consola, esta cuenta se denomina cuenta delegada. Tanto la cuenta delegada como las cuentas de recogida deben pertenecer a la misma organización de AWS.
- Un agente de servicio que se conecta a la cuenta delegada para la autenticación. Google Cloud
- Una canalización para recoger datos de activos de recursos de AWS.
- (Opcional) Permisos de Protección de Datos Sensibles para crear perfiles de tu contenido de AWS.
El conector no ingiere los registros de AWS necesarios para las funciones de detección seleccionadas de SIEM en Security Command Center Enterprise. Para obtener información sobre cómo ingerir estos datos, consulta Conectarse a AWS para la ingesta de registros.
Esta conexión no se aplica a las funciones de SIEM de Security Command Center, que te permiten ingerir registros de AWS para detectar amenazas.
En el siguiente diagrama se muestra esta configuración. El proyecto de arrendatario es un proyecto que se crea automáticamente y contiene la instancia de la canalización de recogida de datos de sus recursos.
Antes de empezar
Completa estas tareas antes de completar las tareas restantes de esta página.
Configurar permisos en Google Cloud
Para obtener los permisos que necesitas para usar el conector de AWS, pide a tu administrador que te conceda el rol de gestión de identidades y accesos Propietario de Cloud Asset (roles/cloudasset.owner).
Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar el acceso a proyectos, carpetas y organizaciones.
También puedes conseguir los permisos necesarios a través de roles personalizados u otros roles predefinidos.
Crear cuentas de AWS
Asegúrate de que tienes los siguientes recursos de AWS:
Un usuario de AWS IAM con acceso a AWS IAM para las consolas de la cuenta de AWS delegada y de la cuenta de AWS del recopilador.
El ID de cuenta de AWS de una cuenta de AWS que puedes usar como cuenta delegada. La cuenta delegada debe cumplir los siguientes requisitos:
La cuenta delegada debe estar asociada a una organización de AWS. Para adjuntar una cuenta a una organización de AWS, sigue estos pasos:
- Crea o identifica una organización a la que adjuntar la cuenta delegada.
- Invita a la cuenta delegada a unirse a la organización.
La cuenta delegada debe ser una de las siguientes:
- Una cuenta de administración de AWS.
- Un administrador delegado de AWS.
- Una cuenta de AWS con una política de delegación basada en recursos
que proporcione el permiso
organizations:ListAccounts. Para ver un ejemplo de política, consulta Crear una política de delegación basada en recursos con AWS Organizations en la documentación de AWS.
Configurar el conector de AWS
Abre la pestaña Conectores en la página Configuración.
Selecciona la organización en la que has activado Security Command Center Enterprise.
Selecciona Conectores > Añadir conector > Amazon Web Services.
En ID de cuenta delegada, introduzca el ID de la cuenta de AWS que puede usar como cuenta delegada.
Para permitir que Protección de Datos Sensibles cree un perfil de tus datos de AWS, deja seleccionada la opción Conceder permisos para la detección de Protección de Datos Sensibles. Esta opción añade permisos de AWS IAM en la plantilla de CloudFormation para el rol del recopilador.
Permisos de gestión de identidades y accesos de AWS concedidos por esta opción
s3:GetBucketLocations3:ListAllMyBucketss3:GetBucketPolicyStatuss3:ListBuckets3:GetObjects3:GetObjectVersions3:GetBucketPublicAccessBlocks3:GetBucketOwnershipControlss3:GetBucketTaggingiam:ListAttachedRolePoliciesiam:GetPolicyiam:GetPolicyVersioniam:ListRolePoliciesiam:GetRolePolicyce:GetCostAndUsagedynamodb:DescribeTableReplicaAutoScalingidentitystore:ListGroupMembershipsidentitystore:ListGroupsidentitystore:ListUserslambda:GetFunctionlambda:GetFunctionConcurrencylogs:ListTagsForResources3express:CreateSessions3express:GetBucketPolicys3express:ListAllMyDirectoryBucketswafv2:GetIPSet
También puede revisar y editar las opciones avanzadas. Consulta Personalizar la configuración del conector de AWS para obtener información sobre otras opciones.
Haz clic en Continuar. Se abrirá la página Connect to AWS (Conectar con AWS).
Selecciona una de las opciones siguientes:
Usa plantillas de AWS CloudFormation y, a continuación, descarga y revisa las plantillas de CloudFormation del rol delegado y del rol de recopilador.
Configurar cuentas de AWS manualmente: selecciona esta opción si has configurado las opciones avanzadas o necesitas cambiar los nombres de los roles de AWS predeterminados (aws-delegated-role, aws-collector-role y aws-sensitive-data-protection-role). Copia el ID del agente de servicio, el nombre del rol delegado, el nombre del rol de recopilador y el nombre del rol de recopilador de Protección de Datos Sensibles.
No puedes cambiar los nombres de los roles después de crear la conexión.
No haga clic en Guardar ni en Continuar. En su lugar, configura tu entorno de AWS.
Configurar el entorno de AWS
Puede configurar su entorno de AWS mediante uno de los siguientes métodos:
- Usa las plantillas de CloudFormation que has descargado en Configurar Security Command Center. Para obtener instrucciones, consulta Usar plantillas de CloudFormation para configurar tu entorno de AWS.
- Si utilizas ajustes o nombres de roles personalizados, configura las cuentas de AWS manualmente. Para obtener instrucciones, consulta el artículo Configurar cuentas de AWS manualmente.
Usar plantillas de CloudFormation para configurar el entorno de AWS
Si has descargado plantillas de CloudFormation, sigue estos pasos para configurar tu entorno de AWS.
- Inicia sesión en la consola de la cuenta delegada de AWS. Asegúrate de haber iniciado sesión en la cuenta delegada que se usa para asumir otras cuentas de AWS de recopilación de datos (es decir, una cuenta de gestión de AWS o cualquier cuenta de miembro registrada como administrador delegado).
- Ve a la consola AWS CloudFormation Template.
Crea un stack que aprovisione el rol delegado:
- En la página Pilas, haz clic en Crear pila > Con recursos nuevos (estándar).
- Cuando especifique una plantilla, suba el archivo de plantilla de rol delegado.
- Cuando especifiques los detalles de la pila, introduce un nombre.
Si has cambiado el nombre del rol delegado, del rol de recopilador o del rol de Protección de Datos Sensibles, actualiza los parámetros correspondientes. Los parámetros que introduzca deben coincidir con los que se indican en la página Connect to AWS (Conectar con AWS) de la consola de Google Cloud .
Actualiza las opciones de la pila según lo requiera tu organización.
En la página Revisar y crear, selecciona Confirmo que AWS CloudFormation puede crear recursos de gestión de identidades y accesos con nombres personalizados.
Haz clic en Enviar para crear la pila.
Espera a que se cree la pila. Si se produce un error, consulta la sección Solución de problemas. Para obtener más información, consulta el artículo sobre cómo crear una pila en la consola de AWS CloudFormation en la documentación de AWS.
Crea un conjunto de pilas que aprovisione roles de recopilador.
Con una cuenta de administración de AWS o cualquier cuenta miembro registrada como administrador delegado, ve a la consola de AWS CloudFormation.
En la página StackSets, haz clic en Create StackSet (Crear StackSet).
Haz clic en Permisos gestionados por el servicio.
Cuando especifique una plantilla, suba el archivo de plantilla de rol de recopilador.
Cuando especifique los detalles de StackSet, introduzca un nombre y una descripción para el conjunto de pilas.
Introduce el ID de la cuenta delegada.
Si has cambiado el nombre del rol delegado, del rol de recopilador o del rol de Protección de Datos Sensibles, actualiza los parámetros correspondientes. Los parámetros que introduzca deben coincidir con los que se indican en la página Connect to AWS (Conectar con AWS) de la consola de Google Cloud .
Configura las opciones de conjunto de pilas según los requisitos de tu organización.
Cuando especifiques las opciones de implementación, elige los destinos de implementación. Puede implementar la solución en toda la organización de AWS o en una unidad organizativa que incluya todas las cuentas de AWS de las que quiera recoger datos.
Especifica las regiones de AWS en las que quieres crear los roles y las políticas. Como los roles son recursos globales, no es necesario especificar varias regiones.
Cambia otros ajustes si es necesario.
Revisa los cambios y haz clic en Enviar para crear el conjunto de pilas. Si recibes un error, consulta la sección Solución de problemas. Para obtener más información, consulta el artículo Crear StackSets de CloudFormation con permisos gestionados por el servicio de la documentación de AWS.
Si necesita recoger datos de la cuenta de gestión, inicie sesión en ella e implemente una pila independiente para aprovisionar los roles del recolector. Cuando especifiques la plantilla, sube el archivo de plantilla de rol de recolector.
Este paso es necesario porque los conjuntos de pilas de AWS CloudFormation no crean instancias de pila en las cuentas de gestión. Para obtener más información, consulta DeploymentTargets en la documentación de AWS.
Para completar el proceso de integración, consulta Completar el proceso de integración.
Configurar cuentas de AWS manualmente
Si no puedes usar las plantillas de CloudFormation (por ejemplo, si usas nombres de roles diferentes o personalizas la integración), puedes crear manualmente las políticas y los roles de gestión de identidades y accesos de AWS necesarios.
Debes crear políticas y roles de gestión de identidades y accesos de AWS para la cuenta delegada y las cuentas de recopilación.
Crear la política de gestión de identidades y accesos de AWS para el rol delegado
Para crear una política de gestión de identidades y accesos de AWS para el rol delegado (una política delegada), haz lo siguiente:
Inicia sesión en la consola de la cuenta delegada de AWS.
Haz clic en Políticas > Crear política.
Haz clic en JSON y pega una de las siguientes opciones, en función de si has marcado la casilla Conceder permisos para la detección de Sensitive Data Protection en Configurar Security Command Center.
Conceder permisos para el descubrimiento de Protección de Datos Sensibles: completado
{ "Version": "2012-10-17", "Statement": [ { "Action": "sts:AssumeRole", "Resource": "arn:aws:iam::*:role/COLLECTOR_ROLE_NAME", "Effect": "Allow" }, { "Action": [ "organizations:List*", "organizations:Describe*" ], "Resource": "*", "Effect": "Allow" } ] }Sustituye
COLLECTOR_ROLE_NAMEpor el nombre del rol de recopilador que has copiado al configurar Security Command Center (el valor predeterminado esaws-collector-role).Conceder permisos para el descubrimiento de Protección de Datos Sensibles: seleccionado
{ "Version": "2012-10-17", "Statement": [ { "Action": "sts:AssumeRole", "Resource": [ "arn:aws:iam::*:role/COLLECTOR_ROLE_NAME", "arn:aws:iam::*:role/SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME" ], "Effect": "Allow" }, { "Action": [ "organizations:List*", "organizations:Describe*" ], "Resource": "*", "Effect": "Allow" } ] }Haz los cambios siguientes:
COLLECTOR_ROLE_NAME: el nombre del rol de recopilador de datos de configuración que copiaste al configurar Security Command Center (el valor predeterminado esaws-collector-role).SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME: el nombre del rol de recopilador de Protección de Datos Sensibles que copiaste al configurar Security Command Center (el valor predeterminado esaws-sensitive-data-protection-role)
Haz clic en Siguiente.
En la sección Detalles de la política, introduce el nombre y la descripción de la política.
Haz clic en Crear política.
Crear un rol de gestión de identidades y accesos de AWS para la relación de confianza entre AWS y Google Cloud
Crea un rol delegado que establezca una relación de confianza entre AWS y Google Cloud. Este rol usa la política delegada que se creó en Crear la política de gestión de identidades y accesos de AWS para el rol delegado.
Inicia sesión en la consola de la cuenta delegada de AWS como usuario de AWS que pueda crear roles y políticas de gestión de identidades y accesos (IAM).
Haz clic en Roles > Create role (Roles > Crear rol).
En Tipo de entidad de confianza, haz clic en Identidad web.
En Identity Provider (Proveedor de identidades), haz clic en Google.
En Audiencia, introduce el ID del agente de servicio que has copiado al configurar Security Command Center. Haz clic en Siguiente.
Para conceder acceso al rol delegado a los roles de recopilador, adjunta las políticas de permisos al rol. Busca la política delegada que se creó en Crear la política de gestión de identidades y accesos de AWS para el rol delegado y selecciónala.
En la sección Role details (Detalles del rol), introduce el Delegated role name (Nombre del rol delegado) que copiaste al configurar Security Command Center (el nombre predeterminado es
aws-delegated-role).Haz clic en Crear rol.
Crear la política de gestión de identidades y accesos de AWS para la recogida de datos de configuración de recursos
Para crear una política de gestión de identidades y accesos de AWS para la recogida de datos de configuración de activos (una política de recopilador), siga estos pasos:
Inicia sesión en la consola de la cuenta de recopilador de AWS.
Haz clic en Políticas > Crear política.
Haz clic en JSON y pega lo siguiente:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ce:GetCostAndUsage", "dynamodb:DescribeTableReplicaAutoScaling", "identitystore:ListGroupMemberships", "identitystore:ListGroups", "identitystore:ListUsers", "lambda:GetFunction", "lambda:GetFunctionConcurrency", "logs:ListTagsForResource", "s3express:GetBucketPolicy", "s3express:ListAllMyDirectoryBuckets", "wafv2:GetIPSet" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "apigateway:GET" ], "Resource": [ "arn:aws:apigateway:*::/usageplans", "arn:aws:apigateway:*::/usageplans/*/keys", "arn:aws:apigateway:*::/vpclinks/*" ] } ] }Haz clic en Siguiente.
En la sección Detalles de la política, introduce el nombre y la descripción de la política.
Haz clic en Crear política.
Repite estos pasos con cada cuenta de administrador.
Crear el rol de gestión de identidades y accesos de AWS para la recogida de datos de configuración de recursos en cada cuenta
Crea el rol de recopilador que permite a Security Command Center obtener datos de configuración de recursos de AWS. Este rol usa la política de recopilador que se creó en Crear la política de gestión de identidades y accesos de AWS para la recopilación de datos de configuración de activos.
Inicia sesión en la consola de la cuenta de recopilador de AWS como usuario que pueda crear roles de IAM para las cuentas de recopilador.
Haz clic en Roles > Create role (Roles > Crear rol).
En Tipo de entidad de confianza, haz clic en Política de confianza personalizada.
En la sección Custom trust policy (Política de confianza personalizada), pega lo siguiente:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::DELEGATE_ACCOUNT_ID:role/DELEGATE_ACCOUNT_ROLE" }, "Action": "sts:AssumeRole" } ] }Haz los cambios siguientes:
DELEGATE_ACCOUNT_ID: el ID de cuenta de AWS de la cuenta delegadaDELEGATE_ACCOUNT_ROLE: el nombre del rol delegado que copiaste cuando configuraste Security Command Center.
Para conceder acceso a este rol de recopilador a los datos de configuración de tus recursos de AWS, adjunta las políticas de permisos al rol. Busca la política de recopilador personalizado que se creó en Crear la política de IAM de AWS para la recopilación de datos de configuración de recursos y selecciónala.
Busca y selecciona las siguientes políticas gestionadas:
- arn:aws:iam::aws:policy/job-function/ViewOnlyAccess
- arn:aws:iam::aws:policy/SecurityAudit
En la sección Role details (Detalles del rol), introduce el nombre del rol de recopilador de datos de configuración que has copiado al configurar Security Command Center.
Haz clic en Crear rol.
Repite estos pasos con cada cuenta de administrador.
Si ha marcado la casilla Grant permissions for Sensitive Data Protection discovery (Conceder permisos para la detección de Sensitive Data Protection) en Configure Security Command Center (Configurar Security Command Center), vaya a la siguiente sección.
Si no has marcado la casilla Conceder permisos para la detección de Sensitive Data Protection, completa el proceso de integración.
Crear la política de gestión de identidades y accesos de AWS para Protección de Datos Sensibles
Sigue estos pasos si has marcado la casilla Conceder permisos para la detección de Sensitive Data Protection en Configurar Security Command Center.
Para crear una política de gestión de identidades y accesos de AWS para Protección de Datos Sensibles (una política de recopilador), sigue estos pasos:
Inicia sesión en la consola de la cuenta de recopilador de AWS.
Haz clic en Políticas > Crear política.
Haz clic en JSON y pega lo siguiente:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:ListAllMyBuckets", "s3:GetBucketPolicyStatus", "s3:ListBucket", "s3:GetObject", "s3:GetObjectVersion", "s3:GetBucketPublicAccessBlock", "s3:GetBucketOwnershipControls", "s3:GetBucketTagging" ], "Resource": ["arn:aws:s3:::*"] }, { "Effect": "Allow", "Action": [ "iam:ListAttachedRolePolicies", "iam:GetPolicy", "iam:GetPolicyVersion", "iam:ListRolePolicies", "iam:GetRolePolicy", "ce:GetCostAndUsage", "dynamodb:DescribeTableReplicaAutoScaling", "identitystore:ListGroupMemberships", "identitystore:ListGroups", "identitystore:ListUsers", "lambda:GetFunction", "lambda:GetFunctionConcurrency", "logs:ListTagsForResource", "s3express:GetBucketPolicy", "s3express:ListAllMyDirectoryBuckets", "wafv2:GetIPSet" ], "Resource": ["*"] }, { "Effect": "Allow", "Action": [ "s3express:CreateSession" ], "Resource": ["arn:aws:s3express:*:*:bucket/*"] } ] }Haz clic en Siguiente.
En la sección Detalles de la política, introduce el nombre y la descripción de la política.
Haz clic en Crear política.
Repite estos pasos con cada cuenta de administrador.
Crear el rol de gestión de identidades y accesos de AWS para Protección de Datos Sensibles en cada cuenta
Sigue estos pasos si has marcado la casilla Conceder permisos para la detección de Sensitive Data Protection en Configurar Security Command Center.
Crea el rol de recopilador que permite a Protección de Datos Sensibles crear perfiles del contenido de tus recursos de AWS. Este rol usa la política de recopilador que se creó en Crear la política de gestión de identidades y accesos de AWS para Protección de Datos Sensibles.
Inicia sesión en la consola de la cuenta de recopilador de AWS como usuario que pueda crear roles de IAM para cuentas de recopilador.
Haz clic en Roles > Create role (Roles > Crear rol).
En Tipo de entidad de confianza, haz clic en Política de confianza personalizada.
En la sección Custom trust policy (Política de confianza personalizada), pega lo siguiente:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::DELEGATE_ACCOUNT_ID:role/DELEGATE_ACCOUNT_ROLE" }, "Action": "sts:AssumeRole" } ] }Haz los cambios siguientes:
DELEGATE_ACCOUNT_ID: el ID de cuenta de AWS de la cuenta delegadaDELEGATE_ACCOUNT_ROLE: el nombre del rol delegado que copiaste al configurar Security Command Center
Para conceder acceso a este rol de recopilador al contenido de tus recursos de AWS, adjunta las políticas de permisos al rol. Busca la política de recopilador personalizado que se creó en Crea la política de gestión de identidades y accesos de AWS para Protección de Datos Sensibles y selecciónala.
En la sección Role details (Detalles del rol), introduce el nombre del rol de Protección de Datos Sensibles que has copiado al configurar Security Command Center.
Haz clic en Crear rol.
Repite estos pasos con cada cuenta de administrador.
Para completar el proceso de integración, consulta Completar el proceso de integración.
Completar el proceso de integración
En la consola, en la página Probar conector, haz clic en Probar conector para verificar que Security Command Center puede conectarse a tu entorno de AWS. Google Cloud Si la conexión se realiza correctamente, la prueba habrá determinado que el rol delegado tiene todos los permisos necesarios para asumir los roles de recopilador. Si no se establece la conexión, consulta el artículo Solucionar errores al probar la conexión.
Haz clic en Crear.
El conector empezará a analizar y recoger datos de las cuentas y ubicaciones de AWS que hayas especificado. Los resultados pueden tardar hasta 24 horas en aparecer.
Personalizar la configuración del conector de AWS
En esta sección se describen algunas de las formas en las que puede personalizar la conexión entre Security Command Center y AWS. Estas opciones están disponibles en la sección Opciones avanzadas (opcional) de la página Añadir conector de Amazon Web Services de la consola de Google Cloud .
De forma predeterminada, Security Command Center descubre automáticamente tus cuentas de AWS en todas las regiones de AWS. La conexión usa el endpoint global predeterminado del servicio de token de seguridad de AWS y las consultas por segundo (QPS) predeterminadas del servicio de AWS que estés monitorizando. Estas opciones avanzadas te permiten personalizar los valores predeterminados.
| Opción | Descripción |
|---|---|
| Añadir cuentas de conector de AWS | Selecciona una opción en función de tus preferencias:
|
| Excluir cuentas de conector de AWS | Si ha seleccionado Añadir cuentas automáticamente en la sección Añadir cuentas de conector de AWS, proporcione una lista de cuentas de AWS que Security Command Center no debería usar para buscar recursos. |
| Introduce las cuentas de conector de AWS | Si ha seleccionado Añadir cuentas individualmente en la sección Añadir cuentas de conector de AWS, proporcione una lista de cuentas de AWS que Security Command Center pueda usar para encontrar recursos. |
| Seleccionar regiones para recoger datos | Seleccione una o varias regiones de AWS para que Security Command Center recoja datos de ellas. Deje el campo Regiones de AWS vacío para recoger datos de todas las regiones. |
| Máximo de consultas por segundo (CPS) para los servicios de AWS | Puedes cambiar las QPS para controlar el límite de cuota de Security Command Center. Asigna al valor de anulación un valor inferior al valor predeterminado de ese servicio y superior o igual a 1.
El valor predeterminado es el valor máximo. Si cambias el QPS, Security Command Center podría tener problemas para obtener datos. Por lo tanto, no recomendamos cambiar este valor. |
| Endpoint de AWS Security Token Service | Puedes especificar un endpoint concreto para el servicio de tokens de seguridad de AWS (por ejemplo, https://sts.us-east-2.amazonaws.com).
Deja el campo Servicio de tokens de seguridad de AWS vacío para usar el endpoint global predeterminado (https://sts.amazonaws.com). |
Conceder permisos de descubrimiento de datos sensibles a un conector de AWS
Para detectar datos sensibles en tu contenido de AWS, necesitas un conector de AWS que tenga los permisos de IAM de AWS necesarios.
En esta sección se describe cómo conceder esos permisos a un conector de AWS. Los pasos que debes seguir dependen de si has configurado tu entorno de AWS con plantillas de CloudFormation o manualmente.
Actualizar un conector con plantillas de CloudFormation
Si configuraste tu entorno de AWS con plantillas de CloudFormation, sigue estos pasos para conceder permisos de detección de datos sensibles a tu conector de AWS.
En la Google Cloud consola, ve a Configuración > Configuración de SCC.
Selecciona la organización en la que has activado Security Command Center Enterprise.
Selecciona Conectores. Se abrirá la página Configurar conector.
En el conector AWS, haga clic en Más opciones > Editar.
En la sección Revisar tipos de datos, selecciona Conceder permisos para la detección de Sensitive Data Protection.
Haz clic en Continuar. Se abrirá la página Connect to AWS (Conectar con AWS).
Haz clic en Descargar plantilla de rol delegado. La plantilla se descargará en tu ordenador.
Haga clic en Descargar plantilla de rol de recolector. La plantilla se descargará en tu ordenador.
Haz clic en Continuar. Se abrirá la página Probar conector. No pruebes el conector todavía.
En la consola de CloudFormation, actualice la plantilla de la pila del rol delegado:
- Inicia sesión en la consola de la cuenta delegada de AWS. Asegúrate de haber iniciado sesión en la cuenta delegada que se usa para asumir otras cuentas de AWS del recopilador.
- Ve a la consola AWS CloudFormation.
Sustituye la plantilla de pila del rol delegado por la plantilla de rol delegado actualizada que has descargado.
Para obtener más información, consulta Actualizar la plantilla de una pila (consola) en la documentación de AWS.
Actualiza el conjunto de pilas de la función de recopilador:
- Con una cuenta de administración de AWS o cualquier cuenta de miembro registrada como administrador delegado, ve a la consola de AWS CloudFormation.
Sustituye la plantilla del conjunto de pilas del rol de recopilador por la plantilla actualizada del rol de recopilador que has descargado.
Para obtener más información, consulta el artículo Actualizar un conjunto de pilas con la consola de AWS CloudFormation de la documentación de AWS.
Si necesita recoger datos de la cuenta de gestión, inicie sesión en ella y sustituya la plantilla de la pila del recolector por la plantilla de rol de recolector actualizada que ha descargado.
Este paso es necesario porque los conjuntos de pilas de AWS CloudFormation no crean instancias de pila en las cuentas de gestión. Para obtener más información, consulta DeploymentTargets en la documentación de AWS.
En la consola Google Cloud , en la página Probar conector, haz clic en Probar conector. Si la conexión se realiza correctamente, la prueba habrá determinado que el rol delegado tiene todos los permisos necesarios para asumir los roles del recolector. Si no se establece la conexión, consulta el artículo Solucionar errores al probar la conexión.
Haz clic en Guardar.
Actualizar manualmente un conector
Si configuraste tus cuentas de AWS manualmente al crear el conector de AWS, sigue estos pasos para conceder permisos de detección de datos sensibles a tu conector de AWS.
Abre la pestaña Conectores en la página Configuración.
Selecciona la organización en la que has activado Security Command Center Enterprise.
En el conector AWS, haga clic en Más opciones > Editar.
En la sección Revisar tipos de datos, selecciona Conceder permisos para la detección de Sensitive Data Protection.
Haz clic en Continuar. Se abrirá la página Connect to AWS (Conectar con AWS).
Haz clic en Configurar cuentas de AWS manualmente (recomendado si usas ajustes avanzados o nombres de rol personalizados).
Copia los valores de los siguientes campos:
- Nombre del rol delegado
- Nombre del rol de recopilador
- Nombre del rol de recopilador de Protección de Datos Sensibles
Haz clic en Continuar. Se abrirá la página Probar conector. No pruebes el conector todavía.
En la consola de la cuenta delegada de AWS, actualiza la política de IAM de AWS del rol delegado para que use el siguiente JSON:
{ "Version": "2012-10-17", "Statement": [ { "Action": "sts:AssumeRole", "Resource": [ "arn:aws:iam::*:role/COLLECTOR_ROLE_NAME", "arn:aws:iam::*:role/SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME" ], "Effect": "Allow" }, { "Action": [ "organizations:List*", "organizations:Describe*" ], "Resource": "*", "Effect": "Allow" } ] }Haz los cambios siguientes:
COLLECTOR_ROLE_NAME: el nombre del rol de recopilador de datos de configuración que has copiado (el valor predeterminado esaws-collector-role).SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME: el nombre del rol de recopilador de Protección de Datos Sensibles que has copiado (el valor predeterminado esaws-sensitive-data-protection-role)
Para obtener más información, consulta el artículo Editar políticas gestionadas por el cliente (consola) de la documentación de AWS.
Sigue estos procedimientos con cada cuenta de recogida:
En la consola Google Cloud , en la página Probar conector, haz clic en Probar conector. Si la conexión se realiza correctamente, la prueba habrá determinado que el rol delegado tiene todos los permisos necesarios para asumir los roles del recolector. Si no se establece la conexión, consulta el artículo Solucionar errores al probar la conexión.
Haz clic en Guardar.
Solución de problemas
En esta sección se incluyen algunos problemas habituales que pueden surgir al integrar Security Command Center con AWS.
Los recursos ya existen
Este error se produce en el entorno de AWS cuando intentas crear las políticas y los roles de gestión de identidades y accesos de AWS, y el rol ya existe en tu cuenta de AWS.
Para resolver este error, siga estos pasos:
- Comprueba si el rol o la política que vas a crear ya existen y cumplen los requisitos que se indican en esta guía.
- Si es necesario, cambia el nombre del rol para evitar conflictos.
Principal no válido en la política
Este error puede producirse en el entorno de AWS al crear los roles de recopilador, pero el rol de delegado aún no existe.
Para resolver este error, sigue los pasos que se indican en Crear la política de gestión de identidades y accesos de AWS para el rol delegado y espera a que se cree el rol delegado antes de continuar.
Limitaciones de la limitación en AWS
AWS limita las solicitudes a la API de cada cuenta de AWS por cuenta o por región. Para asegurarse de que no se superen estos límites cuando Security Command Center recoja datos de configuración de activos de AWS, Security Command Center recoge los datos a un QPS máximo fijo para cada servicio de AWS, tal como se describe en la documentación de la API del servicio de AWS.
Si experimentas una limitación de solicitudes en tu entorno de AWS debido a las QPS consumidas, puedes mitigar el problema haciendo lo siguiente:
En la página de configuración del conector de AWS, define un QPS personalizado para el servicio de AWS que esté experimentando limitación de solicitudes.
Restringe los permisos del rol de recopilador de AWS para que no se recojan más datos de ese servicio específico. Esta técnica de mitigación impide que las simulaciones de rutas de ataque funcionen correctamente en AWS.
Si revocas todos los permisos en AWS, el proceso de recogida de datos se detendrá inmediatamente. Si eliminas el conector de AWS, el proceso de recogida de datos no se detendrá inmediatamente, pero no se volverá a iniciar cuando finalice.
Se devuelve un resultado de búsqueda de un recurso de AWS eliminado
Una vez que se elimina un recurso de AWS, pueden transcurrir hasta 40 horas antes de que se quite del sistema de inventario de recursos de Security Command Center. Si decides resolver una detección eliminando el recurso, es posible que la detección se siga notificando durante este periodo, ya que el recurso aún no se ha eliminado del sistema de inventario de recursos de Security Command Center.
Solucionar errores al probar la conexión
Estos errores pueden producirse al probar la conexión entre Security Command Center y AWS.
AWS_FAILED_TO_ASSUME_DELEGATED_ROLE
La conexión no es válida porque el agente de servicio Google Cloud no puede asumir el rol delegado.
Para solucionar este problema, ten en cuenta lo siguiente:
Comprueba que el rol delegado exista. Para crearla, consulta Crear un rol de gestión de identidades y accesos de AWS para la relación de confianza entre AWS y Google Cloud.
Falta la política insertada del rol delegado. Sin él, el agente de servicio no puede asumir el rol. Para verificar que la política insertada existe, consulta Crear un rol de gestión de identidades y accesos de AWS para la relación de confianza entre AWS y Google Cloud.
Si los detalles del error contienen el mensaje
InvalidIdentityToken: Incorrect token audience, puede deberse a un proveedor de identidades OIDC independiente paraaccounts.google.comen el entorno de AWS. Para resolver este error, elimina el proveedor de identidades de OIDC deaccounts.google.comen el entorno de AWS siguiendo las instrucciones que se indican en Crear y gestionar un proveedor de OIDC.
AWS_FAILED_TO_LIST_ACCOUNTS
La conexión no es válida porque la detección automática está habilitada y el rol delegado no puede obtener todas las cuentas de AWS de las organizaciones.
Este error indica que falta la política para permitir la acción organizations:ListAccounts en el rol delegado en determinados recursos. Para solucionar este error, comprueba qué recursos faltan. Para verificar la configuración de la política delegada, consulta Crear la política de gestión de identidades y accesos de AWS para el rol delegado.
Comprueba que has creado y configurado las cuentas de AWS tal como se describe en la sección Crear cuentas de AWS.
AWS_ACTIVE_COLLECTOR_ACCOUNTS_NOT_FOUND
La conexión no es válida porque no se han encontrado cuentas de recopilador de AWS con el estado ACTIVE.
Si ha seleccionado Añadir cuentas automáticamente en el campo Añadir cuentas de conector de AWS, no se ha encontrado ninguna cuenta de AWS con el estado ACTIVE, excepto las que se hayan especificado en el campo Excluir cuentas de conector de AWS.
Si has seleccionado Añadir cuentas individualmente, en el campo Añadir cuentas de conector de AWS, comprueba que las cuentas que has proporcionado tengan el estado ACTIVE.
AWS_INVALID_COLLECTOR_ACCOUNTS
La conexión no es válida porque hay cuentas de recogida no válidas. El mensaje de error incluye más información sobre las posibles causas, entre las que se encuentran las siguientes:
AWS_FAILED_TO_ASSUME_COLLECTOR_ROLE
La cuenta de recogida no es válida porque el rol delegado no puede asumir el rol de recogida en la cuenta de recogida.
Para resolver este error, ten en cuenta lo siguiente:
Comprueba que el rol de recopilador exista.
- Para crear el rol de recopilador de datos de configuración de recursos, consulta el artículo Crear el rol de gestión de identidades y accesos de AWS para la recogida de datos de configuración de recursos en cada cuenta.
- Para crear el rol de recopilador de Protección de Datos Sensibles, consulta el artículo Crear el rol de gestión de identidades y accesos de AWS para Protección de Datos Sensibles en cada cuenta.
Falta la política que permite que el rol delegado asuma el rol de recolector. Para verificar que la política existe, consulta Crear la política de gestión de identidades y accesos de AWS para el rol delegado.
AWS_COLLECTOR_ROLE_POLICY_MISSING_REQUIRED_PERMISSION
La conexión no es válida porque faltan algunos ajustes de permisos obligatorios en la política del recolector.
Para solucionar este error, ten en cuenta las siguientes causas:
Es posible que algunas de las políticas gestionadas de AWS obligatorias no estén asociadas al rol de recopilador de datos de configuración de recursos. Para verificar que todas las políticas estén asociadas, consulta el paso 6 de Crear el rol de gestión de identidades y accesos de AWS para la recogida de datos de configuración de recursos en cada cuenta.
Puede que se produzca uno de los siguientes problemas con una política de recogida:
- Es posible que la política del recopilador no exista.
- La política de recogida no está asociada al rol de recogida.
- La política del recolector no incluye todos los permisos necesarios.
Para resolver problemas con una política de recogida, consulta lo siguiente:
Siguientes pasos
- Si es la primera vez que configuras Security Command Center Enterprise, consulta la guía de configuración para habilitar funciones adicionales.
También puedes hacer lo siguiente:
- Habilita y usa Evaluación de vulnerabilidades para AWS.
- Crea y gestiona una postura de seguridad para AWS.
- Crea simulaciones de rutas de ataque para recursos de AWS.
- Cumplimiento de los recursos de AWS con varios estándares y comparativas.