Sie können die Security Command Center Enterprise-Stufe mit Ihrer AWS-Umgebung verbinden, können Sie Folgendes tun:
- Sicherheitslücken und Fehlkonfigurationen in der Software erkennen und beheben in Ihrer AWS-Umgebung
- Sicherheitsstatus für AWS erstellen und verwalten
- Identifizieren Sie potenzielle Angriffspfade vom öffentlichen Internet zu Ihren hochwertigen AWS-Assets
- Zuordnung der Compliance von AWS-Ressourcen zu verschiedenen Standards und Benchmarks
Durch die Verbindung von Security Command Center mit AWS wird ein zentraler Ort für Ihre Sicherheit geschaffen um Bedrohungen und Schwachstellen Google Cloud und AWS.
Damit Security Command Center Ihre AWS-Organisation überwachen kann, müssen Sie eine Verbindung über einen Google Cloud-Dienst-Agent und ein AWS-Konto mit Zugriff auf die Ressourcen, die Sie überwachen möchten. Security Command Center nutzt diese Verbindung, um regelmäßig Daten in allen AWS-Konten und Regionen, die Sie definieren.
In diesem Dokument wird beschrieben, wie Sie die Verbindung mit AWS einrichten. Bei der Einrichtung eine Verbindung, konfigurieren Sie Folgendes:
- Eine Reihe von Konten in AWS, die direkten Zugriff auf AWS haben die Sie überwachen möchten. In der Google Cloud Console werden als Sammlerkonten bezeichnet.
- Ein Konto in AWS mit den entsprechenden Richtlinien und Rollen, die zulässig sind zur Authentifizierung bei Collector-Konten. In der Google Cloud Console Dieses Konto wird als delegiertes Konto bezeichnet. Sowohl das delegierte Konto und die Collector-Konten müssen sich in derselben AWS-Organisation befinden.
- Ein Dienst-Agent in Google Cloud, der eine Verbindung zum delegierten Netzwerk herstellt für die Authentifizierung.
- Pipeline zum Erfassen von Asset-Daten aus AWS-Ressourcen.
- (Optional) Berechtigungen für den Schutz sensibler Daten für ein Profil Ihre AWS-Inhalte.
Diese Verbindung gilt nicht für die SIEM-Funktionen von Security Command Center mit dem Sie AWS-Logs zur Bedrohungserkennung aufnehmen können.
Das folgende Diagramm zeigt diese Konfiguration. Das Mandantenprojekt ist ein Projekt das automatisch erstellt wird und die Pipeline zur Asset-Datenerfassung enthält Instanz.
Hinweise
Führen Sie diese Schritte aus, bevor Sie die verbleibenden Aufgaben auf dieser Seite ausführen.
Security Command Center Enterprise-Stufe aktivieren
Führen Sie Schritt 1 und Schritt 2 des Einrichtungsleitfadens aus, um Security Command Center zu aktivieren Enterprise-Stufe
Berechtigungen einrichten
Um die Berechtigungen zu erhalten, die Sie zur Verwendung des AWS-Connectors benötigen,
bitten Sie Ihren Administrator, Ihnen
IAM-Rolle Cloud Asset Owner (roles/cloudasset.owner
)
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.
Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.
AWS-Konten erstellen
Achten Sie darauf, dass Sie die folgenden AWS-Ressourcen erstellt haben:
- AWS IAM Nutzer mit AWS-IAM-Zugriff für die AWS-Kontokonsolen des Bevollmächtigten und des Collectors.
AWS-Konto ID für ein AWS-Konto, das Sie als delegiertes Konto verwenden können. Bei Bedarf Security Command Center zur automatischen Erkennung von AWS-Konten, um Ressourcen zu finden. muss ein delegiertes Konto an ein AWS-Konto Organisation und einer der folgenden Werte sein:
Ein AWS-Konto mit ressourcenbasierter Delegierung Richtlinie mit den Berechtigungen
organization
undlist
. Beispiel finden Sie unter Beispiel: Organisation, Organisationseinheiten, Konten und Richtlinien.
Security Command Center konfigurieren
Rufen Sie in der Google Cloud Console die Seite Einrichtungsleitfaden von Security Command Center.
Wählen Sie die Organisation aus, in der Sie Security Command Center Enterprise aktiviert haben. Die Seite Einrichtungsleitfaden wird geöffnet.
Klicken Sie auf Schritt 3: Amazon Web Services-Connector (AWS) einrichten.
Geben Sie unter Delegierte Konto-ID die AWS-Konto-ID für das AWS-Konto ein. Konto, das Sie als delegiertes Konto verwenden können.
Damit Sensitive Data Protection ein Profil für Ihre AWS-Daten erstellt, Google Notizen Berechtigungen für den Schutz sensibler Daten gewähren Erkennung ausgewählt. Mit dieser Option werden AWS IAM-Berechtigungen in der CloudFormation-Vorlage für den Collector Rolle.
Durch diese Option gewährte AWS IAM-Berechtigungen
s3:GetBucketLocation
s3:ListAllMyBuckets
s3:GetBucketPolicyStatus
s3:ListBucket
s3:GetObject
s3:GetObjectVersion
s3:GetBucketPublicAccessBlock
s3:GetBucketOwnershipControls
s3:GetBucketTagging
iam:ListAttachedRolePolicies
iam:GetPolicy
iam:GetPolicyVersion
iam:ListRolePolicies
iam:GetRolePolicy
ce:GetCostAndUsage
dynamodb:DescribeTableReplicaAutoScaling
identitystore:ListGroupMemberships
identitystore:ListGroups
identitystore:ListUsers
lambda:GetFunction
lambda:GetFunctionConcurrency
logs:ListTagsForResource
s3express:GetBucketPolicy
s3express:ListAllMyDirectoryBuckets
wafv2:GetIPSet
Sehen Sie sich optional die erweiterten Optionen an.
Klicken Sie auf Weiter. Die Seite Mit AWS verbinden wird geöffnet.
Führen Sie einen dieser Schritte aus:
- CloudFormation-Vorlagen für die delegierte Rolle herunterladen und prüfen und die Collector-Rolle.
- Wenn Sie die erweiterten Optionen konfiguriert haben oder das Standard-AWS ändern müssen Rollennamen (aws-delegated-role, aws-collector-role und aws-sensitive-data-protection-role) wählen Sie AWS-Konten konfigurieren aus. manuell. Dienst-Agent-ID, delegierter Rollenname und Collector kopieren und den Namen der Collector-Rolle für den Schutz sensibler Daten.
Sie können die Rollennamen nach dem Erstellen der Verbindung nicht mehr ändern.
Klicken Sie nicht auf Erstellen. Stattdessen Konfigurieren Sie Ihre AWS-Umgebung.
AWS-Umgebung konfigurieren
Sie können Ihre AWS-Umgebung mit einer der folgenden Methoden einrichten:
- CloudFormation-Vorlagen verwenden, die Sie in Security Command Center konfigurieren Anweisungen finden Sie unter Richten Sie Ihre AWS-Umgebung mit CloudFormation-Vorlagen ein.
- Wenn Sie benutzerdefinierte Einstellungen oder Rollennamen verwenden, konfigurieren Sie den AWS manuell verwalten. Anweisungen finden Sie unter Konfigurieren Sie AWS-Konten manuell.
AWS-Umgebung mit CloudFormation-Vorlagen einrichten
Wenn Sie CloudFormation-Vorlagen heruntergeladen haben, führen Sie die folgenden Schritte aus, um AWS einzurichten. zu verbessern.
- Melden Sie sich im AWS Delegate-Konto an. Console Achten Sie darauf, dass Sie in dem bevollmächtigten Konto angemeldet sind, über das andere Collector-AWS-Konten (d. h. entweder ein AWS-Verwaltungskonto oder ein beliebiges Mitgliedskonto, das als delegierter Administrator registriert ist).
- Rufen Sie AWS CloudFormation auf. Vorlagenkonsole.
Erstellen Sie einen Stack, der die Rolle „Delegieren“ bereitstellt:
- Klicken Sie auf der Seite Stacks auf Create Stack > Mit neuen Ressourcen (Standard).
- Beim Angeben einer Vorlage die delegierte Rolle hochladen Vorlagendatei.
- Geben Sie bei der Angabe der Stapeldetails einen Stapelnamen ein.
Wenn Sie den Rollennamen für die delegierte Rolle, die Collector-Rolle oder Sensitive Data Protection an, aktualisieren Sie die Parameter entsprechend. Die müssen mit denen übereinstimmen, die in der Seite Verbindung zu AWS herstellen in der Google Cloud Console
Aktualisieren Sie die Stapeloptionen gemäß den Anforderungen Ihrer Organisation.
Wählen Sie auf der Seite Prüfen und erstellen die Option Ich bestätige, dass AWS CloudFormation kann IAM-Ressourcen mit benutzerdefinierten Namen erstellen.
Klicken Sie auf Senden, um den Stapel zu erstellen.
Warten Sie, bis der Stapel erstellt wurde. Wenn ein Problem auftritt, siehe Fehlerbehebung Weitere Informationen Siehe Stapel in AWS CloudFormation erstellen Console finden Sie in der AWS-Dokumentation.
Erstellen Sie einen Stack-Satz, der Collector-Rollen bereitstellt.
- Klicken Sie auf der Seite StackSets auf StackSet erstellen.
Klicken Sie auf Dienstverwaltete Berechtigungen.
Wenn Sie eine Vorlage angeben, laden Sie die Collector-Rollenvorlage hoch -Datei.
Geben Sie beim Angeben der StackSet-Details einen Namen für die Stack-Gruppe und Beschreibung.
Geben Sie die ID des delegierten Kontos ein.
Wenn Sie den Rollennamen für die delegierte Rolle, die Collector-Rolle oder Sensitive Data Protection an, aktualisieren Sie die Parameter entsprechend. Die müssen mit denen übereinstimmen, die in der Seite Verbindung zu AWS herstellen in der Google Cloud Console
Konfigurieren Sie die Optionen für die Stapelgruppe entsprechend den Anforderungen Ihrer Organisation.
Wenn Sie die Bereitstellungsoptionen angeben, wählen Sie Ihre Bereitstellungsziele aus. Sie können die Bereitstellung in der gesamten AWS-Organisation oder in einer Organisationseinheit (OE), die alle AWS-Konten enthält, die Sie Daten zu sammeln.
Geben Sie die AWS-Regionen an, in denen die Rollen und Richtlinien erstellt werden sollen. Da Rollen globale Ressourcen sind, müssen Sie nicht mehrere Regionen.
Ändern Sie bei Bedarf weitere Einstellungen.
Prüfen Sie die Änderungen und klicken Sie auf Senden, um die Stapelgruppe zu erstellen. Wenn Sie eine Fehlermeldung erhalten, Weitere Informationen zur Fehlerbehebung Weitere Informationen finden Sie unter Stackset mit Dienstverwaltet erstellen Berechtigungen finden Sie in der AWS-Dokumentation.
Wenn Sie Daten über das Verwaltungskonto erfassen müssen, melden Sie sich im Verwaltungskonto und stellen Sie einen separaten Stack bereit, um den Collector bereitzustellen. Rollen. Wenn Sie die Vorlage angeben, laden Sie die Collector-Rollenvorlage hoch -Datei.
Dieser Schritt ist erforderlich, da AWS CloudFormation-Stacksets keine Stack-Instanzen in Verwaltungskonten. Weitere Informationen finden Sie unter DeploymentTargets finden Sie in der AWS-Dokumentation.
Informationen zum Abschließen des Integrationsprozesses finden Sie unter Schließen Sie den Integrationsprozess ab.
AWS-Konten manuell konfigurieren
Wenn Sie die CloudFormation-Vorlagen nicht verwenden können, z. B. Rollennamen ändern oder die Integration anpassen), können Sie den erforderliche AWS IAM-Richtlinien und AWS IAM-Rollen manuell.
Sie müssen AWS IAM-Richtlinien und AWS IAM-Rollen für das delegierte Konto erstellen und die Collector-Konten.
AWS-IAM-Richtlinie für die delegierte Rolle erstellen
So erstellen Sie eine AWS-IAM-Richtlinie für die delegierte Rolle (eine delegierte Richtlinie): führen Sie folgende Schritte aus:
Melden Sie sich in der AWS delegieren Konto-Konsole
Klicken Sie auf Richtlinien > Richtlinie erstellen.
Klicken Sie auf JSON und fügen Sie einen der folgenden Werte ein, je nachdem, die Option Berechtigungen für den Schutz sensibler Daten gewähren Erkennung unter Konfigurieren Security Command Center
Berechtigungen für den Schutz sensibler Daten gewähren Entdeckung: gelöscht
{ "Version": "2012-10-17", "Statement": [ { "Action": "sts:AssumeRole", "Resource": "arn:aws:iam::*:role/COLLECTOR_ROLE_NAME", "Effect": "Allow" }, { "Action": [ "organizations:List*", "organizations:Describe*" ], "Resource": "*", "Effect": "Allow" } ] }
Ersetzen Sie
COLLECTOR_ROLE_NAME
durch den Namen des Collector-Rolle, die Sie beim Konfigurieren von Security Command Center kopiert haben (die Standardwert istaws-collector-role
).Berechtigungen für den Schutz sensibler Daten gewähren Erkennung: ausgewählt
{ "Version": "2012-10-17", "Statement": [ { "Action": "sts:AssumeRole", "Resource": [ "arn:aws:iam::*:role/COLLECTOR_ROLE_NAME", "arn:aws:iam::*:role/SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME" ], "Effect": "Allow" }, { "Action": [ "organizations:List*", "organizations:Describe*" ], "Resource": "*", "Effect": "Allow" } ] }
Ersetzen Sie Folgendes:
COLLECTOR_ROLE_NAME
: der Name des Konfigurationsdaten-Collector-Rolle, die Sie kopiert haben, als Sie Security Command Center konfigurieren (Standardwert istaws-collector-role
)SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME
: die Name der Collector-Rolle für den Schutz sensibler Daten, die Sie beim Kopieren kopiert haben Security Command Center konfigurieren (Standardwert istaws-sensitive-data-protection-role
)
Klicken Sie auf Weiter.
Geben Sie im Abschnitt Richtliniendetails einen Namen und eine Beschreibung für das .
Klicken Sie auf Richtlinie erstellen.
AWS-IAM-Rolle für die Vertrauensbeziehung zwischen AWS und Google Cloud erstellen
Erstellen Sie eine delegierte Rolle, die eine vertrauenswürdige Beziehung zwischen AWS und Google Cloud Diese Rolle verwendet die delegierte Richtlinie, die erstellt wurde in Erstellen Sie die AWS-IAM-Richtlinie für die delegierte Rolle.
Melden Sie sich in der Konsole zum Delegieren von AWS-Konten als AWS-Nutzer, der IAM-Rollen und -Richtlinien erstellen kann.
Klicken Sie auf Rollen > Rolle erstellen.
Klicken Sie unter Typ der vertrauenswürdigen Entität auf Webidentität.
Klicken Sie unter Identity Provider (Identitätsanbieter) auf Google.
Geben Sie unter Zielgruppe die Dienstkonto-ID ein, die Sie beim Erstellen der Kampagne kopiert haben. das Security Command Center konfiguriert haben. Klicken Sie auf Weiter.
Um der delegierten Rolle Zugriff auf die Collector-Rollen zu gewähren, hängen Sie die für die Rolle festlegen. Suchen Sie nach der delegierten Richtlinie, die erstellt in Erstellen Sie die AWS-IAM-Richtlinie für die delegierte Rolle. und wählen Sie es aus.
Geben Sie im Abschnitt Rollendetails den Namen der delegierten Rolle ein, die die Sie kopiert haben, Sicherheitsbefehlszentrale konfiguriert (Der Standardname ist
aws-delegated-role
.)Klicken Sie auf Rolle erstellen.
AWS-IAM-Richtlinie für die Erfassung von Asset-Konfigurationsdaten erstellen
So erstellen Sie eine AWS-IAM-Richtlinie für die Erfassung von Asset-Konfigurationsdaten (ein Collector) entsprechen, führen Sie folgende Schritte aus:
Melden Sie sich in der AWS-Collector-Kontokonsole
Klicken Sie auf Richtlinien > Richtlinie erstellen.
Klicken Sie auf JSON und fügen Sie Folgendes ein:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ce:GetCostAndUsage", "dynamodb:DescribeTableReplicaAutoScaling", "identitystore:ListGroupMemberships", "identitystore:ListGroups", "identitystore:ListUsers", "lambda:GetFunction", "lambda:GetFunctionConcurrency", "logs:ListTagsForResource", "s3express:GetBucketPolicy", "s3express:ListAllMyDirectoryBuckets", "wafv2:GetIPSet" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "apigateway:GET" ], "Resource": [ "arn:aws:apigateway:*::/usageplans", "arn:aws:apigateway:*::/usageplans/*/keys", "arn:aws:apigateway:*::/vpclinks/*" ] } ] }
Klicken Sie auf Weiter.
Geben Sie im Abschnitt Richtliniendetails einen Namen und eine Beschreibung für das .
Klicken Sie auf Richtlinie erstellen.
Wiederholen Sie diese Schritte für jedes Collector-Konto.
AWS IAM-Rolle für die Erfassung von Asset-Konfigurationsdaten in jedem Konto erstellen
Collector-Rolle erstellen, mit der Security Command Center Asset-Konfigurationsdaten abrufen kann von AWS. Diese Rolle verwendet die Collector-Richtlinie, die unter Erstellen der AWS-IAM-Richtlinie für Asset-Konfigurationsdaten erfasst werden.
Melden Sie sich in der AWS-Collector-Kontokonsole als Nutzer, der IAM-Rollen für die Collector-Konten erstellen kann.
Klicken Sie auf Rollen > Rolle erstellen.
Klicken Sie unter Typ der vertrauenswürdigen Entität auf Benutzerdefinierte Vertrauensrichtlinie.
Fügen Sie im Abschnitt Benutzerdefinierte Vertrauensrichtlinie Folgendes ein:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::DELEGATE_ACCOUNT_ID:role/DELEGATE_ACCOUNT_ROLE" }, "Action": "sts:AssumeRole" } ] }
Ersetzen Sie Folgendes:
DELEGATE_ACCOUNT_ID
: die AWS-Konto-ID für das delegierte KontoDELEGATE_ACCOUNT_ROLE
: der delegierte Rollenname, der die Sie kopiert haben, das Security Command Center konfiguriert haben.
So gewähren Sie dieser Collector-Rolle Zugriff auf Ihre AWS-Asset-Konfigurationsdaten: die Berechtigungsrichtlinien an die Rolle anhängen. Nach dem benutzerdefinierten Collector suchen Richtlinie erstellt in Erstellen Sie die AWS-IAM-Richtlinie für die Erfassung von Asset-Konfigurationsdaten. und wählen Sie es aus.
Suchen Sie nach den folgenden verwalteten Richtlinien und wählen Sie sie aus:
- arn:aws:iam::aws:policy/job-function/ViewOnlyAccess
- arn:aws:iam::aws:policy/SecurityAudit
Geben Sie im Abschnitt Rollendetails den Namen der Konfigurationsdaten ein. Collector-Rolle, die Sie bei der Konfiguration Security Command Center.
Klicken Sie auf Rolle erstellen.
Wiederholen Sie diese Schritte für jedes Collector-Konto.
Wenn Sie die Option Berechtigungen für Sensitive Data Protection gewähren Erkennung unter Konfigurieren Security Command Center und fahren Sie dann mit dem nächsten .
Wenn Sie die Option Berechtigungen für Sensitive Data Protection gewähren nicht aktiviert haben Discovery-Kästchen und füllen Sie die Integrationsprozess.
AWS-IAM-Richtlinie für Sensitive Data Protection erstellen
Führen Sie diese Schritte aus, wenn Sie die Option Berechtigungen für Sensitive Data Protection gewähren Discovery-Kästchen Security Command Center konfigurieren
So erstellen Sie eine AWS-IAM-Richtlinie für Sensitive Data Protection (ein Collector) entsprechen, führen Sie folgende Schritte aus:
Melden Sie sich in der AWS-Collector-Kontokonsole
Klicken Sie auf Richtlinien > Richtlinie erstellen.
Klicken Sie auf JSON und fügen Sie Folgendes ein:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:ListAllMyBuckets", "s3:GetBucketPolicyStatus", "s3:ListBucket", "s3:GetObject", "s3:GetObjectVersion", "s3:GetBucketPublicAccessBlock", "s3:GetBucketOwnershipControls", "s3:GetBucketTagging" ], "Resource": ["arn:aws:s3:::*"] }, { "Effect": "Allow", "Action": [ "iam:ListAttachedRolePolicies", "iam:GetPolicy", "iam:GetPolicyVersion", "iam:ListRolePolicies", "iam:GetRolePolicy", "ce:GetCostAndUsage", "dynamodb:DescribeTableReplicaAutoScaling", "identitystore:ListGroupMemberships", "identitystore:ListGroups", "identitystore:ListUsers", "lambda:GetFunction", "lambda:GetFunctionConcurrency", "logs:ListTagsForResource", "s3express:GetBucketPolicy", "s3express:ListAllMyDirectoryBuckets", "wafv2:GetIPSet" ], "Resource": ["*"] } ] }
Klicken Sie auf Weiter.
Geben Sie im Abschnitt Richtliniendetails einen Namen und eine Beschreibung für das .
Klicken Sie auf Richtlinie erstellen.
Wiederholen Sie diese Schritte für jedes Collector-Konto.
AWS IAM-Rolle für Sensitive Data Protection in jedem Konto erstellen
Führen Sie diese Schritte aus, wenn Sie die Option Berechtigungen für Sensitive Data Protection gewähren Discovery-Kästchen Security Command Center konfigurieren
Erstellen Sie die Collector-Rolle, mit der Sensitive Data Protection ein Profil Inhalte Ihrer AWS-Ressourcen. Diese Rolle verwendet die Collector-Richtlinie, die die unter AWS-IAM-Richtlinie erstellen für Schutz sensibler Daten
Melden Sie sich in der AWS-Collector-Kontokonsole als Nutzer, der IAM-Rollen für Collector-Konten erstellen kann.
Klicken Sie auf Rollen > Rolle erstellen.
Klicken Sie unter Typ der vertrauenswürdigen Entität auf Benutzerdefinierte Vertrauensrichtlinie.
Fügen Sie im Abschnitt Benutzerdefinierte Vertrauensrichtlinie Folgendes ein:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::DELEGATE_ACCOUNT_ID:role/DELEGATE_ACCOUNT_ROLE" }, "Action": "sts:AssumeRole" } ] }
Ersetzen Sie Folgendes:
DELEGATE_ACCOUNT_ID
: die AWS-Konto-ID für das bevollmächtigtes KontoDELEGATE_ACCOUNT_ROLE
: die delegierte Rolle Name, den Sie bei der Konfiguration Security Command Center
So gewähren Sie dieser Collector-Rolle Zugriff auf die Inhalte Ihrer AWS-Ressourcen: die Berechtigungsrichtlinien an die Rolle anhängen. Nach dem benutzerdefinierten Collector suchen Richtlinie, die unter AWS-IAM-Richtlinie erstellen für Schutz sensibler Daten und wählen Sie es aus.
Geben Sie im Abschnitt Rollendetails den Namen der Rolle für Schutz sensibler Daten, den Sie bei der Konfiguration Security Command Center.
Klicken Sie auf Rolle erstellen.
Wiederholen Sie diese Schritte für jedes Collector-Konto.
Informationen zum Abschließen des Integrationsprozesses finden Sie unter Schließen Sie den Integrationsprozess ab.
Integration abschließen
Klicken Sie in der Google Cloud Console auf der Seite Connector testen auf Testen. Connector, um zu prüfen, ob Security Command Center eine Verbindung zu Ihre AWS-Umgebung. Wenn die Verbindung hergestellt wurde, hat der Test dass die delegierte Rolle alle erforderlichen Berechtigungen hat, um Collector-Rollen. Wenn die Verbindung nicht hergestellt werden konnte, lesen Sie die Informationen unter Fehlerbehebung. Fehler beim Testen der Verbindung.
Klicken Sie auf Erstellen.
Benutzerdefinierte Konfiguration
In diesem Abschnitt werden einige Möglichkeiten zum Anpassen der Verbindung beschrieben. zwischen Security Command Center und AWS. Diese Optionen sind auf der Seite Erweiterte Optionen (optional) des Amazon Web Services-Connector hinzufügen in der Google Cloud Console.
Standardmäßig erkennt Security Command Center Ihre AWS-Konten automatisch auf allen AWS-Regionen. Die Verbindung verwendet den Globaler Standardendpunkt für den AWS Security Token Service und die Standardabfragen pro Sekunde (Queries per Second, QPS) für den AWS-Dienst, den Sie des Monitorings. Mit diesen erweiterten Optionen können Sie die Standardeinstellungen anpassen.
Option | Beschreibung |
---|---|
Angeben, welche AWS-Konten verwendet werden sollen | Sie können Security Command Center die AWS-Konten automatisch erkennen lassen oder eine Liste von AWS-Konten bereitstellen, mit denen Security Command Center Ressourcen finden kann. |
Geben Sie an, welche AWS-Konten ausgeschlossen werden sollen | Wenn Sie Security Command Center automatisch Konten erkennen lassen, können Sie eine Liste von AWS-Konten angeben, die Security Command Center zum Auffinden von Ressourcen nicht verwenden kann. |
Geben Sie an, welche AWS-Regionen überwacht werden sollen | Sie können eine oder mehrere AWS-Regionen für Security Command Center auswählen, um überwachen. Lassen Sie das Feld AWS regions (AWS-Regionen) leer: überwachen Sie alle Regionen. |
Standardabfragen pro Sekunde für AWS-Dienste überschreiben | Sie können die Anzahl der Abfragen pro Sekunde ändern, um das Kontingentlimit für
Security Command Center. Legen Sie für die Überschreibung einen Wert fest, der kleiner als der Wert ist
Standardwert für diesen Dienst und größer oder gleich 1 . Der Standardwert ist der Maximalwert. Wenn Sie die Abfragen pro Sekunde ändern, können Probleme beim Abrufen von Daten durch Security Command Center auftreten. Es ist daher nicht empfehlenswert, diesen Wert zu ändern. |
Endpunkt für AWS Security Token Service ändern | Sie können einen bestimmten Endpunkt für AWS angeben
Security Token Service (z. B.
https://sts.us-east-2.amazonaws.com . AWS verlassen
Das Feld Security Token Service (AWS STS) (optional) ist leer.
den standardmäßigen globalen Endpunkt (https://sts.amazonaws.com ). |
Einem vorhandenen AWS-Connector Berechtigungen zur Erkennung sensibler Daten gewähren
Um sensible Daten in Ihren AWS-Inhalten zu ermitteln, benötigen Sie eine AWS-Connector mit dem erforderlichen AWS-IAM Berechtigungen
In diesem Abschnitt wird beschrieben, wie Sie diese Berechtigungen einem vorhandenen AWS-Konto gewähren. Connector. Die erforderlichen Schritte hängen davon ab, ob Sie konfigurierte Ihre AWS-Umgebung mithilfe von CloudFormation-Vorlagen oder manuell.
Vorhandenen Connector mit CloudFormation-Vorlagen aktualisieren
Wenn Sie Ihre AWS-Umgebung mit CloudFormation einrichten und führen Sie dann diese Schritte aus, um sensible Daten Erkennungsberechtigungen für Ihren vorhandenen AWS-Connector.
Rufen Sie in der Google Cloud Console die Seite Einrichtungsleitfaden von Security Command Center.
Wählen Sie die Organisation aus, in der Sie Security Command Center Enterprise aktiviert haben. Die Seite Einrichtungsleitfaden wird geöffnet.
Klicken Sie auf Schritt 3: Integration von Amazon Web Services (AWS) einrichten. Die Die Seite Connectors wird geöffnet.
Klicken Sie für den AWS-Connector auf
AWS.Wählen Sie im Abschnitt Datentypen überprüfen die Option Berechtigungen für Sensitive Data Protection gewähren zur besseren Auffindbarkeit.
Klicken Sie auf Weiter. Die Seite Mit AWS verbinden wird geöffnet.
Klicken Sie auf Vorlage für delegierte Rollen herunterladen. Die Vorlage wird auf auf Ihrem Computer.
Klicken Sie auf Collector-Rollenvorlage herunterladen. Die Vorlage wird auf auf Ihrem Computer.
Klicken Sie auf Weiter. Die Seite Connector testen wird geöffnet. Testen Sie die Connectors noch nicht verwendet.
Aktualisieren Sie in der CloudFormation-Konsole die Stapelvorlage für die delegierte Rolle:
- Melden Sie sich im AWS Delegate-Konto an. Console Vergewissern Sie sich, dass Sie in das delegierte Konto ein, das verwendet wird, um andere Collector-AWS zu übernehmen Konten.
- Rufen Sie die AWS CloudFormation-Konsole.
Ersetzen Sie die Stapelvorlage für die delegierte Rolle durch die aktualisierte delegierte Rollenvorlage, die Sie heruntergeladen haben.
Weitere Informationen finden Sie unter Vorlage eines Stapels aktualisieren (Konsole) finden Sie in der AWS-Dokumentation.
Aktualisieren Sie den Stapelsatz für die Collector-Rolle:
- Ein AWS-Verwaltungskonto oder ein anderes Mitgliedskonto zu verwenden, das als einem delegierten Administrator, gehen Sie zu AWS CloudFormation-Konsole.
Ersetzen Sie die Stapelsatzvorlage für die Collector-Rolle durch die aktualisierte Collector-Rollenvorlage, die Sie heruntergeladen haben.
Weitere Informationen finden Sie unter Stackset mit AWS aktualisieren CloudFormation Console finden Sie in der AWS-Dokumentation.
Wenn Sie Daten aus dem Verwaltungskonto erfassen müssen, Im Verwaltungskonto anmelden und die Vorlage im Collector ersetzen mit der aktualisierten Collector-Rollenvorlage, die Sie heruntergeladen haben.
Dieser Schritt ist erforderlich, da AWS CloudFormation-Stacksets keinen Stack erstellen in Verwaltungskonten. Weitere Informationen finden Sie unter DeploymentTargets finden Sie in der AWS-Dokumentation.
Klicken Sie in der Google Cloud Console auf der Seite Connector testen auf Testen. Connector Wenn die Verbindung hergestellt wurde, wurde durch den Test festgestellt, dass der delegierte Rolle alle erforderlichen Berechtigungen, um den Collector zu übernehmen Rollen. Wenn die Verbindung nicht hergestellt werden konnte, lesen Sie die Informationen unter Fehlerbehebung bei Testen der Verbindung.
Klicken Sie auf Speichern.
Vorhandenen Connector manuell aktualisieren
Wenn Sie Ihre AWS-Konten manuell konfiguriert haben, während Sie den AWS-Connector erstellt haben, führen Sie dann die folgenden Schritte aus, um sensible Daten zu gewähren. Erkennungsberechtigungen für Ihren vorhandenen AWS-Connector.
Rufen Sie in der Google Cloud Console die Seite Einrichtungsleitfaden von Security Command Center.
Wählen Sie die Organisation aus, in der Sie Security Command Center Enterprise aktiviert haben. Die Seite Einrichtungsleitfaden wird geöffnet.
Klicken Sie auf Schritt 3: Integration von Amazon Web Services (AWS) einrichten. Die Die Seite Connectors wird geöffnet.
Klicken Sie für den AWS-Connector auf
AWS.Wählen Sie im Abschnitt Datentypen überprüfen die Option Berechtigungen für Sensitive Data Protection gewähren zur besseren Auffindbarkeit.
Klicken Sie auf Weiter. Die Seite Mit AWS verbinden wird geöffnet.
Klicken Sie auf AWS-Konten manuell konfigurieren (empfohlen, wenn Sie erweiterte Funktionen verwenden). Einstellungen oder benutzerdefinierte Rollennamen).
Kopieren Sie die Werte der folgenden Felder:
- Delegierter Rollenname
- Collector-Rollenname
- Name der Collector-Rolle für den Schutz sensibler Daten
Klicken Sie auf Weiter. Die Seite Connector testen wird geöffnet. Testen Sie die Connectors noch nicht verwendet.
Führen Sie in der AWS Delegate-Konto-Konsole folgende Schritte aus: Aktualisieren Sie die AWS-IAM-Richtlinie für die delegierte Rolle, um die folgende JSON-Datei zu verwenden:
{ "Version": "2012-10-17", "Statement": [ { "Action": "sts:AssumeRole", "Resource": [ "arn:aws:iam::*:role/COLLECTOR_ROLE_NAME", "arn:aws:iam::*:role/SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME" ], "Effect": "Allow" }, { "Action": [ "organizations:List*", "organizations:Describe*" ], "Resource": "*", "Effect": "Allow" } ] }
Ersetzen Sie Folgendes:
COLLECTOR_ROLE_NAME
: der Name der Konfiguration Data-Collector-Rolle kopiert haben (Standardeinstellung istaws-collector-role
)SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME
: der Name der Collector-Rolle für den Schutz sensibler Daten, die Sie kopiert haben (die Standardwert istaws-sensitive-data-protection-role
)
Weitere Informationen finden Sie unter Vom Kunden verwaltete Richtlinien bearbeiten (Konsole) finden Sie in der AWS-Dokumentation.
Führen Sie für jedes Collector-Konto die folgenden Schritte aus:
Klicken Sie in der Google Cloud Console auf der Seite Connector testen auf Testen. Connector Wenn die Verbindung hergestellt wurde, wurde durch den Test festgestellt, dass der delegierte Rolle alle erforderlichen Berechtigungen, um den Collector zu übernehmen Rollen. Wenn die Verbindung nicht hergestellt werden konnte, lesen Sie die Informationen unter Fehlerbehebung bei Testen der Verbindung.
Klicken Sie auf Speichern.
Fehlerbehebung
Dieser Abschnitt enthält einige häufige Probleme, die auftreten können, wenn Sie Security Command Center in AWS integrieren.
Ressourcen sind bereits vorhanden
Dieser Fehler tritt in der AWS-Umgebung auf, wenn Sie versuchen, das AWS-IAM zu erstellen Richtlinien und AWS IAM-Rollen. Dieses Problem tritt auf, wenn die Rolle bereits in und versuchen, es erneut zu erstellen.
So beheben Sie das Problem:
- Prüfen, ob die Rolle oder Richtlinie, die Sie erstellen, bereits vorhanden ist und die in diesem Leitfaden aufgeführten Anforderungen erfüllt.
- Ändern Sie bei Bedarf den Rollennamen, um Konflikte zu vermeiden.
Ungültiges Hauptkonto in Richtlinie
Dieser Fehler kann in der AWS-Umgebung auftreten, wenn Sie den Collector erstellen Rollen, aber die Rolle "Delegieren" ist noch nicht vorhanden.
Um dieses Problem zu beheben, führen Sie die Schritte unter AWS-IAM-Richtlinie erstellen für die delegierte Rolle und warten, bis die Delegatrolle erstellt wird, bevor Sie fortfahren.
Drosselungseinschränkungen in AWS
AWS drosselt API-Anfragen für jedes AWS-Konto pro Konto oder Region zu verstehen. Damit diese Limits nicht überschritten werden, wenn Security Command Center Daten erhebt Asset-Konfigurationsdaten von AWS erhalten, erfasst Security Command Center die Daten zu einem festen für jeden AWS-Dienst eine maximale Anzahl von Abfragen pro Sekunde, wie in der API-Dokumentation für den AWS-Dienst.
Wenn in Ihrer AWS-Umgebung aufgrund der Abfragen pro Sekunde eine Anfragedrosselung auftritt können Sie das Problem so beheben:
In den Einstellungen des AWS-Connectors , legen Sie eine benutzerdefinierte Abfragen pro Sekunde für den AWS-Dienst, bei dem Probleme mit der Anfragedrosselung auftreten.
Schränken Sie die Berechtigungen der AWS-Collector-Rolle so ein, dass die Daten aus dieser nicht mehr erfasst. Diese Risikominderungstechnik verhindert, dass die Angriffspfadsimulationen für AWS nicht ordnungsgemäß funktionieren.
Durch den Widerruf aller Berechtigungen in AWS wird der Daten-Collector-Prozess angehalten sofort. Durch das Löschen des AWS-Connectors werden die Daten nicht sofort gestoppt Collector-Prozess, aber er startet nach Abschluss nicht wieder.
Fehlerbehebung beim Testen der Verbindung
Diese Fehler können auftreten, wenn Sie die Verbindung zwischen Security Command Center und AWS.
AWS_FAILED_TO_ASSUME_DELEGATED_ROLE
Die Verbindung ist ungültig, da der Google Cloud-Dienst-Agent nicht voraussetzen kann die delegierte Rolle.
Gehen Sie so vor, um dieses Problem zu beheben:
Prüfen Sie, ob die delegierte Rolle vorhanden ist. Informationen zum Erstellen finden Sie unter Erstellen Sie eine AWS-IAM-Rolle für die Vertrauensbeziehung zwischen AWS und Google Cloud.
Die Inline-Richtlinie der delegierten Rolle fehlt. Ohne sie kann der Dienst-Agent die Rolle nicht übernehmen. Um zu überprüfen, ob die Inline- Richtlinie existiert, siehe Erstellen Sie eine AWS-IAM-Rolle für die Vertrauensbeziehung zwischen AWS und Google Cloud.
AWS_FAILED_TO_LIST_ACCOUNTS
Die Verbindung ist ungültig, da die automatische Erkennung aktiviert und der delegierte Dienst nicht alle AWS-Konten in den Organisationen abrufen.
Dieses Problem bedeutet, dass die Richtlinie
Aktion „organizations:ListAccounts
“ für die delegierte Rolle fehlt bei bestimmten
Ressourcen. Prüfen Sie, welche Ressourcen fehlen, um dieses Problem zu beheben. Zur Bestätigung
Die Einstellungen für die delegierte Richtlinie finden Sie unter
Erstellen Sie die AWS-IAM-Richtlinie für die delegierte Rolle.
AWS_INVALID_COLLECTOR_ACCOUNTS
Die Verbindung ist ungültig, da ungültige Collector-Konten vorhanden sind. Die enthält weitere Informationen über mögliche Ursachen, einschließlich Folgendes:
AWS_FAILED_TO_ASSUME_COLLECTOR_ROLE
Das Collector-Konto ist ungültig, da die delegierte Rolle das Ereignis Collector-Rolle im Collector-Konto an.
Gehen Sie so vor, um dieses Problem zu beheben:
Prüfen Sie, ob die Collector-Rolle vorhanden ist.
- Informationen zum Erstellen der Collector-Rolle für Asset-Konfigurationsdaten finden Sie unter Erstellen der AWS-IAM-Rolle für die Erfassung von Asset-Konfigurationsdaten in jedem Konto.
- Informationen zum Erstellen der Collector-Rolle für Sensitive Data Protection finden Sie unter Erstellen die AWS IAM-Rolle für Sensitive Data Protection in jedem Konto.
Die Richtlinie, die es der delegierten Rolle erlaubt, den Collector zu übernehmen Rolle fehlt. Informationen zum Vorhandensein der Richtlinie finden Sie unter Erstellen Sie die AWS-IAM-Richtlinie für die delegierte Rolle.
AWS_COLLECTOR_ROLE_POLICY_MISSING_REQUIRED_PERMISSION
Die Verbindung ist ungültig, da in der Collector-Richtlinie einige der erforderlichen Berechtigungseinstellungen.
Um dieses Problem zu beheben, sollten Sie die folgenden Ursachen in Betracht ziehen:
Einige der erforderlichen verwalteten AWS-Richtlinien sind möglicherweise nicht mit dem Collector-Rolle für Asset-Konfigurationsdaten. Um zu prüfen, ob alle Richtlinien angehängt, siehe Schritt 6 im Artikel AWS IAM-Rolle für Asset-Konfiguration erstellen die Datenerhebung in den einzelnen Konto.
Es kann eines der folgenden Probleme mit einer Collector-Richtlinie vorliegen:
- Die Collector-Richtlinie ist möglicherweise nicht vorhanden.
- Die Collector-Richtlinie ist nicht mit der Collector-Rolle verknüpft.
- Die Collector-Richtlinie enthält nicht alle erforderlichen Berechtigungen.
Informationen zum Beheben von Problemen mit einer Collector-Richtlinie finden Sie hier:
Nächste Schritte
- Fahren Sie mit Schritt 4 des Einrichtungsleitfadens in der Console
- Prüfen und beheben Sie die von AWS ermittelten Sicherheitslücken.
- Sicherheit erstellen und verwalten Posture für AWS.
- Angriffspfadsimulationen für AWS erstellen Ressourcen
- Karten-Compliance von AWS Ressourcen mit verschiedenen Standards und Benchmarks.