Connettiti ad AWS per il rilevamento delle vulnerabilità e la valutazione del rischio

Puoi connettere il livello di Security Command Center Enterprise al tuo ambiente AWS in modo puoi completare le seguenti azioni:

• Rileva e correggi gli errori di configurazione e le vulnerabilità del software nel tuo ambiente AWS
• Crea e gestisci una postura di sicurezza per AWS
• Identifica i potenziali percorsi di attacco dalla rete internet pubblica al tuo di alto valore Asset AWS
• Mappa la conformità delle risorse AWS a vari standard e benchmark

La connessione di Security Command Center ad AWS crea un unico posto per la tua sicurezza operativo per gestire e risolvere le minacce e le vulnerabilità Google Cloud e AWS.

Per consentire a Security Command Center di monitorare l'organizzazione AWS, devi configurare un una connessione mediante un agente di servizio Google Cloud e un account AWS che ha accesso alle risorse da monitorare. Security Command Center utilizza questa connessione per raccogliere periodicamente dati su per tutti gli account e le regioni AWS che definisci.

Questo documento descrive come configurare la connessione con AWS. Quando configuri una connessione, devi configurare quanto segue:

• Una serie di account in AWS che hanno accesso diretto ad AWS le risorse che vuoi monitorare. Nella console Google Cloud, sono chiamati account da collettore.
• Un account in AWS che disponga dei criteri e dei ruoli appropriati per consentire l'autenticazione negli account dei raccoglitori. Nella console Google Cloud, questo account è chiamato account delegato. Sia l'account delegato e gli account raccoglitore devono trovarsi nella stessa organizzazione AWS.
• Un agente di servizio in Google Cloud che si connette all'account delegato per l'autenticazione.
• Una pipeline per raccogliere i dati delle risorse dalle risorse AWS.
• (Facoltativo) Autorizzazioni per Sensitive Data Protection di profilare i tuoi contenuti AWS.

Questa connessione non si applica alle funzionalità SIEM di Security Command Center che ti consentono di importare i log AWS per il rilevamento delle minacce.

Il seguente diagramma mostra questa configurazione. Il progetto tenant è un progetto creato automaticamente e contenente la pipeline di raccolta dei dati degli asset. in esecuzione in un'istanza Compute Engine.

Prima di iniziare

Completa queste attività prima di completare quelle rimanenti in questa pagina.

Attiva il livello Security Command Center Enterprise

Completa i passaggi 1 e 2 della guida alla configurazione per attivare Security Command Center Livello Enterprise.

Configurare le autorizzazioni

Per ottenere le autorizzazioni necessarie per utilizzare il connettore AWS, chiedi all'amministratore di concederti Ruolo IAM Proprietario di asset cloud (roles/cloudasset.owner). Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso.

Potresti anche riuscire a ottenere le autorizzazioni richieste tramite la ruoli o altri ruoli predefiniti ruoli.

Crea account AWS

Assicurati di aver creato le seguenti risorse AWS:

• Un sistema IAM AWS utente con Accesso IAM AWS per le console dell'account AWS del delegato e del raccoglitore.

• L'account AWS ID per un account AWS che puoi usare come account delegato. Se vuoi Security Command Center per individuare automaticamente gli account AWS e trovare le risorse, un account delegato deve essere collegato a un account AWS organizzazione e uno dei seguenti:

  • Un account di gestione AWS.

  • Un amministratore con delega AWS.

  • Un account AWS con una delega basata sulle risorse norme che fornisce le autorizzazioni organization e list. Ad esempio, criterio, consulta Esempio: visualizzazione di organizzazione, UO, account .

Configura Security Command Center

1. Nella console Google Cloud, vai alla pagina di configurazione.

   Vai alla configurazione

2. Seleziona l'organizzazione che hai attivato Livello Security Command Center Enterprise attivo.

3. Fai clic su Passaggio 3: configura il connettore Amazon Web Services (AWS).

4. In ID account delegato, inserisci l'ID account AWS per AWS che puoi usare come account delegato.

5. Per consentire a Sensitive Data Protection di profilare i tuoi dati AWS, mantieni Concedi autorizzazioni per Sensitive Data Protection rilevamento selezionato. Questa opzione aggiunge le autorizzazioni AWS IAM Modello CloudFormation per il raccoglitore ruolo.

   Autorizzazioni AWS IAM concesse da questa opzione

   • s3:GetBucketLocation
   • s3:ListAllMyBuckets
   • s3:GetBucketPolicyStatus
   • s3:ListBucket
   • s3:GetObject
   • iam:ListAttachedRolePolicies
   • iam:GetPolicy
   • iam:GetPolicyVersion
   • iam:ListRolePolicies
   • iam:GetRolePolicy

   Questa opzione concede solo le autorizzazioni AWS richieste al ruolo raccoglitore. Per profilare i dati AWS, abilita i dati sensibili per il rilevamento.

6. Se vuoi, puoi rivedere le opzioni avanzate.

7. Fai clic su Continua. Si apre la pagina Connetti ad AWS.

8. Completa una delle seguenti operazioni:

   • Scarica ed esamina i modelli CloudFormation per il ruolo delegato e il ruolo raccoglitore.
   • Se hai configurato le opzioni avanzate o devi modificare il valore AWS predefinito nomi dei ruoli (aws-delegated-role, aws-collector-role e aws-sensitive-data-protection-role), seleziona Configura account AWS manualmente. Copia l'ID agente di servizio, il nome ruolo delegato e il raccoglitore e il nome del ruolo raccoglitore di Sensitive Data Protection.

   Non puoi modificare i nomi dei ruoli dopo aver creato la connessione.

Non fare clic su Crea. Invece, per configurare l'ambiente AWS.

Configura il tuo ambiente AWS

Puoi configurare l'ambiente AWS utilizzando uno dei seguenti metodi:

• Usa i modelli CloudFormation che hai scaricato in Configura Security Command Center. Per istruzioni, vedi Utilizza i modelli CloudFormation per configurare l'ambiente AWS.
• Se utilizzi impostazioni personalizzate o nomi di ruolo, configura AWS manualmente. Per istruzioni, vedi Configura manualmente gli account AWS.

Usa i modelli CloudFormation per configurare l'ambiente AWS

Se hai scaricato modelli CloudFormation, segui questi passaggi per configurare AWS completamente gestito di Google Cloud.

1. Accedi all'account delegato AWS Google Cloud. Assicurati che di aver effettuato l'accesso all'account delegato che utilizza per prevedere altre account AWS raccoglitore.
2. Vai ad AWS CloudFormation Console modello.

3. Crea uno stack utilizzando il file del modello del ruolo delegato. Per ulteriori informazioni, consulta Creare uno stack da risorse esistenti utilizzando AWS Management console nella documentazione di AWS.

   Mentre segui i prompt, segui questi passaggi:

   1. Quando specifichi un modello, carica il ruolo delegato modello.
   2. Quando specifichi i dettagli dello stack, inserisci un nome per lo stack.

   3. Esamina i parametri. Assicurati che il ruolo delegato e raccoglitore corrispondenti a quelli elencati nella pagina Connetti ad AWS in la console Google Cloud.

   4. Come richiesto dalla tua organizzazione, aggiorna le opzioni dello stack.

   Attendi il completamento della creazione dello stack. Se si verifica un problema, consulta Risoluzione dei problemi.

   Se scegli di aggiungere singolarmente gli account AWS (disabilitando il rilevamento automatico per ), puoi anche creare stack separati per ogni account AWS della creazione di un singolo set di stack.

4. L'utilizzo di un account di gestione AWS o di qualsiasi account membro registrato come utente con delega di amministratore, creare un insieme di stack. Per ulteriori informazioni, vedi Crea un set di stack con lo stack gestito dal servizio autorizzazioni nella documentazione di AWS.

   Mentre segui i prompt, segui questi passaggi:

   1. Quando specifichi un modello, carica il modello di ruolo del raccoglitore .
   2. Quando specifichi i dettagli dello StackSet, verifica e aggiorna il valore l'ID account delegato e i nomi dei ruoli.
   3. In base alle esigenze della tua organizzazione, configura le opzioni del set di stack.

   4. Quando specifichi le opzioni di deployment, scegli le destinazioni del deployment. Puoi eseguire il deployment nell'intera organizzazione AWS o in un che include tutti gli account AWS che vuoi raccolgono dati.

   5. Specifica le regioni AWS in cui creare ruoli e criteri. Poiché i ruoli sono risorse globali, non devi specificare regioni.

   6. Se necessario, modifica altre impostazioni.

   7. Esamina le modifiche e crea il set di stack. Se ricevi un messaggio di errore, consulta la sezione Risoluzione dei problemi.

5. Esegui il deployment di uno stack separato per il provisioning del ruolo raccoglitore in dell'account di gestione perché uno stack AWS CloudFormation impostato non crea in un account di gestione. Per ulteriori informazioni, vedi DeploymentTargets nella documentazione di AWS.

Per completare il processo di integrazione, consulta Completa la procedura di integrazione.

Configura manualmente gli account AWS

Se non puoi utilizzare i modelli CloudFormation (ad esempio, stai utilizzando ruoli diversi o che stai personalizzando l'integrazione), puoi creare i criteri e i ruoli AWS IAM richiesti manualmente.

Devi creare criteri e ruoli AWS IAM per l'account delegato e gli account raccoglitore.

Crea il criterio AWS IAM per il ruolo delegato

Per creare un criterio AWS IAM per il ruolo delegato (criterio delegato), completa i seguenti passaggi:

1. Accedi a Console account delegato AWS.

2. Fai clic su Norme > Crea criterio.

3. Fai clic su JSON e incolla uno dei seguenti formati, a seconda che tu selezionata l'opzione Concedi autorizzazioni per Sensitive Data Protection di rilevamento in Configura Security Command Center.

   Concedi le autorizzazioni per Sensitive Data Protection rilevamento: cancellato

   {
     "Version": "2012-10-17",
     "Statement": [
         {
             "Action": "sts:AssumeRole",
             "Resource": "arn:aws:iam::*:role/COLLECTOR_ROLE_NAME",
             "Effect": "Allow"
         },
         {
             "Action": [
                 "organizations:List*",
                 "organizations:Describe*"
             ],
             "Resource": "*",
             "Effect": "Allow"
         }
     ]
   }
   

   Sostituisci COLLECTOR_ROLE_NAME con il nome del raccoglitore che hai copiato durante la configurazione di Security Command Center (il il valore predefinito è aws-collector-role).

   Concedi le autorizzazioni per Sensitive Data Protection rilevamento: selezionato

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Action": "sts:AssumeRole",
         "Resource": [
           "arn:aws:iam::*:role/COLLECTOR_ROLE_NAME",
           "arn:aws:iam::*:role/SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME"
         ],
         "Effect": "Allow"
       },
       {
         "Action": [
           "organizations:List*",
           "organizations:Describe*"
         ],
         "Resource": "*",
         "Effect": "Allow"
       }
     ]
   }
   

   Sostituisci quanto segue:

   • COLLECTOR_ROLE_NAME: il nome del di configurazione del raccoglitore dei dati che hai copiato durante configurazione di Security Command Center (il valore predefinito è aws-collector-role)
   • SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME: il valore nome del ruolo raccoglitore di Sensitive Data Protection che hai copiato durante configurazione di Security Command Center (il valore predefinito è aws-sensitive-data-protection-role)

4. Fai clic su Avanti.

5. Nella sezione Dettagli norme, inserisci un nome e una descrizione per il .

6. Fai clic su Crea criterio.

Crea un ruolo AWS IAM per la relazione di attendibilità tra AWS e Google Cloud

Crea un ruolo delegato che configuri una relazione di fiducia tra AWS e in Google Cloud. Questo ruolo utilizza il criterio delegato creato in Crea il criterio AWS IAM per il ruolo delegato.

1. Accedi a Console account delegato AWS in qualità di utente AWS in grado di creare ruoli e criteri IAM.

2. Fai clic su Ruoli > Crea ruolo.

3. Per Tipo di entità attendibile, fai clic su Identità web.

4. In Identity Provider (Provider di identità), fai clic su Google.

5. In Pubblico, inserisci l'ID account di servizio che hai copiato durante configurato Security Command Center. Fai clic su Next (Avanti).

6. Per concedere al ruolo delegato l'accesso ai ruoli raccoglitore, collega il di autorizzazione al ruolo. Cerca il criterio delegato che è stato creato in Crea il criterio AWS IAM per il ruolo delegato e selezionalo.

7. Nella sezione Dettagli ruolo, inserisci il Nome ruolo delegato che che hai copiato durante configurato Security Command Center (il nome predefinito è aws-delegated-role).

8. Fai clic su Crea ruolo.

Crea il criterio AWS IAM per la raccolta dei dati di configurazione degli asset

Per creare un criterio AWS IAM per la raccolta dei dati di configurazione degli asset (un raccoglitore ), completa le seguenti informazioni:

1. Accedi a Console account raccoglitore AWS.

2. Fai clic su Norme > Crea criterio.

3. Fai clic su JSON e incolla quanto segue:

   {
     "Version": "2012-10-17",
     "Statement": [
         {
             "Effect": "Allow",
             "Action": [
                 "ce:GetCostAndUsage",
                 "dynamodb:DescribeTableReplicaAutoScaling",
                 "identitystore:ListGroupMemberships",
                 "identitystore:ListGroups",
                 "identitystore:ListUsers",
                 "lambda:GetFunction",
                 "lambda:GetFunctionConcurrency",
                 "logs:ListTagsForResource",
                 "s3express:GetBucketPolicy",
                 "s3express:ListAllMyDirectoryBuckets",
                 "wafv2:GetIPSet"
             ],
             "Resource": [
                 "*"
             ]
         },
         {
             "Effect": "Allow",
             "Action": [
                 "apigateway:GET"
             ],
             "Resource": [
                 "arn:aws:apigateway:*::/usageplans",
                 "arn:aws:apigateway:*::/usageplans/*/keys",
                 "arn:aws:apigateway:*::/vpclinks/*"
             ]
         }
     ]
   
   }
   

4. Fai clic su Avanti.

5. Nella sezione Dettagli norme, inserisci un nome e una descrizione per il .

6. Fai clic su Crea criterio.

7. Ripeti questi passaggi per ogni account raccoglitore.

Crea il ruolo AWS IAM per la raccolta dei dati di configurazione degli asset in ciascun account

Crea il ruolo raccoglitore che consente a Security Command Center di recuperare i dati di configurazione degli asset di AWS. Questo ruolo utilizza il criterio del raccoglitore creato in Crea il Criterio AWS IAM per i dati di configurazione degli asset raccolta.

1. Accedi a Console account raccoglitore AWS come utente che può creare ruoli IAM per gli account raccoglitore.

2. Fai clic su Ruoli > Crea ruolo.

3. Per Tipo di entità attendibile, fai clic su Criterio di attendibilità personalizzato.

4. Nella sezione Criterio di attendibilità personalizzato, incolla quanto segue:

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
           "AWS": "arn:aws:iam::DELEGATE_ACCOUNT_ID:role/DELEGATE_ACCOUNT_ROLE"
         },
         "Action": "sts:AssumeRole"
       }
     ]
   }
   

   Sostituisci quanto segue:

   • DELEGATE_ACCOUNT_ID: l'ID account AWS per l'account delegato
   • DELEGATE_ACCOUNT_ROLE: il Nome ruolo delegato che che hai copiato durante configurato Security Command Center.

5. Per concedere a questo ruolo raccoglitore l'accesso ai dati di configurazione degli asset AWS, collegare i criteri di autorizzazione al ruolo. Cerca il raccoglitore personalizzato creato in Crea il criterio AWS IAM per la raccolta dei dati di configurazione degli asset. e selezionalo.

6. Cerca e seleziona i seguenti criteri gestiti:

   • arn:aws:iam::aws:policy/job-function/ViewOnlyAccess
   • arn:aws:iam::aws:policy/SecurityAudit

7. Nella sezione Dettagli ruolo, inserisci il nome dei dati di configurazione. ruolo raccoglitore che hai copiato durante la configurazione Security Command Center.

8. Fai clic su Crea ruolo.

9. Ripeti questi passaggi per ogni account raccoglitore.

Se hai selezionato Concedi autorizzazioni per Sensitive Data Protection di rilevamento in Configura Security Command Center, quindi procedi alla successiva .

Se non hai attivato l'opzione Concedi autorizzazioni per Sensitive Data Protection casella di controllo di rilevamento, quindi completa la di integrazione.

Crea il criterio AWS IAM per Sensitive Data Protection

Completa questi passaggi se hai selezionato l'opzione Concedi autorizzazioni per Sensitive Data Protection della funzionalità di rilevamento Configura Security Command Center.

Creare un criterio AWS IAM per Sensitive Data Protection (un raccoglitore ), completa le seguenti informazioni:

1. Accedi a Console account raccoglitore AWS.

2. Fai clic su Norme > Crea criterio.

3. Fai clic su JSON e incolla quanto segue:

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Action": [
           "s3:GetBucketLocation",
           "s3:ListAllMyBuckets",
           "s3:GetBucketPolicyStatus",
           "s3:ListBucket",
           "s3:GetObject"
         ],
         "Resource": [
           "arn:aws:s3:::*"
         ]
       },
       {
         "Effect": "Allow",
         "Action": [
           "iam:ListAttachedRolePolicies",
           "iam:ListRolePolicies",
           "iam:GetPolicy",
           "iam:GetPolicyVersion",
           "iam:GetRolePolicy"
         ],
         "Resource": [
           "*"
         ]
       }
     ]
   }
   

4. Fai clic su Avanti.

5. Nella sezione Dettagli norme, inserisci un nome e una descrizione per il .

6. Fai clic su Crea criterio.

7. Ripeti questi passaggi per ogni account raccoglitore.

Crea il ruolo AWS IAM per Sensitive Data Protection in ciascun account

Completa questi passaggi se hai selezionato l'opzione Concedi autorizzazioni per Sensitive Data Protection della funzionalità di rilevamento Configura Security Command Center.

Crea il ruolo raccoglitore che consente a Sensitive Data Protection di profilare delle risorse AWS. Questo ruolo utilizza il criterio del raccoglitore che è stato creato in Creare il criterio AWS IAM per Sensitive Data Protection.

1. Accedi a Console account raccoglitore AWS come utente che può creare ruoli IAM per gli account raccoglitore.

2. Fai clic su Ruoli > Crea ruolo.

3. Per Tipo di entità attendibile, fai clic su Criterio di attendibilità personalizzato.

4. Nella sezione Criterio di attendibilità personalizzato, incolla quanto segue:

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
           "AWS": "arn:aws:iam::DELEGATE_ACCOUNT_ID:role/DELEGATE_ACCOUNT_ROLE"
         },
         "Action": "sts:AssumeRole"
       }
     ]
   }
   

   Sostituisci quanto segue:

   • DELEGATE_ACCOUNT_ID: l'ID account AWS per account delegato
   • DELEGATE_ACCOUNT_ROLE: il ruolo Delegato predefinito che hai copiato durante la configurazione Security Command Center

5. Per concedere a questo ruolo raccoglitore l'accesso ai contenuti delle tue risorse AWS, collegare i criteri di autorizzazione al ruolo. Cerca il raccoglitore personalizzato creato in Crea il criterio AWS IAM per Sensitive Data Protection, e selezionalo.

6. Nella sezione Dettagli ruolo, inserisci il nome del ruolo per Sensitive Data Protection che hai copiato durante la configurazione Security Command Center.

7. Fai clic su Crea ruolo.

8. Ripeti questi passaggi per ogni account raccoglitore.

Per completare il processo di integrazione, consulta Completa la procedura di integrazione.

Completa la procedura di integrazione

1. Nella console Google Cloud, vai alla pagina Aggiungi connettore Amazon Web Services.

   Vai al connettore Amazon Web Services

2. Fai clic su Testa il connettore per verificare che Security Command Center sia in grado di connettersi a del tuo ambiente AWS. Se la connessione riesce, il test ha determinato che il ruolo delegato disponga di tutte le autorizzazioni necessarie per assumere i ruoli di raccoglitore. Se la connessione non riesce, consulta la sezione Risoluzione dei problemi. durante il test della connessione.

3. Fai clic su Crea.

Configurazione personalizzata

Questa sezione descrive alcuni modi in cui puoi personalizzare la connessione tra Security Command Center e AWS. Queste opzioni sono disponibili nella sezione Avanzati opzioni (facoltativo) del Aggiungi il connettore Amazon Web Services nella console Google Cloud.

Per impostazione predefinita, Security Command Center rileva automaticamente i tuoi account AWS Regioni AWS. La connessione utilizza endpoint globale predefinito per il servizio token di sicurezza AWS e le query predefinite al secondo (QPS) per il servizio AWS il monitoraggio. Queste opzioni avanzate ti consentono di personalizzare i valori predefiniti.

Opzione	Descrizione
Specifica quali account AWS utilizzare	Puoi consentire a Security Command Center di rilevare automaticamente gli account AWS oppure fornire un elenco di account AWS che Security Command Center può utilizzare per trovare le risorse.
Specifica gli account AWS da escludere	Se consenti a Security Command Center di rilevare automaticamente gli account, puoi fornire un elenco di account AWS che Security Command Center non può utilizzare per trovare le risorse.
Specifica le regioni AWS da monitorare	Puoi selezionare una o più regioni AWS per Security Command Center monitoraggio. Lascia vuoto il campo Regioni AWS su. per monitorare tutte le regioni.
Esegui l'override delle query al secondo (QPS) predefinite per i servizi AWS	Puoi modificare il valore QPS per controllare il limite della quota Security Command Center. Imposta la sostituzione su un valore inferiore a valore predefinito per quel servizio e maggiore o uguale a 1. Il valore predefinito è il valore massimo. Se modifichi il valore QPS, Security Command Center potrebbe riscontrare problemi durante il recupero dei dati. Pertanto, non è consigliabile modificare questo valore.
Cambia l'endpoint per il servizio token di sicurezza AWS	Puoi specificare un endpoint specifico per l'AWS Security Token Service (ad esempio https://sts.us-east-2.amazonaws.com). Esci da AWS Il campo del servizio token di sicurezza (AWS STS) (facoltativo) è vuoto da utilizzare l'endpoint globale predefinito (https://sts.amazonaws.com).

Risoluzione dei problemi

Questa sezione include alcuni problemi comuni che potresti riscontrare quando integrazione di Security Command Center con AWS.

Le risorse esistono già

Questo errore si verifica nell'ambiente AWS quando provi a creare AWS IAM e i ruoli AWS IAM. Questo problema si verifica quando il ruolo esiste già in il tuo account AWS e stai tentando di crearlo di nuovo.

Per risolvere il problema, completa i seguenti passaggi:

• Verifica se il ruolo o il criterio che stai creando esiste già e soddisfi i requisiti elencati in questa guida.
• Se necessario, modifica il nome del ruolo per evitare conflitti.

Entità non valida nel criterio

Questo errore può verificarsi nell'ambiente AWS durante la creazione del raccoglitore ma il ruolo delegato non esiste ancora.

Per risolvere il problema, completa i passaggi descritti in Creare il criterio AWS IAM per ruolo delegato e attendere che venga assegnato il ruolo viene creato prima di continuare.

Limitazioni della limitazione in AWS

AWS limita le richieste API per ogni account AWS su un singolo account o una singola regione base. Per garantire che questi limiti non vengano superati quando Security Command Center raccoglie di configurazione degli asset di AWS, Security Command Center raccoglie i dati in un QPS massimo per ogni servizio AWS, come descritto nella documentazione dell'API per servizio AWS.

Se noti una limitazione delle richieste nel tuo ambiente AWS a causa del numero di QPS consumati, puoi mitigare il problema completando quanto segue:

• Nelle impostazioni del connettore AWS pagina, imposta una finestra QPS per il servizio AWS con problemi di limitazione delle richieste.

• Limita le autorizzazioni del ruolo raccoglitore AWS in modo che i dati provenienti da quel per un servizio specifico non vengono più raccolte. Questa tecnica di mitigazione impedisce che le simulazioni del percorso di attacco funzionino correttamente per AWS.

La revoca di tutte le autorizzazioni in AWS interrompe il processo di raccolta dati immediatamente. L'eliminazione del connettore AWS non interrompe immediatamente i dati raccoglitore, ma non si riavvierà al termine.

Risoluzione degli errori durante il test della connessione

Questi errori possono verificarsi quando verifichi la connessione tra Security Command Center e AWS.

AWS_FAILED_TO_ASSUME_DELEGATED_ROLE

La connessione non è valida perché l'agente di servizio Google Cloud non può presumere il ruolo delegato.

Per risolvere il problema, considera quanto segue:

• Verifica che esista il ruolo delegato. Per crearlo, vai a Crea un ruolo AWS IAM per la relazione di attendibilità tra AWS e Google Cloud.

• Manca il criterio in linea del ruolo delegato. Senza, l'agente di servizio non può assumere questo ruolo. Per verificare che l'istanza esiste una norma, consulta Crea un ruolo AWS IAM per la relazione di attendibilità tra AWS e Google Cloud.

AWS_FAILED_TO_LIST_ACCOUNTS

La connessione non è valida perché il rilevamento automatico è abilitato e il traffico delegato non può recuperare tutti gli account AWS nelle organizzazioni.

Questo problema indica che il criterio consente L'azione organizations:ListAccounts sul ruolo delegato non è presente per determinate Google Cloud. Per risolvere il problema, verifica quali risorse mancano. Per eseguire la verifica le impostazioni del criterio delegato, vedi Crea il criterio AWS IAM per il ruolo delegato.

AWS_INVALID_COLLECTOR_ACCOUNTS

La connessione non è valida perché esistono account non validi del raccoglitore. La include ulteriori informazioni sulle possibili cause, tra cui: le seguenti:

• AWS_FAILED_TO_ASSUME_COLLECTOR_ROLE
• AWS_COLLECTOR_ROLE_POLICY_MISSING_REQUIRED_PERMISSION

AWS_FAILED_TO_ASSUME_COLLECTOR_ROLE

L'account raccoglitore non è valido perché il ruolo delegato non può assumere il il ruolo raccoglitore nell'account raccoglitore.

Per risolvere il problema, considera quanto segue:

• Verifica che il ruolo raccoglitore esista.

  • Per creare il ruolo raccoglitore per i dati di configurazione degli asset, consulta Creare il Ruolo AWS IAM per la raccolta dei dati di configurazione degli asset in ogni Google Cloud.
  • Per creare il ruolo raccoglitore per Sensitive Data Protection, consulta Creare il ruolo AWS IAM per Sensitive Data Protection in ogni Google Cloud.

• Il criterio per consentire al ruolo delegato di assumere il raccoglitore non è presente. Per verificare che il criterio esista, consulta Crea il criterio AWS IAM per il ruolo delegato.

AWS_COLLECTOR_ROLE_POLICY_MISSING_REQUIRED_PERMISSION

La connessione non è valida perché nel criterio del raccoglitore mancano alcuni dei le impostazioni di autorizzazione obbligatorie.

Per risolvere il problema, considera le seguenti cause:

• Alcuni dei criteri gestiti da AWS richiesti potrebbero non essere collegati raccoglitore per i dati di configurazione degli asset. Per verificare che tutti i criteri siano in allegato, vedi il passaggio 6 in Creare il ruolo AWS IAM per la configurazione degli asset raccolta dei dati in ogni Google Cloud.

• Potrebbe essere presente uno dei seguenti problemi relativi a un criterio del raccoglitore:

  • Il criterio del raccoglitore potrebbe non esistere.
  • Il criterio del raccoglitore non è collegato al ruolo del raccoglitore.
  • Il criterio del raccoglitore non include tutte le autorizzazioni richieste.

  Per risolvere i problemi relativi a un criterio del raccoglitore, consulta quanto segue:

  • Crea il criterio AWS IAM per i dati di configurazione degli asset raccolta
  • Crea il criterio AWS IAM per Protezione dei dati sensibili

Passaggi successivi

• Continua con il passaggio 4 della guida alla configurazione nel Google Cloud.
• Esaminare e correggere i risultati di vulnerabilità forniti da AWS.
• Creare e gestire un per AWS.
• Crea simulazioni del percorso di attacco per AWS Google Cloud.
• Conformità alla mappa di AWS con varie standard e benchmark.