Conectar-se à AWS para detecção de vulnerabilidades e avaliação de risco

É possível conectar o nível do Security Command Center Enterprise ao seu ambiente da Amazon Web Services (AWS) para fazer o seguinte:

• Detectar e corrigir vulnerabilidades e configurações incorretas de software no seu ambiente da AWS
• Criar e gerenciar uma postura de segurança para a AWS
• Identifique possíveis caminhos de ataque da Internet pública para seus recursos de alto valor da AWS.
• Mapear o compliance dos recursos da AWS com vários padrões e comparativos

A conexão do Security Command Center à AWS cria um único lugar para que sua equipe de operações de segurança gerencie e corrija ameaças e vulnerabilidades no Google Cloud e na AWS.

Para permitir que o Security Command Center monitore sua organização da AWS, configure uma conexão usando um agente de serviço do Google Cloud e uma conta da AWS com acesso aos recursos que você quer monitorar. O Security Command Center usa essa conexão para coletar periodicamente dados em todas as contas e regiões da AWS que você definir.

É possível criar uma conexão da AWS para cada organização do Google Cloud. O conector usa chamadas de API para coletar dados de recursos da AWS. Essas chamadas de API podem gerar cobranças da AWS.

Este documento descreve como configurar a conexão com a AWS. Ao configurar uma conexão, você configura o seguinte:

• Uma série de contas na AWS que têm acesso direto aos recursos da AWS que você quer monitorar. No console do Google Cloud, essas contas são chamadas de contas coletoras.
• Uma conta na AWS que tem as políticas e funções adequadas para permitir a autenticação nas contas de coletor. No console do Google Cloud, essa conta é chamada de conta delegada. A conta delegada e as contas de coletor precisam estar na mesma organização da AWS.
• Um agente de serviço no Google Cloud que se conecta à conta delegada para autenticação.
• Um pipeline para coletar dados de recursos da AWS.
• (Opcional) Permissões para a Proteção de Dados Sensíveis criar um perfil do seu conteúdo da AWS.

Essa conexão não se aplica aos recursos do SIEM do Security Command Center que permitem ingestir registros da AWS para detecção de ameaças.

O diagrama a seguir mostra essa configuração. O projeto do locatário é um projeto criado automaticamente e contém a instância do pipeline de coleta de dados de recursos.

Antes de começar

Conclua estas tarefas antes de concluir as demais tarefas desta página.

Ativar o nível Enterprise do Security Command Center

Conclua as etapas 1 e 2 do guia de configuração para ativar o nível Enterprise do Security Command Center.

Configurar permissões

Para receber as permissões necessárias para usar o conector da AWS, peça ao administrador para conceder a você o papel do IAM de proprietário de recursos do Cloud (roles/cloudasset.owner). Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Também é possível conseguir as permissões necessárias por meio de papéis personalizados ou de outros papéis predefinidos.

Criar contas da AWS

Verifique se você criou os seguintes recursos da AWS:

• Um usuário do IAM da AWS com acesso ao IAM da AWS para os consoles da conta delegada e do coletor.

• O ID da conta da AWS para uma conta da AWS que você pode usar como a conta delegada. Se você quiser que o Security Command Center descubra automaticamente contas da AWS para encontrar recursos, a conta delegada precisa ser anexada a uma organização da AWS e ser uma das seguintes:

  • Uma conta de gerenciamento da AWS.

  • Um administrador delegado da AWS.

  • Uma conta da AWS com uma política de delegação baseada em recursos que fornece permissões organization e list. Para conferir um exemplo de política, consulte Exemplo: visualizar organização, unidades organizacionais, contas e políticas.

Configurar o conector da AWS

1. No console do Google Cloud, acesse a página Guia de configuração do Security Command Center.

   Acessar o Guia de configuração

2. Selecione a organização em que você ativou o nível Security Command Center Enterprise. A página Guia de configuração é aberta.

3. Clique em Etapa 3: configurar a integração da Amazon Web Services (AWS). A página Conectores é aberta.

4. Selecione Adicionar conector > Amazon Web Services. A página Configurar conector é aberta.

5. Em ID da conta delegada, insira o ID da conta da AWS que você vai usar como a conta delegada.

6. Para permitir que a Proteção de Dados Sensíveis crie um perfil dos seus dados da AWS, mantenha a opção Atribuir permissões para o serviço de descoberta de Proteção de Dados Sensíveis selecionada. Essa opção adiciona permissões do AWS IAM no modelo do CloudFormation para a função de coletor.

   Permissões do IAM da AWS concedidas por esta opção

   • s3:GetBucketLocation
   • s3:ListAllMyBuckets
   • s3:GetBucketPolicyStatus
   • s3:ListBucket
   • s3:GetObject
   • s3:GetObjectVersion
   • s3:GetBucketPublicAccessBlock
   • s3:GetBucketOwnershipControls
   • s3:GetBucketTagging
   • iam:ListAttachedRolePolicies
   • iam:GetPolicy
   • iam:GetPolicyVersion
   • iam:ListRolePolicies
   • iam:GetRolePolicy
   • ce:GetCostAndUsage
   • dynamodb:DescribeTableReplicaAutoScaling
   • identitystore:ListGroupMemberships
   • identitystore:ListGroups
   • identitystore:ListUsers
   • lambda:GetFunction
   • lambda:GetFunctionConcurrency
   • logs:ListTagsForResource
   • s3express:CreateSession
   • s3express:GetBucketPolicy
   • s3express:ListAllMyDirectoryBuckets
   • wafv2:GetIPSet

7. Opcionalmente, revise e edite as Opções avançadas. Consulte Personalizar a configuração do conector da AWS para informações sobre outras opções.

8. Clique em Continuar. A página Conectar à AWS é aberta.

9. Siga uma das etapas a seguir:

   • Faça o download e revise os modelos do CloudFormation para a função delegada e a função de coletor.
   • Se você configurou as opções avançadas ou precisa mudar os nomes de função padrão da AWS (aws-delegated-role, aws-collector-role e aws-sensitive-data-protection-role), selecione Configurar contas da AWS manualmente. Copie o ID do agente de serviço, o nome do papel delegado, o nome do papel do coletor e o nome do papel da Proteção de Dados Sensíveis.

   Não é possível mudar os nomes de função depois de criar a conexão.

Não clique em Criar. Em vez disso, configure seu ambiente da AWS.

Configurar o ambiente da AWS

É possível configurar seu ambiente da AWS usando um destes métodos:

• Use os modelos do CloudFormation que você fez o download em Configurar o Security Command Center. Para ver instruções, consulte Usar modelos do CloudFormation para configurar seu ambiente AWS.
• Se você estiver usando configurações ou nomes de função personalizados, configure as contas da AWS manualmente. Para instruções, consulte Configurar contas da AWS manualmente.

Usar modelos do CloudFormation para configurar seu ambiente da AWS

Se você fez o download de modelos do CloudFormation, siga estas etapas para configurar seu ambiente AWS.

1. Faça login no console da conta de delegação da AWS. Verifique se você fez login na conta delegada usada para assumir outras contas da AWS de coletor, ou seja, uma conta de gerenciamento da AWS ou qualquer conta de membro registrada como administrador delegado.
2. Acesse o console do modelo do AWS CloudFormation.

3. Crie uma pilha que provisione a função delegada:

   1. Na página Stacks, clique em Criar pilha > Com novos recursos (padrão).
   2. Ao especificar um modelo, faça upload do arquivo de modelo de função delegada.
   3. Ao especificar os detalhes da pilha, insira um nome.

   4. Se você mudou o nome da função delegada, da função de coletor ou da função de Proteção de Dados Sensíveis, atualize os parâmetros de acordo. Os parâmetros inseridos precisam corresponder aos listados na página Conectar à AWS no console do Google Cloud.

   5. Atualize as opções da pilha conforme exigido pela sua organização.

   6. Na página Revisão e criação, selecione Confirmo que a AWS CloudFormation pode criar recursos do IAM com nomes personalizados.

   7. Clique em Enviar para criar a pilha.

   Aguarde a criação da pilha. Se ocorrer algum problema, consulte Solução de problemas. Para mais informações, consulte Criar uma pilha no console do AWS CloudFormation na documentação da AWS.

4. Crie um conjunto de pilhas que provisiona funções de coletor.

   1. Na página StackSets, clique em Criar StackSet.

   2. Clique em Permissões gerenciadas pelo serviço.

   3. Ao especificar um modelo, faça upload do arquivo de modelo de função do coletor.

   4. Ao especificar os detalhes do StackSet, insira um nome e uma descrição.

   5. Insira o ID da conta delegada.

   6. Se você mudou o nome da função delegada, da função de coletor ou da função de Proteção de Dados Sensíveis, atualize os parâmetros de acordo. Os parâmetros inseridos precisam corresponder aos listados na página Conectar à AWS no console do Google Cloud.

   7. Defina as opções do conjunto de pilhas conforme necessário para sua organização.

   8. Ao especificar as opções de implantação, escolha os destinos. É possível implantar em toda a organização da AWS ou em uma unidade organizacional (UO) que inclui todas as contas da AWS de que você quer coletar dados.

   9. Especifique as regiões da AWS em que as funções e políticas serão criadas. Como as funções são recursos globais, não é necessário especificar várias regiões.

   10. Mude outras configurações, se necessário.

   11. Revise as mudanças e clique em Enviar para criar o conjunto de pilhas. Se você receber um erro, consulte Solução de problemas. Para mais informações, consulte Criar um conjunto de pilhas com permissões gerenciadas pelo serviço na documentação da AWS.

5. Se você precisar coletar dados da conta de gerenciamento, faça login na conta de gerenciamento e implante uma pilha separada para provisionar os papéis de coletor. Ao especificar o modelo, faça upload do arquivo de modelo de função do coletor.

   Essa etapa é necessária porque os conjuntos de pilhas do AWS CloudFormation não criam instâncias de pilha em contas de gerenciamento. Para mais informações, consulte DeploymentTargets na documentação da AWS.

Para concluir o processo de integração, consulte Concluir o processo de integração.

Configurar contas da AWS manualmente

Se não for possível usar os modelos do CloudFormation (por exemplo, se você estiver usando nomes de função diferentes ou personalizando a integração), crie as políticas e os papéis do IAM da AWS necessários manualmente.

É necessário criar políticas e papéis do AWS IAM para a conta delegada e as contas de coletor.

Criar a política do AWS IAM para o papel delegado

Para criar uma política do AWS IAM para o papel delegado (uma política delegada), faça o seguinte:

1. Faça login no console da conta delegada da AWS.

2. Clique em Políticas > Criar política.

3. Clique em JSON e cole uma das seguintes opções, dependendo se você selecionou a caixa de seleção Conceder permissões para a descoberta de proteção de dados sensíveis em Configurar o Security Command Center.

   Atribuir permissões para a descoberta de Proteção de Dados Sensíveis: desmarcada

   {
     "Version": "2012-10-17",
     "Statement": [
         {
             "Action": "sts:AssumeRole",
             "Resource": "arn:aws:iam::*:role/COLLECTOR_ROLE_NAME",
             "Effect": "Allow"
         },
         {
             "Action": [
                 "organizations:List*",
                 "organizations:Describe*"
             ],
             "Resource": "*",
             "Effect": "Allow"
         }
     ]
   }
   

   Substitua COLLECTOR_ROLE_NAME pelo nome da função de coletor que você copiou ao configurar o Security Command Center (o padrão é aws-collector-role).

   Atribuir permissões para a descoberta de Proteção de Dados Sensíveis: selecionada

       {
         "Version": "2012-10-17",
         "Statement": [
           {
             "Action": "sts:AssumeRole",
             "Resource": [
               "arn:aws:iam::*:role/COLLECTOR_ROLE_NAME",
               "arn:aws:iam::*:role/SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME"
             ],
             "Effect": "Allow"
           },
           {
             "Action": [
               "organizations:List*",
               "organizations:Describe*"
             ],
             "Resource": "*",
             "Effect": "Allow"
           }
         ]
       }
       

   Substitua:

   • COLLECTOR_ROLE_NAME: o nome da função de coletor de dados de configuração que você copiou ao configurar o Security Command Center. O padrão é aws-collector-role.
   • SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME: o nome da função de coletor da Proteção de Dados Sensíveis que você copiou ao configurar o Security Command Center. O padrão é aws-sensitive-data-protection-role.

4. Clique em Próxima.

5. Na seção Detalhes da política, insira um nome e uma descrição para a política.

6. Clique em Criar política.

Criar um papel do AWS IAM para a relação de confiança entre a AWS e o Google Cloud

Crie um papel delegado que configure um relacionamento de confiança entre a AWS e o Google Cloud. Esse papel usa a política delegada criada em Criar a política do AWS IAM para o papel delegado.

1. Faça login no console da conta delegada da AWS como um usuário da AWS que pode criar funções e políticas do IAM.

2. Clique em Funções > Criar função.

3. Em Tipo de entidade confiável, clique em Identidade da Web.

4. Em Identity Provider, clique em Google.

5. Em Público-alvo, insira o ID do agente de serviço que você copiou ao configurar o Security Command Center. Clique em Next.

6. Para conceder ao papel delegado acesso aos papéis de coletor, anexe as políticas de permissão ao papel. Pesquise a política delegada que foi criada em Criar a política da AWS IAM para o papel delegado e selecione-a.

7. Na seção Detalhes da função, insira o nome da função delegada que você copiou ao configurar o Security Command Center. O nome padrão é aws-delegated-role.

8. Clique em Criar papel.

Criar a política do AWS IAM para a coleta de dados de configuração de ativos

Para criar uma política do AWS IAM para a coleta de dados de configuração de recursos (uma política de coletor), siga estas etapas:

1. Faça login no console da conta de coletor da AWS.

2. Clique em Políticas > Criar política.

3. Clique em JSON e cole o seguinte:

   {
     "Version": "2012-10-17",
     "Statement": [
         {
             "Effect": "Allow",
             "Action": [
                 "ce:GetCostAndUsage",
                 "dynamodb:DescribeTableReplicaAutoScaling",
                 "identitystore:ListGroupMemberships",
                 "identitystore:ListGroups",
                 "identitystore:ListUsers",
                 "lambda:GetFunction",
                 "lambda:GetFunctionConcurrency",
                 "logs:ListTagsForResource",
                 "s3express:GetBucketPolicy",
                 "s3express:ListAllMyDirectoryBuckets",
                 "wafv2:GetIPSet"
             ],
             "Resource": [
                 "*"
             ]
         },
         {
             "Effect": "Allow",
             "Action": [
                 "apigateway:GET"
             ],
             "Resource": [
                 "arn:aws:apigateway:*::/usageplans",
                 "arn:aws:apigateway:*::/usageplans/*/keys",
                 "arn:aws:apigateway:*::/vpclinks/*"
             ]
         }
     ]
   
   }
   

4. Clique em Próxima.

5. Na seção Detalhes da política, insira um nome e uma descrição para a política.

6. Clique em Criar política.

7. Repita essas etapas para cada conta de coletor.

Crie o papel do AWS IAM para a coleta de dados de configuração de recursos em cada conta

Crie o papel de coletor que permite que o Security Command Center receba dados de configuração de recursos da AWS. Esse papel usa a política de coletor criada em Criar a política do IAM da AWS para a coleta de dados de configuração de ativos.

1. Faça login no console da conta de coletor da AWS como um usuário que pode criar papéis do IAM para as contas de coletor.

2. Clique em Funções > Criar função.

3. Em Tipo de entidade confiável, clique em Política de confiança personalizada.

4. Na seção Política de confiança personalizada, cole o seguinte:

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
           "AWS": "arn:aws:iam::DELEGATE_ACCOUNT_ID:role/DELEGATE_ACCOUNT_ROLE"
         },
         "Action": "sts:AssumeRole"
       }
     ]
   }
   

   Substitua:

   • DELEGATE_ACCOUNT_ID: o ID da conta da AWS para a conta delegada
   • DELEGATE_ACCOUNT_ROLE: o nome do papel delegado que você copiou ao configurar o Security Command Center.

5. Para conceder a essa função de coletor acesso aos dados de configuração de recursos da AWS, anexe as políticas de permissão à função. Pesquise a política de coletor personalizada criada em Criar a política do AWS IAM para a coleta de dados de configuração de ativos e selecione-a.

6. Pesquise e selecione as seguintes políticas gerenciadas:

   • arn:aws:iam::aws:policy/job-function/ViewOnlyAccess
   • arn:aws:iam::aws:policy/SecurityAudit

7. Na seção Detalhes do papel, insira o nome do papel do coletor de dados de configuração que você copiou ao configurar o Security Command Center.

8. Clique em Criar papel.

9. Repita essas etapas para cada conta de coletor.

Se você tiver marcado a caixa de seleção Conceder permissões para a descoberta de proteção de dados sensíveis em Configurar o Security Command Center, prossiga para a próxima seção.

Se você não tiver ativado a caixa de seleção Atribuir permissões para o serviço de descoberta de Proteção de Dados Sensíveis, conclua o processo de integração.

Criar a política do AWS IAM para a proteção de dados sensíveis

Siga estas etapas se você tiver marcado a caixa de seleção Conceder permissões para a descoberta de proteção de dados sensíveis em Configurar o Security Command Center.

Para criar uma política do AWS IAM para proteção de dados sensíveis (uma política de coletor), siga estas etapas:

1. Faça login no console da conta de coletor da AWS.

2. Clique em Políticas > Criar política.

3. Clique em JSON e cole o seguinte:

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Action": [
           "s3:GetBucketLocation",
           "s3:ListAllMyBuckets",
           "s3:GetBucketPolicyStatus",
           "s3:ListBucket",
           "s3:GetObject",
           "s3:GetObjectVersion",
           "s3:GetBucketPublicAccessBlock",
           "s3:GetBucketOwnershipControls",
           "s3:GetBucketTagging"
         ],
         "Resource": ["arn:aws:s3:::*"]
       },
       {
         "Effect": "Allow",
         "Action": [
           "iam:ListAttachedRolePolicies",
           "iam:GetPolicy",
           "iam:GetPolicyVersion",
           "iam:ListRolePolicies",
           "iam:GetRolePolicy",
           "ce:GetCostAndUsage",
           "dynamodb:DescribeTableReplicaAutoScaling",
           "identitystore:ListGroupMemberships",
           "identitystore:ListGroups",
           "identitystore:ListUsers",
           "lambda:GetFunction",
           "lambda:GetFunctionConcurrency",
           "logs:ListTagsForResource",
           "s3express:GetBucketPolicy",
           "s3express:ListAllMyDirectoryBuckets",
           "wafv2:GetIPSet"
         ],
         "Resource": ["*"]
       },
       {
         "Effect": "Allow",
         "Action": [
             "s3express:CreateSession"
         ],
         "Resource": ["arn:aws:s3express:*:*:bucket/*"]
       }
     ]
   }
   

4. Clique em Próxima.

5. Na seção Detalhes da política, insira um nome e uma descrição para a política.

6. Clique em Criar política.

7. Repita essas etapas para cada conta de coletor.

Crie o papel do AWS IAM para a Proteção de Dados Sensíveis em cada conta

Siga estas etapas se você tiver selecionado a caixa de seleção Conceder permissões para a descoberta de proteção de dados sensíveis em Configurar o Security Command Center.

Crie a função de coletor que permite que a Proteção de Dados Sensíveis crie um perfil do conteúdo dos seus recursos da AWS. Esse papel usa a política do coletor que foi criada em Criar a política do IAM da AWS para proteção de dados confidenciais.

1. Faça login no console da conta de coletor da AWS como um usuário que pode criar papéis do IAM para contas de coletor.

2. Clique em Funções > Criar função.

3. Em Tipo de entidade confiável, clique em Política de confiança personalizada.

4. Na seção Política de confiança personalizada, cole o seguinte:

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
           "AWS": "arn:aws:iam::DELEGATE_ACCOUNT_ID:role/DELEGATE_ACCOUNT_ROLE"
         },
         "Action": "sts:AssumeRole"
       }
     ]
   }
   

   Substitua:

   • DELEGATE_ACCOUNT_ID: o ID da conta da AWS para a conta delegada
   • DELEGATE_ACCOUNT_ROLE: o nome do papel delegado que você copiou ao configurar o Security Command Center.

5. Para conceder a esse papel de coletor acesso ao conteúdo dos seus recursos da AWS, anexe as políticas de permissão ao papel. Pesquise a política de coletor personalizada criada em Criar a política do AWS IAM para proteção de dados sensíveis e selecione-a.

6. Na seção Role details, insira o nome da função de proteção de dados sensíveis que você copiou ao configurar o Security Command Center.

7. Clique em Criar papel.

8. Repita essas etapas para cada conta de coletor.

Para concluir o processo de integração, consulte Concluir o processo de integração.

Concluir o processo de integração

1. No console do Google Cloud, na página Test connector, clique em Test connector para verificar se o Security Command Center pode se conectar ao seu ambiente da AWS. Se a conexão for bem-sucedida, o teste vai determinar que o papel delegado tem todas as permissões necessárias para assumir os papéis de coletor. Se a conexão não funcionar, consulte Solução de problemas ao testar a conexão.

2. Clique em Criar.

Personalizar a configuração do conector da AWS

Esta seção descreve algumas maneiras de personalizar a conexão entre o Security Command Center e a AWS. Essas opções estão disponíveis na seção Opções avançadas (opcional) da página Adicionar conector do Amazon Web Services no console do Google Cloud.

Por padrão, o Security Command Center descobre automaticamente suas contas da AWS em todas as regiões da AWS. A conexão usa o endpoint global padrão do AWS Security Token Service e as consultas por segundo (QPS) padrão do serviço da AWS que você está monitorando. Essas opções avançadas permitem personalizar os padrões.

Opção	Descrição
Adicionar contas de conector da AWS	Selecione o campo Adicionar contas automaticamente (recomendado) para permitir que o Security Command Center descubra as contas da AWS automaticamente ou selecione Adicionar contas individualmente e forneça uma lista de contas da AWS que o Security Command Center pode usar para encontrar recursos.
Excluir contas do conector AWS	Se você selecionou o campo Adicionar contas individualmente na seção Adicionar contas do conector da AWS, forneça uma lista de contas da AWS que o Security Command Center não pode usar para encontrar recursos.
Selecionar regiões para coletar dados	Selecione uma ou mais regiões da AWS para que o Security Command Center colete dados. Deixe o campo Regiões da AWS vazio para coletar dados de todas as regiões.
Consultas máximas por segundo (QPS) para serviços da AWS	É possível mudar o QPS para controlar o limite de cota do Security Command Center. Defina a substituição para um valor menor que o valor padrão do serviço e maior ou igual a 1. O valor padrão é o valor máximo. Se você mudar o QPS, o Security Command Center poderá ter problemas ao buscar dados. Portanto, não recomendamos mudar esse valor.
Endpoint do AWS Security Token Service	É possível especificar um endpoint específico para o AWS Security Token Service (por exemplo, https://sts.us-east-2.amazonaws.com). Deixe o campo AWS Security Token Service vazio para usar o endpoint global padrão (https://sts.amazonaws.com).

Conceder permissões de descoberta de dados sensíveis a um conector da AWS

Para realizar a descoberta de dados sensíveis no conteúdo da AWS, você precisa de um conector da AWS com as permissões necessárias do IAM da AWS.

Esta seção descreve como conceder essas permissões a um conector da AWS. As etapas necessárias dependem se você configurou seu ambiente da AWS usando modelos do CloudFormation ou manualmente.

Atualizar um conector usando modelos do CloudFormation

Se você configurar seu ambiente da AWS usando modelos do CloudFormation, siga estas etapas para conceder permissões de descoberta de dados confidenciais ao conector da AWS.

1. No console do Google Cloud, acesse a página Guia de configuração do Security Command Center.

   Acessar o Guia de configuração

2. Selecione a organização em que você ativou o nível Security Command Center Enterprise. A página Guia de configuração é aberta.

3. Clique em Etapa 3: configurar a integração da Amazon Web Services (AWS). A página Conectores é aberta.

4. No conector AWS, clique em more_vert Mais > Editar.

5. Na seção Analisar tipos de dados, selecione Conceder permissões para a descoberta da Proteção de dados confidenciais.

6. Clique em Continuar. A página Conectar à AWS é aberta.

7. Clique em Fazer o download do modelo de função delegada. O modelo é salvo no computador.

8. Clique em Fazer o download do modelo de função do coletor. O modelo é salvo no computador.

9. Clique em Continuar. A página Testar conector é aberta. Não teste o conector ainda.

10. No console do CloudFormation, atualize o modelo de pilha para o papel delegado:

    1. Faça login no console da conta de delegação da AWS. Verifique se você fez login na conta delegada usada para assumir outras contas de coletor da AWS.
    2. Acesse o console do AWS CloudFormation.

    3. Substitua o modelo de pilha da função delegada pelo modelo de função delegada atualizado que você fez o download.

       Para mais informações, consulte Atualizar o modelo de uma pilha (console) na documentação da AWS.

11. Atualize o conjunto de pilhas para a função de coletor:

    1. Usando uma conta de gerenciamento da AWS ou qualquer conta de membro registrada como administrador delegado, acesse o console do AWS CloudFormation.

    2. Substitua o modelo de conjunto de pilhas para a função do coletor pelo modelo de função do coletor atualizado que você fez o download.

       Para mais informações, consulte Atualizar seu conjunto de stacks usando o console do AWS CloudFormation na documentação da AWS.

12. Se você precisar coletar dados da conta de gerenciamento, faça login na conta de gerenciamento e substitua o modelo na pilha do coletor pelo modelo de função de coletor atualizado que você fez o download.

    Essa etapa é necessária porque os conjuntos de pilhas do AWS CloudFormation não criam instâncias de pilhas em contas de gerenciamento. Para mais informações, consulte DeploymentTargets na documentação da AWS.

13. No console do Google Cloud, na página Test connector, clique em Test connector. Se a conexão for bem-sucedida, o teste vai determinar que o papel delegado tem todas as permissões necessárias para assumir os papéis de coletor. Se a conexão não funcionar, consulte Como resolver erros ao testar a conexão.

14. Clique em Salvar.

Atualizar um conector manualmente

Se você configurou suas contas da AWS manualmente ao criar o conector da AWS, siga estas etapas para conceder permissões de descoberta de dados sensíveis ao conector da AWS.

1. No console do Google Cloud, acesse a página Guia de configuração do Security Command Center.

   Acessar o Guia de configuração

2. Selecione a organização em que você ativou o nível Security Command Center Enterprise. A página Guia de configuração é aberta.

3. Clique em Etapa 3: configurar a integração da Amazon Web Services (AWS). A página Conectores é aberta.

4. No conector AWS, clique em more_vert Mais > Editar.

5. Na seção Analisar tipos de dados, selecione Conceder permissões para a descoberta da Proteção de dados confidenciais.

6. Clique em Continuar. A página Conectar à AWS é aberta.

7. Clique em Configurar contas da AWS manualmente (recomendado se você usar configurações avançadas ou nomes de função personalizados).

8. Copie os valores dos seguintes campos:

   • Nome da função delegada
   • Nome da função do coletor
   • Nome da função de coletor do serviço de descoberta da Proteção de Dados Sensíveis

9. Clique em Continuar. A página Testar conector é aberta. Não teste o conector ainda.

10. No console da conta delegada da AWS, atualize a política do AWS IAM para o papel delegado para usar o seguinte JSON:

        {
          "Version": "2012-10-17",
          "Statement": [
            {
              "Action": "sts:AssumeRole",
              "Resource": [
                "arn:aws:iam::*:role/COLLECTOR_ROLE_NAME",
                "arn:aws:iam::*:role/SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME"
              ],
              "Effect": "Allow"
            },
            {
              "Action": [
                "organizations:List*",
                "organizations:Describe*"
              ],
              "Resource": "*",
              "Effect": "Allow"
            }
          ]
        }
        

    Substitua:

    • COLLECTOR_ROLE_NAME: o nome da função do coletor de dados de configuração que você copiou (o padrão é aws-collector-role).
    • SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME: o nome da função de coletor da Proteção de Dados Sensíveis que você copiou (o padrão é aws-sensitive-data-protection-role).

    Para mais informações, consulte Como editar políticas gerenciadas pelo cliente (console) na documentação da AWS.

11. Para cada conta de coletor, siga estes procedimentos:

    1. Crie a política do AWS IAM para proteção de dados sensíveis.

    2. Crie o papel do AWS IAM para a Proteção de dados sensíveis em cada conta.

12. No console do Google Cloud, na página Test connector, clique em Test connector. Se a conexão for bem-sucedida, o teste vai determinar que o papel delegado tem todas as permissões necessárias para assumir os papéis de coletor. Se a conexão não funcionar, consulte Como resolver erros ao testar a conexão.

13. Clique em Salvar.

Solução de problemas

Esta seção inclui alguns problemas comuns que você pode encontrar ao integrar o Security Command Center à AWS.

Recursos já existem

Esse erro ocorre no ambiente da AWS quando você tenta criar as políticas e os papéis do AWS IAM. Esse problema ocorre quando a função já existe na sua conta da AWS e você está tentando criá-la novamente.

Para resolver esse problema, siga estas etapas:

• Verifique se o papel ou a política que você está criando já existe e atende aos requisitos listados neste guia.
• Se necessário, mude o nome da função para evitar conflitos.

Principal inválido na política

Esse erro pode ocorrer no ambiente da AWS quando você está criando os papéis de coletor, mas o papel de delegado ainda não existe.

Para resolver esse problema, siga as etapas em Criar a política do IAM da AWS para o papel delegado e aguarde a criação do papel de delegado antes de continuar.

Limitações de limitação na AWS

A AWS limita as solicitações de API para cada conta da AWS por conta ou região. Para garantir que esses limites não sejam excedidos quando o Security Command Center coleta dados de configuração de recursos da AWS, o Security Command Center coleta os dados com um QPS máximo fixo para cada serviço da AWS, conforme descrito na documentação da API para o serviço da AWS.

Se você tiver limitação de solicitações no seu ambiente da AWS devido ao QPS consumido, siga estas etapas para atenuar o problema:

• Na página Configurações do conector da AWS, defina um QPS personalizado para o serviço da AWS que está com problemas de limitação de solicitações.

• Restringir as permissões da função de coletor da AWS para que os dados desse serviço específico não sejam mais coletados. Essa técnica de mitigação impede que as simulações de caminho de ataque funcionem corretamente para a AWS.

A revogação de todas as permissões na AWS interrompe o processo do coletor de dados imediatamente. A exclusão do conector da AWS não interrompe imediatamente o processo do coletor de dados, mas ele não será iniciado novamente após a conclusão.

Solução de problemas de erros ao testar a conexão

Esses erros podem ocorrer quando você testa a conexão entre o Security Command Center e a AWS.

AWS_FAILED_TO_ASSUME_DELEGATED_ROLE

A conexão é inválida porque o agente de serviço do Google Cloud não pode assumir o papel delegado.

Para resolver esse problema, considere o seguinte:

• Verifique se o papel delegado existe. Para criar, consulte Criar um papel do IAM da AWS para a relação de confiança entre a AWS e o Google Cloud.

• A política inline do papel delegado está ausente. Sem ele, o agente de serviço não pode assumir o papel. Para verificar se a política inline existe, consulte Criar um papel do AWS IAM para a relação de confiança entre a AWS e o Google Cloud.

AWS_FAILED_TO_LIST_ACCOUNTS

A conexão é inválida porque a descoberta automática está ativada e o papel delegado não pode acessar todas as contas da AWS nas organizações.

Esse problema indica que a política para permitir a ação organizations:ListAccounts no papel delegado está ausente em determinados recursos. Para resolver esse problema, verifique quais recursos estão faltando. Para verificar as configurações da política delegada, consulte Criar a política do AWS IAM para o papel delegado.

AWS_INVALID_COLLECTOR_ACCOUNTS

A conexão é inválida porque há contas de coletor não permitidas. A mensagem de erro inclui mais informações sobre as possíveis causas, que incluem o seguinte:

• AWS_FAILED_TO_ASSUME_COLLECTOR_ROLE
• AWS_COLLECTOR_ROLE_POLICY_MISSING_REQUIRED_PERMISSION

AWS_FAILED_TO_ASSUME_COLLECTOR_ROLE

A conta de coletor é inválida porque o papel delegado não pode assumir o papel de coletor na conta de coletor.

Para resolver esse problema, considere o seguinte:

• Verifique se o papel de coletor existe.

  • Para criar o papel de coletor de dados de configuração de recursos, consulte Criar o papel do IAM da AWS para a coleta de dados de configuração de recursos em cada conta.
  • Para criar o papel de coletor para a Proteção de dados sensíveis, consulte Criar o papel do IAM da AWS para a Proteção de dados sensíveis em cada conta.

• A política para permitir que o papel delegado assuma o papel de coletor está ausente. Para verificar se a política existe, consulte Criar a política do AWS IAM para o papel delegado.

AWS_COLLECTOR_ROLE_POLICY_MISSING_REQUIRED_PERMISSION

A conexão é inválida porque a política do coletor não tem algumas das configurações de permissão necessárias.

Para resolver esse problema, considere as seguintes causas:

• Alguns dos controles gerenciados da AWS obrigatórios podem não ser anexados à função de coletor para dados de configuração de ativos. Para verificar se todas as políticas estão anexadas, consulte a etapa 6 em Criar o papel do IAM da AWS para a coleta de dados de configuração de ativos em cada conta.

• Um dos seguintes problemas com uma política de coletor pode estar presente:

  • A política do coletor pode não existir.
  • A política do coletor não está anexada à função do coletor.
  • A política do coletor não inclui todas as permissões necessárias.

  Para resolver problemas com uma política de coletor, consulte:

  • Criar a política do AWS IAM para a coleta de dados de configuração de ativos
  • Criar a política do AWS IAM para proteção de dados sensíveis

A seguir

• Se você estiver configurando o Security Command Center Enterprise pela primeira vez, continue com a etapa 4 do guia de configuração no console.
• Analise e corrija as descobertas de vulnerabilidade da AWS.
• Crie e gerencie uma postura de segurança para a AWS.
• Crie simulações de caminho de ataque para recursos da AWS.
• Mapeie a conformidade dos recursos da AWS com vários padrões e comparativos.