Conéctate a AWS para detectar vulnerabilidades y evaluar riesgos

Puedes conectar el nivel de Security Command Center Enterprise a tu entorno de AWS para puedes completar lo siguiente:

• Detecta y soluciona vulnerabilidades y parámetros de configuración incorrectos de software en tu entorno de AWS
• Crea y administra una postura de seguridad para AWS
• Identifica posibles rutas de ataque desde la Internet pública hasta tu red de alto valor Recursos de AWS
• Mapear el cumplimiento de los recursos de AWS con varios estándares y comparativas

Conectar Security Command Center a AWS crea un solo lugar para tu seguridad de operaciones para administrar y corregir amenazas y vulnerabilidades en toda Google Cloud y AWS.

Para permitir que Security Command Center supervise tu organización de AWS, debes configurar una de servicio de Google Cloud con un agente de servicio de Google Cloud y una cuenta de AWS que tenga acceso a los recursos que quieres supervisar. Security Command Center usa esta conexión para recopilar datos periódicamente todas las cuentas y regiones de AWS que definas.

En este documento, se describe cómo configurar la conexión con AWS. Al realizar la configuración una conexión, debes configurar lo siguiente:

• Una serie de cuentas en AWS que tienen acceso directo a la herramienta recursos que quieres supervisar. En la consola de Google Cloud, estos se denominan cuentas de recopilador.
• Una cuenta en AWS que tenga las políticas y los roles adecuados para permitir autenticación con las cuentas de recopilador. En la consola de Google Cloud, esta cuenta se denomina cuenta delegada. La cuenta delegada y las cuentas de colector deben estar en la misma organización de AWS.
• Un agente de servicio en Google Cloud que se conecta al para la autenticación.
• Una canalización para recopilar datos de los recursos de los recursos de AWS.
• (Opcional) Permisos de Sensitive Data Protection para el perfil tu contenido de AWS.

Esta conexión no se aplica a las capacidades de SIEM de Security Command Center que te permiten transferir registros de AWS para la detección de amenazas.

En el siguiente diagrama, se muestra esta configuración. El proyecto de usuario es un proyecto que se crea automáticamente y contiene tu canalización de recopilación de datos de recursos instancia.

Antes de comenzar

Completa estas tareas antes de completar las tareas restantes de esta página.

Activar el nivel de Security Command Center Enterprise

Completa los pasos 1 y 2 de la guía de configuración para activar Security Command Center Nivel empresarial.

Configura los permisos

Con el objetivo de obtener los permisos que necesitas para usar el conector de AWS, solicita a tu administrador que te otorgue el Rol de IAM de propietario de recursos de Cloud (roles/cloudasset.owner). Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso.

También puedes obtener los permisos necesarios mediante roles personalizados o cualquier otro rol predefinido.

Crea cuentas de AWS

Asegúrate de haber creado los siguientes recursos de AWS:

• Una IAM de AWS usuario con Acceso a IAM de AWS para las consolas de la cuenta de AWS delegados y colectores.

• La cuenta de AWS ID para una cuenta de AWS que se pueda usar como cuenta delegada. Si quieres Security Command Center para descubrir automáticamente las cuentas de AWS y buscar recursos, el la cuenta delegada debe estar conectada a una cuenta de AWS organización y ser una de las siguientes opciones:

  • Una cuenta de administración de AWS

  • Un administrador delegado de AWS

  • Una cuenta de AWS con una delegación basada en recursos política que proporciona los permisos organization y list. Por ejemplo consulta Ejemplo: Ver organizaciones, UO, cuentas y políticas.

Configura Security Command Center

1. En la consola de Google Cloud, ve a la página de configuración.

   Ir a la configuración

2. Selecciona la organización que activaste Nivel de Security Command Center Enterprise activado.

3. Haz clic en Paso 3: Configurar el conector de Amazon Web Services (AWS).

4. En ID de cuenta delegada, ingresa el ID de la cuenta de AWS que puedes usar como cuenta delegada.

5. Para permitir que Sensitive Data Protection genere el perfil de tus datos de AWS, conservar Otorgar permisos para la protección de datos sensibles discovery seleccionado. Esta opción agrega permisos de IAM de AWS en la Plantilla de CloudFormation para el recopilador .

   Permisos de IAM de AWS otorgados por esta opción

   • s3:GetBucketLocation
   • s3:ListAllMyBuckets
   • s3:GetBucketPolicyStatus
   • s3:ListBucket
   • s3:GetObject
   • iam:ListAttachedRolePolicies
   • iam:GetPolicy
   • iam:GetPolicyVersion
   • iam:ListRolePolicies
   • iam:GetRolePolicy
   • ce:GetCostAndUsage
   • dynamodb:DescribeTableReplicaAutoScaling
   • identitystore:ListGroupMemberships
   • identitystore:ListGroups
   • identitystore:ListUsers
   • lambda:GetFunction
   • lambda:GetFunctionConcurrency
   • logs:ListTagsForResource
   • s3express:GetBucketPolicy
   • s3express:ListAllMyDirectoryBuckets
   • wafv2:GetIPSet

   Esta opción solo otorga los permisos de AWS necesarios para la función de colector. Para generar perfiles de tus datos de AWS, habilita los datos sensibles discovery.

6. De manera opcional, revisa las opciones avanzadas.

7. Haga clic en Continuar. Se abre la página Conectarse a AWS.

8. Realiza una de las siguientes acciones:

   • Descarga y revisa las plantillas de CloudFormation para el rol delegado y el de recopilador.
   • Si configuraste las opciones avanzadas o necesitas cambiar la configuración predeterminada de AWS nombres de roles (aws-delegated-role, aws-collector-role y aws-sensitive-data-protection-role), selecciona Configurar cuentas de AWS manualmente. Copia el ID del agente de servicio, el nombre de rol delegado, el recopilador nombre del rol y el de rol recopilador de Sensitive Data Protection.

   No puedes cambiar los nombres de los roles después de crear la conexión.

No hagas clic en Crear. Más bien, Configura tu entorno de AWS.

Configura tu entorno de AWS

Puedes configurar tu entorno de AWS con uno de los siguientes métodos:

• Usa las plantillas de CloudFormation que descargaste en Configura Security Command Center. Para obtener instrucciones, consulta Usa las plantillas de CloudFormation para configurar tu entorno de AWS.
• Si usas parámetros de configuración o nombres de rol personalizados, configura el manualmente. Para obtener instrucciones, consulta Configura cuentas de AWS de forma manual.

Usa plantillas de CloudFormation para configurar tu entorno de AWS

Si descargaste plantillas CloudFormation, sigue estos pasos para configurar tu cuenta de AWS en un entorno de nube.

1. Accede a la cuenta delegada de AWS Console. Asegúrate de que que hayas accedido a la cuenta delegada que se usa para asumir otros cuentas de AWS de colector.
2. Ve a AWS CloudFormation. plantilla.

3. Crea una pila con el archivo de plantilla de roles delegados. Para obtener más información, consulta Crea una pila a partir de recursos existentes con la Administración de AWS Consola en la documentación de AWS.

   Mientras revisas las indicaciones, haz lo siguiente:

   1. Cuando especifiques una plantilla, sube el rol delegado archivo de plantilla.
   2. Cuando especifiques los detalles de la pila, ingresa un nombre para ella.

   3. Revisa los parámetros. Asegúrate de que los roles de delegado y recopilador coinciden con los que aparecen en la página Conectarse a AWS en la consola de Google Cloud.

   4. Según lo requiera tu organización, actualiza las opciones de la pila.

   Espera a que se cree la pila. Si se produce un problema, consulta Solución de problemas

   Si agregar cuentas de AWS de forma individual (inhabilitando la detección automática también puedes crear pilas separadas para cada cuenta de AWS de crear un único conjunto de pila.

4. Usar una cuenta de administración de AWS o cualquier cuenta de miembro que esté registrada como administrador delegado, crea un conjunto de pilas. Para obtener más información, consulta Crear un conjunto de pilas con políticas permisos en la documentación de AWS.

   Mientras revisas las indicaciones, haz lo siguiente:

   1. Cuando especifiques una plantilla, sube la plantilla de rol recopilador .
   2. Cuando especifiques los detalles de StackSet, verifica y actualiza el de cuentas delegadas y nombres de roles.
   3. Según lo requiera tu organización, configura las opciones del conjunto de pilas.

   4. Cuando especifiques las opciones de implementación, elige tus objetivos de implementación. Puede hacer una implementación en toda la organización de AWS unidad organizativa que incluya todas las cuentas de AWS que deseas para recopilar datos.

   5. Especifica las regiones de AWS en las que se crearán los roles y las políticas. Debido a que los roles son recursos globales, no necesitas especificar varios regiones.

   6. Cambia otros parámetros de configuración si es necesario.

   7. Revisa los cambios y crea el conjunto de pilas. Si recibes un mensaje de error, consulta Solución de problemas.

5. Implementa una pila separada para aprovisionar el rol de colector en porque un conjunto de pilas de AWS CloudFormation no crea instancias de pila en una cuenta de administración. Para obtener más información, consulta DeploymentTargets en la documentación de AWS.

Para completar el proceso de integración, consulta Completa el proceso de integración.

Configura cuentas de AWS manualmente

Si no puedes usar las plantillas de CloudFormation (p. ej., si usas o si personalizas la integración), puedes crear el las políticas de IAM de AWS requeridas y los roles de IAM de AWS de forma manual.

Debes crear políticas de IAM de AWS y roles de IAM de AWS para la cuenta delegada y las cuentas de recaudador.

Crea la política de IAM de AWS para el rol delegado

A fin de crear una política de IAM de AWS para el rol delegado (una política delegada), completa lo siguiente:

1. Accede al Consola de cuenta delegada de AWS.

2. Haz clic en Políticas > Crea una política.

3. Haz clic en JSON y pega una de las siguientes opciones, dependiendo de si seleccionaste la opción Otorgar permisos para la protección de datos sensibles descubrimiento en Configurar Security Command Center.

   Otorga permisos para la protección de datos sensibles descubrimiento: borrado

   {
     "Version": "2012-10-17",
     "Statement": [
         {
             "Action": "sts:AssumeRole",
             "Resource": "arn:aws:iam::*:role/COLLECTOR_ROLE_NAME",
             "Effect": "Allow"
         },
         {
             "Action": [
                 "organizations:List*",
                 "organizations:Describe*"
             ],
             "Resource": "*",
             "Effect": "Allow"
         }
     ]
   }
   

   Reemplaza COLLECTOR_ROLE_NAME por el nombre del que copiaste cuando configuraste Security Command Center (el el valor predeterminado es aws-collector-role).

   Otorga permisos para la protección de datos sensibles descubrimiento: seleccionado

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Action": "sts:AssumeRole",
         "Resource": [
           "arn:aws:iam::*:role/COLLECTOR_ROLE_NAME",
           "arn:aws:iam::*:role/SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME"
         ],
         "Effect": "Allow"
       },
       {
         "Action": [
           "organizations:List*",
           "organizations:Describe*"
         ],
         "Resource": "*",
         "Effect": "Allow"
       }
     ]
   }
   

   Reemplaza lo siguiente:

   • COLLECTOR_ROLE_NAME: Es el nombre de la de recopilador de datos de configuración que copiaste cuando configurar Security Command Center (el valor predeterminado es aws-collector-role)
   • SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME: el nombre del rol de recopilador de Sensitive Data Protection que copiaste cuando configurar Security Command Center (el valor predeterminado es aws-sensitive-data-protection-role)

4. Haz clic en Siguiente.

5. En la sección Detalles de la política, ingresa un nombre y una descripción para el .

6. Haz clic en Crear política.

Crea un rol de IAM de AWS para la relación de confianza entre AWS y Google Cloud

Crear un rol delegado que establezca una relación de confianza entre AWS y en Google Cloud. Este rol usa la política delegada que se creó en Crea la política de IAM de AWS para el rol delegado.

1. Accede al Consola de cuenta delegada de AWS como un usuario de AWS capaz de crear roles y políticas de IAM.

2. Haz clic en Roles > Crear rol

3. En Tipo de entidad de confianza, haz clic en Identidad en la Web.

4. En Proveedor de identidad, haz clic en Google.

5. En Público, ingresa el ID de la cuenta de servicio que copiaste cuando Security Command Center configurado. Haz clic en Siguiente.

6. Para otorgar al rol delegado acceso a los roles de colector, adjunta el las políticas de permisos del rol. Busca la política delegada que se creado en Crea la política de IAM de AWS para el rol delegado y selecciónalo.

7. En la sección Detalles del rol, ingresa el Nombre del rol delegado que que copiaste cuando Security Command Center configurado (el nombre predeterminado es aws-delegated-role).

8. Haz clic en Crear rol.

Crea la política de IAM de AWS para la recopilación de datos de configuración de recursos

Para crear una política de IAM de AWS para la recopilación de datos de configuración de recursos (un recopilador completa), completa lo siguiente:

1. Accede al Consola de la cuenta de recopilador de AWS.

2. Haz clic en Políticas > Crea una política.

3. Haz clic en JSON y pega lo siguiente:

   {
     "Version": "2012-10-17",
     "Statement": [
         {
             "Effect": "Allow",
             "Action": [
                 "ce:GetCostAndUsage",
                 "dynamodb:DescribeTableReplicaAutoScaling",
                 "identitystore:ListGroupMemberships",
                 "identitystore:ListGroups",
                 "identitystore:ListUsers",
                 "lambda:GetFunction",
                 "lambda:GetFunctionConcurrency",
                 "logs:ListTagsForResource",
                 "s3express:GetBucketPolicy",
                 "s3express:ListAllMyDirectoryBuckets",
                 "wafv2:GetIPSet"
             ],
             "Resource": [
                 "*"
             ]
         },
         {
             "Effect": "Allow",
             "Action": [
                 "apigateway:GET"
             ],
             "Resource": [
                 "arn:aws:apigateway:*::/usageplans",
                 "arn:aws:apigateway:*::/usageplans/*/keys",
                 "arn:aws:apigateway:*::/vpclinks/*"
             ]
         }
     ]
   
   }
   

4. Haz clic en Siguiente.

5. En la sección Detalles de la política, ingresa un nombre y una descripción para el .

6. Haz clic en Crear política.

7. Repite estos pasos para cada cuenta de cobro.

Crea el rol de IAM de AWS para la recopilación de datos de configuración de recursos en cada cuenta

Crea el rol de recopilador que permite que Security Command Center obtenga datos de configuración de recursos desde AWS. Este rol usa la política de recopilador que se creó en Crea la Política de IAM de AWS para datos de configuración de recursos colección.

1. Accede al Consola de la cuenta de recopilador de AWS como un usuario que puede crear roles de IAM para las cuentas de recopilador.

2. Haz clic en Roles > Crear rol

3. En Tipo de entidad de confianza, haz clic en Política de confianza personalizada.

4. En la sección Política de confianza personalizada, pega lo siguiente:

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
           "AWS": "arn:aws:iam::DELEGATE_ACCOUNT_ID:role/DELEGATE_ACCOUNT_ROLE"
         },
         "Action": "sts:AssumeRole"
       }
     ]
   }
   

   Reemplaza lo siguiente:

   • DELEGATE_ACCOUNT_ID: Es el ID de la cuenta de AWS de la cuenta delegada.
   • DELEGATE_ACCOUNT_ROLE: Es el nombre de rol delegado que que copiaste cuando configuraste Security Command Center.

5. Para otorgar a este rol de recopilador acceso a tus datos de configuración de recursos de AWS, adjuntar las políticas de permisos al rol. Buscar el recopilador personalizado política que se creó en Crea la política de IAM de AWS para la recopilación de datos de configuración de recursos. y selecciónalo.

6. Busca y selecciona las siguientes políticas administradas:

   • arn:aws:iam::aws:policy/job-function/ViewOnlyAccess
   • arn:aws:iam::aws:policy/SecurityAudit

7. En la sección Detalles del rol, ingresa el nombre de los datos de configuración. de recopilador de registros que copiaste cuando configuraste Security Command Center.

8. Haz clic en Crear rol.

9. Repite estos pasos para cada cuenta de cobro.

Si seleccionaste el botón Otorgar permisos para la protección de datos sensibles descubrimiento en Configurar Security Command Center y, luego, pasa al siguiente sección.

Si no habilitaste la opción Otorga permisos para la protección de datos sensibles descubrimiento y, luego, completa proceso de integración.

Crea la política de IAM de AWS para la protección de datos sensibles

Completa estos pasos si seleccionaste Otorgar permisos para Sensitive Data Protection discovery en Configura Security Command Center.

Para crear una política de IAM de AWS para Sensitive Data Protection (un recopilador completa), completa lo siguiente:

1. Accede al Consola de la cuenta de recopilador de AWS.

2. Haz clic en Políticas > Crea una política.

3. Haz clic en JSON y pega lo siguiente:

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Action": [
           "s3:GetBucketLocation",
           "s3:ListAllMyBuckets",
           "s3:GetBucketPolicyStatus",
           "s3:ListBucket",
           "s3:GetObject"
         ],
         "Resource": [
           "arn:aws:s3:::*"
         ]
       },
       {
         "Effect": "Allow",
         "Action": [
           "iam:ListAttachedRolePolicies",
           "iam:GetPolicy",
           "iam:GetPolicyVersion",
           "iam:ListRolePolicies",
           "iam:GetRolePolicy",
           "ce:GetCostAndUsage",
           "dynamodb:DescribeTableReplicaAutoScaling",
           "identitystore:ListGroupMemberships",
           "identitystore:ListGroups",
           "identitystore:ListUsers",
           "lambda:GetFunction",
           "lambda:GetFunctionConcurrency",
           "logs:ListTagsForResource",
           "s3express:GetBucketPolicy",
           "s3express:ListAllMyDirectoryBuckets",
           "wafv2:GetIPSet"
         ],
         "Resource": [
           "*"
         ]
       }
     ]
   }
   

4. Haz clic en Siguiente.

5. En la sección Detalles de la política, ingresa un nombre y una descripción para el .

6. Haz clic en Crear política.

7. Repite estos pasos para cada cuenta de cobro.

Crea el rol de IAM de AWS para Sensitive Data Protection en cada cuenta

Completa estos pasos si seleccionaste Otorgar permisos para Sensitive Data Protection discovery en Configura Security Command Center.

Crear el rol de recopilador que permite que Sensitive Data Protection genere el perfil de el contenido de tus recursos de AWS. Este rol usa la política de recopilador que se en Crea la política de IAM de AWS para Protección de datos sensibles.

1. Accede al Consola de la cuenta de recopilador de AWS como un usuario que puede crear roles de IAM para cuentas de recopilador.

2. Haz clic en Roles > Crear rol

3. En Tipo de entidad de confianza, haz clic en Política de confianza personalizada.

4. En la sección Política de confianza personalizada, pega lo siguiente:

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
           "AWS": "arn:aws:iam::DELEGATE_ACCOUNT_ID:role/DELEGATE_ACCOUNT_ROLE"
         },
         "Action": "sts:AssumeRole"
       }
     ]
   }
   

   Reemplaza lo siguiente:

   • DELEGATE_ACCOUNT_ID: Es el ID de la cuenta de AWS de la cuenta delegada
   • DELEGATE_ACCOUNT_ROLE: el rol delegado nombre que copiaste cuando configuraste Security Command Center

5. Para otorgar a este rol de recopilador acceso al contenido de tus recursos de AWS, haz lo siguiente: adjuntar las políticas de permisos al rol. Buscar el recopilador personalizado política que se creó en Crea la política de IAM de AWS para Protección de datos sensibles, y selecciónalo.

6. En la sección Detalles del rol, ingresa el nombre del rol para Sensitive Data Protection que copiaste cuando configuraste Security Command Center.

7. Haz clic en Crear rol.

8. Repite estos pasos para cada cuenta de recaudador.

Para completar el proceso de integración, consulta Completa el proceso de integración.

Completa el proceso de integración

1. En la consola de Google Cloud, ve a la página Agrega un conector de Amazon Web Services.

   Ir al conector de Amazon Web Services

2. Haz clic en Probar conector para verificar que Security Command Center pueda conectarse a tu entorno de AWS. Si la conexión es exitosa, la prueba determinó que el rol delegado tenga todos los permisos necesarios para asumir y recopilador de registros. Si la conexión no se realiza correctamente, consulta Solución de problemas errores cuando pruebas la conexión.

3. Haz clic en Crear.

Configuración personalizada

En esta sección, se describen algunas de las formas en las que puedes personalizar la conexión. entre Security Command Center y AWS. Estas opciones se encuentran disponibles en la pestaña Avanzado options (opcional) de la Agrega un conector de Amazon Web Services en la consola de Google Cloud.

De forma predeterminada, Security Command Center detecta automáticamente tus cuentas de AWS en todas las Regiones de AWS. La conexión usa el extremo global predeterminado para el servicio de tokens de seguridad de AWS y las consultas por segundo (QPS) predeterminadas para el servicio de AWS y supervisión de los datos. Estas opciones avanzadas te permiten personalizar los valores predeterminados.

Opción	Descripción
Especifica qué cuentas de AWS usar	Puedes permitir que Security Command Center descubra las cuentas de AWS automáticamente o puedes proporcionar una lista de cuentas de AWS que Security Command Center puede usar para buscar recursos.
Especifica qué cuentas de AWS se deben excluir	Si permites que Security Command Center descubra las cuentas automáticamente, puedes proporcionar una lista de cuentas de AWS que Security Command Center no puede usar para encontrar recursos.
Especifica qué regiones de AWS supervisar	Puedes seleccionar una o más regiones de AWS para que Security Command Center realice las siguientes acciones: supervisar. Deja el campo Regiones de AWS vacío para supervisar todas las regiones.
Anula las consultas por segundo (QPS) predeterminadas para servicios de AWS	Puedes cambiar las QPS para controlar el límite de cuota Security Command Center. Establece la anulación en un valor menor que la el valor predeterminado para ese servicio, mayor o igual que 1. El valor predeterminado es el valor máximo. Si cambias las QPS, Security Command Center podría tener problemas para recuperar los datos. Por lo tanto, no recomendamos cambiar este valor.
Cambia el extremo del servicio de tokens de seguridad de AWS	Puedes especificar un extremo específico para El servicio de tokens de seguridad (por ejemplo, https://sts.us-east-2.amazonaws.com). Abandona el recurso de AWS El campo del servicio de tokens de seguridad (AWS STS) (opcional) está vacío para usarlo el extremo global predeterminado (https://sts.amazonaws.com).

Soluciona problemas

Esta sección incluye algunos problemas habituales que podrías encontrar al e integrar Security Command Center con AWS.

Los recursos ya existen

Este error se produce en el entorno de AWS cuando intentas crear la IAM de AWS y roles de IAM de AWS. Este problema ocurre cuando el rol ya existe en tu cuenta de AWS y tratas de crearla de nuevo.

Para resolver este problema, realiza lo siguiente:

• Verifica si el rol o la política que estás creando ya existe y satisfaga los requisitos que se indican en esta guía.
• Si es necesario, cambia el nombre del rol para evitar conflictos.

Principal no válida en la política

Este error puede ocurrir en el entorno de AWS cuando creas el colector roles, pero el de delegado aún no existe.

Para resolver este problema, completa los pasos que se indican en Crea la política de IAM de AWS para rol delegado y esperar hasta que el rol delegado antes de continuar.

Limitaciones de regulación en AWS

AWS limita las solicitudes a la API para cada cuenta de AWS en una cuenta o por región base. Para garantizar que estos límites no se excedan cuando Security Command Center recopile de configuración de recursos de AWS, Security Command Center los recopila de QPS para cada servicio de AWS, tal como se describe en la documentación de la API para el servicio de AWS.

Si experimentas una limitación de solicitudes en tu entorno de AWS debido a las QPS puedes mitigar el problema completando lo siguiente:

• En la configuración del conector de AWS de la aplicación, establece una Las QPS del servicio de AWS que experimenta problemas de limitación de solicitudes.

• Restringe los permisos del rol de colector de AWS para que los datos de este un servicio específico ya no se recopilan. Esta técnica de mitigación evita que las simulaciones de rutas de ataque de AWS funcionen de forma correcta.

Revocar todos los permisos en AWS detiene el proceso de recopilación de datos de inmediato. Borrar el conector de AWS no detiene los datos de inmediato recopilador de imágenes, pero no volverá a iniciarse cuando finalice.

Soluciona errores cuando pruebas la conexión

Estos errores pueden ocurrir cuando pruebas la conexión entre Security Command Center y AWS.

AWS_FAILED_TO_ASSUME_DELEGATED_ROLE

La conexión no es válida porque el agente de servicio de Google Cloud no puede suponer el rol delegado.

Para resolver este problema, considera lo siguiente:

• Verifica que el rol delegado exista. Para crearlo, consulta Crea una función de IAM de AWS para la relación de confianza entre AWS y Google Cloud.

• Falta la política intercalada del rol delegado. Sin ella, el agente de servicio no puede asumir ese rol. Para verificar que la etiqueta existe una política, consulta Crea una función de IAM de AWS para la relación de confianza entre AWS y Google Cloud.

AWS_FAILED_TO_LIST_ACCOUNTS

La conexión no es válida porque el descubrimiento automático está habilitado y el no puede obtener todas las cuentas de AWS de las organizaciones.

Este problema indica que la política que permite Falta la acción organizations:ListAccounts en el rol delegado en ciertos de Google Cloud. Para resolver este problema, verifica qué recursos faltan. Para verificar la configuración de la política delegada, consulta Crea la política de IAM de AWS para el rol delegado.

AWS_INVALID_COLLECTOR_ACCOUNTS

La conexión no es válida porque hay cuentas de recaudador no válidas. El incluye más información sobre las posibles causas, que incluyen lo siguiente:

• AWS_FAILED_TO_ASSUME_COLLECTOR_ROLE
• AWS_COLLECTOR_ROLE_POLICY_MISSING_REQUIRED_PERMISSION

AWS_FAILED_TO_ASSUME_COLLECTOR_ROLE

La cuenta de recaudador no es válida porque el rol delegado no puede asumir la de recopilador en la cuenta de recopilador.

Para resolver este problema, considera lo siguiente:

• Verifica que exista el rol recopilador.

  • Si deseas crear el rol de recopilador para los datos de configuración de recursos, consulta Crea el Rol de IAM de AWS para la recopilación de datos de configuración de recursos en cada cuenta de servicio.
  • Para crear el rol de recopilador de Sensitive Data Protection, consulta Cómo crear el rol de IAM de AWS para Sensitive Data Protection en cada cuenta de servicio.

• La política que permite que el rol delegado asuma el recopilador o si falta un rol. Para verificar que la política existe, consulta Crea la política de IAM de AWS para el rol delegado.

AWS_COLLECTOR_ROLE_POLICY_MISSING_REQUIRED_PERMISSION

La conexión no es válida porque a la política de recopilador le faltan algunos de los la configuración de permisos requerida.

Para resolver este problema, considera las siguientes causas:

• Es posible que algunas de las políticas administradas de AWS obligatorias no se adjunten al de recopilador de imágenes para los datos de configuración de recursos. Para verificar que todas las políticas consulta el paso 6 en Crea el rol de IAM de AWS para la configuración de recursos recopilación de datos en cada cuenta de servicio.

• Es posible que se presente uno de los siguientes problemas con una política de recopilador:

  • Es posible que la política de recopilador no exista.
  • La política de recopilador no está vinculada al rol de recopilador.
  • La política de recopilador no incluye todos los permisos necesarios.

  Para resolver problemas con una política de recopilador, consulta lo siguiente:

  • Crea la política de IAM de AWS para los datos de configuración de recursos colección
  • Crea la política de IAM de AWS para Protección de datos sensibles

¿Qué sigue?

• Continúa con el paso 4 de la guía de configuración del Console.
• Revisa y corrige los hallazgos de vulnerabilidades de AWS.
• Crea y administra una cuenta de seguridad de seguridad para AWS.
• Crear simulaciones de rutas de ataque para AWS recursos.
• Asigna el cumplimiento de AWS recursos con varias estándares y comparativas.