Verbindung zu AWS für die Erkennung von Sicherheitslücken und die Risikobewertung herstellen

Sie können die Security Command Center Enterprise-Stufe mit Ihrer Amazon Web Services-Umgebung (AWS) verbinden, um Folgendes zu tun:

  • Softwarelücken und Fehlkonfigurationen in Ihrer AWS-Umgebung erkennen und beheben
  • Sicherheitsstatus für AWS erstellen und verwalten
  • Potenzielle Angriffspfade vom öffentlichen Internet zu Ihren wertvollen AWS-Assets identifizieren
  • Compliance von AWS-Ressourcen mit verschiedenen Standards und Benchmarks abgleichen

Wenn Sie Security Command Center mit AWS verbinden, kann Ihr Team für die Sicherheit an einem zentralen Ort Bedrohungen und Sicherheitslücken in Google Cloud und AWS verwalten und beheben.

Damit Security Command Center Ihre AWS-Organisation überwachen kann, müssen Sie eine Verbindung mit einem Google Cloud-Dienst-Agenten und einem AWS-Konto konfigurieren, das Zugriff auf die Ressourcen hat, die Sie überwachen möchten. Über diese Verbindung werden in Security Command Center regelmäßig Daten aus allen von Ihnen definierten AWS-Konten und ‑Regionen erfasst.

Sie können für jede Google Cloud-Organisation eine AWS-Verbindung erstellen. Der Connector verwendet API-Aufrufe, um AWS-Asset-Daten zu erfassen. Für diese API-Aufrufe können AWS-Gebühren anfallen.

In diesem Dokument wird beschrieben, wie Sie die Verbindung mit AWS einrichten. Beim Einrichten einer Verbindung konfigurieren Sie Folgendes:

  • Eine Reihe von Konten in AWS, die direkten Zugriff auf die AWS-Ressourcen haben, die Sie überwachen möchten. In der Google Cloud Console werden diese Konten als Aufnahmekonten bezeichnet.
  • Ein Konto in AWS mit den entsprechenden Richtlinien und Rollen, um die Authentifizierung bei Collector-Konten zu ermöglichen. In der Google Cloud Console wird dieses Konto als delegiertes Konto bezeichnet. Sowohl das delegierte Konto als auch die Aufnehmerkonten müssen sich in derselben AWS-Organisation befinden.
  • Ein Dienstagent in Google Cloud, der zur Authentifizierung eine Verbindung zum delegierten Konto herstellt.
  • Eine Pipeline zum Erfassen von Asset-Daten aus AWS-Ressourcen.
  • (Optional) Berechtigungen für Sensitive Data Protection zum Erstellen von Profilen für Ihre AWS-Inhalte.

Diese Verbindung gilt nicht für die SIEM-Funktionen von Security Command Center, mit denen Sie AWS-Protokolle zur Bedrohungserkennung aufnehmen können.

Das folgende Diagramm zeigt diese Konfiguration. Das Mandantenprojekt ist ein automatisch erstelltes Projekt, das die Instanz Ihrer Pipeline zur Erhebung von Asset-Daten enthält.

AWS- und Security Command Center-Konfiguration

Hinweise

Führen Sie diese Aufgaben aus, bevor Sie mit den verbleibenden Aufgaben auf dieser Seite fortfahren.

Security Command Center Enterprise-Stufe aktivieren

Führen Sie Schritt 1 und Schritt 2 des Einrichtungsleitfadens aus, um die Security Command Center Enterprise-Stufe zu aktivieren.

Berechtigungen einrichten

Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Inhaber von Cloud-Assets (roles/cloudasset.owner) zuzuweisen, um die Berechtigungen zu erhalten, die Sie für die Verwendung des AWS-Connectors benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

AWS-Konten erstellen

Es müssen die folgenden AWS-Ressourcen erstellt sein:

AWS-Connector konfigurieren

  1. Rufen Sie in der Google Cloud Console die Seite Einrichtungsleitfaden des Security Command Center auf.

    Einrichtungsleitfaden aufrufen

  2. Wählen Sie die Organisation aus, für die Sie die Security Command Center Enterprise-Stufe aktiviert haben. Die Seite Einrichtungsanleitung wird geöffnet.

  3. Klicken Sie auf Schritt 3: Einbindung von Amazon Web Services (AWS) einrichten. Die Seite Connectors wird geöffnet.

  4. Wählen Sie Connector hinzufügen > Amazon Web Services aus. Die Seite Connector konfigurieren wird geöffnet.

  5. Geben Sie unter Konto-ID des bevollmächtigten Kontos die AWS-Konto-ID für das AWS-Konto ein, das Sie als bevollmächtigtes Konto verwenden können.

  6. Wenn Sie mit Sensitive Data Protection Profile für Ihre AWS-Daten erstellen möchten, lassen Sie die Option Berechtigungen für die Sensitive Data Protection-Erkennung gewähren aktiviert. Mit dieser Option werden AWS-IAM-Berechtigungen in der CloudFormation-Vorlage für die Rolle „Collector“ hinzugefügt.

    Von dieser Option gewährte AWS IAM-Berechtigungen

    • s3:GetBucketLocation
    • s3:ListAllMyBuckets
    • s3:GetBucketPolicyStatus
    • s3:ListBucket
    • s3:GetObject
    • s3:GetObjectVersion
    • s3:GetBucketPublicAccessBlock
    • s3:GetBucketOwnershipControls
    • s3:GetBucketTagging
    • iam:ListAttachedRolePolicies
    • iam:GetPolicy
    • iam:GetPolicyVersion
    • iam:ListRolePolicies
    • iam:GetRolePolicy
    • ce:GetCostAndUsage
    • dynamodb:DescribeTableReplicaAutoScaling
    • identitystore:ListGroupMemberships
    • identitystore:ListGroups
    • identitystore:ListUsers
    • lambda:GetFunction
    • lambda:GetFunctionConcurrency
    • logs:ListTagsForResource
    • s3express:CreateSession
    • s3express:GetBucketPolicy
    • s3express:ListAllMyDirectoryBuckets
    • wafv2:GetIPSet

  7. Optional: Überprüfen und bearbeiten Sie die Erweiterten Optionen. Weitere Informationen zu zusätzlichen Optionen finden Sie unter AWS-Connector-Konfiguration anpassen.

  8. Klicken Sie auf Weiter. Die Seite Verbindung zu AWS herstellen wird geöffnet.

  9. Führen Sie einen dieser Schritte aus:

    • Laden Sie die CloudFormation-Vorlagen für die delegierte Rolle und die Rolle des Datensammlers herunter und prüfen Sie sie.
    • Wenn Sie die erweiterten Optionen konfiguriert haben oder die Standardrollennamen von AWS (aws-delegated-role, aws-collector-role und aws-sensitive-data-protection-role) ändern möchten, wählen Sie AWS-Konten manuell konfigurieren aus. Kopieren Sie die ID des Dienst-Agents, den Namen der delegierten Rolle, den Namen der Collector-Rolle und den Namen der Collector-Rolle für den Schutz sensibler Daten.

    Die Rollennamen können nach dem Erstellen der Verbindung nicht mehr geändert werden.

Klicken Sie noch nicht auf Erstellen. Konfigurieren Sie stattdessen Ihre AWS-Umgebung.

AWS-Umgebung konfigurieren

Sie können Ihre AWS-Umgebung mit einer der folgenden Methoden einrichten:

AWS-Umgebung mit CloudFormation-Vorlagen einrichten

Wenn Sie CloudFormation-Vorlagen heruntergeladen haben, können Sie Ihre AWS-Umgebung so einrichten:

  1. Melden Sie sich in der Konsole des delegierten AWS-Kontos an. Sie müssen in dem delegierten Konto angemeldet sein, mit dem andere AWS-Konten des Dienstleisters übernommen werden. Das kann entweder ein AWS-Verwaltungskonto oder ein Mitgliedskonto sein, das als delegierter Administrator registriert ist.
  2. Rufen Sie die AWS CloudFormation-Vorlage-Konsole auf.

  3. Erstellen Sie einen Stack, der die delegierte Rolle bereitstellt:

    1. Klicken Sie auf der Seite Stacks auf Stack erstellen > Mit neuen Ressourcen (Standard).
    2. Wenn Sie eine Vorlage angeben, laden Sie die Datei der Vorlage für die delegierte Rolle hoch.
    3. Geben Sie bei der Angabe der Stapeldetails einen Stapelnamen ein.

    4. Wenn Sie den Rollennamen für die delegierte Rolle, die Rolle des Datensammlers oder die Rolle für den Schutz sensibler Daten geändert haben, aktualisieren Sie die Parameter entsprechend. Die von Ihnen eingegebenen Parameter müssen mit denjenigen übereinstimmen, die auf der Seite Mit AWS verbinden in der Google Cloud Console aufgeführt sind.

    5. Aktualisieren Sie die Stack-Optionen gemäß den Anforderungen Ihrer Organisation.

    6. Wählen Sie auf der Seite Überprüfen und erstellen die Option Ich bestätige, dass AWS CloudFormation IAM-Ressourcen mit benutzerdefinierten Namen erstellen kann aus.

    7. Klicken Sie auf Senden, um den Stack zu erstellen.

    Warten Sie, bis der Stack erstellt wurde. Wenn ein Problem auftritt, lesen Sie den Abschnitt Fehlerbehebung. Weitere Informationen finden Sie in der AWS-Dokumentation unter Stack in der AWS CloudFormation-Konsole erstellen.

  4. Erstellen Sie ein Stack-Set, das Rollen für Datensammler bereitstellt.

    1. Klicken Sie auf der Seite StackSets auf StackSet erstellen.

    2. Klicken Sie auf Vom Dienst verwaltete Berechtigungen.

    3. Wenn Sie eine Vorlage angeben, laden Sie die Datei der Collector-Rollenvorlage hoch.

    4. Geben Sie bei der Angabe der Stack-Set-Details einen Namen und eine Beschreibung für das Stack-Set ein.

    5. Geben Sie die ID des delegierten Kontos ein.

    6. Wenn Sie den Rollennamen für die delegierte Rolle, die Rolle des Datensammlers oder die Rolle für den Schutz sensibler Daten geändert haben, aktualisieren Sie die Parameter entsprechend. Die von Ihnen eingegebenen Parameter müssen mit denjenigen übereinstimmen, die auf der Seite Mit AWS verbinden in der Google Cloud Console aufgeführt sind.

    7. Konfigurieren Sie die Stack-Set-Optionen gemäß den Anforderungen Ihres Unternehmens.

    8. Wählen Sie bei der Angabe der Bereitstellungsoptionen die Bereitstellungsziele aus. Sie können die Bereitstellung auf die gesamte AWS-Organisation oder auf eine Organisationseinheit (OE) ausweiten, die alle AWS-Konten enthält, aus denen Sie Daten erheben möchten.

    9. Geben Sie die AWS-Regionen an, in denen die Rollen und Richtlinien erstellt werden sollen. Da Rollen globale Ressourcen sind, müssen Sie keine Regionen angeben.

    10. Ändern Sie bei Bedarf andere Einstellungen.

    11. Prüfen Sie die Änderungen und klicken Sie auf Senden, um das Stack-Set zu erstellen. Wenn Sie eine Fehlermeldung erhalten, lesen Sie den Hilfeartikel Fehlerbehebung. Weitere Informationen finden Sie in der AWS-Dokumentation unter Stack-Set mit diensteverwalteten Berechtigungen erstellen.

  5. Wenn Sie Daten aus dem Verwaltungskonto erfassen müssen, melden Sie sich in diesem an und stellen Sie einen separaten Stack bereit, um die Rollen für die Datensammler zu provisionieren. Laden Sie beim Angeben der Vorlage die Datei mit der Collector-Rollenvorlage hoch.

    Dieser Schritt ist erforderlich, da mit AWS CloudFormation-Stack-Sets keine Stack-Instanzen in Verwaltungskonten erstellt werden. Weitere Informationen finden Sie in der AWS-Dokumentation unter DeploymentTargets.

Wie Sie die Integration abschließen, erfahren Sie unter Integration abschließen.

AWS-Konten manuell konfigurieren

Wenn Sie die CloudFormation-Vorlagen nicht verwenden können (z. B. weil Sie unterschiedliche Rollennamen verwenden oder die Integration anpassen), können Sie die erforderlichen AWS IAM-Richtlinien und AWS IAM-Rollen manuell erstellen.

Sie müssen AWS-IAM-Richtlinien und AWS-IAM-Rollen für das delegierte Konto und die Collector-Konten erstellen.

AWS IAM-Richtlinie für die delegierte Rolle erstellen

So erstellen Sie eine AWS IAM-Richtlinie für die delegierte Rolle (eine delegierte Richtlinie):

  1. Melden Sie sich in der Konsole für das delegierte AWS-Konto an.

  2. Klicken Sie auf Richtlinien > Richtlinie erstellen.

  3. Klicken Sie auf JSON und fügen Sie einen der folgenden Codeausschnitte ein, je nachdem, ob Sie unter Security Command Center konfigurieren das Kästchen Berechtigungen für die Suche nach sensiblen Daten gewähren angeklickt haben.

    Berechtigungen für die Sensitive Data Protection-Erkennung gewähren: deaktiviert

    {
  "Version": "2012-10-17",
  "Statement": [
      {
          "Action": "sts:AssumeRole",
          "Resource": "arn:aws:iam::*:role/COLLECTOR_ROLE_NAME",
          "Effect": "Allow"
      },
      {
          "Action": [
              "organizations:List*",
              "organizations:Describe*"
          ],
          "Resource": "*",
          "Effect": "Allow"
      }
  ]
}

    Ersetzen Sie COLLECTOR_ROLE_NAME durch den Namen der Rolle des Datensammlers, die Sie beim Konfigurieren von Security Command Center kopiert haben. Standardmäßig ist das aws-collector-role.

    Berechtigungen für die Sensitive Data Protection-Erkennung gewähren: ausgewählt

        {
      "Version": "2012-10-17",
      "Statement": [
        {
          "Action": "sts:AssumeRole",
          "Resource": [
            "arn:aws:iam::*:role/COLLECTOR_ROLE_NAME",
            "arn:aws:iam::*:role/SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME"
          ],
          "Effect": "Allow"
        },
        {
          "Action": [
            "organizations:List*",
            "organizations:Describe*"
          ],
          "Resource": "*",
          "Effect": "Allow"
        }
      ]
    }

    Ersetzen Sie Folgendes:

  4. Klicken Sie auf Weiter.

  5. Geben Sie im Abschnitt Richtliniendetails einen Namen und eine Beschreibung für die Richtlinie ein.

  6. Klicken Sie auf Richtlinie erstellen.

AWS IAM-Rolle für die Vertrauensstellung zwischen AWS und Google Cloud erstellen

Erstellen Sie eine delegierte Rolle, die eine vertrauenswürdige Beziehung zwischen AWS und Google Cloud herstellt. Für diese Rolle wird die delegierte Richtlinie verwendet, die unter AWS IAM-Richtlinie für die delegierte Rolle erstellen erstellt wurde.

  1. Melden Sie sich in der Konsole des delegierten AWS-Kontos als AWS-Nutzer an, der IAM-Rollen und ‑Richtlinien erstellen kann.

  2. Klicken Sie auf Rollen > Rolle erstellen.

  3. Klicken Sie unter Typ der vertrauenswürdigen Entität auf Web Identity.

  4. Klicken Sie unter Identity Provider (Identitätsanbieter) auf Google.

  5. Geben Sie unter Zielgruppe die Servicemitarbeiter-ID ein, die Sie beim Konfigurieren von Security Command Center kopiert haben. Klicken Sie auf Weiter.

  6. Wenn Sie der delegierten Rolle Zugriff auf die Rollen der Datensammler gewähren möchten, hängen Sie die Berechtigungsrichtlinien an die Rolle an. Suchen Sie nach der delegierten Richtlinie, die Sie unter AWS IAM-Richtlinie für die delegierte Rolle erstellen erstellt haben, und wählen Sie sie aus.

  7. Geben Sie im Abschnitt Rollendetails den Namen der delegierten Rolle ein, den Sie beim Konfigurieren von Security Command Center kopiert haben. Der Standardname ist aws-delegated-role.

  8. Klicken Sie auf Rolle erstellen.

AWS IAM-Richtlinie für die Erhebung von Asset-Konfigurationsdaten erstellen

So erstellen Sie eine AWS-IAM-Richtlinie für die Erhebung von Asset-Konfigurationsdaten (eine Richtliniensammlung):

  1. Melden Sie sich in der Konsole des AWS-Aufnahmekontos an.

  2. Klicken Sie auf Richtlinien > Richtlinie erstellen.

  3. Klicken Sie auf JSON und fügen Sie Folgendes ein:

    {
  "Version": "2012-10-17",
  "Statement": [
      {
          "Effect": "Allow",
          "Action": [
              "ce:GetCostAndUsage",
              "dynamodb:DescribeTableReplicaAutoScaling",
              "identitystore:ListGroupMemberships",
              "identitystore:ListGroups",
              "identitystore:ListUsers",
              "lambda:GetFunction",
              "lambda:GetFunctionConcurrency",
              "logs:ListTagsForResource",
              "s3express:GetBucketPolicy",
              "s3express:ListAllMyDirectoryBuckets",
              "wafv2:GetIPSet"
          ],
          "Resource": [
              "*"
          ]
      },
      {
          "Effect": "Allow",
          "Action": [
              "apigateway:GET"
          ],
          "Resource": [
              "arn:aws:apigateway:*::/usageplans",
              "arn:aws:apigateway:*::/usageplans/*/keys",
              "arn:aws:apigateway:*::/vpclinks/*"
          ]
      }
  ]

}

  4. Klicken Sie auf Weiter.

  5. Geben Sie im Abschnitt Richtliniendetails einen Namen und eine Beschreibung für die Richtlinie ein.

  6. Klicken Sie auf Richtlinie erstellen.

  7. Wiederholen Sie diese Schritte für jedes Konto des Dienstleisters.

AWS-IAM-Rolle für die Erhebung von Asset-Konfigurationsdaten in jedem Konto erstellen

Erstellen Sie die Rolle „Collector“, mit der Security Command Center Asset-Konfigurationsdaten von AWS abrufen kann. Für diese Rolle wird die Richtliniensammlung verwendet, die unter AWS IAM-Richtlinie für die Erhebung von Asset-Konfigurationsdaten erstellen erstellt wurde.

  1. Melden Sie sich in der AWS-Konsole für das Konto des Datensammlers als Nutzer an, der IAM-Rollen für die Datensammlerkonten erstellen kann.

  2. Klicken Sie auf Rollen > Rolle erstellen.

  3. Klicken Sie unter Typ der vertrauenswürdigen Entität auf Benutzerdefinierte Vertrauensrichtlinie.

  4. Fügen Sie im Abschnitt Benutzerdefinierte Vertrauensrichtlinie Folgendes ein:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::DELEGATE_ACCOUNT_ID:role/DELEGATE_ACCOUNT_ROLE"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

    Ersetzen Sie Folgendes:

  5. Wenn Sie dieser Collector-Rolle Zugriff auf Ihre AWS-Asset-Konfigurationsdaten gewähren möchten, hängen Sie die Berechtigungsrichtlinien an die Rolle an. Suchen Sie nach der benutzerdefinierten Richtlinie für die Datenerhebung, die Sie unter AWS IAM-Richtlinie für die Erhebung von Asset-Konfigurationsdaten erstellen erstellt haben, und wählen Sie sie aus.

  6. Suchen Sie nach den folgenden verwalteten Richtlinien und wählen Sie sie aus:

    • arn:aws:iam::aws:policy/job-function/ViewOnlyAccess
    • arn:aws:iam::aws:policy/SecurityAudit

  7. Geben Sie im Abschnitt Rollendetails den Namen der Rolle für die Datenerfassung für die Konfiguration ein, die Sie beim Konfigurieren von Security Command Center kopiert haben.

  8. Klicken Sie auf Rolle erstellen.

  9. Wiederholen Sie diese Schritte für jedes Konto des Dienstleisters.

Wenn Sie unter Security Command Center konfigurieren das Kästchen Berechtigungen für die Suche nach sensiblen Daten gewähren ausgewählt haben, fahren Sie mit dem nächsten Abschnitt fort.

Wenn Sie das Kästchen Berechtigungen für die Sensitive Data Protection-Erkennung gewähren nicht aktiviert haben, schließen Sie den Integrationsprozess ab.

AWS IAM-Richtlinie für den Schutz sensibler Daten erstellen

Führen Sie diese Schritte aus, wenn Sie unter Security Command Center konfigurieren das Kästchen Berechtigungen für die Sensitive Data Protection-Erkennung gewähren angeklickt haben.

So erstellen Sie eine AWS IAM-Richtlinie für den Schutz sensibler Daten (eine Richtlinie für Collector):

  1. Melden Sie sich in der Konsole des AWS-Aufnahmekontos an.

  2. Klicken Sie auf Richtlinien > Richtlinie erstellen.

  3. Klicken Sie auf JSON und fügen Sie Folgendes ein:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:GetBucketLocation",
        "s3:ListAllMyBuckets",
        "s3:GetBucketPolicyStatus",
        "s3:ListBucket",
        "s3:GetObject",
        "s3:GetObjectVersion",
        "s3:GetBucketPublicAccessBlock",
        "s3:GetBucketOwnershipControls",
        "s3:GetBucketTagging"
      ],
      "Resource": ["arn:aws:s3:::*"]
    },
    {
      "Effect": "Allow",
      "Action": [
        "iam:ListAttachedRolePolicies",
        "iam:GetPolicy",
        "iam:GetPolicyVersion",
        "iam:ListRolePolicies",
        "iam:GetRolePolicy",
        "ce:GetCostAndUsage",
        "dynamodb:DescribeTableReplicaAutoScaling",
        "identitystore:ListGroupMemberships",
        "identitystore:ListGroups",
        "identitystore:ListUsers",
        "lambda:GetFunction",
        "lambda:GetFunctionConcurrency",
        "logs:ListTagsForResource",
        "s3express:GetBucketPolicy",
        "s3express:ListAllMyDirectoryBuckets",
        "wafv2:GetIPSet"
      ],
      "Resource": ["*"]
    },
    {
      "Effect": "Allow",
      "Action": [
          "s3express:CreateSession"
      ],
      "Resource": ["arn:aws:s3express:*:*:bucket/*"]
    }
  ]
}

  4. Klicken Sie auf Weiter.

  5. Geben Sie im Abschnitt Richtliniendetails einen Namen und eine Beschreibung für die Richtlinie ein.

  6. Klicken Sie auf Richtlinie erstellen.

  7. Wiederholen Sie diese Schritte für jedes Konto des Dienstleisters.

AWS-IAM-Rolle für den Schutz sensibler Daten in jedem Konto erstellen

Führen Sie diese Schritte aus, wenn Sie unter Security Command Center konfigurieren das Kästchen Berechtigungen für die Sensitive Data Protection-Erkennung gewähren angeklickt haben.

Erstellen Sie die Collector-Rolle, mit der Sensitive Data Protection Profile für den Inhalt Ihrer AWS-Ressourcen erstellen kann. Für diese Rolle wird die Richtlinie für Datensammler verwendet, die unter AWS IAM-Richtlinie zum Schutz sensibler Daten erstellen erstellt wurde.

  1. Melden Sie sich in der AWS-Konsole für das Konto des Datensammlers als Nutzer an, der IAM-Rollen für das Konto des Datensammlers erstellen kann.

  2. Klicken Sie auf Rollen > Rolle erstellen.

  3. Klicken Sie unter Typ der vertrauenswürdigen Entität auf Benutzerdefinierte Vertrauensrichtlinie.

  4. Fügen Sie im Abschnitt Benutzerdefinierte Vertrauensrichtlinie Folgendes ein:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::DELEGATE_ACCOUNT_ID:role/DELEGATE_ACCOUNT_ROLE"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

    Ersetzen Sie Folgendes:

  5. Wenn Sie dieser Rolle Zugriff auf den Inhalt Ihrer AWS-Ressourcen gewähren möchten, hängen Sie die Berechtigungsrichtlinien an die Rolle an. Suchen Sie nach der benutzerdefinierten Richtlinie für Datensammler, die Sie unter AWS IAM-Richtlinie zum Schutz sensibler Daten erstellen erstellt haben, und wählen Sie sie aus.

  6. Geben Sie im Abschnitt Rollendetails den Namen der Rolle für den Schutz sensibler Daten ein, die Sie beim Konfigurieren von Security Command Center kopiert haben.

  7. Klicken Sie auf Rolle erstellen.

  8. Wiederholen Sie diese Schritte für jedes Konto des Dienstleisters.

Informationen zum Abschließen der Integration finden Sie unter Integration abschließen.

Integrationsprozess abschließen

  1. Klicken Sie in der Google Cloud Console auf der Seite Connector testen auf Connector testen, um zu prüfen, ob Security Command Center eine Verbindung zu Ihrer AWS-Umgebung herstellen kann. Wenn die Verbindung erfolgreich hergestellt wurde, hat der Test ergeben, dass die delegierte Rolle alle erforderlichen Berechtigungen hat, um die Rollen des Datensammlers zu übernehmen. Wenn die Verbindung nicht erfolgreich ist, lesen Sie den Hilfeartikel Fehlerbehebung bei Verbindungstests.

  2. Klicken Sie auf Erstellen.

Konfiguration des AWS-Connectors anpassen

In diesem Abschnitt werden einige Möglichkeiten beschrieben, wie Sie die Verbindung zwischen Security Command Center und AWS anpassen können. Diese Optionen sind in der Google Cloud Console auf der Seite Amazon Web Services-Connector hinzufügen im Bereich Erweiterte Optionen (optional) verfügbar.

Standardmäßig erkennt Security Command Center Ihre AWS-Konten automatisch in allen AWS-Regionen. Für die Verbindung wird der globale Standardendpunkt für den AWS Security Token Service und die Standardanzahl von Abfragen pro Sekunde (Queries per Second, QPS) für den AWS-Dienst verwendet, den Sie überwachen. Mit diesen erweiterten Optionen können Sie die Standardeinstellungen anpassen.

Option Beschreibung
AWS-Connector-Konten hinzufügen Wählen Sie das Feld Konten automatisch hinzufügen (empfohlen) aus, damit Security Command Center die AWS-Konten automatisch erkennt, oder wählen Sie Konten einzeln hinzufügen aus und geben Sie eine Liste der AWS-Konten an, die Security Command Center zum Finden von Ressourcen verwenden kann.
AWS-Connector-Konten ausschließen Wenn Sie im Abschnitt AWS-Connector-Konten hinzufügen das Feld Konten einzeln hinzufügen ausgewählt haben, geben Sie eine Liste der AWS-Konten an, die Security Command Center nicht zum Suchen nach Ressourcen verwenden soll.
Regionen für die Datenerhebung auswählen Wählen Sie eine oder mehrere AWS-Regionen aus, in denen Security Command Center Daten erfassen soll. Lassen Sie das Feld AWS-Regionen leer, um Daten aus allen Regionen zu erheben.
Maximale Anzahl von Abfragen pro Sekunde (QPS) für AWS-Dienste Sie können die QPS ändern, um das Kontingentlimit für Security Command Center zu steuern. Legen Sie für die Überschreibung einen Wert fest, der kleiner als der Standardwert für diesen Dienst und größer oder gleich 1 ist. Der Standardwert ist der Höchstwert. Wenn Sie den QPS ändern, kann es in Security Command Center zu Problemen beim Abrufen von Daten kommen. Wir empfehlen daher, diesen Wert nicht zu ändern.
Endpunkt für AWS Security Token Service Sie können einen bestimmten Endpunkt für den AWS Security Token Service angeben, z. B. https://sts.us-east-2.amazonaws.com. Lassen Sie das Feld AWS Security Token Service leer, um den standardmäßigen globalen Endpunkt (https://sts.amazonaws.com) zu verwenden.

Einem vorhandenen AWS-Connector Berechtigungen für die Erkennung sensibler Daten gewähren

Wenn Sie die Erkennung sensibler Daten in Ihren AWS-Inhalten ausführen möchten, benötigen Sie einen AWS-Connector mit den erforderlichen AWS IAM-Berechtigungen.

In diesem Abschnitt wird beschrieben, wie Sie diese Berechtigungen einem vorhandenen AWS-Connector gewähren. Welche Schritte Sie ausführen müssen, hängt davon ab, ob Sie Ihre AWS-Umgebung mit CloudFormation-Vorlagen oder manuell konfiguriert haben.

Vorhandenen Connector mit CloudFormation-Vorlagen aktualisieren

Wenn Sie Ihre AWS-Umgebung mit CloudFormation-Vorlagen eingerichtet haben, folgen Sie dieser Anleitung, um Ihrem vorhandenen AWS-Connector Berechtigungen für die Erkennung sensibler Daten zu gewähren.

  1. Rufen Sie in der Google Cloud Console die Seite Einrichtungsleitfaden des Security Command Center auf.

    Einrichtungsleitfaden aufrufen

  2. Wählen Sie die Organisation aus, für die Sie die Security Command Center Enterprise-Stufe aktiviert haben. Die Seite Einrichtungsanleitung wird geöffnet.

  3. Klicken Sie auf Schritt 3: Einbindung von Amazon Web Services (AWS) einrichten. Die Seite Connectors wird geöffnet.

  4. Klicken Sie für den AWS-Connector auf Dreipunkt-Menü > Bearbeiten.

  5. Wählen Sie im Bereich Datentypen überprüfen die Option Berechtigungen für die Erkennung sensibler Daten gewähren aus.

  6. Klicken Sie auf Weiter. Die Seite Verbindung zu AWS herstellen wird geöffnet.

  7. Klicken Sie auf Delegierte Rollenvorlage herunterladen. Die Vorlage wird auf Ihren Computer heruntergeladen.

  8. Klicken Sie auf Collector-Rollenvorlage herunterladen. Die Vorlage wird auf Ihren Computer heruntergeladen.

  9. Klicken Sie auf Weiter. Die Seite Anschluss testen wird geöffnet. Testen Sie den Anschluss noch nicht.

  10. Aktualisieren Sie in der CloudFormation-Konsole die Stack-Vorlage für die delegierte Rolle:

    1. Melden Sie sich in der Konsole des delegierten AWS-Kontos an. Sie müssen in dem delegierten Konto angemeldet sein, mit dem andere AWS-Konten von Dienstleistern übernommen werden.
    2. Rufen Sie die AWS CloudFormation-Konsole auf.

    3. Ersetzen Sie die Stapelvorlage für die delegierte Rolle durch die aktualisierte delegierte Rollenvorlage, die Sie heruntergeladen haben.

      Weitere Informationen finden Sie in der AWS-Dokumentation unter Template eines Stacks aktualisieren (Konsole).

  11. Aktualisieren Sie den Stacksatz für die Rolle „Collector“:

    1. Rufen Sie mit einem AWS-Verwaltungskonto oder einem Mitgliedskonto, das als delegierter Administrator registriert ist, die AWS CloudFormation Console auf.

    2. Ersetzen Sie die Stack-Set-Vorlage für die Collector-Rolle durch die aktualisierte Collector-Rollenvorlage, die Sie heruntergeladen haben.

      Weitere Informationen finden Sie in der AWS-Dokumentation unter Stack-Set mit der AWS CloudFormation-Konsole aktualisieren.

  12. Wenn Sie Daten aus dem Verwaltungskonto erfassen möchten, melden Sie sich im Verwaltungskonto an und ersetzen Sie die Vorlage im Collector-Stack durch die aktualisierte Vorlage für die Collector-Rolle, die Sie heruntergeladen haben.

    Dieser Schritt ist erforderlich, da mit AWS CloudFormation-Stack-Sets keine Stack-Instanzen in Verwaltungskonten erstellt werden. Weitere Informationen finden Sie in der AWS-Dokumentation unter DeploymentTargets.

  13. Klicken Sie in der Google Cloud Console auf der Seite Test-Connector auf Test-Connector. Wenn die Verbindung erfolgreich ist, wurde im Test festgestellt, dass die delegierte Rolle alle erforderlichen Berechtigungen hat, um die Rollen des Datensammlers zu übernehmen. Wenn die Verbindung nicht hergestellt werden kann, lesen Sie den Hilfeartikel Fehlerbehebung bei Verbindungstests.

  14. Klicken Sie auf Speichern.

Vorhandenen Connector manuell aktualisieren

Wenn Sie beim Erstellen des AWS-Connectors Ihre AWS-Konten manuell konfiguriert haben, folgen Sie dieser Anleitung, um Ihrem vorhandenen AWS-Connector Berechtigungen zum Entdecken vertraulicher Daten zu gewähren.

  1. Rufen Sie in der Google Cloud Console die Seite Einrichtungsleitfaden des Security Command Center auf.

    Einrichtungsleitfaden aufrufen

  2. Wählen Sie die Organisation aus, für die Sie die Security Command Center Enterprise-Stufe aktiviert haben. Die Seite Einrichtungsanleitung wird geöffnet.

  3. Klicken Sie auf Schritt 3: Einbindung von Amazon Web Services (AWS) einrichten. Die Seite Connectors wird geöffnet.

  4. Klicken Sie für den AWS-Connector auf Dreipunkt-Menü > Bearbeiten.

  5. Wählen Sie im Bereich Datentypen überprüfen die Option Berechtigungen für die Erkennung sensibler Daten gewähren aus.

  6. Klicken Sie auf Weiter. Die Seite Verbindung zu AWS herstellen wird geöffnet.

  7. Klicken Sie auf AWS-Konten manuell konfigurieren (empfohlen, wenn Sie erweiterte Einstellungen oder benutzerdefinierte Rollennamen verwenden).

  8. Kopieren Sie die Werte der folgenden Felder:

    • Delegierter Rollenname
    • Collector-Rollenname
    • Name der Rolle „Sensitive Data Protection-Collector“

  9. Klicken Sie auf Weiter. Die Seite Anschluss testen wird geöffnet. Testen Sie den Anschluss noch nicht.

  10. Aktualisieren Sie in der Konsole für delegierte AWS-Konten die AWS-IAM-Richtlinie für die delegierte Rolle, um die folgende JSON zu verwenden:

        {
      "Version": "2012-10-17",
      "Statement": [
        {
          "Action": "sts:AssumeRole",
          "Resource": [
            "arn:aws:iam::*:role/COLLECTOR_ROLE_NAME",
            "arn:aws:iam::*:role/SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME"
          ],
          "Effect": "Allow"
        },
        {
          "Action": [
            "organizations:List*",
            "organizations:Describe*"
          ],
          "Resource": "*",
          "Effect": "Allow"
        }
      ]
    }

    Ersetzen Sie Folgendes:

    • COLLECTOR_ROLE_NAME: der Name der kopierten Rolle für den Datensammler der Konfiguration (Standard: aws-collector-role)
    • SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME: der Name der kopierten Rolle „Sensitive Data Protection-Collector“ (Standard: aws-sensitive-data-protection-role)

    Weitere Informationen finden Sie in der AWS-Dokumentation unter Benutzerverwaltete Richtlinien bearbeiten (Konsole).

  11. Führen Sie für jedes Konto des Dienstleisters die folgenden Schritte aus:

    1. Erstellen Sie die AWS IAM-Richtlinie für den Schutz sensibler Daten.

    2. Erstellen Sie in jedem Konto die AWS-IAM-Rolle für den Schutz sensibler Daten.

  12. Klicken Sie in der Google Cloud Console auf der Seite Test-Connector auf Test-Connector. Wenn die Verbindung erfolgreich ist, wurde im Test festgestellt, dass die delegierte Rolle alle erforderlichen Berechtigungen hat, um die Rollen des Datensammlers zu übernehmen. Wenn die Verbindung nicht erfolgreich hergestellt werden kann, lesen Sie den Hilfeartikel Fehlerbehebung bei Verbindungstests.

  13. Klicken Sie auf Speichern.

Fehlerbehebung

In diesem Abschnitt werden einige häufige Probleme beschrieben, die bei der Einbindung von Security Command Center in AWS auftreten können.

Ressourcen sind bereits vorhanden

Dieser Fehler tritt in der AWS-Umgebung auf, wenn Sie versuchen, die AWS-IAM-Richtlinien und AWS-IAM-Rollen zu erstellen. Dieses Problem tritt auf, wenn die Rolle bereits in Ihrem AWS-Konto vorhanden ist und Sie versuchen, sie noch einmal zu erstellen.

So beheben Sie das Problem:

  • Prüfen Sie, ob die Rolle oder Richtlinie, die Sie erstellen, bereits vorhanden ist und die in diesem Leitfaden aufgeführten Anforderungen erfüllt.
  • Ändern Sie bei Bedarf den Rollennamen, um Konflikte zu vermeiden.

Ungültiges Hauptkonto in der Richtlinie

Dieser Fehler kann in der AWS-Umgebung auftreten, wenn Sie die Rollen für die Datensammler erstellen, die delegierte Rolle aber noch nicht vorhanden ist.

Führen Sie zum Beheben dieses Problems die Schritte unter AWS IAM-Richtlinie für die delegierte Rolle erstellen aus und warten Sie, bis die delegierte Rolle erstellt wurde, bevor Sie fortfahren.

Drosselungseinschränkungen in AWS

AWS drosselt API-Anfragen für jedes AWS-Konto auf Konto- oder Regionsebene. Damit diese Limits nicht überschritten werden, wenn Security Command Center Asset-Konfigurationsdaten von AWS erhebt, werden die Daten mit einer festen maximalen QPS für jeden AWS-Dienst erfasst, wie in der API-Dokumentation für den AWS-Dienst beschrieben.

Wenn in Ihrer AWS-Umgebung aufgrund des verbrauchten QPS eine Anfragedrosselung auftritt, können Sie das Problem so beheben:

  • Legen Sie auf der Seite AWS-Connector-Einstellungen eine benutzerdefinierte QPS für den AWS-Dienst fest, bei dem Probleme mit der Anfragendrosselung auftreten.

  • Beschränken Sie die Berechtigungen der AWS-Aufnehmerrolle, damit die Daten dieses bestimmten Dienstes nicht mehr erfasst werden. Diese Minderungstechnik verhindert, dass Simulationen von Angriffspfaden für AWS ordnungsgemäß funktionieren.

Wenn Sie alle Berechtigungen in AWS widerrufen, wird der Datenerhebungsprozess sofort beendet. Wenn Sie den AWS-Connector löschen, wird der Datenerfassungsprozess nicht sofort beendet. Er wird aber nach Abschluss nicht wieder gestartet.

Fehler beim Testen der Verbindung beheben

Diese Fehler können beim Testen der Verbindung zwischen Security Command Center und AWS auftreten.

AWS_FAILED_TO_ASSUME_DELEGATED_ROLE

Diese Verbindung ist ungültig, da der Google Cloud-Dienst-Agent die delegierte Rolle nicht übernehmen kann.

Beachten Sie Folgendes, um das Problem zu beheben:

AWS_FAILED_TO_LIST_ACCOUNTS

Diese Verbindung ist ungültig, da die automatische Erkennung aktiviert ist und die delegierte Rolle nicht alle AWS-Konten in den Organisationen abrufen kann.

Dieses Problem weist darauf hin, dass die Richtlinie, die die Aktion organizations:ListAccounts für die delegierte Rolle zulässt, für bestimmte Ressourcen fehlt. Prüfen Sie, welche Ressourcen fehlen, um das Problem zu beheben. Informationen zum Überprüfen der Einstellungen für die delegierte Richtlinie finden Sie unter AWS IAM-Richtlinie für die delegierte Rolle erstellen.

AWS_INVALID_COLLECTOR_ACCOUNTS

Diese Verbindung ist ungültig, da ungültige Collector-Konten vorhanden sind. Die Fehlermeldung enthält weitere Informationen zu den möglichen Ursachen, darunter:

AWS_FAILED_TO_ASSUME_COLLECTOR_ROLE

Das Collector-Konto ist ungültig, da die delegierte Rolle die Rolle „Collector“ im Collector-Konto nicht übernehmen kann.

Beachten Sie Folgendes, um das Problem zu beheben:

AWS_COLLECTOR_ROLE_POLICY_MISSING_REQUIRED_PERMISSION

Die Verbindung ist ungültig, da in der Richtlinie für die Datenerhebung einige der erforderlichen Berechtigungseinstellungen fehlen.

Beachten Sie die folgenden Ursachen, um dieses Problem zu beheben:

Nächste Schritte