Conecte-se à AWS para detecção de vulnerabilidades e avaliação de risco

É possível conectar o nível Security Command Center Enterprise ao ambiente AWS para que faça o seguinte:

• Detecte e corrija vulnerabilidades e configurações incorretas de software no ambiente da AWS
• Crie e gerencie uma postura de segurança para a AWS
• Identifique possíveis caminhos de ataque da Internet pública para seus Recursos da AWS
• Mapear a conformidade dos recursos da AWS com vários padrões e comparativos de mercado

Conectar o Security Command Center à AWS cria um local único para sua segurança de operações para gerenciar e corrigir ameaças e vulnerabilidades Google Cloud e AWS.

Para permitir que o Security Command Center monitore sua organização AWS, você deve configurar um conexão usando um agente de serviço do Google Cloud e uma conta da AWS com acesso aos recursos que você quer monitorar. O Security Command Center usa essa conexão para coletar periodicamente dados todas as contas e regiões da AWS que você definir.

Neste documento, descrevemos como configurar a conexão com a AWS. Quando você configura uma conexão, você configura o seguinte:

• Uma série de contas na AWS que têm acesso direto à AWS. que você quer monitorar. No console do Google Cloud, são chamadas de contas de coletor.
• Uma conta na AWS que tenha as políticas e os papéis apropriados para permitir para contas de coletor. No console do Google Cloud, ela é chamada de conta delegada. A conta delegada e as contas de coletor precisam estar na mesma organização da AWS.
• Um agente de serviço no Google Cloud que se conecta à rede para a autenticação.
• Um pipeline para coletar dados de recursos da AWS.
• (Opcional) Permissões da proteção de dados sensíveis para o perfil seu conteúdo da AWS.

Esta conexão não se aplica aos recursos de SIEM do Security Command Center que permitem ingerir registros da AWS para detecção de ameaças.

O diagrama a seguir mostra essa configuração. O projeto de locatário é um projeto criado automaticamente e que contém o pipeline de coleta de dados de recursos instância.

Antes de começar

Conclua essas tarefas antes de concluir as tarefas restantes nesta página.

Ativar o nível Enterprise do Security Command Center

Conclua as etapas 1 e 2 do guia de configuração para ativar o Security Command Center nível Enterprise.

Configurar permissões

Para ter as permissões necessárias para usar o conector da AWS, peça ao administrador para conceder a você Papel do IAM de proprietário de recursos do Cloud (roles/cloudasset.owner). Para mais informações sobre como conceder papéis, consulte Gerenciar acesso.

Também é possível conseguir as permissões necessárias com papéis personalizados ou outros papéis predefinidos.

Criar contas da AWS

Verifique se você criou os seguintes recursos da AWS:

• Uma instância do AWS IAM usuário com Acesso ao IAM da AWS para os consoles de contas da AWS de delegado e coletor.

• A conta da AWS ID para uma conta da AWS que você possa usar como conta delegada. Se você quiser o Security Command Center para descobrir contas da AWS automaticamente e encontrar recursos, a conta delegada do Google deve estar anexada a uma conta de serviço AWS organização e ser uma das seguintes opções:

  • Uma conta de gerenciamento da AWS.

  • Um administrador delegado da AWS.

  • Uma conta da AWS com uma delegação baseada em recursos política que fornece as permissões organization e list. Para obter um exemplo política, consulte Exemplo: ver organização, UOs, contas e ..

Configurar o Security Command Center

1. No console do Google Cloud, acesse a página de configuração.

   Acessar a configuração

2. Selecione a organização que você ativou Nível Security Command Center Enterprise ativado.

3. Clique em Etapa 3: configurar o conector da Amazon Web Services (AWS).

4. Em ID da conta delegada, insira o ID da conta da AWS para a AWS que você pode usar como conta delegada.

5. Para permitir que a proteção de dados sensíveis crie perfis de dados da AWS, manter Conceder permissões para a proteção de dados sensíveis descoberta selecionada. Essa opção adiciona permissões do IAM da AWS ao Modelo do CloudFormation para o coletor de rede.

   Permissões do IAM da AWS concedidas por essa opção

   • s3:GetBucketLocation
   • s3:ListAllMyBuckets
   • s3:GetBucketPolicyStatus
   • s3:ListBucket
   • s3:GetObject
   • iam:ListAttachedRolePolicies
   • iam:GetPolicy
   • iam:GetPolicyVersion
   • iam:ListRolePolicies
   • iam:GetRolePolicy

   Essa opção concede apenas as permissões necessárias da AWS para o papel do coletor. Para criar o perfil dos dados da AWS, ative os dados confidenciais descoberta.

6. Se quiser, analise as opções avançadas.

7. Clique em Continuar. A página Connect to AWS será aberta.

8. Siga uma das etapas a seguir:

   • Fazer o download e revisar os modelos do CloudFormation para o papel delegado e do coletor.
   • Se você configurou as opções avançadas ou precisa alterar o padrão da AWS de papéis (aws-delegated-role, aws-collector-role e aws-sensitive-data-protection-role), selecione Configurar contas da AWS manualmente. Copie o ID do agente de serviço, o nome do papel delegado, o coletor nome da função e do papel do coletor de proteção de dados sensíveis.

   Não é possível alterar os nomes dos papéis depois de criar a conexão.

Não clique em Criar. Em vez disso, configure o ambiente da AWS.

Configurar o ambiente da AWS

É possível configurar o ambiente da AWS usando um dos seguintes métodos:

• Use os modelos do CloudFormation que você baixou no Configure o Security Command Center. Para instruções, consulte Use os modelos do CloudFormation para configurar o ambiente da AWS.
• Se você estiver usando configurações personalizadas ou nomes de funções, configure o AWS contas de serviço manualmente. Para instruções, consulte Configure as contas da AWS manualmente.

Usar modelos do CloudFormation para configurar seu ambiente AWS

Se você fez o download dos modelos do CloudFormation, use estas etapas para configurar o AWS de nuvem.

1. Faça login na conta do delegado da AWS. console do Cloud. Confirme se se você fez login na conta delegada que é usada para assumir outras contas de coletor da AWS.
2. Acesse o arquivo AWS CloudFormation modelo.

3. Crie uma pilha usando o arquivo de modelo da função delegada. Para mais informações, consulte Criar uma pilha a partir de recursos existentes usando o AWS Management console na documentação da AWS.

   Ao passar pelas instruções, faça o seguinte:

   1. Ao especificar um modelo, faça upload do papel delegado arquivo de modelo.
   2. Ao especificar os detalhes da pilha, insira o nome dela.

   3. Revise os parâmetros. Confira se as funções de delegado e coletor correspondem aos listados na página Conectar à AWS no no console do Google Cloud.

   4. Conforme exigido pela sua organização, atualize as opções de pilha.

   Aguarde a criação da pilha. Se ocorrer um problema, consulte Solução de problemas.

   Se você optar por adicionar contas AWS individualmente (desativando a descoberta automática para contas), também é possível criar pilhas separadas para cada conta da AWS, em vez da criação de um único conjunto de pilhas.

4. Usar uma conta de gerenciamento da AWS ou qualquer conta de membro registrada como um administrador delegado, crie um conjunto de pilhas. Para mais informações, consulte Crie um conjunto de pilhas com chaves de criptografia permissões na documentação da AWS.

   Ao passar pelas instruções, faça o seguinte:

   1. Ao especificar um modelo, faça upload do modelo de função do coletor .
   2. Ao especificar os detalhes do StackSet, verifique e atualize o e os nomes das funções e ID da conta.
   3. Conforme exigido pela sua organização, configure as opções do conjunto de pilhas.

   4. Ao especificar as opções de implantação, escolha os destinos de implantação. É possível implantar em toda a organização da AWS ou em uma que inclua todas as contas da AWS em que você quer coletar dados.

   5. Especifique as regiões da AWS em que os papéis e as políticas serão criados. Como os papéis são recursos globais, não é preciso especificar ou várias regiões.

   6. Mude outras configurações, se necessário.

   7. Revise as mudanças e crie o conjunto de pilhas. Se você receber um erro, consulte Solução de problemas.

5. Implante uma pilha separada para provisionar o papel do coletor em a conta de gerenciamento porque um conjunto de pilhas do AWS CloudFormation não cria instâncias de pilha em uma conta de gerenciamento. Para mais informações, consulte DeploymentTargets na documentação da AWS.

Para concluir o processo de integração, consulte Conclua o processo de integração.

Configurar contas da AWS manualmente

Se não for possível usar os modelos do CloudFormation (por exemplo, você está usando nomes de funções diferentes ou estiver personalizando a integração), é possível criar a políticas e papéis do IAM da AWS necessários manualmente.

Você precisa criar políticas do IAM da AWS e papéis do IAM da AWS para a conta delegada e as contas do coletor.

Crie a política de IAM da AWS para o papel delegado

Para criar uma política do AWS IAM para o papel delegado (uma política delegada), faça o seguinte:

1. Faça login no Console de contas delegadas da AWS

2. Clique em Políticas > Criar política.

3. Clique em JSON e cole uma das opções a seguir, dependendo se você selecionou a opção Conceder permissões para proteção de dados sensíveis de descoberta em Configurar o Security Command Center.

   Conceder permissões para a proteção de dados sensíveis discovery: apagado

   {
     "Version": "2012-10-17",
     "Statement": [
         {
             "Action": "sts:AssumeRole",
             "Resource": "arn:aws:iam::*:role/COLLECTOR_ROLE_NAME",
             "Effect": "Allow"
         },
         {
             "Action": [
                 "organizations:List*",
                 "organizations:Describe*"
             ],
             "Resource": "*",
             "Effect": "Allow"
         }
     ]
   }
   

   Substitua COLLECTOR_ROLE_NAME pelo nome do que você copiou ao configurar o Security Command Center (o o padrão é aws-collector-role).

   Conceder permissões para a proteção de dados sensíveis discovery: selecionado

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Action": "sts:AssumeRole",
         "Resource": [
           "arn:aws:iam::*:role/COLLECTOR_ROLE_NAME",
           "arn:aws:iam::*:role/SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME"
         ],
         "Effect": "Allow"
       },
       {
         "Action": [
           "organizations:List*",
           "organizations:Describe*"
         ],
         "Resource": "*",
         "Effect": "Allow"
       }
     ]
   }
   

   Substitua:

   • COLLECTOR_ROLE_NAME: o nome do de coletor de dados de configuração que você copiou ao como configurar o Security Command Center (o padrão é aws-collector-role)
   • SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME: o o nome do papel do coletor de proteção de dados sensíveis que você copiou ao como configurar o Security Command Center (o padrão é aws-sensitive-data-protection-role)

4. Clique em Next.

5. Na seção Detalhes da política, insira um nome e uma descrição para o política.

6. Clique em Criar política.

Criar um papel do AWS IAM para a relação de confiança entre a AWS e o Google Cloud

Crie um papel delegado que estabeleça uma relação confiável entre a AWS e Google Cloud. Esse papel usa a política delegada que foi criada no Crie a política de IAM da AWS para o papel delegado.

1. Faça login no Console de contas delegadas da AWS como um usuário da AWS que pode criar papéis e políticas do IAM.

2. Clique em Funções > Criar papel.

3. Em Tipo de entidade confiável, clique em Identidade da Web.

4. Em Identity Provider, clique em Google.

5. Em Público-alvo, insira o ID da conta de serviço que você copiou ao o Security Command Center configurado. Clique em Next.

6. Para conceder à função delegada acesso aos papéis de coletor, anexe o políticas de permissão ao papel. Pesquise a política delegada que foi criado em Crie a política de IAM da AWS para o papel delegado e selecione-o.

7. Na seção Detalhes da função, insira o Nome da função delegada que que você copiou quando Security Command Center configurado (o nome padrão é aws-delegated-role).

8. Clique em Criar papel.

Criar a política de IAM da AWS para a coleta de dados de configuração de recursos

Para criar uma política do AWS IAM para coleta de dados de configuração de recursos (um coletor ), faça o seguinte:

1. Faça login no Console da conta do coletor da AWS

2. Clique em Políticas > Criar política.

3. Clique em JSON e cole o seguinte:

   {
     "Version": "2012-10-17",
     "Statement": [
         {
             "Effect": "Allow",
             "Action": [
                 "ce:GetCostAndUsage",
                 "dynamodb:DescribeTableReplicaAutoScaling",
                 "identitystore:ListGroupMemberships",
                 "identitystore:ListGroups",
                 "identitystore:ListUsers",
                 "lambda:GetFunction",
                 "lambda:GetFunctionConcurrency",
                 "logs:ListTagsForResource",
                 "s3express:GetBucketPolicy",
                 "s3express:ListAllMyDirectoryBuckets",
                 "wafv2:GetIPSet"
             ],
             "Resource": [
                 "*"
             ]
         },
         {
             "Effect": "Allow",
             "Action": [
                 "apigateway:GET"
             ],
             "Resource": [
                 "arn:aws:apigateway:*::/usageplans",
                 "arn:aws:apigateway:*::/usageplans/*/keys",
                 "arn:aws:apigateway:*::/vpclinks/*"
             ]
         }
     ]
   
   }
   

4. Clique em Next.

5. Na seção Detalhes da política, insira um nome e uma descrição para o política.

6. Clique em Criar política.

7. Repita essas etapas para cada conta de coletor.

Criar o papel do IAM da AWS para a coleta de dados de configuração de recursos em cada conta

Crie o papel do coletor que permite que o Security Command Center acesse dados de configuração de recursos da AWS. Esse papel usa a política do coletor que foi criada em Criar o Política de IAM da AWS para dados de configuração de recursos Google Cloud.

1. Faça login no Console da conta do coletor da AWS como um usuário que pode criar papéis do IAM para as contas de coletor.

2. Clique em Funções > Criar papel.

3. Em Tipo de entidade confiável, clique em Política de confiança personalizada.

4. Na seção Política de confiança personalizada, cole o seguinte:

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
           "AWS": "arn:aws:iam::DELEGATE_ACCOUNT_ID:role/DELEGATE_ACCOUNT_ROLE"
         },
         "Action": "sts:AssumeRole"
       }
     ]
   }
   

   Substitua:

   • DELEGATE_ACCOUNT_ID: o ID da conta da AWS para a conta delegada
   • DELEGATE_ACCOUNT_ROLE: o nome da função delegada que que você copiou quando configurado o Security Command Center.

5. Para conceder a esse papel de coletor acesso aos seus dados de configuração de recursos da AWS, e anexar as políticas de permissão ao papel. Pesquise o coletor personalizado que foi criada Crie a política de AWS IAM para a coleta de dados de configuração de recursos, e selecione-o.

6. Pesquise e selecione as seguintes políticas gerenciadas:

   • arn:aws:iam::aws:policy/job-function/ViewOnlyAccess
   • arn:aws:iam::aws:policy/SecurityAudit

7. Na seção Detalhes do papel, insira o nome dos dados de configuração. que você copiou ao configurar a o Security Command Center.

8. Clique em Criar papel.

9. Repita essas etapas para cada conta de coletor.

Se você selecionou a opção Conceder permissões para proteção de dados sensíveis de descoberta em Configurar Security Command Center e avance para a próxima nesta seção.

Se você não ativou a opção Conceder permissões para proteção de dados sensíveis de descoberta e preencha a no processo de integração.

Criar a política de IAM da AWS para proteção de dados sensíveis

Conclua estas etapas se você tiver selecionado a opção Conceder permissões para proteção de dados sensíveis de descoberta Configure o Security Command Center.

Para criar uma política do AWS IAM para proteção de dados sensíveis (um coletor ), faça o seguinte:

1. Faça login no Console da conta do coletor da AWS

2. Clique em Políticas > Criar política.

3. Clique em JSON e cole o seguinte:

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Action": [
           "s3:GetBucketLocation",
           "s3:ListAllMyBuckets",
           "s3:GetBucketPolicyStatus",
           "s3:ListBucket",
           "s3:GetObject"
         ],
         "Resource": [
           "arn:aws:s3:::*"
         ]
       },
       {
         "Effect": "Allow",
         "Action": [
           "iam:ListAttachedRolePolicies",
           "iam:ListRolePolicies",
           "iam:GetPolicy",
           "iam:GetPolicyVersion",
           "iam:GetRolePolicy"
         ],
         "Resource": [
           "*"
         ]
       }
     ]
   }
   

4. Clique em Next.

5. Na seção Detalhes da política, insira um nome e uma descrição para o política.

6. Clique em Criar política.

7. Repita essas etapas para cada conta de coletor.

Criar o papel do IAM da AWS para proteção de dados sensíveis em cada conta

Conclua estas etapas se você tiver selecionado a opção Conceder permissões para proteção de dados sensíveis de descoberta Configure o Security Command Center.

Crie o papel do coletor que permite que a Proteção de Dados Sensíveis crie o perfil do dos recursos da AWS. Esse papel usa a política do coletor que foi criado em Criar a política de IAM da AWS para Proteção de Dados Sensíveis.

1. Faça login no Console da conta do coletor da AWS como um usuário que pode criar papéis do IAM para contas de coletor.

2. Clique em Funções > Criar papel.

3. Em Tipo de entidade confiável, clique em Política de confiança personalizada.

4. Na seção Política de confiança personalizada, cole o seguinte:

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
           "AWS": "arn:aws:iam::DELEGATE_ACCOUNT_ID:role/DELEGATE_ACCOUNT_ROLE"
         },
         "Action": "sts:AssumeRole"
       }
     ]
   }
   

   Substitua:

   • DELEGATE_ACCOUNT_ID: o ID da conta da AWS para o conta delegada
   • DELEGATE_ACCOUNT_ROLE: a função delegada nome copiado quando você configurou Security Command Center

5. Para conceder a esse papel de coletor acesso ao conteúdo dos recursos da AWS, faça o seguinte: e anexar as políticas de permissão ao papel. Pesquise o coletor personalizado política criada em Criar a política de IAM da AWS para Proteção de Dados Sensíveis, e selecione-o.

6. Na seção Detalhes da função, insira o nome da função para Proteção de Dados Sensíveis que você copiou ao configurar a o Security Command Center.

7. Clique em Criar papel.

8. Repita essas etapas para cada conta de coletor.

Para concluir o processo de integração, consulte Conclua o processo de integração.

Conclua o processo de integração

1. No console do Google Cloud, acesse a página Adicionar conector do Amazon Web Services.

   Acessar o conector do Amazon Web Services

2. Clique em Testar conector para verificar se o Security Command Center pode se conectar no ambiente da AWS. Se a conexão for bem-sucedida, o teste determinou que o papel delegado tem todas as permissões necessárias para assumir a do coletor. Se a conexão não funcionar, consulte Solução de problemas erros ao testar a conexão.

3. Clique em Criar.

Configuração personalizada

Esta seção descreve algumas maneiras de personalizar a conexão entre o Security Command Center e a AWS. Essas opções estão disponíveis no painel Avançado na seção de opções (opcional) do Adicionar o conector do Amazon Web Services no console do Google Cloud.

Por padrão, o Security Command Center descobre automaticamente suas contas da AWS em todos os regiões da AWS. A conexão usa o endpoint global padrão do serviço de token de segurança da AWS e as consultas por segundo (QPS) padrão para o serviço da AWS que você está e o monitoramento. Essas opções avançadas permitem personalizar os padrões.

Opção	Descrição
Especificar as contas da AWS a serem usadas	Permita que o Security Command Center descubra as contas da AWS automaticamente ou forneça uma lista de contas da AWS que o Security Command Center possa usar para encontrar recursos.
Especificar quais contas da AWS serão excluídas	Se você permitir que o Security Command Center descubra contas automaticamente, forneça uma lista de contas da AWS que o Security Command Center não possa usar para encontrar recursos.
Especificar quais regiões da AWS serão monitoradas	Selecione uma ou mais regiões da AWS para o Security Command Center monitor Deixe o campo AWS regions vazio para monitorar todas as regiões.
Substituir as consultas por segundo (QPS) padrão para serviços da AWS	Você pode alterar o QPS para controlar o limite de cota para o Security Command Center. Defina a substituição para um valor que seja menor que o valor padrão desse serviço e maior ou igual a 1. O valor padrão é o máximo. Se você alterar o QPS, o Security Command Center poderá ter problemas ao buscar dados. Portanto, não recomendamos alterar esse valor.
Altere o endpoint do serviço de token de segurança da AWS	É possível especificar um endpoint específico para a AWS Security Token Service (por exemplo, https://sts.us-east-2.amazonaws.com). Deixe a AWS Campo do Security Token Service (AWS STS) (opcional) vazio para usar o endpoint global padrão (https://sts.amazonaws.com).

Solução de problemas

Esta seção inclui alguns problemas comuns que você pode encontrar ao integrando o Security Command Center com a AWS.

Os recursos já existem

Esse erro ocorre no ambiente da AWS quando você tenta criar o IAM da AWS de segurança e papéis do IAM da AWS. Esse problema ocorre quando a função já existe sua conta da AWS e estiver tentando criá-la novamente.

Para resolver esse problema, siga estas etapas:

• Verificar se a função ou política que você está criando já existe e atenda aos requisitos listados neste guia.
• Se necessário, mude o nome da função para evitar conflitos.

Principal inválido na política

Esse erro pode ocorrer no ambiente da AWS quando você está criando o coletor , mas o de delegado ainda não existe.

Para resolver esse problema, conclua as etapas em Criar a política de IAM da AWS para o função delegado e aguardar é criado antes de continuar.

Limitações de limitação na AWS

A AWS limita as solicitações de API para cada conta da AWS por conta ou região base. Para garantir que esses limites não sejam excedidos quando o Security Command Center coletar dados de configuração de recursos da AWS, o Security Command Center coleta os dados QPS máximo para cada serviço da AWS, conforme descrito na documentação da API para os serviço da AWS.

Se houver limitação de solicitações no ambiente da AWS devido à QPS consumido, é possível atenuar o problema concluindo o seguinte:

• Nas configurações do conector da AWS página, defina uma QPS do serviço da AWS com problemas de limitação de solicitações.

• Restrinja as permissões da função de coletor da AWS para que os dados desse um serviço específico não é mais coletado. Essa técnica de mitigação impede que as simulações de caminho de ataque funcionem corretamente para a AWS.

Revogar todas as permissões na AWS interrompe o processo do coletor de dados imediatamente. A exclusão do conector da AWS não interrompe os dados imediatamente. processo do coletor, mas não recomeça ao terminar.

Como solucionar erros ao testar a conexão

Esses erros podem ocorrer quando você testa a conexão entre Security Command Center e AWS.

AWS_FAILED_TO_ASSUME_DELEGATED_ROLE

A conexão é inválida porque o agente de serviço do Google Cloud não pode presumir a função delegada.

Para resolver esse problema, considere o seguinte:

• Verifique se o papel delegado existe. Para criá-la, consulte Criar um papel do AWS IAM para a relação de confiança entre a AWS e o Google Cloud.

• A política inline do papel delegado está ausente. Sem isso, o agente de serviço não pode assumir o papel. Para verificar se o modelo política existe, consulte Criar um papel do AWS IAM para a relação de confiança entre a AWS e o Google Cloud.

AWS_FAILED_TO_LIST_ACCOUNTS

A conexão é inválida porque a descoberta automática está ativada e o não recebe todas as contas da AWS nas organizações.

Esse problema indica que a política que permite Falta organizations:ListAccounts ação na função delegada em determinados do Google Cloud. Para resolver esse problema, verifique quais recursos estão faltando. Para verificar as configurações da política delegada, consulte Crie a política de IAM da AWS para o papel delegado.

AWS_INVALID_COLLECTOR_ACCOUNTS

A conexão é inválida porque há contas de coletor inválidas. O inclui mais informações sobre as possíveis causas, que incluem o seguinte:

• AWS_FAILED_TO_ASSUME_COLLECTOR_ROLE
• AWS_COLLECTOR_ROLE_POLICY_MISSING_REQUIRED_PERMISSION

AWS_FAILED_TO_ASSUME_COLLECTOR_ROLE

A conta do coletor é inválida porque a função delegada não pode assumir a na conta do coletor.

Para resolver esse problema, considere o seguinte:

• Verifique se o papel do coletor existe.

  • Para criar a função do coletor para os dados de configuração do recurso, consulte Criar o Papel do IAM da AWS para coleta de dados de configuração de recursos em cada padrão.
  • Para criar o papel do coletor para a proteção de dados sensíveis, consulte Criar papel do IAM da AWS para proteção de dados sensíveis em cada padrão.

• A política para permitir que o papel delegado assuma o coletor de atribuição está ausente. Para verificar se a política existe, consulte Crie a política de IAM da AWS para o papel delegado.

AWS_COLLECTOR_ROLE_POLICY_MISSING_REQUIRED_PERMISSION

A conexão é inválida porque a política do coletor não tem alguns dos as configurações de permissão necessárias.

Para resolver esse problema, considere as seguintes causas:

• Algumas das políticas gerenciadas da AWS necessárias podem não estar anexadas ao do coletor para os dados de configuração de recursos. Para verificar se todas as políticas são anexado, consulte a etapa 6 em Criar o papel do IAM da AWS para a configuração de recursos coleta de dados em cada padrão.

• Um dos seguintes problemas com uma política de coletor pode estar presente:

  • A política do coletor pode não existir.
  • A política do coletor não está anexada à função do coletor.
  • A política do coletor não inclui todas as permissões necessárias.

  Para resolver problemas com uma política de coletor, consulte o seguinte:

  • Crie a política de AWS IAM para dados de configuração de recursos coleção
  • Crie a política de IAM da AWS para Proteção de Dados Sensíveis

A seguir

• Continue com a etapa 4 do guia de configuração na console do Cloud.
• Analise e corrija as descobertas de vulnerabilidade da AWS.
• Crie e gerencie uma segurança de segurança da AWS.
• Criar simulações de caminho de ataque para a AWS do Google Cloud.
• Mapear conformidade da AWS recursos com vários e comparativos de mercado.