Esta página se ha traducido con Cloud Translation API.

Conectarse a AWS para recoger datos de configuración y recursos

Enterprise

Conecta el nivel Enterprise de Security Command Center a tu entorno de Amazon Web Services (AWS) para poder hacer lo siguiente:

Detecta y corrige las vulnerabilidades de software y los errores de configuración en tu entorno de AWS
Crear y gestionar una postura de seguridad para AWS
Identificar posibles rutas de ataque desde Internet pública a tus recursos de AWS de alto valor
Mapear el cumplimiento de los recursos de AWS con varios estándares y comparativas

Cuando conectas Security Command Center a AWS, se crea un único lugar para que tu equipo de operaciones de seguridad gestione y corrija las amenazas y vulnerabilidades deGoogle Cloud y AWS.

Para permitir que Security Command Center monitorice tu organización de AWS, debes configurar una conexión mediante un Google Cloud agente de servicio y una cuenta de AWS que tenga acceso a los recursos que quieras monitorizar. Security Command Center usa esta conexión para recoger periódicamente datos de todas las cuentas y regiones de AWS que definas. Estos datos se tratan de la misma forma que los Datos de Servicio, de acuerdo con el Aviso de Privacidad de Google Cloud.

Puede crear una conexión a AWS por cada Google Cloud organización. El conector usa llamadas a la API para recoger datos de recursos de AWS. Estas llamadas a la API pueden generar cargos de AWS.

En este documento se describe cómo configurar la conexión con AWS. Cuando configuras una conexión, debes especificar lo siguiente:

Una serie de cuentas de AWS que tienen acceso directo a los recursos de AWS que quieres monitorizar. En la Google Cloud consola, estas cuentas se denominan cuentas de recogida.
Una cuenta de AWS que tiene las políticas y los roles adecuados para permitir la autenticación en las cuentas de recopilador. En la Google Cloud consola, esta cuenta se denomina cuenta delegada. Tanto la cuenta delegada como las cuentas de recogida deben pertenecer a la misma organización de AWS.
Un agente de servicio que se conecta a la cuenta delegada para la autenticación. Google Cloud
Una canalización para recoger datos de activos de recursos de AWS.
(Opcional) Permisos de Protección de Datos Sensibles para crear perfiles de tu contenido de AWS.

El conector no ingiere los registros de AWS necesarios para las funciones de detección seleccionadas de SIEM en Security Command Center Enterprise. Para obtener información sobre cómo ingerir estos datos, consulta Conectarse a AWS para la ingesta de registros.

Esta conexión no se aplica a las funciones de SIEM de Security Command Center que te permiten ingerir registros de AWS para detectar amenazas.

En el siguiente diagrama se muestra esta configuración. El proyecto de arrendatario es un proyecto que se crea automáticamente y contiene la instancia de la canalización de recogida de datos de sus recursos.

Configuración de AWS y Security Command Center.

Descripción general de los pasos de configuración

Después de completar los pasos de la sección Antes de empezar, sigue los pasos de cada sección para conectar el nivel Enterprise de Security Command Center a tu entorno de Amazon Web Services (AWS):

Configurar el conector de AWS
Configura tu entorno de AWS con uno de los siguientes métodos:
- Automáticamente con plantillas de CloudFormation
- Manualmente introduciendo cuentas de AWS
Completa el proceso de integración del conector de AWS

Antes de empezar

Completa estas tareas antes de completar las tareas restantes de esta página.

Configurar permisos en Google Cloud

Para obtener los permisos que necesitas para usar el conector de AWS, pide a tu administrador que te conceda el rol de gestión de identidades y accesos Propietario de Cloud Asset (roles/cloudasset.owner). Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar acceso a proyectos, carpetas y organizaciones.

También puedes conseguir los permisos necesarios a través de roles personalizados u otros roles predefinidos.

Crear cuentas de AWS

Asegúrate de que tienes los siguientes recursos de AWS:

Un usuario de AWS IAM con acceso a AWS IAM para las consolas de la cuenta de AWS delegada y de la cuenta de AWS del recopilador.
El ID de cuenta de AWS de una cuenta de AWS que puedes usar como cuenta delegada. La cuenta delegada debe cumplir los siguientes requisitos:
- La cuenta delegada debe estar asociada a una organización de AWS. Para adjuntar una cuenta a una organización de AWS, sigue estos pasos:
  1. Crea o identifica una organización a la que adjuntar la cuenta delegada.
  2. Invita a la cuenta delegada a unirse a la organización.
- La cuenta delegada debe ser una de las siguientes:
  - Una cuenta de administración de AWS.
  - Un administrador delegado de AWS.
  - Una cuenta de AWS con una política de delegación basada en recursos que proporcione el permiso organizations:ListAccounts. Para ver un ejemplo de política, consulta Crear una política de delegación basada en recursos con AWS Organizations en la documentación de AWS.

Configurar el conector de AWS

Abre la pestaña Conectores de la página Configuración.

Ir a Conectores
Selecciona la organización en la que has activado Security Command Center Enterprise.
Selecciona Conectores > Añadir conector > Amazon Web Services.
En ID de cuenta delegada, introduzca el ID de la cuenta de AWS que puede usar como cuenta delegada.
Para permitir que Protección de Datos Sensibles cree un perfil de tus datos de AWS, deja seleccionada la opción Conceder permisos para la detección de Protección de Datos Sensibles. Esta opción añade permisos de Gestión de Identidades y Accesos (IAM) de AWS en la plantilla de CloudFormation del rol del recopilador.
Permisos de gestión de identidades y accesos de AWS concedidos por esta opción
- s3:GetBucketLocation
- s3:ListAllMyBuckets
- s3:GetBucketPolicyStatus
- s3:ListBucket
- s3:GetObject
- s3:GetObjectVersion
- s3:GetBucketPublicAccessBlock
- s3:GetBucketOwnershipControls
- s3:GetBucketTagging
- iam:ListAttachedRolePolicies
- iam:GetPolicy
- iam:GetPolicyVersion
- iam:ListRolePolicies
- iam:GetRolePolicy
- ce:GetCostAndUsage
- dynamodb:DescribeTableReplicaAutoScaling
- identitystore:ListGroupMemberships
- identitystore:ListGroups
- identitystore:ListUsers
- lambda:GetFunction
- lambda:GetFunctionConcurrency
- logs:ListTagsForResource
- s3express:CreateSession
- s3express:GetBucketPolicy
- s3express:ListAllMyDirectoryBuckets
- wafv2:GetIPSet
Nota: Esta opción solo concede los permisos de AWS necesarios al rol de recopilador. Para crear un perfil de tus datos de AWS, habilita la detección de datos sensibles después de crear este conector de AWS.
También puede revisar y editar las opciones avanzadas. Consulta Personalizar la configuración del conector de AWS para obtener información sobre otras opciones.
Haz clic en Continuar. Se abrirá la página Connect to AWS (Conectar con AWS).
Selecciona una de las opciones siguientes:
- Usa plantillas de AWS CloudFormation y, a continuación, descarga y revisa las plantillas de CloudFormation para el rol delegado y el rol de recopilador.
- Configurar cuentas de AWS manualmente: selecciona esta opción si has configurado las opciones avanzadas o necesitas cambiar los nombres de los roles de AWS predeterminados (aws-delegated-role, aws-collector-role y aws-sensitive-data-protection-role). Copia el ID del agente de servicio, el nombre del rol delegado, el nombre del rol de recopilador y el nombre del rol de recopilador de Protección de Datos Sensibles.
No puedes cambiar los nombres de los roles después de crear la conexión.

No haga clic en Guardar ni en Continuar. En su lugar, configura tu entorno de AWS.

Configurar el entorno de AWS

Puede configurar su entorno de AWS mediante uno de los siguientes métodos:

Usa las plantillas de CloudFormation que descargaste en Configurar el conector de AWS. Para obtener instrucciones, consulta Usar plantillas de CloudFormation para configurar tu entorno de AWS.
Configura las cuentas de AWS manualmente si utilizas ajustes o nombres de rol personalizados. Para obtener instrucciones, consulta el artículo Configurar cuentas de AWS manualmente.

Usar plantillas de CloudFormation para configurar el entorno de AWS

Si has descargado plantillas de CloudFormation, sigue estos pasos generales para configurar tu entorno de AWS:

Inicia sesión en la consola de la cuenta delegada de AWS. Asegúrate de haber iniciado sesión en la cuenta delegada que se usa para asumir otras cuentas de AWS de recopilación de datos (es decir, una cuenta de gestión de AWS o cualquier cuenta de miembro registrada como administrador delegado).
Crea una pila que aprovisione el rol delegado. Para obtener más información, consulta Crear un stack.

Ten en cuenta lo siguiente:
- Si has cambiado el nombre del rol delegado, del rol de recopilador o del rol de Protección de Datos Sensibles, actualiza los parámetros correspondientes. Los parámetros que introduzca deben coincidir con los que se indican en la página Connect to AWS (Conectar con AWS) de la consola de Google Cloud .
- Espera a que se cree la pila. Si se produce un error, consulta la sección Solución de problemas. Para obtener más información, consulta el artículo sobre cómo crear una pila en la consola de AWS CloudFormation en la documentación de AWS.
Crea una pila que aprovisione los roles del recolector. Para obtener más información sobre cómo hacerlo, consulta Crear StackSets de CloudFormation con permisos gestionados por el servicio.

Ten en cuenta lo siguiente:

Si has añadido cuentas de AWS de forma individual (seleccionando Añadir cuentas de forma individual al configurar el conector en laGoogle Cloud consola), también puedes crear pilas independientes para cada cuenta de AWS en lugar de crear un solo conjunto de pilas.
- Los permisos gestionados por el servicio son la opción recomendada. Puedes elegir usar permisos autogestionados, pero en ese caso debes conceder los permisos manualmente. Nota: Si elige los permisos autogestionados, puede elegir en qué cuentas de AWS quiere implementar. La plantilla de CloudFormation no admite una lista de cuentas de AWS que se incluyan o excluyan, tal como se describe en Configuración personalizada. Si quiere crear una lista de cuentas de AWS para incluir o excluir, el conjunto de pilas podría crear algunas pilas que no sean necesarias. Puedes ignorar o quitar esos rastreos.
  - Si has cambiado el nombre del rol delegado, del rol de recopilador o del rol de Protección de Datos Sensibles, actualiza los parámetros correspondientes. Los parámetros que introduzca deben coincidir con los que se indican en la página Connect to AWS (Conectar con AWS) de la consola de Google Cloud .
  - Configura las opciones de conjunto de pilas según los requisitos de tu organización.
  - Cuando especifiques las opciones de implementación, elige los destinos de implementación. Puede implementar la solución en toda la organización de AWS o en una unidad organizativa que incluya todas las cuentas de AWS de las que quiera recoger datos.
  - Especifica las regiones de AWS en las que quieres crear los roles y las políticas. Como los roles son recursos globales, no es necesario especificar varias regiones.
  - Si recibes un error, consulta la sección Solución de problemas. Para obtener más información, consulta el artículo Crear StackSets de CloudFormation con permisos gestionados por el servicio de la documentación de AWS.
1. Si necesita recoger datos de la cuenta de gestión, inicie sesión en ella e implemente una pila independiente para aprovisionar los roles del recolector. Cuando especifique la plantilla, suba el archivo de plantilla de rol de recolector.
Este paso es necesario porque los conjuntos de pilas de AWS CloudFormation no crean instancias de pila en las cuentas de gestión. Para obtener más información, consulta DeploymentTargets en la documentación de AWS.

Sigue los pasos que se indican en Completa el proceso de integración.

Configurar cuentas de AWS manualmente

Si no puedes usar las plantillas de CloudFormation (por ejemplo, si usas nombres de roles diferentes o personalizas la integración), puedes crear manualmente las políticas y los roles de gestión de identidades y accesos de AWS necesarios.

Revisa y completa estas secciones en el siguiente orden:

Crea la política de gestión de identidades y accesos de AWS para el rol delegado
Crea un rol de gestión de identidades y accesos de AWS para la relación de confianza entre AWS y Google Cloud
Crear la política de gestión de identidades y accesos de AWS para la recogida de datos de configuración de activos
Crear el rol de gestión de identidades y accesos de AWS para la recogida de datos de configuración de activos en cada cuenta
Crear la política de gestión de identidades y accesos de AWS para Protección de Datos Sensibles

Debes crear políticas y roles de gestión de identidades y accesos de AWS para la cuenta delegada y las cuentas de recopilación.

Crear la política de gestión de identidades y accesos de AWS para el rol delegado

Para crear una política de gestión de identidades y accesos de AWS para el rol delegado (una política delegada), sigue los pasos que se indican en el artículo Crear una política de la documentación de AWS.

Cuando crees la política, pega una de las siguientes opciones en el paso de JSON, en función de si has marcado la casilla Conceder permisos para la detección de datos sensibles en Configurar Security Command Center.

Conceder permisos para el descubrimiento de Protección de Datos Sensibles: completado

    {
      "Version": "2012-10-17",
      "Statement": [
          {
              "Action": "sts:AssumeRole",
              "Resource": "arn:aws:iam:::role/COLLECTOR_ROLE_NAME",
              "Effect": "Allow"
          },
          {
              "Action": [
                  "organizations:List",
                  "organizations:Describe"
              ],
              "Resource": "",
              "Effect": "Allow"
          }
      ]
    }

Sustituye COLLECTOR_ROLE_NAME por el nombre del rol de recopilador que has copiado al configurar Security Command Center (el valor predeterminado es aws-collector-role).

Conceder permisos para el descubrimiento de Protección de Datos Sensibles: seleccionado

    {
      "Version": "2012-10-17",
      "Statement": [
        {
          "Action": "sts:AssumeRole",
          "Resource": [
            "arn:aws:iam::*:role/COLLECTOR_ROLE_NAME",
            "arn:aws:iam::*:role/SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME"
          ],
          "Effect": "Allow"
        },
        {
          "Action": [
            "organizations:List*",
            "organizations:Describe*"
          ],
          "Resource": "*",
          "Effect": "Allow"
        }
      ]
    }

Haz los cambios siguientes:

COLLECTOR_ROLE_NAME: el nombre del rol de recopilador de datos de configuración que copiaste al configurar Security Command Center (el valor predeterminado es aws-collector-role).
SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME: el nombre del rol de recopilador de Protección de Datos Sensibles que copiaste al configurar Security Command Center (el valor predeterminado es aws-sensitive-data-protection-role).

Crear un rol de gestión de identidades y accesos de AWS para la relación de confianza entre AWS y Google Cloud

Crea un rol delegado que establezca una relación de confianza entre AWS y Google Cloud. Este rol usa la política delegada que se creó en Crear la política de gestión de identidades y accesos de AWS para el rol delegado.

Sigue las instrucciones de Crear un rol para OIDC en la documentación de AWS.

Cuando crees el rol, especifica lo siguiente:

Tipo de entidad de confianza: elige Identidad web.
Proveedor de identidades: elige Google.
Audiencia: introduce el ID del agente de servicio que has copiado al configurar Security Command Center.
Para conceder acceso al rol delegado a los roles de recopilador, adjunta las políticas de permisos al rol. Busca la política delegada que se creó en Crear la política de gestión de identidades y accesos de AWS para el rol delegado y selecciónala.
Detalles del rol: introduce el nombre del rol delegado que copiaste al configurar Security Command Center (el nombre predeterminado es aws-delegated-role).

Crear la política de gestión de identidades y accesos de AWS para la recogida de datos de configuración de recursos

Para crear una política de gestión de identidades y accesos de AWS para la recogida de datos de configuración de activos (una política de recopilador), siga estos pasos:

Sigue los pasos que se indican en Crear una política de la documentación de AWS y repite estos pasos según sea necesario para cada cuenta de recopilador.

Cuando crees el rol, especifica lo siguiente en el paso JSON:

{
  "Version": "2012-10-17",
  "Statement": [
      {
          "Effect": "Allow",
          "Action": [
              "ce:GetCostAndUsage",
              "dynamodb:DescribeTableReplicaAutoScaling",
              "identitystore:ListGroupMemberships",
              "identitystore:ListGroups",
              "identitystore:ListUsers",
              "lambda:GetFunction",
              "lambda:GetFunctionConcurrency",
              "logs:ListTagsForResource",
              "s3express:GetBucketPolicy",
              "s3express:ListAllMyDirectoryBuckets",
              "wafv2:GetIPSet"
          ],
          "Resource": [
              "*"
          ]
      },
      {
          "Effect": "Allow",
          "Action": [
              "apigateway:GET"
          ],
          "Resource": [
              "arn:aws:apigateway:*::/usageplans",
              "arn:aws:apigateway:*::/usageplans/*/keys",
              "arn:aws:apigateway:*::/vpclinks/*"
          ]
      }
  ]

}

Crear el rol de gestión de identidades y accesos de AWS para la recogida de datos de configuración de recursos en cada cuenta

Crea el rol de recopilador que permite a Security Command Center obtener datos de configuración de recursos de AWS. Este rol usa la política de recopilador que se creó en Crear la política de gestión de identidades y accesos de AWS para la recopilación de datos de configuración de activos.

Sigue los pasos que se indican en el artículo Crear un rol personalizado de la documentación de AWS y repite estos pasos según sea necesario para cada cuenta de recopilador.

En la política de confianza personalizada, añade lo siguiente:
```
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::DELEGATE_ACCOUNT_ID:role/DELEGATE_ACCOUNT_ROLE"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}
```
Haz los cambios siguientes:
- DELEGATE_ACCOUNT_ID: el ID de cuenta de AWS de la cuenta delegada
- DELEGATE_ACCOUNT_ROLE: el nombre del rol delegado que copiaste cuando configuraste Security Command Center.
- Para conceder acceso a este rol de recopilador a los datos de configuración de tus recursos de AWS, adjunta las políticas de permisos al rol. Busca la política de recopilador personalizado que se creó en Crear la política de IAM de AWS para la recopilación de datos de configuración de recursos y selecciónala.
- Busca y selecciona las siguientes políticas gestionadas:
  - arn:aws:iam::aws:policy/job-function/ViewOnlyAccess
  - arn:aws:iam::aws:policy/SecurityAudit
- En la sección Role details (Detalles del rol), introduce el nombre del rol de recopilador de datos de configuración que has copiado al configurar Security Command Center.

Si ha marcado la casilla Grant permissions for Sensitive Data Protection discovery (Conceder permisos para la detección de Sensitive Data Protection) en Configure Security Command Center (Configurar Security Command Center), vaya a la siguiente sección.

Si no has marcado la casilla Grant permissions for Sensitive Data Protection discovery (Conceder permisos para la detección de Sensitive Data Protection), completa el proceso de integración.

Crear la política de gestión de identidades y accesos de AWS para Protección de Datos Sensibles

Sigue estos pasos si has marcado la casilla Conceder permisos para la detección de Sensitive Data Protection en Configurar Security Command Center.

Para crear una política de gestión de identidades y accesos de AWS para Protección de Datos Sensibles (una política de recopilador), sigue estos pasos:

Sigue los pasos que se indican en el artículo Crear un rol personalizado de la documentación de AWS y repítelos según sea necesario para cada cuenta de recopilador.

Cuando crees el rol personalizado, especifica lo siguiente en el paso JSON:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:GetBucketLocation",
        "s3:ListAllMyBuckets",
        "s3:GetBucketPolicyStatus",
        "s3:ListBucket",
        "s3:GetObject",
        "s3:GetObjectVersion",
        "s3:GetBucketPublicAccessBlock",
        "s3:GetBucketOwnershipControls",
        "s3:GetBucketTagging"
      ],
      "Resource": ["arn:aws:s3:::*"]
    },
    {
      "Effect": "Allow",
      "Action": [
        "iam:ListAttachedRolePolicies",
        "iam:GetPolicy",
        "iam:GetPolicyVersion",
        "iam:ListRolePolicies",
        "iam:GetRolePolicy",
        "ce:GetCostAndUsage",
        "dynamodb:DescribeTableReplicaAutoScaling",
        "identitystore:ListGroupMemberships",
        "identitystore:ListGroups",
        "identitystore:ListUsers",
        "lambda:GetFunction",
        "lambda:GetFunctionConcurrency",
        "logs:ListTagsForResource",
        "s3express:GetBucketPolicy",
        "s3express:ListAllMyDirectoryBuckets",
        "wafv2:GetIPSet"
      ],
      "Resource": ["*"]
    },
    {
      "Effect": "Allow",
      "Action": [
          "s3express:CreateSession"
      ],
      "Resource": ["arn:aws:s3express:*:*:bucket/*"]
    }
  ]
}

Crear el rol de gestión de identidades y accesos de AWS para Protección de Datos Sensibles en cada cuenta

Sigue estos pasos si has marcado la casilla Grant permissions for Sensitive Data Protection discovery (Conceder permisos para el descubrimiento de Sensitive Data Protection) en Configure the AWS connector (Configurar el conector de AWS).

Crea el rol de recopilador que permite a Protección de Datos Sensibles crear perfiles del contenido de tus recursos de AWS. Este rol usa la política de recopilador que se creó en Crear la política de gestión de identidades y accesos de AWS para Protección de Datos Sensibles.

Sigue los pasos que se indican en el artículo Crear un rol de gestión de identidades y accesos mediante una política de confianza personalizada (consola) de la documentación de AWS y repite los pasos según sea necesario para cada cuenta de recopilador.

Cuando crees la política, especifica lo siguiente:
- Tipo de entidad de confianza: elige Política de confianza personalizada.
- En la política de confianza personalizada, pega lo siguiente:
```
{
"Version": "2012-10-17",
"Statement": [
  {
    "Effect": "Allow",
    "Principal": {
      "AWS": "arn:aws:iam::DELEGATE_ACCOUNT_ID:role/DELEGATE_ACCOUNT_ROLE"
    },
    "Action": "sts:AssumeRole"
  }
]
}
```
  Haz los cambios siguientes:
  - DELEGATE_ACCOUNT_ID: el ID de cuenta de AWS de la cuenta delegada
  - DELEGATE_ACCOUNT_ROLE: el nombre del rol delegado que copiaste al configurar Security Command Center
- Para conceder acceso a este rol de recopilador al contenido de tus recursos de AWS, adjunta las políticas de permisos al rol. Busca la política de recopilador personalizado que se creó en Crear la política de IAM de AWS para Protección de Datos Sensibles y selecciónala.
- En los detalles del rol, introduce el nombre del rol de Protección de Datos Sensibles que has copiado al configurar Security Command Center.

Sigue los pasos que se indican en Completa el proceso de integración.

Completar la configuración del conector de AWS

Vuelve a la página Conectar con AWS y haz clic en Continuar.
En la consola, en la página Probar conector, haz clic en Probar conector para verificar que Security Command Center puede conectarse a tu entorno de AWS. Google Cloud Si la conexión se realiza correctamente, la prueba habrá determinado que el rol delegado tiene todos los permisos necesarios para asumir los roles de recopilador. Si no se establece la conexión, consulta el artículo Solucionar errores al probar la conexión.
Haz clic en Guardar.

Personalizar la configuración del conector de AWS

En esta sección se describen algunas de las formas en las que puede personalizar la conexión entre Security Command Center y AWS. Estas opciones están disponibles en la sección Opciones avanzadas (opcional) de la página Añadir conector de Amazon Web Services de la consola de Google Cloud .

De forma predeterminada, Security Command Center descubre automáticamente tus cuentas de AWS en todas las regiones de AWS. La conexión usa el endpoint global predeterminado del servicio de token de seguridad de AWS y las consultas por segundo (QPS) predeterminadas del servicio de AWS que estés monitorizando. Estas opciones avanzadas te permiten personalizar los valores predeterminados.

Opción	Descripción
Añadir cuentas de conector de AWS	Selecciona una opción en función de tus preferencias: Añadir cuentas automáticamente (opción recomendada): selecciona esta opción para que Security Command Center descubra las cuentas de AWS automáticamente. Añadir cuentas individualmente: selecciona esta opción para añadir cuentas de AWS manualmente.
Excluir cuentas de conector de AWS	Si ha seleccionado Añadir cuentas automáticamente en la sección Añadir cuentas de conector de AWS, proporcione una lista de cuentas de AWS que Security Command Center no debería usar para buscar recursos.
Introduce las cuentas de conector de AWS	Si ha seleccionado Añadir cuentas individualmente en la sección Añadir cuentas de conector de AWS, proporcione una lista de cuentas de AWS que Security Command Center pueda usar para encontrar recursos.
Seleccionar regiones para recoger datos	Seleccione una o varias regiones de AWS para que Security Command Center recoja datos de ellas. Deje el campo Regiones de AWS vacío para recoger datos de todas las regiones.
Máximo de consultas por segundo (CPS) para los servicios de AWS	Puedes cambiar las QPS para controlar el límite de cuota de Security Command Center. Asigna al valor de anulación un valor inferior al valor predeterminado de ese servicio y superior o igual a `1`. El valor predeterminado es el valor máximo. Si cambias el QPS, Security Command Center podría tener problemas para obtener datos. Por lo tanto, no recomendamos cambiar este valor.
Endpoint de AWS Security Token Service	Puede especificar un endpoint concreto para el servicio de tokens de seguridad de AWS (por ejemplo, `https://sts.us-east-2.amazonaws.com`). Deje el campo Servicio de tokens de seguridad de AWS vacío para usar el endpoint global predeterminado (`https://sts.amazonaws.com`).

Conceder permisos de descubrimiento de datos sensibles a un conector de AWS

Para detectar datos sensibles en tu contenido de AWS, necesitas un conector de AWS que tenga los permisos de IAM de AWS necesarios.

En esta sección se describe cómo conceder esos permisos a un conector de AWS. Los pasos que debes seguir dependen de si has configurado tu entorno de AWS con plantillas de CloudFormation o manualmente.

Actualizar un conector con plantillas de CloudFormation

Si configuraste tu entorno de AWS con plantillas de CloudFormation, sigue estos pasos para conceder permisos de detección de datos sensibles a tu conector de AWS.

En la Google Cloud consola, ve a Configuración > Configuración de SCC.

Ir a Ajustes
Selecciona la organización en la que has activado Security Command Center Enterprise.
Selecciona Conectores. Se abrirá la página Configurar conector.
En el conector AWS, haga clic en Más opciones > Editar.
En la sección Revisar tipos de datos, selecciona Conceder permisos para la detección de Sensitive Data Protection.
Haz clic en Continuar. Se abrirá la página Connect to AWS (Conectar con AWS).
Haz clic en Descargar plantilla de rol delegado. La plantilla se descargará en tu ordenador.
Haga clic en Descargar plantilla de rol de recolector. La plantilla se descargará en tu ordenador.
Haz clic en Continuar. Se abrirá la página Probar conector. No pruebes el conector todavía.
En la consola de CloudFormation, actualice la plantilla de la pila del rol delegado:
1. Inicia sesión en la consola de la cuenta delegada de AWS. Asegúrate de haber iniciado sesión en la cuenta delegada que se usa para asumir otras cuentas de AWS del recopilador.
2. Ve a la consola AWS CloudFormation.
3. Sustituye la plantilla de pila del rol delegado por la plantilla de rol delegado actualizada que has descargado.
  
  Para obtener más información, consulta Actualizar la plantilla de una pila (consola) en la documentación de AWS.
Actualiza el conjunto de pilas de la función de recopilador:
1. Con una cuenta de administración de AWS o cualquier cuenta de miembro registrada como administrador delegado, ve a la consola de AWS CloudFormation.
2. Sustituye la plantilla del conjunto de pilas del rol de recopilador por la plantilla actualizada del rol de recopilador que has descargado.
  
  Para obtener más información, consulta el artículo Actualizar un conjunto de pilas con la consola de AWS CloudFormation de la documentación de AWS.
Si necesita recoger datos de la cuenta de gestión, inicie sesión en ella y sustituya la plantilla de la pila del recolector por la plantilla de rol de recolector actualizada que ha descargado.

Este paso es necesario porque los conjuntos de pilas de AWS CloudFormation no crean instancias de pila en las cuentas de gestión. Para obtener más información, consulta DeploymentTargets en la documentación de AWS.
En la consola Google Cloud , en la página Probar conector, haz clic en Probar conector. Si la conexión se realiza correctamente, la prueba habrá determinado que el rol delegado tiene todos los permisos necesarios para asumir los roles del recolector. Si no se establece la conexión, consulta el artículo Solucionar errores al probar la conexión.
Haz clic en Guardar.

Actualizar manualmente un conector

Si configuraste tus cuentas de AWS manualmente al crear el conector de AWS, sigue estos pasos para conceder permisos de detección de datos sensibles a tu conector de AWS.

Abre la pestaña Conectores de la página Configuración.

Ir a Conectores
Selecciona la organización en la que has activado Security Command Center Enterprise.
En el conector AWS, haga clic en Más opciones > Editar.
En la sección Revisar tipos de datos, selecciona Conceder permisos para la detección de Sensitive Data Protection.
Haz clic en Continuar. Se abrirá la página Connect to AWS (Conectar con AWS).
Haz clic en Configurar cuentas de AWS manualmente (recomendado si usas ajustes avanzados o nombres de rol personalizados).
Copia los valores de los siguientes campos:
- Nombre del rol delegado
- Nombre del rol de recopilador
- Nombre del rol de recopilador de Protección de Datos Sensibles
Haz clic en Continuar. Se abrirá la página Probar conector. No pruebes el conector todavía.
En la consola de la cuenta delegada de AWS, actualiza la política de IAM de AWS del rol delegado para que use el siguiente JSON:
```
    {
      "Version": "2012-10-17",
      "Statement": [
        {
          "Action": "sts:AssumeRole",
          "Resource": [
            "arn:aws:iam::*:role/COLLECTOR_ROLE_NAME",
            "arn:aws:iam::*:role/SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME"
          ],
          "Effect": "Allow"
        },
        {
          "Action": [
            "organizations:List*",
            "organizations:Describe*"
          ],
          "Resource": "*",
          "Effect": "Allow"
        }
      ]
    }
    
```
Haz los cambios siguientes:
- COLLECTOR_ROLE_NAME: el nombre del rol de recopilador de datos de configuración que has copiado (el valor predeterminado es aws-collector-role).
- SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME: el nombre del rol de recopilador de Protección de Datos Sensibles que has copiado (el valor predeterminado es aws-sensitive-data-protection-role)
Para obtener más información, consulta el artículo Editar políticas gestionadas por el cliente (consola) de la documentación de AWS.
Sigue estos procedimientos con cada cuenta de recogida:
1. Crea la política de gestión de identidades y accesos de AWS para Protección de Datos Sensibles.
2. Crea el rol de gestión de identidades y accesos de AWS para Protección de Datos Sensibles en cada cuenta.
En la consola Google Cloud , en la página Probar conector, haz clic en Probar conector. Si la conexión se realiza correctamente, la prueba habrá determinado que el rol delegado tiene todos los permisos necesarios para asumir los roles del recolector. Si no se establece la conexión, consulta el artículo Solucionar errores al probar la conexión.
Haz clic en Guardar.

Solución de problemas

En esta sección se incluyen algunos problemas habituales que pueden surgir al integrar Security Command Center con AWS.

Los recursos ya existen

Este error se produce en el entorno de AWS cuando intentas crear las políticas y los roles de gestión de identidades y accesos de AWS, y el rol ya existe en tu cuenta de AWS.

Para resolver este error, siga estos pasos:

Comprueba si el rol o la política que vas a crear ya existen y cumplen los requisitos que se indican en esta guía.
Si es necesario, cambia el nombre del rol para evitar conflictos.

Principal no válido en la política

Este error puede producirse en el entorno de AWS al crear los roles de recopilador, pero el rol de delegado aún no existe.

Para resolver este error, sigue los pasos que se indican en Crear la política de gestión de identidades y accesos de AWS para el rol delegado y espera a que se cree el rol delegado antes de continuar.

Limitaciones de la limitación en AWS

AWS limita las solicitudes a la API de cada cuenta de AWS por cuenta o por región. Para asegurarse de que no se superen estos límites cuando Security Command Center recoja datos de configuración de activos de AWS, Security Command Center recoge los datos a un QPS máximo fijo para cada servicio de AWS, tal como se describe en la documentación de la API del servicio de AWS.

Si experimentas una limitación de solicitudes en tu entorno de AWS debido a las QPS consumidas, puedes mitigar el problema haciendo lo siguiente:

En la página de configuración del conector de AWS, define un QPS personalizado para el servicio de AWS que esté experimentando limitación de solicitudes.
Restringe los permisos del rol de recopilador de AWS para que no se recojan más datos de ese servicio específico. Esta técnica de mitigación impide que las simulaciones de rutas de ataque funcionen correctamente en AWS.

Si revocas todos los permisos en AWS, el proceso de recogida de datos se detendrá inmediatamente. Si eliminas el conector de AWS, el proceso de recogida de datos no se detendrá inmediatamente, pero no se volverá a iniciar cuando finalice.

Se devuelve un resultado de búsqueda de un recurso de AWS eliminado

Una vez que se elimina un recurso de AWS, pueden transcurrir hasta 40 horas antes de que se quite del sistema de inventario de recursos de Security Command Center. Si decides resolver una detección eliminando el recurso, es posible que la detección se siga notificando durante este periodo, ya que el recurso aún no se ha eliminado del sistema de inventario de recursos de Security Command Center.

Solucionar errores al probar la conexión

Estos errores pueden producirse al probar la conexión entre Security Command Center y AWS.

AWS_FAILED_TO_ASSUME_DELEGATED_ROLE

La conexión no es válida porque el agente de servicio Google Cloud no puede asumir el rol delegado.

Para solucionar este problema, ten en cuenta lo siguiente:

Comprueba que el rol delegado exista. Para crearla, consulta Crear un rol de gestión de identidades y accesos de AWS para la relación de confianza entre AWS y Google Cloud.
Falta la política insertada del rol delegado. Sin él, el agente de servicio no puede asumir el rol. Para verificar que la política insertada existe, consulta Crear un rol de gestión de identidades y accesos de AWS para la relación de confianza entre AWS y Google Cloud.
Si los detalles del error contienen el mensaje InvalidIdentityToken: Incorrect token audience, puede deberse a un proveedor de identidades OIDC independiente para accounts.google.com en el entorno de AWS. Para resolver este error, elimina el proveedor de identidades de OIDC de accounts.google.com en el entorno de AWS siguiendo las instrucciones que se indican en Crear y gestionar un proveedor de OIDC.

AWS_FAILED_TO_CONNECT_TO_ORGNIZATIONS_SERVICE

La conexión no es válida porque no se puede conectar al servicio AWS Organizations. Este estado solo se aplica a las conexiones con la detección automática inhabilitada.

Para solucionar este problema, ten en cuenta lo siguiente:

Verifica la configuración comprobando que has seguido los pasos de Crear cuentas de AWS. Confirma que los permisos de gestión de identidades y accesos de AWS del rol delegado estén configurados correctamente.
Consulta la configuración de la organización de AWS en el artículo Solucionar problemas de organizaciones de AWS.
Consulta los registros de AWS CloudTrail para ver si hay errores específicos de acceso denegado relacionados con los servicios de AWS Organizations. Este paso puede ayudarte a identificar el permiso exacto que falta.

AWS_FAILED_TO_LIST_ACCOUNTS

La conexión no es válida porque la detección automática está habilitada y el rol delegado no puede obtener todas las cuentas de AWS de las organizaciones.

Este error indica que falta la política para permitir la acción organizations:ListAccounts en el rol delegado en determinados recursos. Para solucionar este error, comprueba qué recursos faltan. Para verificar la configuración de la política delegada, consulta Crear la política de gestión de identidades y accesos de AWS para el rol delegado.

Comprueba que has creado y configurado las cuentas de AWS tal como se describe en la sección Crear cuentas de AWS.

AWS_ACTIVE_COLLECTOR_ACCOUNTS_NOT_FOUND

La conexión no es válida porque no se ha encontrado ninguna cuenta de recopilador de AWS con el estado ACTIVE.

Si ha seleccionado Añadir cuentas automáticamente en el campo Añadir cuentas de conector de AWS, no se ha encontrado ninguna cuenta de AWS con el estado ACTIVE, excepto las especificadas en el campo Excluir cuentas de conector de AWS.

Si has seleccionado Añadir cuentas individualmente, en el campo Añadir cuentas de conector de AWS, comprueba que las cuentas que has proporcionado tengan el estado ACTIVE.

AWS_INVALID_COLLECTOR_ACCOUNTS

La conexión no es válida porque hay cuentas de recogida no válidas. El mensaje de error incluye más información sobre las posibles causas, entre las que se encuentran las siguientes:

AWS_FAILED_TO_ASSUME_COLLECTOR_ROLE
AWS_COLLECTOR_ROLE_POLICY_MISSING_REQUIRED_PERMISSION

AWS_FAILED_TO_ASSUME_COLLECTOR_ROLE

La cuenta de recogida no es válida porque el rol delegado no puede asumir el rol de recogida en la cuenta de recogida.

Para resolver este error, ten en cuenta lo siguiente:

Comprueba que el rol de recopilador exista.
- Para crear el rol de recopilador de datos de configuración de recursos, consulta el artículo Crear el rol de gestión de identidades y accesos de AWS para la recogida de datos de configuración de recursos en cada cuenta.
- Para crear el rol de recopilador de Protección de Datos Sensibles, consulta el artículo Crear el rol de gestión de identidades y accesos de AWS para Protección de Datos Sensibles en cada cuenta.
Falta la política que permite que el rol delegado asuma el rol de recolector. Para verificar que la política existe, consulta Crear la política de gestión de identidades y accesos de AWS para el rol delegado.

AWS_COLLECTOR_ROLE_POLICY_MISSING_REQUIRED_PERMISSION

La conexión no es válida porque faltan algunos ajustes de permisos obligatorios en la política del recolector.

Para solucionar este error, ten en cuenta las siguientes causas:

Es posible que algunas de las políticas gestionadas de AWS obligatorias no estén asociadas al rol de recopilador de datos de configuración de recursos. Para verificar que todas las políticas estén asociadas, consulta el paso 6 de Crear el rol de gestión de identidades y accesos de AWS para la recogida de datos de configuración de recursos en cada cuenta.
Puede que se produzca uno de los siguientes problemas con una política de recogida:
- Es posible que la política del recopilador no exista.
- La política de recogida no está asociada al rol de recogida.
- La política del recolector no incluye todos los permisos necesarios.
Para resolver problemas con una política de recogida, consulta lo siguiente:
- Crear la política de gestión de identidades y accesos de AWS para la recogida de datos de configuración de recursos
- Crear la política de gestión de identidades y accesos de AWS para Protección de Datos Sensibles

Siguientes pasos

Si es la primera vez que configuras Security Command Center Enterprise, configura funciones adicionales con la guía de configuración.
También puedes hacer lo siguiente:
- Habilita y usa Vulnerability Assessment for AWS.
- Crea y gestiona una postura de seguridad para AWS.
- Crea simulaciones de rutas de ataque para recursos de AWS.
- Cumplimiento de los recursos de AWS con varios estándares y comparativas.