您可以将 Security Command Center Enterprise 层级连接到您的 Amazon Web Services (AWS) 环境,以便执行以下操作:
- 检测和修复 AWS 环境中的软件漏洞和错误配置
- 为 AWS 创建和管理安全状况
- 识别从公共互联网到您的高价值 AWS 资产的潜在攻击路径
- 将 AWS 资源的合规性与各种标准和基准进行映射
将 Security Command Center 与 AWS 相关联后,安全运营团队便可在一个位置管理和修复 Google Cloud 和 AWS 中的威胁和漏洞。
若要让 Security Command Center 指挥中心监控您的 AWS 组织,您必须使用 Google Cloud 服务代理和有权访问您要监控的资源的 AWS 账号来配置连接。Security Command Center 会使用此连接定期收集您定义的所有 AWS 账号和区域中的数据。
您可以为每个 Google Cloud 组织创建一个 AWS 关联。该连接器使用 API 调用来收集 AWS 资产数据。这些 API 调用可能会产生 AWS 费用。
本文档介绍了如何设置与 AWS 的连接。设置连接时,您需要配置以下内容:
- AWS 中的一系列账号,这些账号可以直接访问您要监控的 AWS 资源。在 Google Cloud 控制台中,这些账号称为“收集器账号”。
- AWS 中的账号,具有适当的政策和角色,可对收集器账号进行身份验证。在 Google Cloud 控制台中,此账号称为委托账号。委托账号和收集器账号必须位于同一 AWS 组织中。
- Google Cloud 中的服务代理,用于连接到委托账号以进行身份验证。
- 用于从 AWS 资源收集资产数据的流水线。
- (可选)授予 Sensitive Data Protection 对您的 AWS 内容进行分析的权限。
此连接不适用于 Security Command Center 的 SIEM 功能,该功能可让您注入 AWS 日志以进行威胁检测。
下图展示了此配置。租户项目是自动创建的项目,其中包含您的素材资源数据收集流水线实例。
准备工作
请先完成这些任务,然后再完成本页面上的其余任务。
激活 Security Command Center Enterprise 层级
完成设置指南的第 1 步和第 2 步,以激活 Security Command Center Enterprise 层级。
设置权限
如需获得使用 AWS 连接器所需的权限,请让管理员向您授予 Cloud Asset Owner (roles/cloudasset.owner) IAM 角色。
如需详细了解如何授予角色,请参阅管理对项目、文件夹和组织的访问权限。
创建 AWS 账号
确保您已创建以下 AWS 资源:
- 具有委托账号和收集器 AWS 账号控制台的 AWS IAM 访问权限的 AWS IAM 用户。
您可以用作委托账号的 AWS 账号的 AWS 账号 ID。如果您希望 Security Command Center 自动发现 AWS 账号以查找资源,则委托的账号必须附加到 AWS 组织,并且属于以下任一类型:
一个 AWS 管理账号。
具有基于资源的委托政策的 AWS 账号,该政策可提供
organization和list权限。如需查看政策示例,请参阅示例:查看组织、OU、账号和政策。
配置 AWS 连接器
在 Google Cloud 控制台中,前往 Security Command Center 的设置向导页面。
选择您已为其启用 Security Command Center Enterprise 层级的组织。系统随即会打开设置指南页面。
点击第 3 步:设置 Amazon Web Services (AWS) 集成。“连接器”页面随即会打开。
依次选择添加连接器 > Amazon Web Services。系统会打开配置连接器页面。
在委托账号 ID 中,输入您要用作委托账号的 AWS 账号的 AWS 账号 ID。
如需让 Sensitive Data Protection 分析您的 AWS 数据,请选中为 Sensitive Data Protection 发现服务授予权限。此选项会在收集器角色的 CloudFormation 模板中添加 AWS IAM 权限。
此选项授予的 AWS IAM 权限
s3:GetBucketLocations3:ListAllMyBucketss3:GetBucketPolicyStatuss3:ListBuckets3:GetObjects3:GetObjectVersions3:GetBucketPublicAccessBlocks3:GetBucketOwnershipControlss3:GetBucketTaggingiam:ListAttachedRolePoliciesiam:GetPolicyiam:GetPolicyVersioniam:ListRolePoliciesiam:GetRolePolicyce:GetCostAndUsagedynamodb:DescribeTableReplicaAutoScalingidentitystore:ListGroupMembershipsidentitystore:ListGroupsidentitystore:ListUserslambda:GetFunctionlambda:GetFunctionConcurrencylogs:ListTagsForResources3express:CreateSessions3express:GetBucketPolicys3express:ListAllMyDirectoryBucketswafv2:GetIPSet
(可选)查看并修改高级选项。 如需了解其他选项,请参阅自定义 AWS 连接器配置。
点击继续。系统会打开连接到 AWS 页面。
完成下列操作之一:
- 下载并查看委托角色和收集器角色的 CloudFormation 模板。
- 如果您配置了高级选项或需要更改默认的 AWS 角色名称(aws-delegated-role、aws-collector-role 和 aws-sensitive-data-protection-role),请选择手动配置 AWS 账号。复制服务代理 ID、委托的角色名称、收集器角色名称和 Sensitive Data Protection 收集器角色名称。
创建关联后,您无法更改角色名称。
请勿点击创建。请改为配置 AWS 环境。
配置 AWS 环境
您可以使用以下方法之一设置 AWS 环境:
- 使用您在配置 Security Command Center 中下载的 CloudFormation 模板。如需了解相关说明,请参阅使用 CloudFormation 模板设置 AWS 环境。
- 如果您使用自定义设置或角色名称,请手动配置 AWS 账号。如需查看相关说明,请参阅手动配置 AWS 账号。
使用 CloudFormation 模板设置 AWS 环境
如果您下载了 CloudFormation 模板,请按照以下步骤设置您的 AWS 环境。
- 登录 AWS 受托账号控制台。确保您已登录用于冒用其他收集器 AWS 账号(即 AWS 管理账号或已注册为受托管理员的任何成员账号)的受托账号。
- 前往 AWS CloudFormation 模板控制台。
创建用于预配委托角色的堆栈:
- 在堆栈页面上,依次点击创建堆栈 > 使用新资源(标准)。
- 指定模板时,请上传委派角色模板文件。
- 指定堆栈详细信息时,请输入堆栈名称。
如果您更改了委托角色、收集器角色或敏感数据保护角色的角色名称,请相应地更新参数。您输入的参数必须与 Google Cloud 控制台中的关联到 AWS 页面中列出的参数一致。
根据贵组织的要求,更新堆栈选项。
在检查并创建页面上,选择我确认 AWS CloudFormation 可能会创建具有自定义名称的 IAM 资源。
点击提交以创建堆栈。
等待堆栈创建完毕。如果出现问题,请参阅问题排查。如需了解详情,请参阅 AWS 文档中的在 AWS CloudFormation 控制台中创建堆栈。
创建用于预配收集器角色的堆栈集。
- 在 StackSet 页面上,点击 Create StackSet(创建 StackSet)。
点击由服务管理的权限。
指定模板时,请上传收集器角色模板文件。
指定 StackSet 详细信息时,请输入堆栈集名称和说明。
输入委托账号 ID。
如果您更改了委托角色、收集器角色或敏感数据保护角色的角色名称,请相应地更新参数。您输入的参数必须与 Google Cloud 控制台中的关联到 AWS 页面中列出的参数一致。
根据贵组织的要求,配置堆栈集选项。
指定部署选项时,请选择部署目标。 您可以部署到整个 AWS 组织,也可以部署到包含您要从中收集数据的所有 AWS 账号的组织部门 (OU)。
指定要在其中创建角色和政策的 AWS 区域。由于角色是全球性资源,因此您无需指定多个区域。
根据需要更改其他设置。
检查所做更改,然后点击提交以创建堆栈集。 如果您收到错误消息,请参阅问题排查。如需了解详情,请参阅 AWS 文档中的创建使用服务管理权限的堆栈集。
如果您需要从管理账号收集数据,请登录管理账号并部署单独的堆栈以预配收集器角色。指定模板时,请上传收集器角色模板文件。
由于 AWS CloudFormation 堆栈集不会在管理账号中创建堆栈实例,因此需要执行此步骤。如需了解详情,请参阅 AWS 文档中的 DeploymentTargets。
如需完成集成流程,请参阅完成集成流程。
手动配置 AWS 账号
如果您无法使用 CloudFormation 模板(例如,您使用的是其他角色名称或正在自定义集成),则可以手动创建所需的 AWS IAM 政策和 AWS IAM 角色。
您必须为委托账号和收集器账号创建 AWS IAM 政策和 AWS IAM 角色。
为委托的角色创建 AWS IAM 政策
如需为委托角色创建 AWS IAM 政策(委托政策),请完成以下操作:
登录 AWS 受托账号控制台。
依次点击政策 > 创建政策。
点击 JSON,然后粘贴以下代码之一,具体取决于您是否在配置 Security Command Center 中选中了为敏感数据保护发现结果授予权限复选框。
为 Sensitive Data Protection 发现服务授予权限:已清除
{ "Version": "2012-10-17", "Statement": [ { "Action": "sts:AssumeRole", "Resource": "arn:aws:iam::*:role/COLLECTOR_ROLE_NAME", "Effect": "Allow" }, { "Action": [ "organizations:List*", "organizations:Describe*" ], "Resource": "*", "Effect": "Allow" } ] }将
COLLECTOR_ROLE_NAME替换为您在配置 Security Command Center 时复制的收集器角色的名称(默认为aws-collector-role)。为 Sensitive Data Protection 发现服务授予权限:已选中
{ "Version": "2012-10-17", "Statement": [ { "Action": "sts:AssumeRole", "Resource": [ "arn:aws:iam::*:role/COLLECTOR_ROLE_NAME", "arn:aws:iam::*:role/SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME" ], "Effect": "Allow" }, { "Action": [ "organizations:List*", "organizations:Describe*" ], "Resource": "*", "Effect": "Allow" } ] }替换以下内容:
COLLECTOR_ROLE_NAME:您在配置 Security Command Center 时复制的配置数据收集器角色的名称(默认为aws-collector-role)SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME:您在配置 Security Command Center 时复制的敏感数据保护收集器角色的名称(默认为aws-sensitive-data-protection-role)
点击下一步。
在政策详情部分,输入政策的名称和说明。
点击创建政策。
为 AWS 和 Google Cloud 之间的信任关系创建 AWS IAM 角色
创建委托角色,以便在 AWS 和 Google Cloud 之间建立受信任的关系。此角色使用在为委托角色创建 AWS IAM 政策中创建的委托政策。
以可以创建 IAM 角色和政策的 AWS 用户身份登录 AWS 受托账号控制台。
依次点击 Roles > Create role。
对于可信实体类型,点击 Web Identity(Web 身份)。
对于 Identity Provider(身份提供方),点击 Google。
对于受众群体,请输入您在配置 Security Command Center 时复制的服务代理 ID。点击下一步。
如需向委托的角色授予对收集器角色的访问权限,请将权限政策附加到该角色。搜索在为委托角色创建 AWS IAM 政策中创建的委托政策,然后将其选中。
在角色详情部分,输入您在配置 Security Command Center 时复制的委派角色名称(默认名称为
aws-delegated-role)。点击 Create role。
创建用于收集资产配置数据的 AWS IAM 政策
如需创建用于收集资产配置数据的 AWS IAM 政策(收集器政策),请完成以下操作:
登录 AWS 收集器账号控制台。
依次点击政策 > 创建政策。
点击 JSON 并粘贴以下内容:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ce:GetCostAndUsage", "dynamodb:DescribeTableReplicaAutoScaling", "identitystore:ListGroupMemberships", "identitystore:ListGroups", "identitystore:ListUsers", "lambda:GetFunction", "lambda:GetFunctionConcurrency", "logs:ListTagsForResource", "s3express:GetBucketPolicy", "s3express:ListAllMyDirectoryBuckets", "wafv2:GetIPSet" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "apigateway:GET" ], "Resource": [ "arn:aws:apigateway:*::/usageplans", "arn:aws:apigateway:*::/usageplans/*/keys", "arn:aws:apigateway:*::/vpclinks/*" ] } ] }点击下一步。
在政策详情部分,输入政策的名称和说明。
点击创建政策。
针对每个收集器账号重复上述步骤。
在每个账号中创建用于收集资产配置数据的 AWS IAM 角色
创建收集器角色,以便 Security Command Center 从 AWS 获取资产配置数据。此角色使用在创建用于收集资产配置数据的 AWS IAM 政策中创建的收集器政策。
以可以为收集器账号创建 IAM 角色的用户身份登录 AWS 收集器账号控制台。
依次点击 Roles > Create role。
对于可信实体类型,点击自定义信任政策。
在自定义信任政策部分,粘贴以下内容:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::DELEGATE_ACCOUNT_ID:role/DELEGATE_ACCOUNT_ROLE" }, "Action": "sts:AssumeRole" } ] }替换以下内容:
DELEGATE_ACCOUNT_ID:委托账号的 AWS 账号 IDDELEGATE_ACCOUNT_ROLE:您在配置 Security Command Center 时复制的委托角色名称。
如需向此收集器角色授予对您的 AWS 资产配置数据的访问权限,请将权限政策附加到该角色。搜索在创建用于收集资产配置数据的 AWS IAM 政策中创建的自定义收集器政策,然后将其选中。
搜索并选择以下受管政策:
- arn:aws:iam::aws:policy/job-function/ViewOnlyAccess
- arn:aws:iam::aws:policy/SecurityAudit
在角色详情部分中,输入您在配置 Security Command Center 时复制的配置数据收集器角色的名称。
点击 Create role。
针对每个收集器账号重复上述步骤。
如果您在配置 Security Command Center 中选中了为敏感数据保护发现结果授予权限复选框,请继续下一部分。
如果您未启用为 Sensitive Data Protection 发现服务授予权限复选框,请完成集成流程。
为敏感数据保护创建 AWS IAM 政策
如果您在配置 Security Command Center 中选中了为敏感数据保护发现结果授予权限复选框,请完成以下步骤。
如需为敏感数据保护创建 AWS IAM 政策(收集器政策),请完成以下操作:
登录 AWS 收集器账号控制台。
依次点击政策 > 创建政策。
点击 JSON 并粘贴以下内容:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:ListAllMyBuckets", "s3:GetBucketPolicyStatus", "s3:ListBucket", "s3:GetObject", "s3:GetObjectVersion", "s3:GetBucketPublicAccessBlock", "s3:GetBucketOwnershipControls", "s3:GetBucketTagging" ], "Resource": ["arn:aws:s3:::*"] }, { "Effect": "Allow", "Action": [ "iam:ListAttachedRolePolicies", "iam:GetPolicy", "iam:GetPolicyVersion", "iam:ListRolePolicies", "iam:GetRolePolicy", "ce:GetCostAndUsage", "dynamodb:DescribeTableReplicaAutoScaling", "identitystore:ListGroupMemberships", "identitystore:ListGroups", "identitystore:ListUsers", "lambda:GetFunction", "lambda:GetFunctionConcurrency", "logs:ListTagsForResource", "s3express:GetBucketPolicy", "s3express:ListAllMyDirectoryBuckets", "wafv2:GetIPSet" ], "Resource": ["*"] }, { "Effect": "Allow", "Action": [ "s3express:CreateSession" ], "Resource": ["arn:aws:s3express:*:*:bucket/*"] } ] }点击下一步。
在政策详情部分,输入政策的名称和说明。
点击创建政策。
针对每个收集器账号重复上述步骤。
在每个账号中为 Sensitive Data Protection 创建 AWS IAM 角色
如果您在配置 Security Command Center 中选中了为敏感数据保护发现结果授予权限复选框,请完成以下步骤。
创建收集器角色,以便 Sensitive Data Protection 对 AWS 资源的内容进行分析。此角色使用在为敏感数据保护创建 AWS IAM 政策中创建的收集器政策。
以可以为收集器账号创建 IAM 角色的用户身份登录 AWS 收集器账号控制台。
依次点击 Roles > Create role。
对于可信实体类型,点击自定义信任政策。
在自定义信任政策部分,粘贴以下内容:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::DELEGATE_ACCOUNT_ID:role/DELEGATE_ACCOUNT_ROLE" }, "Action": "sts:AssumeRole" } ] }替换以下内容:
DELEGATE_ACCOUNT_ID:受托账号的 AWS 账号 IDDELEGATE_ACCOUNT_ROLE:您在配置 Security Command Center 时复制的委托角色名称
如需向此收集器角色授予对 AWS 资源内容的访问权限,请将权限政策附加到该角色。搜索在创建用于敏感数据保护的 AWS IAM 政策中创建的自定义收集器政策,并将其选中。
在角色详情部分,输入您在配置 Security Command Center 时复制的敏感数据保护角色的名称。
点击 Create role。
针对每个收集器账号重复上述步骤。
如需完成集成流程,请参阅完成集成流程。
完成集成流程
在 Google Cloud 控制台中,点击 Test connector 页面上的 Test connector,验证 Security Command Center 是否可以连接到您的 AWS 环境。如果连接成功,则表示测试确定委托的角色具有承担收集器角色的所有必要权限。如果连接失败,请参阅排查测试连接时出现的错误。
点击创建。
自定义 AWS 连接器配置
本部分介绍了自定义 Security Command Center 与 AWS 之间连接的一些方法。这些选项位于 Google Cloud 控制台的添加 Amazon Web Services 连接器页面中的高级选项(可选)部分。
默认情况下,Security Command Center 会自动发现您在所有 AWS 区域中的 AWS 账号。该连接使用 AWS Security Token Service 的默认全局端点,以及您所监控的 AWS 服务的默认每秒查询次数 (QPS)。您可以使用这些高级选项来自定义默认值。
| 选项 | 说明 |
|---|---|
| 添加 AWS 连接器账号 | 选择 Automatically add accounts(推荐)字段,让 Security Command Center 自动发现 AWS 账号;或者选择 Individually add accounts,并提供 Security Command Center 可用于查找资源的 AWS 账号列表。 |
| 排除 AWS 连接器账号 | 如果您选择了添加 AWS 连接器账号部分下的单独添加账号字段,请提供 Security Command Center 不应用于查找资源的 AWS 账号列表。 |
| 选择要收集数据的区域 | 选择一个或多个 AWS 区域,以便 Security Command Center 从中收集数据。如需从所有区域收集数据,请将 AWS 区域字段留空。 |
| AWS 服务的每秒查询次数 (QPS) 上限 | 您可以更改 QPS 来控制 Security Command Center 的配额限制。将替换项设置为小于该服务的默认值且大于或等于 1 的值。
默认值为最大值。如果您确实更改了 QPS,Security Command Center 可能会在提取数据时遇到问题。因此,我们不建议更改此值。 |
| AWS Security Token Service 的端点 | 您可以为 AWS Security Token Service 指定特定端点(例如 https://sts.us-east-2.amazonaws.com)。如果将 AWS Security Token Service 字段留空,则系统会使用默认的全球端点 (https://sts.amazonaws.com)。 |
向现有 AWS 连接器授予敏感数据发现权限
若要对 AWS 内容执行敏感数据发现,您需要具有所需的 AWS IAM 权限的 AWS 连接器。
本部分介绍了如何向现有 AWS 连接器授予这些权限。您需要执行的步骤取决于您是使用 CloudFormation 模板还是手动配置 AWS 环境。
使用 CloudFormation 模板更新现有连接器
如果您使用 CloudFormation 模板设置 AWS 环境,请按照以下步骤为现有 AWS 连接器授予敏感数据发现权限。
在 Google Cloud 控制台中,前往 Security Command Center 的设置向导页面。
选择您已为其启用 Security Command Center Enterprise 层级的组织。系统随即会打开设置指南页面。
点击第 3 步:设置 Amazon Web Services (AWS) 集成。连接器页面随即会打开。
对于 AWS 连接器,请依次点击 更多 > 修改。
在查看数据类型部分中,选择为敏感数据保护发现功能授予权限。
点击继续。系统会打开连接到 AWS 页面。
点击下载委派角色模板。模板会下载到您的计算机。
点击下载收集器角色模板。模板会下载到您的计算机。
点击继续。系统随即会打开测试连接器页面。暂时不要测试连接器。
在 CloudFormation 控制台中,更新委托角色的堆栈模板:
- 登录 AWS 受托账号控制台。请确保您已登录用于假冒其他收集器 AWS 账号的受托账号。
- 前往 AWS CloudFormation 控制台。
将委托角色的堆栈模板替换为您下载的更新后的委托角色模板。
如需了解详情,请参阅 AWS 文档中的更新堆栈的模板(控制台)。
更新收集器角色的堆栈集:
- 使用 AWS 管理账号或已注册为受托管理员的任何成员账号,前往 AWS CloudFormation 控制台。
将收集器角色的堆栈集模板替换为您下载的更新后的收集器角色模板。
如需了解详情,请参阅 AWS 文档中的使用 AWS CloudFormation 控制台更新堆栈集。
如果您需要从管理账号收集数据,请登录该管理账号,然后将收集器堆栈中的模板替换为您下载的更新后的收集器角色模板。
由于 AWS CloudFormation 堆栈集不会在管理账号中创建堆栈实例,因此需要执行此步骤。如需了解详情,请参阅 AWS 文档中的 DeploymentTargets。
在 Google Cloud 控制台中,点击“Test connector”(测试连接器)页面上的 Test connector(测试连接器)。如果连接成功,则表示测试确定委托的角色具有承担收集器角色的所有必要权限。如果连接失败,请参阅排查测试连接时出现的错误。
点击保存。
手动更新现有连接器
如果您在创建 AWS 连接器时手动配置了 AWS 账号,请按照以下步骤为现有 AWS 连接器授予敏感数据发现权限。
在 Google Cloud 控制台中,前往 Security Command Center 的设置向导页面。
选择您已为其启用 Security Command Center Enterprise 层级的组织。系统随即会打开设置指南页面。
点击第 3 步:设置 Amazon Web Services (AWS) 集成。连接器页面随即会打开。
对于 AWS 连接器,请依次点击 更多 > 修改。
在查看数据类型部分中,选择为敏感数据保护发现功能授予权限。
点击继续。系统会打开连接到 AWS 页面。
点击手动配置 AWS 账号(如果您使用高级设置或自定义角色名称,建议使用)。
复制以下字段的值:
- 委派角色名称
- 收集器角色名称
- Sensitive Data Protection 收集器角色名称
点击继续。系统随即会打开测试连接器页面。暂时不要测试连接器。
在 AWS 受托账号控制台中,更新受托角色的 AWS IAM 政策,以使用以下 JSON:
{ "Version": "2012-10-17", "Statement": [ { "Action": "sts:AssumeRole", "Resource": [ "arn:aws:iam::*:role/COLLECTOR_ROLE_NAME", "arn:aws:iam::*:role/SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME" ], "Effect": "Allow" }, { "Action": [ "organizations:List*", "organizations:Describe*" ], "Resource": "*", "Effect": "Allow" } ] }替换以下内容:
COLLECTOR_ROLE_NAME:您复制的配置数据收集器角色的名称(默认为aws-collector-role)SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME:您复制的 Sensitive Data Protection 收集器角色的名称(默认为aws-sensitive-data-protection-role)
如需了解详情,请参阅 AWS 文档中的修改客户管理的政策(控制台)。
对于每个收集器账号,请执行以下步骤:
在 Google Cloud 控制台中,点击“Test connector”(测试连接器)页面上的 Test connector(测试连接器)。如果连接成功,则表示测试确定委托的角色具有承担收集器角色的所有必要权限。如果连接失败,请参阅排查测试连接时出现的错误。
点击保存。
问题排查
本部分介绍了您在将 Security Command Center 与 AWS 集成时可能会遇到的一些常见问题。
资源已存在
当您尝试创建 AWS IAM 政策和 AWS IAM 角色时,AWS 环境中会出现此错误。如果角色已在您的 AWS 账号中存在,而您又尝试重新创建该角色,就会出现此问题。
如需解决此问题,请完成以下步骤:
- 检查您要创建的角色或政策是否已存在,以及是否符合本指南中列出的要求。
- 如有必要,请更改角色名称以避免冲突。
政策中的主要人员无效
在 AWS 环境中创建收集器角色时,如果委托角色尚不存在,可能会出现此错误。
如需解决此问题,请完成为委托角色创建 AWS IAM 政策中的步骤,并等待委托角色创建完毕后再继续。
AWS 中的节流限制
AWS 会按账号或按区域限制每个 AWS 账号的 API 请求。为确保 Security Command Center 从 AWS 收集资产配置数据时不会超出这些限制,Security Command Center 会以每个 AWS 服务的固定最大 QPS 收集数据,如 AWS 服务的 API 文档中所述。
如果您在 AWS 环境中因消耗的 QPS 而遇到请求节流问题,可以通过完成以下操作来缓解此问题:
在 AWS 连接器设置页面中,为遇到请求节流问题的 AWS 服务设置自定义 QPS。
限制 AWS 收集器角色的权限,以便不再收集来自该特定服务的数据。此缓解措施会导致攻击路径模拟无法在 AWS 上正常运行。
撤消 AWS 中的所有权限会立即停止数据收集器进程。删除 AWS 连接器不会立即停止数据收集器进程,但该进程在完成后不会再次启动。
排查测试连接时出现的错误
在测试 Security Command Center 与 AWS 之间的连接时,可能会发生这些错误。
AWS_FAILED_TO_ASSUME_DELEGATED_ROLE
连接无效,因为 Google Cloud 服务代理无法承担委派的角色。
如需解决此问题,请考虑以下事项:
验证委托的角色是否存在。如需创建此角色,请参阅为 AWS 和 Google Cloud 之间的信任关系创建 AWS IAM 角色。
委托角色的嵌入式政策缺失。否则,服务代理将无法承担该角色。如需验证内嵌政策是否存在,请参阅为 AWS 和 Google Cloud 之间的信任关系创建 AWS IAM 角色。
AWS_FAILED_TO_LIST_ACCOUNTS
连接无效,因为自动发现已启用,而委派角色无法获取组织中的所有 AWS 账号。
此问题表示,某些资源缺少允许对委托角色执行 organizations:ListAccounts 操作的政策。如需解决此问题,请验证缺少哪些资源。如需验证委托政策的设置,请参阅为委托角色创建 AWS IAM 政策。
AWS_INVALID_COLLECTOR_ACCOUNTS
连接无效,因为存在无效的 Collector 账号。错误消息包含有关可能原因的更多信息,包括:
AWS_FAILED_TO_ASSUME_COLLECTOR_ROLE
收集器账号无效,因为委派的角色无法在收集器账号中承担收集器角色。
如需解决此问题,请考虑以下事项:
验证收集器角色是否存在。
- 如需为资产配置数据创建收集器角色,请参阅在每个账号中创建用于收集资产配置数据的 AWS IAM 角色。
- 如需为敏感数据保护创建收集器角色,请参阅在每个账号中创建敏感数据保护的 AWS IAM 角色。
缺少允许委托角色假定收集器角色的政策。如需验证该政策是否存在,请参阅为委托角色创建 AWS IAM 政策。
AWS_COLLECTOR_ROLE_POLICY_MISSING_REQUIRED_PERMISSION
由于收集器政策缺少一些必需的权限设置,因此连接无效。
如需解决此问题,请考虑以下原因:
一些必需的 AWS 托管式政策可能未附加到用于收集资产配置数据的收集器角色。如需验证是否已附加所有政策,请参阅为每个账号创建用于收集资产配置数据的 AWS IAM 角色中的第 6 步。
收集器政策可能存在以下某个问题:
- 收集器政策可能不存在。
- 收集器政策未附加到收集器角色。
- 收集器政策未包含所有必需的权限。
如需解决收集器政策方面的问题,请参阅以下内容:
后续步骤
- 如果您是首次设置 Security Command Center Enterprise,请继续执行控制台设置指南中的第 4 步。
- 查看和修复 AWS 中的漏洞发现结果。
- 为 AWS 创建和管理安全状况。
- 为 AWS 资源创建攻击路径模拟。
- 将 AWS 资源的合规性与各种标准和基准进行对应。