Se usó la API de Cloud Translation para traducir esta página.

Conéctate a AWS para la configuración y la recopilación de datos de recursos

Conecta el nivel Enterprise de Security Command Center a tu entorno de Amazon Web Services (AWS) para que puedas hacer lo siguiente:

Detecta y corrige vulnerabilidades y parámetros de configuración incorrectos del software en tu entorno de AWS
Crea y administra una postura de seguridad para AWS
Identifica posibles rutas de ataque desde Internet pública hasta tus activos de AWS valiosos
Mapear el cumplimiento de los recursos de AWS con diversos estándares y comparativas

Cuando conectas Security Command Center a AWS, se crea un solo lugar para que tu equipo de operaciones de seguridad administre y corrija amenazas y vulnerabilidades enGoogle Cloud y AWS.

Para permitir que Security Command Center supervise tu organización de AWS, debes configurar una conexión con un agente de servicio deGoogle Cloud y una cuenta de AWS que tenga acceso a los recursos que deseas supervisar. Security Command Center usa esta conexión para recopilar datos periódicamente en todas las cuentas y regiones de AWS que definas. Estos datos se manejan de la misma manera que los Datos del Servicio, de acuerdo con el Aviso de Privacidad de Google Cloud.

Puedes crear una conexión de AWS para cada Google Cloud organización. El conector usa llamadas a la API para recopilar datos de activos de AWS. Estas llamadas a la API pueden generar cargos de AWS.

En este documento, se describe cómo configurar la conexión con AWS. Cuando configuras una conexión, debes establecer los siguientes parámetros:

Es una serie de cuentas en AWS que tienen acceso directo a los recursos de AWS que deseas supervisar. En la consola de Google Cloud , estas cuentas se denominan cuentas de recopilador.
Es una cuenta de AWS que tiene las políticas y los roles adecuados para permitir la autenticación en las cuentas de recopilador. En la consola de Google Cloud , esta cuenta se denomina cuenta delegada. Tanto la cuenta delegada como las cuentas de recopilador deben pertenecer a la misma organización de AWS.
Es un agente de servicio en Google Cloud que se conecta a la cuenta delegada para la autenticación.
Es una canalización para recopilar datos de recursos de los recursos de AWS.
Permisos (opcionales) para que Sensitive Data Protection genere perfiles de tu contenido de AWS

El conector no ingiere los registros de AWS necesarios para las capacidades de detección seleccionadas del SIEM en Security Command Center Enterprise. Para obtener información sobre cómo transferir estos datos, consulta Conéctate a AWS para la transferencia de registros.

Esta conexión no se aplica a las capacidades de SIEM de Security Command Center que te permiten transferir registros de AWS para la detección de amenazas.

En el siguiente diagrama, se muestra esta configuración. El proyecto de usuario es un proyecto que se crea automáticamente y contiene tu instancia de canalización de recopilación de datos de activos.

Configuración de AWS y Security Command Center

Descripción general de alto nivel de los pasos de configuración

Después de completar los pasos en Antes de comenzar, sigue los pasos de cada sección para conectar el nivel Security Command Center Enterprise a tu entorno de Amazon Web Services (AWS):

Configura el conector de AWS
Configura tu entorno de AWS con uno de los siguientes métodos:
- Automáticamente con plantillas de CloudFormation
- Manualmente, ingresando cuentas de AWS
Completa el proceso de integración del conector de AWS

Antes de comenzar

Completa estas tareas antes de completar las tareas restantes de esta página.

Configura permisos en Google Cloud

Para obtener los permisos que necesitas para usar el conector de AWS, pídele a tu administrador que te otorgue el rol de IAM de propietario de Cloud Assets (roles/cloudasset.owner). Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

También puedes obtener los permisos necesarios a través de roles personalizados o cualquier otro rol predefinido.

Crear cuentas de AWS

Asegúrate de tener los siguientes recursos de AWS:

Un usuario de IAM de AWS con acceso a IAM de AWS para las consolas de la cuenta de AWS delegada y del recopilador.
El ID de la cuenta de AWS de una cuenta de AWS que puedes usar como cuenta delegada. La cuenta delegada debe cumplir con los siguientes requisitos:
- La cuenta delegada debe estar adjunta a una organización de AWS. Para adjuntar una cuenta a una organización de AWS, haz lo siguiente:
  1. Crea o identifica una organización a la que adjuntarás la cuenta delegada.
  2. Invita a la cuenta delegada a unirse a la organización.
- La cuenta delegada debe ser una de las siguientes:
  - Una cuenta de administración de AWS
  - Un administrador delegado de AWS
  - Una cuenta de AWS con una política de delegación basada en recursos que proporciona el permiso organizations:ListAccounts Para ver un ejemplo de política, consulta Crea una política de delegación basada en recursos con AWS Organizations en la documentación de AWS.

Configura el conector de AWS

Abre la pestaña Conectores en la página Configuración.

Ir a Conectores
Selecciona la organización en la que activaste Security Command Center Enterprise.
Selecciona Connectors > Add connector > Amazon Web Services.
En ID de cuenta delegada, ingresa el ID de la cuenta de AWS que puedes usar como cuenta delegada.
Para permitir que Sensitive Data Protection genere perfiles de tus datos de AWS, mantén seleccionada la opción Otorgar permisos para el descubrimiento de Sensitive Data Protection. Esta opción agrega permisos de AWS Identity and Access Management (IAM) en la plantilla de CloudFormation para el rol del recopilador.
Permisos de IAM de AWS que otorga esta opción
- s3:GetBucketLocation
- s3:ListAllMyBuckets
- s3:GetBucketPolicyStatus
- s3:ListBucket
- s3:GetObject
- s3:GetObjectVersion
- s3:GetBucketPublicAccessBlock
- s3:GetBucketOwnershipControls
- s3:GetBucketTagging
- iam:ListAttachedRolePolicies
- iam:GetPolicy
- iam:GetPolicyVersion
- iam:ListRolePolicies
- iam:GetRolePolicy
- ce:GetCostAndUsage
- dynamodb:DescribeTableReplicaAutoScaling
- identitystore:ListGroupMemberships
- identitystore:ListGroups
- identitystore:ListUsers
- lambda:GetFunction
- lambda:GetFunctionConcurrency
- logs:ListTagsForResource
- s3express:CreateSession
- s3express:GetBucketPolicy
- s3express:ListAllMyDirectoryBuckets
- wafv2:GetIPSet
Nota: Esta opción solo otorga los permisos de AWS necesarios al rol del recopilador. Para crear perfiles de tus datos de AWS, habilita el descubrimiento de datos sensibles después de crear este conector de AWS.
De manera opcional, revisa y edita las Opciones avanzadas. Consulta Cómo personalizar la configuración del conector de AWS para obtener información sobre opciones adicionales.
Haz clic en Continuar. Se abrirá la página Conéctate con AWS.
Selecciona una de las siguientes opciones:
- Usa plantillas de AWS CloudFormation y, luego, descarga y revisa las plantillas de CloudFormation para el rol delegado y el rol de recopilador.
- Configura cuentas de AWS manualmente: Selecciona esta opción si configuraste las opciones avanzadas o necesitas cambiar los nombres de rol predeterminados de AWS (aws-delegated-role, aws-collector-role y aws-sensitive-data-protection-role). Copia el ID del agente de servicio, el nombre del rol delegado, el nombre del rol de recopilador y el nombre del rol de recopilador de Sensitive Data Protection.
No puedes cambiar los nombres de los roles después de crear la conexión.

No hagas clic en Guardar ni en Continuar. En su lugar, configura tu entorno de AWS.

Configura tu entorno de AWS

Puedes configurar tu entorno de AWS con uno de los siguientes métodos:

Usa las plantillas de CloudFormation que descargaste en Configura el conector de AWS. Para obtener instrucciones, consulta Usa plantillas de CloudFormation para configurar tu entorno de AWS.
Configura las cuentas de AWS de forma manual si usas parámetros de configuración o nombres de roles personalizados. Para obtener instrucciones, consulta Cómo configurar cuentas de AWS de forma manual.

Usa plantillas de CloudFormation para configurar tu entorno de AWS

Si descargaste plantillas de CloudFormation, sigue estos pasos generales para configurar tu entorno de AWS:

Accede a la consola de la cuenta delegada de AWS. Asegúrate de haber accedido a la cuenta de delegado que se usa para asumir otras cuentas de AWS del recopilador (es decir, una cuenta de administración de AWS o cualquier cuenta de miembro registrada como administrador delegado).
Crea una pila que aprovisione el rol de delegado. Para obtener más información, consulta Crea una pila.

Ten en cuenta lo siguiente:
- Si cambiaste el nombre del rol delegado, el rol de recopilador o el rol de Sensitive Data Protection, actualiza los parámetros según corresponda. Los parámetros que ingreses deben coincidir con los que se indican en la página Conectar a AWS de la consola de Google Cloud .
- Espera a que se cree la pila. Si se produce un error, consulta Solución de problemas. Para obtener más información, consulta Cómo crear una pila en la consola de AWS CloudFormation en la documentación de AWS.
Crea una pila que aprovisione los roles de recopilador. Para obtener más información sobre cómo hacerlo, consulta Crea StackSets de CloudFormation con permisos administrados por el servicio.

Ten en cuenta lo siguiente:

Si optaste por agregar cuentas de AWS de forma individual (seleccionando Agregar cuentas de forma individual cuando configuraste el conector en la consola deGoogle Cloud ), también puedes crear pilas separadas para cada cuenta de AWS en lugar de crear un solo conjunto de pilas.
- La configuración recomendada son los permisos administrados por el servicio. Puedes optar por usar permisos autoadministrados, pero, en ese caso, debes otorgar los permisos de forma manual. Nota: Si eliges permisos autoadministrados, puedes elegir en qué cuentas de AWS deseas realizar la implementación. La plantilla de CloudFormation no admite tener una lista de cuentas de AWS para incluir o excluir, como se describe en Configuración personalizada. Si deseas crear una lista de cuentas de AWS para incluir o excluir, es posible que el conjunto de pilas cree algunas pilas que no sean necesarias. Puedes ignorar o quitar esas pilas.
  - Si cambiaste el nombre del rol delegado, el rol de recopilador o el rol de Sensitive Data Protection, actualiza los parámetros según corresponda. Los parámetros que ingreses deben coincidir con los que se indican en la página Conectar a AWS de la consola de Google Cloud .
  - Según lo requiera tu organización, configura las opciones del conjunto de la pila.
  - Cuando especifiques las opciones de implementación, elige los destinos de implementación. Puedes realizar la implementación en toda la organización de AWS o en una unidad organizativa (UO) que incluya todas las cuentas de AWS de las que deseas recopilar datos.
  - Especifica las regiones de AWS en las que se crearán los roles y las políticas. Dado que los roles son recursos globales, no es necesario que especifiques varias regiones.
  - Si recibes un error, consulta Solución de problemas. Para obtener más información, consulta Crea StackSets de CloudFormation con permisos administrados por el servicio en la documentación de AWS.
1. Si necesitas recopilar datos de la cuenta de administración, accede a ella y, luego, implementa una pila separada para aprovisionar los roles del recopilador. Cuando especifiques la plantilla, sube el archivo de plantilla del rol de recopilador.
Este paso es necesario porque los conjuntos de pilas de AWS CloudFormation no crean instancias de pila en las cuentas de administración. Para obtener más información, consulta DeploymentTargets en la documentación de AWS.

Sigue los pasos que se indican en Completa el proceso de integración.

Configura cuentas de AWS de forma manual

Si no puedes usar las plantillas de CloudFormation (por ejemplo, si usas nombres de roles diferentes o personalizas la integración), puedes crear las políticas y los roles de IAM de AWS necesarios de forma manual.

Revisa y completa estas secciones en el siguiente orden:

Crea la política de IAM de AWS para el rol delegado
Crea un rol de IAM de AWS para la relación de confianza entre AWS y Google Cloud
Crea la política de IAM de AWS para la recopilación de datos de configuración de activos
Crea el rol de IAM de AWS para la recopilación de datos de configuración de activos en cada cuenta
Crea la política de IAM de AWS para la Protección de datos sensibles

Debes crear políticas y roles de IAM de AWS para la cuenta delegada y las cuentas de recopilador.

Crea la política de IAM de AWS para el rol delegado

Para crear una política de IAM de AWS para el rol delegado (una política delegada), sigue los pasos que se indican en Crea una política en la documentación de AWS.

Cuando crees la política, pega una de las siguientes opciones para el paso de JSON, según si seleccionaste la casilla de verificación Grant permissions for Sensitive Data Protection discovery en Configure Security Command Center.

Otorgar permisos para el descubrimiento de Sensitive Data Protection: Desmarcado

    {
      "Version": "2012-10-17",
      "Statement": [
          {
              "Action": "sts:AssumeRole",
              "Resource": "arn:aws:iam:::role/COLLECTOR_ROLE_NAME",
              "Effect": "Allow"
          },
          {
              "Action": [
                  "organizations:List",
                  "organizations:Describe"
              ],
              "Resource": "",
              "Effect": "Allow"
          }
      ]
    }

Reemplaza COLLECTOR_ROLE_NAME por el nombre del rol de recopilador que copiaste cuando configuraste Security Command Center (el valor predeterminado es aws-collector-role).

Grant permissions for Sensitive Data Protection discovery: Seleccionado

    {
      "Version": "2012-10-17",
      "Statement": [
        {
          "Action": "sts:AssumeRole",
          "Resource": [
            "arn:aws:iam::*:role/COLLECTOR_ROLE_NAME",
            "arn:aws:iam::*:role/SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME"
          ],
          "Effect": "Allow"
        },
        {
          "Action": [
            "organizations:List*",
            "organizations:Describe*"
          ],
          "Resource": "*",
          "Effect": "Allow"
        }
      ]
    }

Reemplaza lo siguiente:

COLLECTOR_ROLE_NAME: Es el nombre del rol de recopilador de datos de configuración que copiaste cuando configuraste Security Command Center (el valor predeterminado es aws-collector-role).
SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME: El nombre del rol de recopilador de Sensitive Data Protection que copiaste cuando configuraste Security Command Center (el valor predeterminado es aws-sensitive-data-protection-role)

Crea un rol de IAM de AWS para la relación de confianza entre AWS y Google Cloud

Crea un rol delegado que establezca una relación de confianza entre AWS yGoogle Cloud. Este rol usa la política delegada que se creó en Crea la política de IAM de AWS para el rol delegado.

Sigue las instrucciones en Cómo crear un rol para OIDC en la documentación de AWS.

Cuando crees el rol, especifica lo siguiente:

Tipo de entidad de confianza: Elige Identidad web.
Proveedor de identidad: Elige Google.
Público: Ingresa el ID del agente de servicio que copiaste cuando configuraste Security Command Center.
Para otorgar al rol delegado acceso a los roles del recopilador, adjunta las políticas de permisos al rol. Busca la política delegada que se creó en Crea la política de IAM de AWS para el rol delegado y selecciónala.
Detalles del rol: Ingresa el nombre del rol delegado que copiaste cuando configuraste Security Command Center (el nombre predeterminado es aws-delegated-role).

Crea la política de IAM de AWS para la recopilación de datos de configuración de activos

Para crear una política de IAM de AWS para la recopilación de datos de configuración de activos (una política de recopilador), completa los siguientes pasos:

Sigue los pasos que se indican en Crea una política en la documentación de AWS y repite estos pasos según sea necesario para cada cuenta de recopilador.

Cuando crees el rol, especifica lo siguiente para el paso JSON:

{
  "Version": "2012-10-17",
  "Statement": [
      {
          "Effect": "Allow",
          "Action": [
              "ce:GetCostAndUsage",
              "dynamodb:DescribeTableReplicaAutoScaling",
              "identitystore:ListGroupMemberships",
              "identitystore:ListGroups",
              "identitystore:ListUsers",
              "lambda:GetFunction",
              "lambda:GetFunctionConcurrency",
              "logs:ListTagsForResource",
              "s3express:GetBucketPolicy",
              "s3express:ListAllMyDirectoryBuckets",
              "wafv2:GetIPSet"
          ],
          "Resource": [
              "*"
          ]
      },
      {
          "Effect": "Allow",
          "Action": [
              "apigateway:GET"
          ],
          "Resource": [
              "arn:aws:apigateway:*::/usageplans",
              "arn:aws:apigateway:*::/usageplans/*/keys",
              "arn:aws:apigateway:*::/vpclinks/*"
          ]
      }
  ]

}

Crea el rol de IAM de AWS para la recopilación de datos de configuración de activos en cada cuenta

Crea el rol de recopilador que permite que Security Command Center obtenga datos de configuración de activos de AWS. Este rol usa la política del recopilador que se creó en Crea la política de IAM de AWS para la recopilación de datos de configuración de activos.

Sigue los pasos que se indican en Crea un rol personalizado en la documentación de AWS y repite estos pasos según sea necesario para cada cuenta de recopilador.

Para la política de confianza personalizada, agrega lo siguiente:
```
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::DELEGATE_ACCOUNT_ID:role/DELEGATE_ACCOUNT_ROLE"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}
```
Reemplaza lo siguiente:
- DELEGATE_ACCOUNT_ID: ID de la cuenta de AWS para la cuenta de delegado
- DELEGATE_ACCOUNT_ROLE: El nombre del rol delegado que copiaste cuando configuraste Security Command Center.
- Para otorgar a este rol de recopilador acceso a los datos de configuración de tus activos de AWS, adjunta las políticas de permisos al rol. Busca la política de recopilador personalizada que se creó en Crea la política de IAM de AWS para la recopilación de datos de configuración de activos y selecciónala.
- Busca y selecciona las siguientes políticas administradas:
  - arn:aws:iam::aws:policy/job-function/ViewOnlyAccess
  - arn:aws:iam::aws:policy/SecurityAudit
- En la sección Detalles del rol, ingresa el nombre del rol de recopilador de datos de configuración que copiaste cuando configuraste Security Command Center.

Si seleccionaste la casilla de verificación Otorga permisos para el descubrimiento de la Protección de datos sensibles en Configurar Security Command Center, continúa con la siguiente sección.

Si no habilitaste la casilla de verificación Grant permissions for Sensitive Data Protection discovery, completa el proceso de integración.

Crea la política de IAM de AWS para Sensitive Data Protection

Completa estos pasos si seleccionaste la casilla de verificación Grant permissions for Sensitive Data Protection discovery en Configure Security Command Center.

Para crear una política de IAM de AWS para Sensitive Data Protection (una política de recopilador), completa los siguientes pasos:

Sigue los pasos que se indican en Crea un rol personalizado en la documentación de AWS y repítelos según sea necesario para cada cuenta de recopilador.

Cuando crees el rol personalizado, especifica lo siguiente para el paso de JSON:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:GetBucketLocation",
        "s3:ListAllMyBuckets",
        "s3:GetBucketPolicyStatus",
        "s3:ListBucket",
        "s3:GetObject",
        "s3:GetObjectVersion",
        "s3:GetBucketPublicAccessBlock",
        "s3:GetBucketOwnershipControls",
        "s3:GetBucketTagging"
      ],
      "Resource": ["arn:aws:s3:::*"]
    },
    {
      "Effect": "Allow",
      "Action": [
        "iam:ListAttachedRolePolicies",
        "iam:GetPolicy",
        "iam:GetPolicyVersion",
        "iam:ListRolePolicies",
        "iam:GetRolePolicy",
        "ce:GetCostAndUsage",
        "dynamodb:DescribeTableReplicaAutoScaling",
        "identitystore:ListGroupMemberships",
        "identitystore:ListGroups",
        "identitystore:ListUsers",
        "lambda:GetFunction",
        "lambda:GetFunctionConcurrency",
        "logs:ListTagsForResource",
        "s3express:GetBucketPolicy",
        "s3express:ListAllMyDirectoryBuckets",
        "wafv2:GetIPSet"
      ],
      "Resource": ["*"]
    },
    {
      "Effect": "Allow",
      "Action": [
          "s3express:CreateSession"
      ],
      "Resource": ["arn:aws:s3express:*:*:bucket/*"]
    }
  ]
}

Crea el rol de IAM de AWS para Sensitive Data Protection en cada cuenta

Completa estos pasos si seleccionaste la casilla de verificación Grant permissions for Sensitive Data Protection discovery en Configura el conector de AWS.

Crea el rol de recopilador que permite que Sensitive Data Protection genere perfiles del contenido de tus recursos de AWS. Este rol usa la política del recopilador que se creó en Crea la política de IAM de AWS para Sensitive Data Protection.

Sigue los pasos que se indican en Cómo crear un rol de Identity and Access Management con una política de confianza personalizada (consola) en la documentación de AWS y repite los pasos según sea necesario para cada cuenta de recopilador.

Cuando crees la política, especifica lo siguiente:
- Tipo de entidad de confianza: Elige Política de confianza personalizada.
- Para la política de confianza personalizada, pega lo siguiente:
```
{
"Version": "2012-10-17",
"Statement": [
  {
    "Effect": "Allow",
    "Principal": {
      "AWS": "arn:aws:iam::DELEGATE_ACCOUNT_ID:role/DELEGATE_ACCOUNT_ROLE"
    },
    "Action": "sts:AssumeRole"
  }
]
}
```
  Reemplaza lo siguiente:
  - DELEGATE_ACCOUNT_ID: ID de la cuenta de AWS para la cuenta delegada
  - DELEGATE_ACCOUNT_ROLE: El nombre del rol delegado que copiaste cuando configuraste Security Command Center
- Para otorgar a este rol de recopilador acceso al contenido de tus recursos de AWS, adjunta las políticas de permisos al rol. Busca la política personalizada de recopilador que se creó en Crea la política de IAM de AWS para la Protección de datos sensibles y selecciónala.
- Para obtener detalles del rol, ingresa el nombre del rol de la protección de datos sensibles que copiaste cuando configuraste Security Command Center.

Sigue los pasos que se indican en Completa el proceso de integración.

Completa la configuración del conector de AWS

Regresa a la página Conéctate a AWS y, luego, haz clic en Continuar.
En la consola de Google Cloud , en la página Probar conector, haz clic en Probar conector para verificar que Security Command Center pueda conectarse a tu entorno de AWS. Si la conexión se realiza correctamente, la prueba determinó que el rol delegado tiene todos los permisos necesarios para asumir los roles de recopilador. Si la conexión no se realiza correctamente, consulta Cómo solucionar errores al probar la conexión.
Haz clic en Guardar.

Personaliza la configuración del conector de AWS

En esta sección, se describen algunas formas en las que puedes personalizar la conexión entre Security Command Center y AWS. Estas opciones están disponibles en la sección Opciones avanzadas (opcional) de la página Agregar conector de Amazon Web Services en la consola de Google Cloud .

De forma predeterminada, Security Command Center descubre automáticamente tus cuentas de AWS en todas las regiones de AWS. La conexión usa el extremo global predeterminado para el servicio de token de seguridad de AWS y las consultas por segundo (QPS) predeterminadas para el servicio de AWS que supervisas. Estas opciones avanzadas te permiten personalizar los valores predeterminados.

Opción	Descripción
Agrega cuentas de conectores de AWS	Selecciona una opción según tu preferencia: Agregar cuentas automáticamente (recomendado): Selecciona esta opción para permitir que Security Command Center descubra las cuentas de AWS automáticamente. Agregar cuentas individualmente: Selecciona esta opción para agregar cuentas de AWS de forma manual.
Excluye cuentas de conectores de AWS	Si seleccionaste Agregar cuentas automáticamente en la sección Agregar cuentas de conector de AWS, proporciona una lista de las cuentas de AWS que Security Command Center no debe usar para encontrar recursos.
Ingresa cuentas de conectores de AWS	Si seleccionaste Agregar cuentas de forma individual en la sección Agregar cuentas de conector de AWS, proporciona una lista de las cuentas de AWS que Security Command Center puede usar para encontrar recursos.
Selecciona regiones para recopilar datos	Selecciona una o más regiones de AWS para que Security Command Center recopile datos. Deja el campo Regiones de AWS vacío para recopilar datos de todas las regiones.
Consultas por segundo (QPS) máximas para los servicios de AWS	Puedes cambiar las QPS para controlar el límite de cuota de Security Command Center. Establece la anulación en un valor inferior al valor predeterminado de ese servicio y mayor o igual que `1`. El valor predeterminado es el valor máximo. Si cambias el QPS, es posible que Security Command Center tenga problemas para recuperar datos. Por lo tanto, no recomendamos cambiar este valor.
Extremo del Servicio de tokens de seguridad de AWS	Puedes especificar un extremo específico para el servicio de tokens de seguridad (STS) de AWS (por ejemplo, `https://sts.us-east-2.amazonaws.com`). Deja el campo Servicio de tokens de seguridad de AWS vacío para usar el extremo global predeterminado (`https://sts.amazonaws.com`).

Cómo otorgar permisos de descubrimiento de datos sensibles a un conector de AWS existente

Para realizar el descubrimiento de datos sensibles en tu contenido de AWS, necesitas un conector de AWS que tenga los permisos de IAM de AWS requeridos.

En esta sección, se describe cómo otorgar esos permisos a un conector de AWS existente. Los pasos que debes seguir dependen de si configuraste tu entorno de AWS con plantillas de CloudFormation o de forma manual.

Actualiza un conector existente con plantillas de CloudFormation

Si configuraste tu entorno de AWS con plantillas de CloudFormation, sigue estos pasos para otorgar permisos de detección de datos sensibles a tu conector de AWS existente.

En la consola de Google Cloud , ve a Configuración > Configuración de SCC.

Ir a la configuración
Selecciona la organización en la que activaste Security Command Center Enterprise.
Selecciona Conectores. Se abrirá la página Configurar conector.
En el conector de AWS, haz clic en Más opciones > Editar.
En la sección Revisa los tipos de datos, selecciona Otorga permisos para el descubrimiento de Sensitive Data Protection.
Haz clic en Continuar. Se abrirá la página Conéctate con AWS.
Haz clic en Descargar plantilla de rol delegado. La plantilla se descargará en tu computadora.
Haz clic en Descargar plantilla de rol recopilador. La plantilla se descargará en tu computadora.
Haz clic en Continuar. Se abrirá la página Probar conector. No pruebes el conector todavía.
En la consola de CloudFormation, actualiza la plantilla de la pila para el rol delegado:
1. Accede a la consola de la cuenta delegada de AWS. Asegúrate de haber accedido a la cuenta de delegado que se usa para asumir otras cuentas de AWS del recopilador.
2. Ve a la consola de AWS CloudFormation.
3. Reemplaza la plantilla de la pila del rol delegado por la plantilla actualizada del rol delegado que descargaste.
  
  Para obtener más información, consulta Actualiza la plantilla de una pila (consola) en la documentación de AWS.
Actualiza el conjunto de pilas para el rol de recopilador:
1. Con una cuenta de administración de AWS o cualquier cuenta de miembro registrada como administrador delegado, ve a la consola de AWS CloudFormation.
2. Reemplaza la plantilla del conjunto de pilas para el rol de recopilador por la plantilla actualizada del rol de recopilador que descargaste.
  
  Para obtener más información, consulta Actualiza tu conjunto de pilas con la consola de AWS CloudFormation en la documentación de AWS.
Si necesitas recopilar datos de la cuenta de administrador, accede a ella y reemplaza la plantilla de la pila del recopilador por la plantilla de función del recopilador actualizada que descargaste.

Este paso es necesario porque los conjuntos de pilas de AWS CloudFormation no crean instancias de pila en las cuentas de administración. Para obtener más información, consulta DeploymentTargets en la documentación de AWS.
En la Google Cloud consola, en la página Probar conector, haz clic en Probar conector. Si la conexión se realiza correctamente, la prueba determinó que el rol delegado tiene todos los permisos necesarios para asumir los roles del recopilador. Si la conexión no se realiza correctamente, consulta Cómo solucionar errores al probar la conexión.
Haz clic en Guardar.

Actualiza un conector existente de forma manual

Si configuraste tus cuentas de AWS de forma manual cuando creaste el conector de AWS, sigue estos pasos para otorgar permisos de detección de datos sensibles a tu conector de AWS existente.

Abre la pestaña Conectores en la página Configuración.

Ir a Conectores
Selecciona la organización en la que activaste Security Command Center Enterprise.
En el conector de AWS, haz clic en Más opciones > Editar.
En la sección Revisa los tipos de datos, selecciona Otorga permisos para el descubrimiento de Sensitive Data Protection.
Haz clic en Continuar. Se abrirá la página Conéctate con AWS.
Haz clic en Configurar cuentas de AWS manualmente (recomendado si usas parámetros de configuración avanzados o nombres de rol personalizados).
Copia los valores de los siguientes campos:
- Nombre del rol delegado
- Nombre del rol de recopilador
- Nombre del rol de recopilador de Sensitive Data Protection
Haz clic en Continuar. Se abrirá la página Probar conector. No pruebes el conector todavía.
En la consola de la cuenta delegada de AWS, actualiza la política de IAM de AWS para el rol delegado de modo que use el siguiente código JSON:
```
    {
      "Version": "2012-10-17",
      "Statement": [
        {
          "Action": "sts:AssumeRole",
          "Resource": [
            "arn:aws:iam::*:role/COLLECTOR_ROLE_NAME",
            "arn:aws:iam::*:role/SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME"
          ],
          "Effect": "Allow"
        },
        {
          "Action": [
            "organizations:List*",
            "organizations:Describe*"
          ],
          "Resource": "*",
          "Effect": "Allow"
        }
      ]
    }
    
```
Reemplaza lo siguiente:
- COLLECTOR_ROLE_NAME: El nombre del rol de recopilador de datos de configuración que copiaste (el valor predeterminado es aws-collector-role)
- SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME: Es el nombre del rol de recopilador de Sensitive Data Protection que copiaste (el valor predeterminado es aws-sensitive-data-protection-role).
Para obtener más información, consulta Cómo editar políticas administradas por el cliente (consola) en la documentación de AWS.
Para cada cuenta de recopilador, realiza los siguientes procedimientos:
1. Crea la política de IAM de AWS para la Protección de datos sensibles.
2. Crea el rol de IAM de AWS para Sensitive Data Protection en cada cuenta.
En la Google Cloud consola, en la página Probar conector, haz clic en Probar conector. Si la conexión se realiza correctamente, la prueba determinó que el rol delegado tiene todos los permisos necesarios para asumir los roles del recopilador. Si la conexión no se realiza correctamente, consulta Cómo solucionar errores al probar la conexión.
Haz clic en Guardar.

Soluciona problemas

En esta sección, se incluyen algunos problemas comunes que puedes encontrar cuando integras Security Command Center con AWS.

Los recursos ya existen

Este error se produce en el entorno de AWS cuando intentas crear las políticas y los roles de IAM de AWS, y el rol ya existe en tu cuenta de AWS.

Para resolver este error, completa los siguientes pasos:

Verifica si el rol o la política que estás creando ya existen y cumplen con los requisitos que se indican en esta guía.
Si es necesario, cambia el nombre del rol para evitar conflictos.

Principal no válida en la política

Este error puede ocurrir en el entorno de AWS cuando creas los roles del recopilador, pero el rol de delegado aún no existe.

Para resolver este error, completa los pasos que se indican en Crea la política de IAM de AWS para el rol delegado y espera a que se cree el rol delegado antes de continuar.

Limitaciones de regulación en AWS

AWS limita las solicitudes de API para cada cuenta de AWS por cuenta o por región. Para garantizar que no se excedan estos límites cuando Security Command Center recopila datos de configuración de activos de AWS, Security Command Center recopila los datos a un QPS máximo fijo para cada servicio de AWS, como se describe en la documentación de la API del servicio de AWS.

Si experimentas limitaciones de solicitudes en tu entorno de AWS debido a las QPS consumidas, puedes mitigar el problema completando los siguientes pasos:

En la página de configuración del conector de AWS, establece un QPS personalizado para el servicio de AWS que experimenta la limitación de solicitudes.
Restringe los permisos del rol de recopilador de AWS para que ya no se recopilen los datos de ese servicio específico. Esta técnica de mitigación impide que las simulaciones de rutas de ataque funcionen correctamente para AWS.

Si revocas todos los permisos en AWS, se detendrá el proceso de recopilación de datos de inmediato. Borrar el conector de AWS no detiene de inmediato el proceso del recopilador de datos, pero no se reiniciará después de que finalice.

Se devuelve un hallazgo para un recurso de AWS borrado

Después de que se borra un recurso de AWS, puede tardar hasta 40 horas en quitarse del sistema de inventario de recursos de Security Command Center. Si decides resolver un hallazgo borrando el recurso, es posible que veas el hallazgo informado durante este período, ya que el recurso aún no se quitó del sistema de inventario de recursos de Security Command Center.

Soluciona errores cuando pruebas la conexión

Estos errores pueden ocurrir cuando pruebas la conexión entre Security Command Center y AWS.

AWS_FAILED_TO_ASSUME_DELEGATED_ROLE

La conexión no es válida porque el agente de servicio de Google Cloud no puede asumir el rol delegado.

Para resolver esta situación, considera lo siguiente:

Verifica que exista el rol delegado. Para crearla, consulta Crea un rol de IAM de AWS para la relación de confianza entre AWS y Google Cloud.
Falta la política intercalada del rol delegado. Sin él, el agente de servicio no puede asumir el rol. Para verificar que la política intercalada existe, consulta Crea un rol de IAM de AWS para la relación de confianza entre AWS y Google Cloud.
Si el detalle del error contiene el mensaje InvalidIdentityToken: Incorrect token audience, es posible que se deba a un proveedor de identidad de OIDC independiente para accounts.google.com en el entorno de AWS. Para resolver este error, quita el proveedor de identidades de OIDC para accounts.google.com en el entorno de AWS siguiendo las instrucciones en Cómo crear y administrar un proveedor de OIDC.

AWS_FAILED_TO_CONNECT_TO_ORGNIZATIONS_SERVICE

La conexión no es válida porque no se puede conectar al servicio de AWS Organizations. Este estado solo se aplica a las conexiones con la detección automática inhabilitada.

Para resolver esta situación, considera lo siguiente:

Para verificar la configuración, asegúrate de haber seguido los pasos en Crea cuentas de AWS. Confirma que los permisos de IAM de AWS para el rol delegado estén configurados correctamente.
Revisa la configuración de la organización de AWS consultando Solución de problemas de organizaciones de AWS.
Verifica los registros de AWS CloudTrail para detectar errores específicos de acceso denegado relacionados con los servicios de AWS Organizations. Este paso puede ayudarte a identificar la brecha de permisos exacta.

AWS_FAILED_TO_LIST_ACCOUNTS

La conexión no es válida porque el descubrimiento automático está habilitado y el rol delegado no puede recuperar todas las cuentas de AWS de las organizaciones.

Este error indica que falta la política para permitir la acción organizations:ListAccounts en el rol delegado en ciertos recursos. Para resolver este error, verifica qué recursos faltan. Para verificar la configuración de la política delegada, consulta Crea la política de IAM de AWS para el rol delegado.

Verifica que hayas creado y configurado las cuentas de AWS como se describe en la sección Crea cuentas de AWS.

AWS_ACTIVE_COLLECTOR_ACCOUNTS_NOT_FOUND

La conexión no es válida porque no se encontraron cuentas de recopilador de AWS con el estado ACTIVE.

Si seleccionaste Agregar cuentas automáticamente en el campo Agregar cuentas de conector de AWS, no se encontraron cuentas de AWS con el estado ACTIVE, excepto las que se especificaron en el campo Excluir cuentas de conector de AWS.

Si seleccionaste Agregar cuentas de forma individual, en el campo Agregar cuentas de conector de AWS, verifica que las cuentas que proporcionaste tengan el estado ACTIVE.

AWS_INVALID_COLLECTOR_ACCOUNTS

La conexión no es válida porque hay cuentas de recopilador no válidas. El mensaje de error incluye más información sobre las posibles causas, entre las que se incluyen las siguientes:

AWS_FAILED_TO_ASSUME_COLLECTOR_ROLE
AWS_COLLECTOR_ROLE_POLICY_MISSING_REQUIRED_PERMISSION

AWS_FAILED_TO_ASSUME_COLLECTOR_ROLE

La cuenta del recopilador no es válida porque el rol delegado no puede asumir el rol de recopilador en la cuenta del recopilador.

Para resolver este error, considera lo siguiente:

Verifica que exista el rol de recopilador.
- Para crear el rol de recopilador de datos de configuración de activos, consulta Crea el rol de IAM de AWS para la recopilación de datos de configuración de activos en cada cuenta.
- Para crear el rol de recopilador para la Protección de datos sensibles, consulta Crea el rol de IAM de AWS para la Protección de datos sensibles en cada cuenta.
Falta la política para permitir que el rol delegado asuma el rol de recopilador. Para verificar que la política existe, consulta Crea la política de IAM de AWS para el rol delegado.

AWS_COLLECTOR_ROLE_POLICY_MISSING_REQUIRED_PERMISSION

La conexión no es válida porque a la política del recopilador le falta parte de la configuración de permisos requerida.

Para resolver este error, considera las siguientes causas:

Es posible que algunas de las políticas administradas de AWS requeridas no estén adjuntas al rol de recopilador para los datos de configuración de activos. Para verificar que todas las políticas estén adjuntas, consulta el paso 6 en Crea el rol de IAM de AWS para la recopilación de datos de configuración de activos en cada cuenta.
Es posible que se presente uno de los siguientes problemas con una política del recopilador:
- Es posible que la política del recopilador no exista.
- La política de recopilador no está adjunta al rol de recopilador.
- La política del recopilador no incluye todos los permisos necesarios.
Para resolver problemas relacionados con una política de recopilación, consulta lo siguiente:
- Crea la política de IAM de AWS para la recopilación de datos de configuración de activos
- Crea la política de IAM de AWS para la Protección de datos sensibles

¿Qué sigue?

Si es la primera vez que configuras Security Command Center Enterprise, configura funciones adicionales con la guía de configuración.
También puedes hacer lo siguiente:
- Habilita y usa la Evaluación de vulnerabilidades para AWS.
- Crea y administra una postura de seguridad para AWS.
- Crea simulaciones de rutas de ataque para los recursos de AWS.
- Mapear el cumplimiento de los recursos de AWS con diversos estándares y comparativas