Mit AWS verbinden, um Sicherheitslücken zu erkennen und Risiken zu bewerten

Sie können Security Command Center Enterprise mit Ihrer AWS-Umgebung verbinden, um Folgendes auszuführen:

Ergebnisse von AWS (einschließlich Bedrohungen und Sicherheitslücken) prüfen und beheben
Sicherheitsstatus für AWS erstellen und verwalten
Identifizieren Sie potenzielle Angriffspfade vom öffentlichen Internet zu Ihren hochwertigen AWS-Assets
Compliance von AWS-Ressourcen mit verschiedenen Standards und Benchmarks zuordnen

Durch die Verbindung von Security Command Center mit AWS entsteht ein zentraler Ort, an dem Ihr Sicherheitsteam Bedrohungen und Sicherheitslücken in Google Cloud und AWS verwalten und beseitigen kann.

Damit Security Command Center Ihre AWS-Organisation überwachen kann, müssen Sie eine Verbindung mit einem Google Cloud-Dienst-Agent und einem AWS-Konto konfigurieren, das Zugriff auf die zu überwachenden Ressourcen hat. Security Command Center verwendet diese Verbindung, um regelmäßig Asset-Metadaten über alle von Ihnen definierten AWS-Konten und Regionen hinweg zu erfassen.

In diesem Dokument wird beschrieben, wie Sie die Verbindung mit AWS einrichten. Wenn Sie eine Verbindung einrichten, konfigurieren Sie Folgendes:

Eine Reihe von Konten in AWS, die direkten Zugriff auf die AWS-Ressourcen haben, die Sie überwachen möchten. In der Google Cloud Console werden diese Konten als Collector-Konten bezeichnet.
Ein Konto in AWS mit den entsprechenden Richtlinien und Rollen, um die Authentifizierung bei Collector-Konten zu ermöglichen. In der Google Cloud Console wird dieses Konto als delegiertes Konto bezeichnet. Sowohl das delegierte Konto als auch die Collector-Konten müssen sich in derselben AWS-Organisation befinden.
Ein Dienst-Agent in Google Cloud, der zur Authentifizierung eine Verbindung zum delegierten Konto herstellt.
Eine Pipeline zum Erfassen von Asset-Daten aus AWS-Ressourcen.

Diese Verbindung gilt nicht für die SIEM-Funktionen von Security Command Center, mit denen Sie AWS-Logs zur Bedrohungserkennung aufnehmen können.

Das folgende Diagramm zeigt diese Konfiguration. Das Mandantenprojekt ist ein Projekt, das automatisch erstellt wird und Ihre Pipeline-Instanz zur Asset-Datenerfassung enthält.

Konfiguration von AWS und Security Command Center

Hinweise

Führen Sie diese Aufgaben aus, bevor Sie die restlichen Aufgaben auf dieser Seite ausführen.

Security Command Center Enterprise-Stufe aktivieren

Führen Sie Schritt 1 und Schritt 2 des Einrichtungsleitfadens aus, um die Security Command Center Enterprise-Stufe zu aktivieren.

Berechtigungen einrichten

Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Cloud Asset Owner (roles/cloudasset.owner) zu gewähren, damit Sie die Berechtigungen erhalten, die Sie für die Verwendung des AWS-Connectors benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.

Möglicherweise können Sie die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

AWS-Konten erstellen

Prüfen Sie, ob Sie die folgenden AWS-Ressourcen erstellt haben:

Ein AWS IAM-Nutzer mit AWS IAM-Zugriff für die AWS-Delegat- und Collector-Kontokonsolen.
Die AWS-Konto-ID für ein AWS-Konto, das Sie als delegiertes Konto verwenden können. Wenn Security Command Center automatisch AWS-Konten erkennen soll, um Ressourcen zu finden, muss das delegierte Konto an eine AWS-Organisation angehängt sein und eines der folgenden sein:
- Ein AWS-Verwaltungskonto.
- Einen delegierten AWS-Administrator.
- Ein AWS-Konto mit einer ressourcenbasierten Delegierungsrichtlinie, die die Berechtigungen organization und list gewährt. Eine Beispielrichtlinie finden Sie unter Beispiel: Organisation, OEs, Konten und Richtlinien ansehen.

Security Command Center konfigurieren

Rufen Sie in der Google Cloud Console die Einrichtungsseite auf.

Zur Einrichtung
Prüfen Sie, ob Sie die Organisation sehen, für die Sie die Enterprise-Stufe von Security Command Center aktiviert haben.
Klicken Sie auf Schritt 3: AWS-Connector (Amazon Web Services) einrichten.
Geben Sie unter ID des delegierten Kontos die AWS-Konto-ID für das AWS-Konto ein, das Sie als delegiertes Konto verwenden können.
Sehen Sie sich optional die erweiterten Optionen an.
Klicken Sie auf Weiter.
Führen Sie einen dieser Schritte aus:
- Laden Sie die CloudFormation-Vorlagen für die delegierte Rolle und die Collector-Rolle herunter.
- Wenn Sie die erweiterten Optionen konfiguriert haben oder die Standardnamen der AWS-Rollen (aws-delegated-role und aws-collector-role) ändern müssen, wählen Sie Use the AWS Console (AWS-Konsole verwenden) aus. Kopieren Sie die Dienst-Agent-ID, den Namen der delegierten Rolle und den Namen der Collector-Rolle.
Sie können die Rollennamen nach dem Erstellen der Verbindung nicht mehr ändern.

Klicken Sie nicht auf Erstellen. Konfigurieren Sie stattdessen Ihre AWS-Umgebung.

AWS-Umgebung konfigurieren

Sie können Ihre AWS-Umgebung mit einer der folgenden Methoden einrichten:

Verwenden Sie die CloudFormation-Vorlagen, die Sie unter Security Command Center konfigurieren heruntergeladen haben. Eine Anleitung finden Sie unter CloudFormation-Vorlagen zum Einrichten der AWS-Umgebung verwenden.
Wenn Sie benutzerdefinierte Einstellungen oder Rollennamen verwenden, konfigurieren Sie die AWS-Konten manuell. Eine Anleitung dazu finden Sie unter AWS-Konten manuell konfigurieren.

AWS-Umgebung mit CloudFormation-Vorlagen einrichten

Wenn Sie CloudFormation-Vorlagen heruntergeladen haben, führen Sie diese Schritte aus, um Ihre AWS-Umgebung einzurichten.

Melden Sie sich in der delegierten Kontokonsole für AWS an. Achten Sie darauf, dass Sie in dem delegierten Konto angemeldet sind, das zur Annahme anderer AWS-Collector-Konten verwendet wird.
Rufen Sie die Konsole AWS CloudFormation Template auf.
Klicken Sie auf Stacks > Mit neuen Ressourcen (Standard).
Laden Sie die Vorlagendatei für delegierte Rollen hoch und klicken Sie auf Weiter.
Geben Sie einen Stacknamen ein. Wenn Sie den Namen der delegierten Rolle geändert haben, aktualisieren Sie die Parameter. Klicken Sie auf Next (Weiter).
Aktualisieren Sie die Stackoptionen gemäß den Anforderungen Ihrer Organisation und klicken Sie auf Weiter.
Überprüfen Sie die Informationen und klicken Sie auf Senden. Warten Sie, bis der Stapel erstellt wurde. Wenn ein Problem auftritt, lesen Sie die Informationen zur Fehlerbehebung.

Wenn Sie AWS-Konten einzeln hinzufügen möchten, indem Sie die automatische Erkennung für Konten deaktivieren, können Sie auch separate Stacks für jedes AWS-Konto erstellen, anstatt einen einzelnen Stacksatz zu erstellen.
Klicken Sie mit einem AWS-Verwaltungskonto oder einem Mitgliedskonto, das als delegierter Administrator registriert ist, auf Stackset > Create StackSet (Stackset > StackSet erstellen).
Klicken Sie auf Von Diensten verwaltete Berechtigungen.

Hinweis: Sie können selbstverwaltete Berechtigungen verwenden, müssen dann aber die Berechtigungen manuell erteilen.
Laden Sie die Collector-Rollen-Vorlagendatei hoch. Klicken Sie auf Next (Weiter).
Geben Sie auf der Seite StackSet-Details angeben den Namen und die Beschreibung des Stacksatzs ein. Überprüfen und aktualisieren Sie die ID und die Rollennamen des delegierten Kontos. Klicken Sie auf Next.
Konfigurieren Sie die Optionen für die Stack-Sets gemäß den Anforderungen Ihres Unternehmens. Klicken Sie auf Weiter.
Führen Sie auf der Seite Bereitstellungsoptionen festlegen die folgenden Schritte aus:
1. Wählen Sie die Bereitstellungsziele aus. Die Bereitstellung kann in der gesamten AWS-Organisation oder in einer Organisationseinheit erfolgen, die alle AWS-Konten enthält, von denen Sie Daten erfassen möchten.
  
  Hinweis: Wenn Sie selbstverwaltete Berechtigungen auswählen, können Sie festlegen, für welche AWS-Konten Sie die Bereitstellung vornehmen möchten. Die CloudFormation-Vorlage unterstützt keine Liste von AWS-Konten, die ein- oder ausgeschlossen werden können, wie unter Benutzerdefinierte Konfiguration beschrieben. Wenn Sie eine Liste von AWS-Konten erstellen möchten, die ein- oder ausgeschlossen werden sollen, erstellt der Stapelsatz möglicherweise einige nicht benötigte Stacks. Sie können diese Stapel ignorieren oder entfernen.
2. Geben Sie die AWS-Regionen an, in denen die Rollen und Richtlinien erstellt werden sollen. Da Rollen globale Ressourcen sind, müssen Sie nicht mehrere Regionen angeben.
3. Ändern Sie bei Bedarf andere Einstellungen und klicken Sie dann auf Weiter.
Prüfen Sie die Änderungen und klicken Sie auf Senden. Wenn Sie eine Fehlermeldung erhalten, lesen Sie die Informationen unter Fehlerbehebung.
Stellen Sie einen separaten Stack bereit, um die Collector-Rolle unter dem Verwaltungskonto bereitzustellen, da ein AWS CloudFormation-Stacksatz keine Stapelinstanzen unter einem Verwaltungskonto erstellt. Weitere Informationen finden Sie unter DeploymentTargets.

Weitere Informationen zum Abschließen des Integrationsprozesses findest du unter Integrationsprozess abschließen.

AWS-Konten manuell konfigurieren

Wenn Sie die CloudFormation-Vorlagen nicht verwenden können (z. B. wenn Sie andere Rollennamen verwenden oder die Integration anpassen), können Sie die erforderlichen AWS IAM-Richtlinien und AWS IAM-Rollen manuell erstellen.

Sie müssen AWS IAM-Richtlinien und AWS IAM-Rollen für das delegierte Konto und die Collector-Konten erstellen.

AWS-IAM-Richtlinie für die delegierte Rolle erstellen

So erstellen Sie eine AWS-IAM-Richtlinie für die delegierte Rolle (eine delegierte Richtlinie):

Melden Sie sich in der delegierten Kontokonsole für AWS an.
Klicken Sie auf Richtlinien > Richtlinie erstellen.

Klicken Sie auf JSON und fügen Sie Folgendes ein:

{
  "Version": "2012-10-17",
  "Statement": [
      {
          "Action": "sts:AssumeRole",
          "Resource": "arn:aws:iam::*:role/COLLECTOR_ROLE_NAME",
          "Effect": "Allow"
      },
      {
          "Action": [
              "organizations:List*",
              "organizations:Describe*"
          ],
          "Resource": "*",
          "Effect": "Allow"
      }
  ]

}

Ersetzen Sie COLLECTOR_ROLE_NAME durch den Namen der Collector-Rolle, die Sie beim Konfigurieren von Security Command Center kopiert haben (der Standardwert ist aws-collector-role).

Klicken Sie auf Next (Weiter).
Geben Sie im Bereich Richtliniendetails einen Namen und eine Beschreibung für die Richtlinie ein.
Klicken Sie auf Richtlinie erstellen.

AWS IAM-Rolle für die Vertrauensstellung zwischen AWS und Google Cloud erstellen

Erstellen Sie eine delegierte Rolle, die eine vertrauenswürdige Beziehung zwischen AWS und Google Cloud einrichtet. Diese Rolle verwendet die delegierte Richtlinie, die unter AWS-IAM-Richtlinie für die delegierte Rolle erstellen erstellt wurde.

Melden Sie sich in der AWS-delegierten Kontokonsole als AWS-Nutzer an, der IAM-Rollen und -Richtlinien erstellen kann.
Klicken Sie auf Rollen > Rolle erstellen.
Klicken Sie unter Trusted entity type (Vertrauenswürdiger Entitätstyp) auf Web Identity.
Klicken Sie unter Identity Provider (Identitätsanbieter) auf Google.
Geben Sie unter Zielgruppe die Dienstkonto-ID ein, die Sie bei der Konfiguration von Security Command Center kopiert haben. Klicken Sie auf Weiter.
Wenn Sie den Collector-Rollen Zugriff auf die delegierte Rolle gewähren möchten, hängen Sie die Berechtigungsrichtlinien an die Rolle an. Suchen Sie nach der delegierten Richtlinie, die unter AWS-IAM-Richtlinie für die delegierte Rolle erstellen erstellt wurde, und wählen Sie sie aus.
Geben Sie im Bereich Rollendetails den Namen der delegierten Rolle ein, den Sie beim Konfigurieren von Security Command Center kopiert haben. Der Standardname ist aws-delegated-role.
Klicken Sie auf Rolle erstellen.

AWS-IAM-Richtlinie für die Asset-Datenerfassung erstellen

So erstellen Sie eine AWS-IAM-Richtlinie für die Asset-Datenerfassung (die Collector-Richtlinie):

Melden Sie sich in der AWS-Collector-Kontokonsole an.
Klicken Sie auf Richtlinien > Richtlinie erstellen.

Klicken Sie auf JSON und fügen Sie Folgendes ein:

{
  "Version": "2012-10-17",
  "Statement": [
      {
          "Effect": "Allow",
          "Action": [
              "ce:GetCostAndUsage",
              "dynamodb:DescribeTableReplicaAutoScaling",
              "identitystore:ListGroupMemberships",
              "identitystore:ListGroups",
              "identitystore:ListUsers",
              "lambda:GetFunction",
              "lambda:GetFunctionConcurrency",
              "logs:ListTagsForResource",
              "s3express:GetBucketPolicy",
              "s3express:ListAllMyDirectoryBuckets",
              "wafv2:GetIPSet"
          ],
          "Resource": [
              "*"
          ]
      },
      {
          "Effect": "Allow",
          "Action": [
              "apigateway:GET"
          ],
          "Resource": [
              "arn:aws:apigateway:*::/usageplans",
              "arn:aws:apigateway:*::/usageplans/*/keys",
              "arn:aws:apigateway:*::/vpclinks/*"
          ]
      }
  ]

}

Klicken Sie auf Next (Weiter).
Geben Sie im Bereich Richtliniendetails einen Namen und eine Beschreibung für die Richtlinie ein.
Klicken Sie auf Richtlinie erstellen.
Wiederholen Sie diese Schritte für jedes Collector-Konto.

AWS IAM-Rolle für die Datenerhebung in jedem Konto erstellen

Erstellen Sie die Collector-Rolle, mit der Security Command Center Asset-Daten von AWS abrufen kann. Diese Rolle verwendet die Collector-Richtlinie, die unter AWS-IAM-Richtlinie für die Asset-Datenerfassung erstellen erstellt wurde.

Melden Sie sich in der AWS-Collector-Kontokonsole als Nutzer an, der IAM-Rollen für die Collector-Konten erstellen kann.
Klicken Sie auf Rollen > Rolle erstellen.
Klicken Sie unter Art der vertrauenswürdigen Entität auf Benutzerdefinierte Vertrauensrichtlinie.
Fügen Sie im Abschnitt Benutzerdefinierte Vertrauensrichtlinie Folgendes ein:
```
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::DELEGATE_ACCOUNT_ID:role/DELEGATE_ACCOUNT_ROLE"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}
```
Ersetzen Sie Folgendes:
- DELEGATE_ACCOUNT_ID: die AWS-Konto-ID des Bevollmächtigten
- DELEGATE_ACCOUNT_ROLE: der Name der delegierten Rolle, den Sie beim Konfigurieren von Security Command Center kopiert haben.
Hängen Sie die Berechtigungsrichtlinien an die Rolle an, um der Collector-Rolle Zugriff auf die Konfigurationsdaten Ihrer AWS-Assets zu gewähren. Suchen Sie nach der benutzerdefinierten Collector-Richtlinie, die unter AWS IAM-Richtlinie für die Asset-Datenerfassung erstellen erstellt wurde, und wählen Sie sie aus.
Wählen Sie die folgenden verwalteten Richtlinien aus:
- arn:aws:iam::aws:policy/job-function/ViewOnlyAccess
- arn:aws:iam::aws:policy/SecurityAudit
Geben Sie im Abschnitt Rollendetails den Namen der Collector-Rolle ein, den Sie beim Konfigurieren von Security Command Center kopiert haben.
Klicken Sie auf Rolle erstellen.
Wiederholen Sie diese Schritte für jedes Collector-Konto.

Weitere Informationen zum Abschließen des Integrationsprozesses findest du unter Integrationsprozess abschließen.

Integrationsprozess abschließen

Rufen Sie in der Google Cloud Console die Seite Amazon Web Services-Connector hinzufügen auf.

Zum Amazon Web Services-Connector
Klicken Sie auf Connector testen, um zu prüfen, ob Security Command Center eine Verbindung zu Ihrer AWS-Umgebung herstellen kann. Wenn die Verbindung erfolgreich hergestellt wurde, kann der Google Cloud-Dienst-Agent die delegierte Rolle übernehmen. Die delegierte Rolle hat alle erforderlichen Berechtigungen, um die Collector-Rolle zu übernehmen. Wenn die Verbindung nicht erfolgreich ist, lesen Sie Fehlerbehebung beim Testen der Verbindung.
Klicken Sie auf Erstellen.

Benutzerdefinierte Konfiguration

In diesem Abschnitt werden einige Möglichkeiten beschrieben, wie Sie die Verbindung zwischen Security Command Center und AWS anpassen können. Diese Optionen sind in der Google Cloud Console auf der Seite Amazon Web Services-Connector hinzufügen im Abschnitt Erweiterte Optionen (optional) verfügbar.

Standardmäßig erkennt Security Command Center Ihre AWS-Konten automatisch in allen AWS-Regionen. Die Verbindung verwendet den globalen Standardendpunkt für den AWS Security Token Service und die Standardabfragen pro Sekunde für den AWS-Dienst, den Sie überwachen. Mit diesen erweiterten Optionen können Sie die Standardeinstellungen anpassen.

Wahltaste	Beschreibung
Angeben, welche AWS-Konten verwendet werden sollen	Sie können Security Command Center die AWS-Konten automatisch erkennen lassen oder eine Liste der AWS-Konten bereitstellen, mit denen Security Command Center Ressourcen finden kann.
Geben Sie an, welche AWS-Konten ausgeschlossen werden sollen	Wenn Sie Security Command Center Konten automatisch erkennen lassen, können Sie eine Liste von AWS-Konten bereitstellen, mit denen Security Command Center keine Ressourcen finden kann.
Geben Sie an, welche AWS-Regionen überwacht werden sollen	Sie können eine oder mehrere AWS-Regionen auswählen, die von Security Command Center überwacht werden sollen. Lassen Sie das Feld AWS regions leer, um alle Regionen zu überwachen.
Standardabfragen pro Sekunde für AWS-Dienste überschreiben	Sie können die Anzahl der Abfragen pro Sekunde ändern, um das Kontingentlimit für Security Command Center zu steuern. Legen Sie für die Überschreibung einen Wert fest, der kleiner als der Standardwert für diesen Dienst und größer oder gleich `1` ist. Der Standardwert ist der Maximalwert. Wenn Sie die Abfragen pro Sekunde ändern, können in Security Command Center Probleme beim Abrufen von Daten auftreten. Daher raten wir davon ab, diesen Wert zu ändern.
Endpunkt für AWS Security Token Service ändern	Sie können einen bestimmten Endpunkt für den AWS Security Token Service angeben (z. B. `https://sts.us-east-2.amazonaws.com`). Lassen Sie das Feld AWS Security Token Service (AWS STS) (optional) leer, um den globalen Standardendpunkt (`https://sts.amazonaws.com`) zu verwenden.

Fehlerbehebung

In diesem Abschnitt werden einige häufige Probleme beschrieben, die bei der Integration von Security Command Center in AWS auftreten können.

Ressourcen sind bereits vorhanden

Dieser Fehler tritt in der AWS-Umgebung auf, wenn Sie versuchen, AWS IAM-Richtlinien und AWS-IAM-Rollen zu erstellen. Dieses Problem tritt auf, wenn die Rolle bereits in Ihrem AWS-Konto vorhanden ist und Sie versuchen, sie noch einmal zu erstellen.

So beheben Sie das Problem:

Prüfen Sie, ob die Rolle oder Richtlinie, die Sie erstellen, bereits vorhanden ist und die in diesem Leitfaden aufgeführten Anforderungen erfüllt.
Ändern Sie gegebenenfalls den Rollennamen, um Konflikte zu vermeiden.

Ungültiges Hauptkonto in Richtlinie

Dieser Fehler kann in der AWS-Umgebung auftreten, wenn Sie die Collector-Rollen erstellen, die delegierte Rolle aber noch nicht vorhanden ist.

Führen Sie die Schritte unter AWS-IAM-Richtlinie für die delegierte Rolle erstellen aus, um dieses Problem zu beheben. Warten Sie, bis die delegierte Rolle erstellt wurde, bevor Sie fortfahren.

Drosselungsbeschränkungen in AWS

AWS drosselt API-Anfragen für jedes AWS-Konto pro Konto oder Region. Damit diese Limits nicht überschritten werden, wenn Security Command Center Asset-Metadaten von AWS erfasst, erfasst Security Command Center die Daten mit einer festen maximalen Anzahl von Abfragen pro Sekunde für jeden AWS-Dienst, wie in der API-Dokumentation für den AWS-Dienst beschrieben.

Wenn in Ihrer AWS-Umgebung eine Anfragedrosselung aufgrund der verbrauchten Abfragen pro Sekunde auftritt, können Sie das Problem mit den folgenden Schritten beheben:

Legen Sie auf der Seite mit den Einstellungen des AWS-Connectors eine benutzerdefinierte Abfragen pro Sekunde für den AWS-Dienst fest, bei dem Probleme mit der Anfragedrosselung auftreten.
Schränken Sie die Berechtigungen der AWS Collector-Rolle ein, damit die Daten von diesem bestimmten Dienst nicht mehr erfasst werden. Diese Methode zur Risikominderung verhindert, dass Simulationen von Angriffspfaden für AWS ordnungsgemäß funktionieren.

Durch den Widerruf aller Berechtigungen in AWS wird der Data Collector-Prozess sofort beendet. Durch das Löschen des AWS-Connectors wird der Daten-Collector-Prozess nicht sofort beendet, aber danach nicht wieder gestartet.

Fehler beim Testen der Verbindung beheben

Diese Fehler können auftreten, wenn Sie die Verbindung zwischen Security Command Center und AWS testen.

AWS_FAILED_TO_ASSUME_DELEGATED_ROLE

Die Verbindung ist ungültig, da der Google Cloud-Dienst-Agent die delegierte Rolle nicht übernehmen kann.

Berücksichtigen Sie Folgendes, um dieses Problem zu beheben:

Prüfen Sie, ob die delegierte Rolle vorhanden ist. Informationen zum Erstellen finden Sie unter AWS IAM-Rolle für die Vertrauensstellung zwischen AWS und Google Cloud erstellen.
Die Inline-Richtlinie der delegierten Rolle fehlt. Andernfalls kann der Dienst-Agent die Rolle nicht übernehmen. Informationen dazu, ob die Inline-Richtlinie vorhanden ist, finden Sie unter AWS IAM-Rolle für die Vertrauensstellung zwischen AWS und Google Cloud erstellen.

AWS_FAILED_TO_LIST_ACCOUNTS

Die Verbindung ist ungültig, da die automatische Erkennung aktiviert ist und die delegierte Rolle nicht alle AWS-Konten in den Organisationen abrufen kann.

Dieses Problem weist darauf hin, dass die Richtlinie zum Zulassen der Aktion organizations:ListAccounts für die delegierte Rolle für bestimmte Ressourcen fehlt. Prüfen Sie, welche Ressourcen fehlen, um dieses Problem zu beheben. Informationen zum Überprüfen der Einstellungen für die delegierte Richtlinie finden Sie unter AWS-IAM-Richtlinie für die delegierte Rolle erstellen.

AWS_INVALID_COLLECTOR_ACCOUNTS

Die Verbindung ist ungültig, da ungültige Collector-Konten vorhanden sind. Die Fehlermeldung enthält weitere Informationen zu den möglichen Ursachen, unter anderem:

AWS_FAILED_TO_ASSUME_COLLECTOR_ROLE
AWS_COLLECTOR_ROLE_POLICY_MISSING_REQUIRED_PERMISSION

AWS_FAILED_TO_ASSUME_COLLECTOR_ROLE

Das Collector-Konto ist ungültig, da die delegierte Rolle die Collector-Rolle im Collector-Konto nicht annehmen kann.

Berücksichtigen Sie Folgendes, um dieses Problem zu beheben:

Prüfen Sie, ob die Collector-Rolle vorhanden ist. Informationen zum Erstellen finden Sie unter AWS IAM-Rolle für die Datenerhebung in jedem Konto erstellen.
Die Richtlinie, die es der delegierten Rolle ermöglicht, die Collector-Rolle anzunehmen. Informationen dazu, ob die Richtlinie vorhanden ist, finden Sie unter AWS-IAM-Richtlinie für die delegierte Rolle erstellen.

AWS_COLLECTOR_ROLE_POLICY_MISSING_REQUIRED_PERMISSION

Die Verbindung ist ungültig, da der Collector-Richtlinie einige der erforderlichen Berechtigungseinstellungen fehlen.

Um dieses Problem zu beheben, kann es folgende Ursachen haben:

Einige der erforderlichen verwalteten AWS-Richtlinien sind möglicherweise nicht mit der Collector-Rolle verknüpft. Wie Sie prüfen, ob alle Richtlinien verknüpft sind, erfahren Sie in Schritt 6 unter AWS IAM-Rolle für die Datenerhebung in jedem Konto erstellen.
Die Collector-Richtlinie ist möglicherweise nicht vorhanden. Informationen zum Erstellen finden Sie unter AWS-IAM-Richtlinie für die Asset-Datenerfassung erstellen.
Die Collector-Richtlinie ist nicht mit der Collector-Rolle verknüpft. Wie Sie prüfen, ob sie verknüpft ist, erfahren Sie unter AWS-IAM-Richtlinie für die Asset-Datenerfassung erstellen.
Die Collector-Richtlinie enthält nicht alle erforderlichen Berechtigungen. Eine Liste der erforderlichen Berechtigungen finden Sie unter AWS IAM-Richtlinie für die Asset-Datenerfassung erstellen.

Nächste Schritte

Fahren Sie mit Schritt 4 des Einrichtungsleitfadens in der Konsole fort.
Prüfen und beheben Sie Sicherheitslücken von AWS.
Erstellen und verwalten Sie einen Sicherheitsstatus für AWS.
Angriffspfadsimulationen für AWS-Ressourcen erstellen
Ordnen Sie die Compliance von AWS-Ressourcen mit verschiedenen Standards und Benchmarks zu.