Puedes conectar el nivel de Security Command Center Enterprise a tu entorno de Amazon Web Services (AWS) para realizar las siguientes acciones:
- Detecta y corrige vulnerabilidades y parámetros de configuración incorrectos del software en tu entorno de AWS
- Crea y administra una postura de seguridad para AWS
- Identifica posibles rutas de ataque desde la Internet pública a tus activos de AWS de alto valor
- Asigna el cumplimiento de los recursos de AWS a varios estándares y comparativas
Conectar Security Command Center a AWS crea un lugar único para que tu equipo de operaciones de seguridad administre y corrija amenazas y vulnerabilidades en Google Cloud y AWS.
Para permitir que Security Command Center supervise tu organización de AWS, debes configurar una conexión con un agente de servicio de Google Cloud y una cuenta de AWS que tenga acceso a los recursos que deseas supervisar. Security Command Center usa esta conexión para recopilar datos de forma periódica en todas las regiones y cuentas de AWS que definas.
Puedes crear una conexión de AWS para cada organización de Google Cloud. El conector usa llamadas a la API para recopilar datos de activos de AWS. Estas llamadas a la API pueden generar cargos de AWS.
En este documento, se describe cómo configurar la conexión con AWS. Cuando configuras una conexión, debes configurar lo siguiente:
- Una serie de cuentas en AWS que tienen acceso directo a los recursos de AWS que deseas supervisar. En la consola de Google Cloud, estas cuentas se denominan cuentas de recopilador.
- Una cuenta en AWS que tenga las políticas y los roles adecuados para permitir la autenticación en las cuentas de recopilador En la consola de Google Cloud, esta cuenta se denomina cuenta delegada. Tanto la cuenta delegada como las cuentas de colector deben estar en la misma organización de AWS.
- Un agente de servicio en Google Cloud que se conecta a la cuenta delegada para la autenticación.
- Una canalización para recopilar datos de activos de los recursos de AWS.
- Permisos (opcionales) para que Sensitive Data Protection genere perfiles de tu contenido de AWS
Esta conexión no se aplica a las funciones de SIEM de Security Command Center que te permiten transferir registros de AWS para la detección de amenazas.
En el siguiente diagrama, se muestra esta configuración. El proyecto de usuario es un proyecto que se crea automáticamente y contiene la instancia de tu canalización de recopilación de datos de activos.
Antes de comenzar
Completa estas tareas antes de completar las restantes en esta página.
Activa el nivel de Security Command Center Enterprise
Completa el paso 1 y el paso 2 de la guía de configuración para activar el nivel de Security Command Center Enterprise.
Configura los permisos
Para obtener los permisos que necesitas para usar el conector de AWS,
pídele a tu administrador que te otorgue el rol de IAM de
propietario de recursos de Cloud (roles/cloudasset.owner
).
Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.
También puedes obtener los permisos necesarios mediante roles personalizados o cualquier otro rol predefinido.
Crea cuentas de AWS
Asegúrate de que creaste los siguientes recursos de AWS:
- Un usuario de IAM de AWS con acceso a IAM de AWS para las consolas de las cuentas de AWS del delegado y del recopilador
El ID de la cuenta de AWS de una cuenta de AWS que puedes usar como cuenta delegada. Si deseas que Security Command Center descubra automáticamente cuentas de AWS para encontrar recursos, la cuenta delegada debe estar adjunta a una organización de AWS y ser una de las siguientes:
Una cuenta de AWS con una política de delegación basada en recursos que proporciona permisos
organization
ylist
Para ver un ejemplo de política, consulta Ejemplo: Cómo ver la organización, las UO, las cuentas y las políticas.
Configura el conector de AWS
En la consola de Google Cloud, ve a la página Guía de configuración de Security Command Center.
Selecciona la organización en la que activaste el nivel de Security Command Center Enterprise. Se abrirá la página Guía de configuración.
Haz clic en Paso 3: Configura la integración de los servicios web de Amazon (AWS). Se abrirá la página Conectores.
Selecciona Agregar conector > Amazon Web Services. Se abrirá la página Configurar conector.
En ID de cuenta de delegado, ingresa el ID de la cuenta de AWS que puedes usar como cuenta de delegado.
Para permitir que Sensitive Data Protection genere perfiles de tus datos de AWS, mantén seleccionada la opción Otorgar permisos para el descubrimiento de Sensitive Data Protection. Esta opción agrega permisos de IAM de AWS en la plantilla de CloudFormation para el rol de recopilador.
Permisos de IAM de AWS que otorga esta opción
s3:GetBucketLocation
s3:ListAllMyBuckets
s3:GetBucketPolicyStatus
s3:ListBucket
s3:GetObject
s3:GetObjectVersion
s3:GetBucketPublicAccessBlock
s3:GetBucketOwnershipControls
s3:GetBucketTagging
iam:ListAttachedRolePolicies
iam:GetPolicy
iam:GetPolicyVersion
iam:ListRolePolicies
iam:GetRolePolicy
ce:GetCostAndUsage
dynamodb:DescribeTableReplicaAutoScaling
identitystore:ListGroupMemberships
identitystore:ListGroups
identitystore:ListUsers
lambda:GetFunction
lambda:GetFunctionConcurrency
logs:ListTagsForResource
s3express:CreateSession
s3express:GetBucketPolicy
s3express:ListAllMyDirectoryBuckets
wafv2:GetIPSet
De manera opcional, revisa y edita las Opciones avanzadas. Consulta Cómo personalizar la configuración del conector de AWS para obtener información sobre opciones adicionales.
Haga clic en Continuar. Se abrirá la página Conectarse a AWS.
Realiza una de las siguientes acciones:
- Descarga y revisa las plantillas de CloudFormation para el rol delegado y el rol de recopilador.
- Si configuraste las opciones avanzadas o necesitas cambiar los nombres de rol predeterminados de AWS (aws-delegated-role, aws-collector-role y aws-sensitive-data-protection-role), selecciona Configurar cuentas de AWS manualmente. Copia el ID del agente de servicio, el nombre del rol delegado, el nombre del rol del recopilador y el nombre del rol del recopilador de Sensitive Data Protection.
No puedes cambiar los nombres de los roles después de crear la conexión.
No hagas clic en Crear. En su lugar, configura tu entorno de AWS.
Configura tu entorno de AWS
Puedes configurar tu entorno de AWS con uno de los siguientes métodos:
- Usa las plantillas de CloudFormation que descargaste en Configura Security Command Center. Para obtener instrucciones, consulta Cómo usar plantillas de CloudFormation para configurar tu entorno de AWS.
- Si usas parámetros de configuración o nombres de roles personalizados, configura las cuentas de AWS manualmente. Para obtener instrucciones, consulta Cómo configurar cuentas de AWS de forma manual.
Usa plantillas de CloudFormation para configurar tu entorno de AWS
Si descargaste plantillas de CloudFormation, sigue estos pasos para configurar tu entorno de AWS.
- Accede a la consola de la cuenta de delegado de AWS. Asegúrate de haber accedido a la cuenta de delegado que se usa para asumir otras cuentas de AWS del recopilador (es decir, una cuenta de administración de AWS o cualquier cuenta de miembro registrada como administrador delegado).
- Ve a la consola de Plantillas de AWS CloudFormation.
Crea una pila que aprovisione el rol de delegado:
- En la página Stacks, haz clic en Create stack > With new resources (standard).
- Cuando especifiques una plantilla, sube el archivo de plantilla de rol delegado.
- Cuando especifiques los detalles de la pila, ingresa un nombre para ella.
Si cambiaste el nombre del rol delegado, del rol de recopilador o del rol de Protección de datos sensibles, actualiza los parámetros según corresponda. Los parámetros que ingreses deben coincidir con los que se indican en la página Connect to AWS de la consola de Google Cloud.
Según lo requiera tu organización, actualiza las opciones de pila.
En la página Revisar y crear, selecciona Reconozco que AWS CloudFormation podría crear recursos de IAM con nombres personalizados.
Haz clic en Enviar para crear la pila.
Espera a que se cree la pila. Si se produce un problema, consulta Solución de problemas. Para obtener más información, consulta Cómo crear una pila en la consola de AWS CloudFormation en la documentación de AWS.
Crea un conjunto de pilas que aprovisione roles de recopilador.
- En la página StackSets, haz clic en Create StackSet.
Haz clic en Permisos administrados por el servicio.
Cuando especifiques una plantilla, sube el archivo de plantilla de rol de recopilador.
Cuando especifiques los detalles del StackSet, ingresa un nombre y una descripción para el conjunto de pilas.
Ingresa el ID de la cuenta delegada.
Si cambiaste el nombre del rol delegado, del rol de recopilador o del rol de Protección de datos sensibles, actualiza los parámetros según corresponda. Los parámetros que ingreses deben coincidir con los que se indican en la página Connect to AWS de la consola de Google Cloud.
Según lo requiera tu organización, configura las opciones de tu conjunto de pilas.
Cuando especifiques las opciones de implementación, elige tus destinos de implementación. Puedes realizar la implementación en toda la organización de AWS o en una unidad organizativa (UO) que incluya todas las cuentas de AWS de las que deseas recopilar datos.
Especifica las regiones de AWS en las que se crearán los roles y las políticas. Dado que los roles son recursos globales, no necesitas especificar varias regiones.
Cambia otros parámetros de configuración si es necesario.
Revisa los cambios y haz clic en Enviar para crear el conjunto de pilas. Si recibes un error, consulta Solución de problemas. Para obtener más información, consulta Crea un conjunto de pilas con permisos administrados por el servicio en la documentación de AWS.
Si necesitas recopilar datos de la cuenta de administración, accede a esta y, luego, implementa una pila independiente para aprovisionar los roles de recopilador. Cuando especifiques la plantilla, sube el archivo de plantilla de rol recopilador.
Este paso es necesario porque los conjuntos de pilas de AWS CloudFormation no crean instancias de pilas en las cuentas de administración. Para obtener más información, consulta DeploymentTargets en la documentación de AWS.
Para completar el proceso de integración, consulta Cómo completar el proceso de integración.
Configura cuentas de AWS de forma manual
Si no puedes usar las plantillas de CloudFormation (por ejemplo, usas nombres de roles diferentes o personalizas la integración), puedes crear las políticas de IAM de AWS y los roles de IAM de AWS requeridos de forma manual.
Debes crear políticas y roles de IAM de AWS para la cuenta delegada y las cuentas de recopilador.
Crea la política de IAM de AWS para el rol delegado
Para crear una política de IAM de AWS para el rol delegado (una política delegada), completa lo siguiente:
Accede a la consola de la cuenta de delegado de AWS.
Haz clic en Políticas > Crear política.
Haz clic en JSON y pega una de las siguientes opciones, según si seleccionaste la casilla de verificación Otorgar permisos para el descubrimiento de la Protección de datos sensibles en Configurar Security Command Center.
Otorgar permisos para el descubrimiento de Sensitive Data Protection: Se borró
{ "Version": "2012-10-17", "Statement": [ { "Action": "sts:AssumeRole", "Resource": "arn:aws:iam::*:role/COLLECTOR_ROLE_NAME", "Effect": "Allow" }, { "Action": [ "organizations:List*", "organizations:Describe*" ], "Resource": "*", "Effect": "Allow" } ] }
Reemplaza
COLLECTOR_ROLE_NAME
por el nombre del rol de recopilador que copiaste cuando configuraste Security Command Center (el valor predeterminado esaws-collector-role
).Otorgar permisos para el descubrimiento de Sensitive Data Protection: Seleccionada
{ "Version": "2012-10-17", "Statement": [ { "Action": "sts:AssumeRole", "Resource": [ "arn:aws:iam::*:role/COLLECTOR_ROLE_NAME", "arn:aws:iam::*:role/SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME" ], "Effect": "Allow" }, { "Action": [ "organizations:List*", "organizations:Describe*" ], "Resource": "*", "Effect": "Allow" } ] }
Reemplaza lo siguiente:
COLLECTOR_ROLE_NAME
: Es el nombre del rol de recopilador de datos de configuración que copiaste cuando configuraste Security Command Center (el valor predeterminado esaws-collector-role
).SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME
: Es el nombre del rol de recopilador de Protección de datos sensibles que copiaste cuando configuraste Security Command Center (el valor predeterminado esaws-sensitive-data-protection-role
).
Haz clic en Siguiente.
En la sección Detalles de la política, ingresa un nombre y una descripción para la política.
Haz clic en Crear política.
Crea un rol de IAM de AWS para la relación de confianza entre AWS y Google Cloud
Crea un rol delegado que establezca una relación de confianza entre AWS y Google Cloud. Este rol usa la política delegada que se creó en Crea la política de IAM de AWS para el rol delegado.
Accede a la consola de la cuenta de AWS delegada como un usuario de AWS que pueda crear roles y políticas de IAM.
Haz clic en Roles > Crear rol.
En Tipo de entidad de confianza, haz clic en Entidad web.
En Proveedor de identidad, haz clic en Google.
En Público, ingresa el ID del agente de servicio que copiaste cuando configuraste Security Command Center. Haz clic en Siguiente.
Para otorgar al rol delegado acceso a los roles de recopilador, adjunta las políticas de permisos al rol. Busca la política delegada que se creó en Crea la política de IAM de AWS para el rol delegado y selecciónala.
En la sección Detalles del rol, ingresa el Nombre del rol delegado que copiaste cuando configuraste Security Command Center (el nombre predeterminado es
aws-delegated-role
).Haz clic en Crear rol.
Crea la política de IAM de AWS para la recopilación de datos de configuración de activos
Para crear una política de IAM de AWS para la recopilación de datos de configuración de activos (una política de recopilador), completa lo siguiente:
Accede a la consola de la cuenta de recopilador de AWS.
Haz clic en Políticas > Crear política.
Haz clic en JSON y pega lo siguiente:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ce:GetCostAndUsage", "dynamodb:DescribeTableReplicaAutoScaling", "identitystore:ListGroupMemberships", "identitystore:ListGroups", "identitystore:ListUsers", "lambda:GetFunction", "lambda:GetFunctionConcurrency", "logs:ListTagsForResource", "s3express:GetBucketPolicy", "s3express:ListAllMyDirectoryBuckets", "wafv2:GetIPSet" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "apigateway:GET" ], "Resource": [ "arn:aws:apigateway:*::/usageplans", "arn:aws:apigateway:*::/usageplans/*/keys", "arn:aws:apigateway:*::/vpclinks/*" ] } ] }
Haz clic en Siguiente.
En la sección Detalles de la política, ingresa un nombre y una descripción para la política.
Haz clic en Crear política.
Repite estos pasos para cada cuenta de recopilador.
Crea el rol de IAM de AWS para la recopilación de datos de configuración de activos en cada cuenta
Crea el rol de recopilador que permite que Security Command Center obtenga datos de configuración de activos de AWS. Este rol usa la política del recopilador que se creó en Crea la política de IAM de AWS para la recopilación de datos de configuración de activos.
Accede a la consola de la cuenta de recopilador de AWS como un usuario que pueda crear roles de IAM para las cuentas de recopilador.
Haz clic en Roles > Crear rol.
En Tipo de entidad de confianza, haz clic en Política de confianza personalizada.
En la sección Política de confianza personalizada, pega lo siguiente:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::DELEGATE_ACCOUNT_ID:role/DELEGATE_ACCOUNT_ROLE" }, "Action": "sts:AssumeRole" } ] }
Reemplaza lo siguiente:
DELEGATE_ACCOUNT_ID
: El ID de la cuenta de AWS de la cuenta de delegadoDELEGATE_ACCOUNT_ROLE
: Es el nombre del rol delegado que copiaste cuando configuraste Security Command Center.
Para otorgar a este rol de recopilador acceso a tus datos de configuración de activos de AWS, adjunta las políticas de permisos al rol. Busca la política del recopilador personalizado que se creó en Crea la política de IAM de AWS para la recopilación de datos de configuración de activos y selecciónala.
Busca y selecciona las siguientes políticas administradas:
- arn:aws:iam::aws:policy/job-function/ViewOnlyAccess
- arn:aws:iam::aws:policy/SecurityAudit
En la sección Role details, ingresa el nombre del rol de recopilador de datos de configuración que copiaste cuando configuraste Security Command Center.
Haz clic en Crear rol.
Repite estos pasos para cada cuenta de recopilador.
Si seleccionaste la casilla de verificación Otorgar permisos para el descubrimiento de la protección de datos sensibles en Configurar Security Command Center, continúa con la siguiente sección.
Si no habilitaste la casilla de verificación Otorgar permisos para el descubrimiento de Sensitive Data Protection, completa el proceso de integración.
Crea la política de IAM de AWS para la Protección de datos sensibles
Completa estos pasos si seleccionaste la casilla de verificación Otorgar permisos para el descubrimiento de la protección de datos sensibles en Configurar Security Command Center.
Para crear una política de IAM de AWS para la Protección de datos sensibles (una política de recopilación), completa lo siguiente:
Accede a la consola de la cuenta de recopilador de AWS.
Haz clic en Políticas > Crear política.
Haz clic en JSON y pega lo siguiente:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:ListAllMyBuckets", "s3:GetBucketPolicyStatus", "s3:ListBucket", "s3:GetObject", "s3:GetObjectVersion", "s3:GetBucketPublicAccessBlock", "s3:GetBucketOwnershipControls", "s3:GetBucketTagging" ], "Resource": ["arn:aws:s3:::*"] }, { "Effect": "Allow", "Action": [ "iam:ListAttachedRolePolicies", "iam:GetPolicy", "iam:GetPolicyVersion", "iam:ListRolePolicies", "iam:GetRolePolicy", "ce:GetCostAndUsage", "dynamodb:DescribeTableReplicaAutoScaling", "identitystore:ListGroupMemberships", "identitystore:ListGroups", "identitystore:ListUsers", "lambda:GetFunction", "lambda:GetFunctionConcurrency", "logs:ListTagsForResource", "s3express:GetBucketPolicy", "s3express:ListAllMyDirectoryBuckets", "wafv2:GetIPSet" ], "Resource": ["*"] }, { "Effect": "Allow", "Action": [ "s3express:CreateSession" ], "Resource": ["arn:aws:s3express:*:*:bucket/*"] } ] }
Haz clic en Siguiente.
En la sección Detalles de la política, ingresa un nombre y una descripción para la política.
Haz clic en Crear política.
Repite estos pasos para cada cuenta de recopilador.
Crea el rol de IAM de AWS para la Protección de datos sensibles en cada cuenta
Completa estos pasos si seleccionaste la casilla de verificación Otorgar permisos para el descubrimiento de la protección de datos sensibles en Configurar Security Command Center.
Crea el rol de recopilador que permite que Sensitive Data Protection genere perfiles del contenido de tus recursos de AWS. Este rol usa la política del recopilador que se creó en Crea la política de IAM de AWS para la Protección de datos sensibles.
Accede a la consola de la cuenta de recopilador de AWS como un usuario que pueda crear roles de IAM para las cuentas de recopilador.
Haz clic en Roles > Crear rol.
En Tipo de entidad de confianza, haz clic en Política de confianza personalizada.
En la sección Política de confianza personalizada, pega lo siguiente:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::DELEGATE_ACCOUNT_ID:role/DELEGATE_ACCOUNT_ROLE" }, "Action": "sts:AssumeRole" } ] }
Reemplaza lo siguiente:
DELEGATE_ACCOUNT_ID
: El ID de la cuenta de AWS de la cuenta delegadaDELEGATE_ACCOUNT_ROLE
: Es el nombre del rol delegado que copiaste cuando configuraste Security Command Center.
Para otorgar a este rol de recopilador acceso al contenido de tus recursos de AWS, adjunta las políticas de permisos al rol. Busca la política del recopilador personalizado que se creó en Crea la política de IAM de AWS para la protección de datos sensibles y selecciónala.
En la sección Detalles del rol, ingresa el nombre del rol de Sensitive Data Protection que copiaste cuando configuraste Security Command Center.
Haz clic en Crear rol.
Repite estos pasos para cada cuenta de recopilador.
Para completar el proceso de integración, consulta Cómo completar el proceso de integración.
Completa el proceso de integración
En la consola de Google Cloud, en la página Test connector, haz clic en Test connector para verificar que Security Command Center pueda conectarse a tu entorno de AWS. Si la conexión se realiza correctamente, la prueba determina que el rol delegado tiene todos los permisos necesarios para asumir los roles de recopilador. Si la conexión no se realiza correctamente, consulta Cómo solucionar errores cuando se prueba la conexión.
Haz clic en Crear.
Personaliza la configuración del conector de AWS
En esta sección, se describen algunas de las formas en que puedes personalizar la conexión entre Security Command Center y AWS. Estas opciones están disponibles en la sección Opciones avanzadas (opcional) de la página Agregar conector de Amazon Web Services en la consola de Google Cloud.
De forma predeterminada, Security Command Center descubre automáticamente tus cuentas de AWS en todas las regiones de AWS. La conexión usa el extremo global predeterminado del servicio de token de seguridad de AWS y las consultas por segundo (QPS) predeterminadas para el servicio de AWS que estás supervisando. Estas opciones avanzadas te permiten personalizar los valores predeterminados.
Opción | Descripción |
---|---|
Agrega cuentas de conectores de AWS | Selecciona el campo Agregar cuentas automáticamente (recomendado) para permitir que Security Command Center descubra las cuentas de AWS automáticamente o selecciona Agregar cuentas de forma individual y proporciona una lista de cuentas de AWS que Security Command Center pueda usar para encontrar recursos. |
Cómo excluir cuentas de conectores de AWS | Si seleccionaste el campo Agregar cuentas de forma individual en la sección Agregar cuentas de conector de AWS, proporciona una lista de las cuentas de AWS que Security Command Center no debe usar para encontrar recursos. |
Selecciona regiones para recopilar datos | Selecciona una o más regiones de AWS para que Security Command Center recopile datos. Deja el campo Regiones de AWS vacío para recopilar datos de todas las regiones. |
Consultas por segundo (QPS) máximas para los servicios de AWS | Puedes cambiar el QPS para controlar el límite de cuota de Security Command Center. Establece la anulación en un valor inferior al valor predeterminado de ese servicio y superior o igual a 1 .
El valor predeterminado es el valor máximo. Si cambias el QPS, es posible que Security Command Center tenga problemas para recuperar datos. Por lo tanto, no recomendamos cambiar este valor. |
Extremo del servicio de tokens de seguridad de AWS | Puedes especificar un extremo específico para el servicio de tokens de seguridad de AWS (por ejemplo, https://sts.us-east-2.amazonaws.com ). Deja el campo Servicio de tokens de seguridad de AWS vacío para usar el extremo global predeterminado (https://sts.amazonaws.com ). |
Otorga permisos de descubrimiento de datos sensibles a un conector de AWS existente
Para realizar el descubrimiento de datos sensibles en tu contenido de AWS, necesitas un conector de AWS que tenga los permisos de IAM de AWS obligatorios.
En esta sección, se describe cómo otorgar esos permisos a un conector de AWS existente. Los pasos que debes seguir dependen de si configuraste tu entorno de AWS con plantillas de CloudFormation o de forma manual.
Actualiza un conector existente con plantillas de CloudFormation
Si configuraste tu entorno de AWS con plantillas de CloudFormation, sigue estos pasos para otorgar permisos de descubrimiento de datos sensibles a tu conector de AWS existente.
En la consola de Google Cloud, ve a la página Guía de configuración de Security Command Center.
Selecciona la organización en la que activaste el nivel de Security Command Center Enterprise. Se abrirá la página Guía de configuración.
Haz clic en Paso 3: Configura la integración de los servicios web de Amazon (AWS). Se abrirá la página Conectores.
En el conector de AWS, haz clic en > Editar.
MásEn la sección Revisar tipos de datos, selecciona Otorgar permisos para el descubrimiento de Sensitive Data Protection.
Haga clic en Continuar. Se abrirá la página Conectarse a AWS.
Haz clic en Descargar plantilla de rol delegado. La plantilla se descargará en tu computadora.
Haz clic en Descargar plantilla de rol de recopilador. La plantilla se descargará en tu computadora.
Haga clic en Continuar. Se abrirá la página Test connector. Aún no pruebes el conector.
En la consola de CloudFormation, actualiza la plantilla de pila para el rol delegado:
- Accede a la consola de la cuenta de delegado de AWS. Asegúrate de haber accedido a la cuenta de delegado que se usa para asumir otras cuentas de AWS del recopilador.
- Ve a la consola de AWS CloudFormation.
Reemplaza la plantilla de pila del rol delegado por la plantilla de rol delegado actualizada que descargaste.
Para obtener más información, consulta Cómo actualizar la plantilla de una pila (consola) en la documentación de AWS.
Actualiza el conjunto de pila para el rol de recopilador:
- Con una cuenta de administración de AWS o cualquier cuenta de miembro registrada como administrador delegado, ve a la consola de AWS CloudFormation.
Reemplaza la plantilla del conjunto de pilas para el rol de recopilador por la plantilla de rol de recopilador actualizada que descargaste.
Para obtener más información, consulta Cómo actualizar tu conjunto de pilas con la consola de AWS CloudFormation en la documentación de AWS.
Si necesitas recopilar datos de la cuenta de administración, accede a ella y reemplaza la plantilla en la pila del colector por la plantilla de rol de colector actualizada que descargaste.
Este paso es necesario porque los conjuntos de pilas de AWS CloudFormation no crean instancias de pilas en las cuentas de administración. Para obtener más información, consulta DeploymentTargets en la documentación de AWS.
En la consola de Google Cloud, en la página Probar conector, haz clic en Probar conector. Si la conexión se realiza correctamente, la prueba determina que el rol delegado tiene todos los permisos necesarios para asumir los roles de recopilador. Si la conexión no se realiza correctamente, consulta Cómo solucionar errores cuando se prueba la conexión.
Haz clic en Guardar.
Cómo actualizar un conector existente de forma manual
Si configuraste tus cuentas de AWS de forma manual cuando creaste el conector de AWS, sigue estos pasos para otorgar permisos de descubrimiento de datos sensibles a tu conector de AWS existente.
En la consola de Google Cloud, ve a la página Guía de configuración de Security Command Center.
Selecciona la organización en la que activaste el nivel de Security Command Center Enterprise. Se abrirá la página Guía de configuración.
Haz clic en Paso 3: Configura la integración de los servicios web de Amazon (AWS). Se abrirá la página Conectores.
En el conector de AWS, haz clic en > Editar.
MásEn la sección Revisar tipos de datos, selecciona Otorgar permisos para el descubrimiento de Sensitive Data Protection.
Haga clic en Continuar. Se abrirá la página Conectarse a AWS.
Haz clic en Configura cuentas de AWS manualmente (recomendado si usas parámetros de configuración avanzados o nombres de rol personalizados).
Copia los valores de los siguientes campos:
- Nombre del rol delegado
- Nombre de rol del recopilador
- Nombre del rol de recopilador de Sensitive Data Protection
Haga clic en Continuar. Se abrirá la página Test connector. Aún no pruebes el conector.
En la consola de la cuenta de AWS delegada, actualiza la política de IAM de AWS para que el rol delegado use el siguiente JSON:
{ "Version": "2012-10-17", "Statement": [ { "Action": "sts:AssumeRole", "Resource": [ "arn:aws:iam::*:role/COLLECTOR_ROLE_NAME", "arn:aws:iam::*:role/SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME" ], "Effect": "Allow" }, { "Action": [ "organizations:List*", "organizations:Describe*" ], "Resource": "*", "Effect": "Allow" } ] }
Reemplaza lo siguiente:
COLLECTOR_ROLE_NAME
: Es el nombre del rol de recopilador de datos de configuración que copiaste (el valor predeterminado esaws-collector-role
).SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME
: Es el nombre del rol de recopilador de Sensitive Data Protection que copiaste (el valor predeterminado esaws-sensitive-data-protection-role
).
Para obtener más información, consulta Cómo editar políticas administradas por el cliente (consola) en la documentación de AWS.
Para cada cuenta de recopilador, realiza estos procedimientos:
En la consola de Google Cloud, en la página Probar conector, haz clic en Probar conector. Si la conexión se realiza correctamente, la prueba determina que el rol delegado tiene todos los permisos necesarios para asumir los roles de recopilador. Si la conexión no se realiza correctamente, consulta Cómo solucionar errores cuando se prueba la conexión.
Haz clic en Guardar.
Soluciona problemas
En esta sección, se incluyen algunos problemas comunes que puedes encontrar cuando integras Security Command Center con AWS.
Los recursos ya existen
Este error ocurre en el entorno de AWS cuando intentas crear las políticas y los roles de IAM de AWS. Este problema se produce cuando el rol ya existe en tu cuenta de AWS y estás intentando volver a crearlo.
Para resolver este problema, realiza lo siguiente:
- Verifica si el rol o la política que estás creando ya existe y satisface los requisitos que se indican en esta guía.
- Si es necesario, cambia el nombre del rol para evitar conflictos.
El principal de la política no es válido
Este error puede ocurrir en el entorno de AWS cuando creas los roles de recopilador, pero el rol de delegado aún no existe.
Para resolver este problema, completa los pasos que se indican en Crea la política de IAM de AWS para el rol delegado y espera a que se cree el rol delegado antes de continuar.
Limitaciones de regulación en AWS
AWS limita las solicitudes a la API de cada cuenta de AWS por cuenta o por región. Para garantizar que no se superen estos límites cuando Security Command Center recopila datos de configuración de activos de AWS, Security Command Center recopila los datos a una QPS máxima fija para cada servicio de AWS, como se describe en la documentación de la API del servicio de AWS.
Si experimentas la limitación de solicitudes en tu entorno de AWS debido a las QPS que se consumen, puedes mitigar el problema completando lo siguiente:
En la página de configuración del conector de AWS, establece un QPS personalizado para el servicio de AWS que tiene problemas de limitación de solicitudes.
Restringe los permisos del rol de recopilador de AWS para que ya no se recopilen los datos de ese servicio específico. Esta técnica de mitigación evita que las simulaciones de las rutas de ataque funcionen correctamente en AWS.
Si revocas todos los permisos en AWS, se detendrá el proceso del recopilador de datos de inmediato. Si borras el conector de AWS, no se detendrá de inmediato el proceso del recopilador de datos, pero no se volverá a iniciar después de que finalice.
Soluciona problemas de errores cuando pruebas la conexión
Estos errores pueden ocurrir cuando pruebas la conexión entre Security Command Center y AWS.
AWS_FAILED_TO_ASSUME_DELEGATED_ROLE
La conexión no es válida porque el agente de servicio de Google Cloud no puede asumir el rol delegado.
Para resolver este problema, considera lo siguiente:
Verifica que exista el rol delegado. Para crearlo, consulta Crea un rol de IAM de AWS para la relación de confianza entre AWS y Google Cloud.
Falta la política intercalada del rol delegado. Sin él, el agente de servicio no puede asumir el rol. Para verificar que la política intercalada exista, consulta Crea un rol de IAM de AWS para la relación de confianza entre AWS y Google Cloud.
AWS_FAILED_TO_LIST_ACCOUNTS
La conexión no es válida porque el descubrimiento automático está habilitado y el rol delegado no puede recuperar todas las cuentas de AWS de las organizaciones.
Este problema indica que falta la política para permitir la acción organizations:ListAccounts
en el rol delegado en ciertos recursos. Para resolver este problema, verifica qué recursos faltan. Para verificar la configuración de la política delegada, consulta Crea la política de IAM de AWS para el rol delegado.
AWS_INVALID_COLLECTOR_ACCOUNTS
La conexión no es válida porque hay cuentas de recopilador no válidas. El mensaje de error incluye más información sobre las posibles causas, que incluyen las siguientes:
AWS_FAILED_TO_ASSUME_COLLECTOR_ROLE
La cuenta de recopilador no es válida porque el rol delegado no puede asumir el rol de recopilador en la cuenta de recopilador.
Para resolver este problema, considera lo siguiente:
Verifica que exista el rol de recopilador.
- Para crear el rol de recopilador de datos de configuración de activos, consulta Crea el rol de IAM de AWS para la recopilación de datos de configuración de activos en cada cuenta.
- Para crear el rol de recopilador de Protección de datos sensibles, consulta Crea el rol de IAM de AWS para la Protección de datos sensibles en cada cuenta.
Falta la política para permitir que el rol delegado asuma el rol de recopilador. Para verificar que la política exista, consulta Crea la política de IAM de AWS para el rol delegado.
AWS_COLLECTOR_ROLE_POLICY_MISSING_REQUIRED_PERMISSION
La conexión no es válida porque a la política del recopilador le faltan algunos de los parámetros de configuración de permisos necesarios.
Para resolver este problema, considera las siguientes causas:
Es posible que algunas de las políticas administradas de AWS requeridas no estén adjuntas al rol de recopilador para los datos de configuración de activos. Para verificar que todas las políticas estén asociadas, consulta el paso 6 en Crea el rol de IAM de AWS para la recopilación de datos de configuración de activos en cada cuenta.
Es posible que exista uno de los siguientes problemas con una política de recopilador:
- Es posible que la política del recopilador no exista.
- La política de recopilación no está adjunta al rol de recopilador.
- La política del recopilador no incluye todos los permisos necesarios.
Para resolver problemas con una política de recopilador, consulta lo siguiente:
¿Qué sigue?
- Si configuras Security Command Center Enterprise por primera vez, sigue con el paso 4 de la guía de configuración en la consola.
- Revisa y soluciona los hallazgos de vulnerabilidades de AWS.
- Crea y administra una postura de seguridad para AWS.
- Crea simulaciones de rutas de ataque para los recursos de AWS.
- Asigna el cumplimiento de los recursos de AWS a varios estándares y comparativas.