Se connecter à AWS pour détecter les failles et évaluer les risques

Vous pouvez connecter le niveau Security Command Center Enterprise à votre Amazon Web Services (AWS) pour effectuer les opérations suivantes:

  • Détecter et corriger les failles logicielles et les erreurs de configuration dans votre environnement AWS
  • Créer et gérer une posture de sécurité pour AWS
  • Identifiez les vecteurs d'attaque potentiels, de l'Internet public à vos ressources de forte valeur Éléments AWS
  • Mappez la conformité des ressources AWS avec diverses normes et benchmarks.

En connectant Security Command Center à AWS, votre équipe chargée des opérations de sécurité dispose d'un emplacement unique pour gérer et corriger les menaces et les failles dans Google Cloud et AWS.

Pour permettre à Security Command Center de surveiller votre organisation AWS, vous devez configurer un à l'aide d'un agent de service Google Cloud et un compte AWS qui a accès aux ressources que vous souhaitez surveiller. Security Command Center utilise cette connexion pour collecter régulièrement des données tous les comptes et régions AWS que vous définissez.

Vous pouvez créer une connexion AWS pour chaque organisation Google Cloud. Le connecteur utilise des appels d'API pour collecter les données des composants AWS. Ces appels d'API peuvent entraîner des frais AWS.

Ce document explique comment configurer la connexion avec AWS. Lorsque vous configurez une connexion, vous devez définir les éléments suivants :

  • Série de comptes dans AWS disposant d'un accès direct aux ressources AWS que vous souhaitez surveiller. Dans la console Google Cloud, ces comptes sont appelés comptes collecteurs.
  • Compte dans AWS disposant des stratégies et des rôles appropriés pour permettre l'authentification auprès des comptes de collecteur. Dans la console Google Cloud, ce compte est appelé compte délégué. Le compte délégué et les comptes de collecteur doivent se trouver dans la même organisation AWS.
  • Agent de service dans Google Cloud qui se connecte au compte délégué pour l'authentification.
  • Pipeline permettant de collecter des données d'éléments à partir de ressources AWS.
  • (Facultatif) Autorisations liées à la protection des données sensibles pour le profilage votre contenu AWS.

Cette connexion ne s'applique pas aux fonctionnalités SIEM de Security Command Center qui vous permettent d'ingérer des journaux AWS pour détecter les menaces.

Le schéma suivant présente cette configuration. Le projet de locataire est un projet créé automatiquement et contenant l'instance de votre pipeline de collecte des données d'éléments.

Configuration d'AWS et de Security Command Center

Avant de commencer

Effectuez ces tâches avant d'effectuer les autres tâches de cette page.

Activer le niveau Enterprise de Security Command Center

Suivez les étapes 1 et 2 du guide de configuration pour activer le niveau Security Command Center Enterprise.

Configurer les autorisations

Pour obtenir les autorisations nécessaires pour utiliser le connecteur AWS, demandez à votre administrateur de vous accorder le Rôle IAM Propriétaire d'éléments cloud (roles/cloudasset.owner). Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.

Vous pouvez également obtenir les autorisations requises via des rôles personnalisés ou d'autres rôles prédéfinis.

Créer des comptes AWS

Assurez-vous d'avoir créé les ressources AWS suivantes :

Configurer Security Command Center

  1. Dans la console Google Cloud, accédez à la page Guide de configuration de Security Command Center.

    Accéder au guide de configuration

  2. Sélectionnez l'organisation pour laquelle vous avez activé le niveau Enterprise de Security Command Center. La page Guide de configuration s'ouvre.

  3. Cliquez sur Étape 3 : Configurer le connecteur Amazon Web Services (AWS).

  4. Dans ID du compte délégué, saisissez l'ID du compte AWS que vous pouvez utiliser comme compte délégué.

  5. Pour permettre à Sensitive Data Protection de profiler vos données AWS, conservez Accorder des autorisations pour la protection des données sensibles découverte sélectionnée. Cette option ajoute des autorisations AWS IAM dans le modèle CloudFormation pour le rôle de collecteur.

    Autorisations AWS IAM accordées par cette option

    • s3:GetBucketLocation
    • s3:ListAllMyBuckets
    • s3:GetBucketPolicyStatus
    • s3:ListBucket
    • s3:GetObject
    • s3:GetObjectVersion
    • s3:GetBucketPublicAccessBlock
    • s3:GetBucketOwnershipControls
    • s3:GetBucketTagging
    • iam:ListAttachedRolePolicies
    • iam:GetPolicy
    • iam:GetPolicyVersion
    • iam:ListRolePolicies
    • iam:GetRolePolicy
    • ce:GetCostAndUsage
    • dynamodb:DescribeTableReplicaAutoScaling
    • identitystore:ListGroupMemberships
    • identitystore:ListGroups
    • identitystore:ListUsers
    • lambda:GetFunction
    • lambda:GetFunctionConcurrency
    • logs:ListTagsForResource
    • s3express:CreateSession
    • s3express:GetBucketPolicy
    • s3express:ListAllMyDirectoryBuckets
    • wafv2:GetIPSet

  6. Vous pouvez également consulter et modifier les options avancées. Pour en savoir plus sur les options supplémentaires, consultez Personnaliser la configuration du connecteur AWS.

  7. Cliquez sur Continuer. La page Se connecter à AWS s'ouvre.

  8. Effectuez l'une des actions suivantes :

    • Télécharger et examiner les modèles CloudFormation pour le rôle délégué et le rôle de collecteur.
    • Si vous avez configuré les options avancées ou si vous devez modifier la valeur AWS par défaut les noms des rôles (aws-delegated-role, aws-collector-role et aws-sensitive-data-protection-role), sélectionnez Configurer des comptes AWS manuellement. Copiez l'ID de l'agent de service, le nom du rôle délégué, le nom du rôle de collecteur et le nom du rôle de collecteur Sensitive Data Protection.

    Une fois la connexion créée, vous ne pouvez plus modifier les noms des rôles.

Ne cliquez pas sur Créer. À la place, configurez votre environnement AWS.

Configurer votre environnement AWS

Vous pouvez configurer votre environnement AWS à l'aide de l'une des méthodes suivantes:

Utiliser des modèles CloudFormation pour configurer votre environnement AWS

Si vous avez téléchargé des modèles CloudFormation, suivez ces étapes pour configurer votre environnement AWS.

  1. Connectez-vous à la console du compte délégué AWS. Assurez-vous que que vous êtes connecté au compte délégué qui est utilisé pour supposer que d'autres les comptes AWS collectifs (c'est-à-dire un compte de gestion AWS enregistré en tant qu'administrateur délégué).
  2. Accédez à la page AWS CloudFormation Google Cloud.

  3. Créez une pile qui provisionne le rôle délégué :

    1. Sur la page Piles, cliquez sur Créer une pile > Avec les nouvelles ressources (standard).
    2. Lorsque vous spécifiez un modèle, importez le rôle délégué fichier de modèle.
    3. Lorsque vous spécifiez les détails de la pile, saisissez un nom de pile.

    4. Si vous avez modifié le nom du rôle délégué, du rôle de collecteur ou Rôle de protection des données sensibles : mettez à jour les paramètres en conséquence. Les paramètres que vous saisissez doivent correspondre à ceux indiqués sur la page Connecter à AWS de la console Google Cloud.

    5. Mettez à jour les options de pile comme l'exige votre organisation.

    6. Sur la page Examiner et créer, sélectionnez Je comprends qu'AWS CloudFormation peut créer des ressources IAM avec des noms personnalisés.

    7. Cliquez sur Envoyer pour créer la pile.

    Attendez que la pile soit créée. Si un problème survient, consultez Dépannage Pour en savoir plus, consultez la section Créer une pile dans la console AWS CloudFormation dans la documentation AWS.

  4. Créez un ensemble de piles qui provisionne les rôles de collecteur.

    1. Sur la page StackSets (Ensembles de piles), cliquez sur Create StackSet (Créer un ensemble de piles).

    2. Cliquez sur Autorisations gérées par le service.

    3. Lorsque vous spécifiez un modèle, importez le modèle du rôle de collecteur .

    4. Lorsque vous spécifiez les détails du stackset, saisissez un nom et une description pour le stackset.

    5. Saisissez l'ID du compte délégué.

    6. Si vous avez modifié le nom du rôle délégué, du rôle de collecteur ou Rôle de protection des données sensibles : mettez à jour les paramètres en conséquence. La que vous saisissez doivent correspondre à ceux répertoriés dans la section Page Se connecter à AWS de la console Google Cloud.

    7. Configurez les options de votre ensemble de piles conformément aux exigences de votre organisation.

    8. Lorsque vous spécifiez les options de déploiement, choisissez vos cibles de déploiement. Vous pouvez déployer l'application dans l'ensemble de l'organisation AWS ou dans une unité organisationnelle (UO) qui inclut tous les comptes AWS à partir desquels vous souhaitez collecter des données.

    9. Spécifiez les régions AWS dans lesquelles créer les rôles et les stratégies. Les rôles étant des ressources globales, il n'est pas nécessaire de spécifier plusieurs dans différentes régions.

    10. Modifiez les autres paramètres si nécessaire.

    11. Examinez les modifications, puis cliquez sur Envoyer pour créer l'ensemble de piles. Si un message d'erreur s'affiche, consultez la section Dépannage. Pour en savoir plus, consultez Créer un ensemble de piles avec des ressources autorisations dans la documentation AWS.

  5. Si vous devez collecter des données à partir du compte de gestion, connectez-vous au compte de gestion et déployez une pile distincte pour provisionner les rôles de collecteur. Lorsque vous spécifiez le modèle, importez le modèle du rôle de collecteur .

    Cette étape est nécessaire, car les ensembles de piles AWS CloudFormation ne créent pas et les instances de la pile dans les comptes de gestion. Pour en savoir plus, consultez la section DeploymentTargets dans la documentation AWS.

Pour terminer le processus d'intégration, consultez la section Terminer le processus d'intégration.

Configurer des comptes AWS manuellement

Si vous ne pouvez pas utiliser les modèles CloudFormation (par exemple, si vous utilisez des noms de rôles différents ou si vous personnalisez l'intégration), vous pouvez créer manuellement les stratégies et les rôles AWS IAM requis.

Vous devez créer des stratégies et des rôles AWS IAM pour le compte délégué et les comptes de collecteur.

Créer la stratégie AWS IAM pour le rôle délégué

Pour créer une stratégie AWS IAM pour le rôle délégué (une stratégie déléguée), procédez comme suit :

  1. Connectez-vous à la console du compte délégué AWS.

  2. Cliquez sur Rules > Create rule (Règles > Créer une règle).

  3. Cliquez sur JSON et collez l'un des éléments suivants, selon que vous sélectionné l'option Accorder des autorisations pour la protection des données sensibles découverte dans Configurer Security Command Center.

    Accorder des autorisations pour la découverte Sensitive Data Protection : décoché

    {
  "Version": "2012-10-17",
  "Statement": [
      {
          "Action": "sts:AssumeRole",
          "Resource": "arn:aws:iam::*:role/COLLECTOR_ROLE_NAME",
          "Effect": "Allow"
      },
      {
          "Action": [
              "organizations:List*",
              "organizations:Describe*"
          ],
          "Resource": "*",
          "Effect": "Allow"
      }
  ]
}

    Remplacez COLLECTOR_ROLE_NAME par le nom du rôle de collecteur que vous avez copié lors de la configuration de Security Command Center (aws-collector-role est la valeur par défaut).

    Accorder des autorisations pour la découverte Sensitive Data Protection : sélectionné

        {
      "Version": "2012-10-17",
      "Statement": [
        {
          "Action": "sts:AssumeRole",
          "Resource": [
            "arn:aws:iam::*:role/COLLECTOR_ROLE_NAME",
            "arn:aws:iam::*:role/SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME"
          ],
          "Effect": "Allow"
        },
        {
          "Action": [
            "organizations:List*",
            "organizations:Describe*"
          ],
          "Resource": "*",
          "Effect": "Allow"
        }
      ]
    }

    Remplacez les éléments suivants :

    • COLLECTOR_ROLE_NAME: nom du le rôle de collecteur de données de configuration que vous avez copié lors configurer Security Command Center (la valeur par défaut est aws-collector-role)
    • SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME: le nom du rôle de collecteur de protection des données sensibles que vous avez copié lorsque configurer Security Command Center (la valeur par défaut est aws-sensitive-data-protection-role)

  4. Cliquez sur Suivant.

  5. Dans la section Détails des règles, saisissez un nom et une description pour la .

  6. Cliquez sur Créer une règle.

Créer un rôle AWS IAM pour la relation d'approbation entre AWS et Google Cloud

Créer un rôle délégué qui établit une relation de confiance entre AWS et Google Cloud. Ce rôle utilise la stratégie déléguée créée dans Créez la stratégie AWS IAM pour le rôle délégué.

  1. Connectez-vous à la console du compte délégué AWS en tant qu'utilisateur AWS pouvant créer des rôles et des stratégies IAM.

  2. Cliquez sur Rôles > Créer un rôle.

  3. Dans le champ Type d'entité de confiance, cliquez sur Identité Web.

  4. Pour Fournisseur d'identité, cliquez sur Google.

  5. Dans Audience (Audience), saisissez l'ID de l'agent de service que vous avez copié lorsque vous avez configuré Security Command Center. Cliquez sur Next (Suivant).

  6. Pour accorder au rôle délégué l'accès aux rôles de collecteur, joignez-lui les stratégies d'autorisation. Recherchez la règle déléguée créé dans Créer la stratégie AWS IAM pour le rôle délégué et sélectionnez-la.

  7. Dans la section Détails du rôle, saisissez le nom du rôle délégué que vous avez copié lorsque vous avez configuré Security Command Center (le nom par défaut est aws-delegated-role).

  8. Cliquez sur Créer un rôle.

Créer la stratégie IAM AWS pour la collecte des données de configuration des composants

Pour créer une stratégie AWS IAM pour collecter les données de configuration des éléments (un collecteur ), procédez comme suit:

  1. Connectez-vous au Console du compte de collecteur AWS

  2. Cliquez sur Rules > Create rule (Règles > Créer une règle).

  3. Cliquez sur JSON et collez le contenu suivant:

    {
  "Version": "2012-10-17",
  "Statement": [
      {
          "Effect": "Allow",
          "Action": [
              "ce:GetCostAndUsage",
              "dynamodb:DescribeTableReplicaAutoScaling",
              "identitystore:ListGroupMemberships",
              "identitystore:ListGroups",
              "identitystore:ListUsers",
              "lambda:GetFunction",
              "lambda:GetFunctionConcurrency",
              "logs:ListTagsForResource",
              "s3express:GetBucketPolicy",
              "s3express:ListAllMyDirectoryBuckets",
              "wafv2:GetIPSet"
          ],
          "Resource": [
              "*"
          ]
      },
      {
          "Effect": "Allow",
          "Action": [
              "apigateway:GET"
          ],
          "Resource": [
              "arn:aws:apigateway:*::/usageplans",
              "arn:aws:apigateway:*::/usageplans/*/keys",
              "arn:aws:apigateway:*::/vpclinks/*"
          ]
      }
  ]

}

  4. Cliquez sur Suivant.

  5. Dans la section Détails des règles, saisissez un nom et une description pour la .

  6. Cliquez sur Créer une règle.

  7. Répétez cette procédure pour chaque compte de collecteur.

Créer le rôle AWS IAM pour la collecte des données de configuration des composants dans chaque compte

Créer le rôle de collecteur permettant à Security Command Center d'obtenir les données de configuration des éléments depuis AWS. Ce rôle utilise la stratégie de collecteur créée dans Créer la stratégie AWS IAM pour la collecte des données de configuration des composants.

  1. Connectez-vous à la console du compte collecteur AWS en tant qu'utilisateur autorisé à créer des rôles IAM pour les comptes collecteurs.

  2. Cliquez sur Rôles > Créer un rôle.

  3. Pour Type d'entité de confiance, cliquez sur Règle de confiance personnalisée.

  4. Dans la section Règle de confiance personnalisée, collez le contenu suivant:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::DELEGATE_ACCOUNT_ID:role/DELEGATE_ACCOUNT_ROLE"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

    Remplacez les éléments suivants :

    • DELEGATE_ACCOUNT_ID: ID de compte AWS pour le compte délégué
    • DELEGATE_ACCOUNT_ROLE: nom du rôle délégué que que vous avez copiés lorsque vous Security Command Center configuré

  5. Pour accorder à ce rôle de collecteur l'accès à vos données de configuration d'éléments AWS, associer les stratégies d'autorisation au rôle. Rechercher le collecteur personnalisé qui a été créée dans Créez la stratégie AWS IAM pour la collecte des données de configuration des éléments. et sélectionnez-la.

  6. Recherchez et sélectionnez les règles gérées suivantes :

    • arn:aws:iam::aws:policy/job-function/ViewOnlyAccess
    • arn:aws:iam::aws:policy/SecurityAudit

  7. Dans la section Role details (Détails du rôle), saisissez le nom du rôle de collecteur de données de configuration que vous avez copié lorsque vous avez configuré Security Command Center.

  8. Cliquez sur Créer un rôle.

  9. Répétez cette procédure pour chaque compte de collecteur.

Si vous avez sélectionné l'option Accorder des autorisations pour la protection des données sensibles découverte dans Configurer Security Command Center, puis passez .

Si vous n'avez pas activé l'option Accorder des autorisations pour la protection des données sensibles de découverte, puis complétez processus d'intégration.

Créer la stratégie IAM AWS pour la protection des données sensibles

Suivez ces étapes si vous avez coché la case Accorder des autorisations pour la détection de la protection des données sensibles dans Configurer Security Command Center.

Pour créer une stratégie AWS IAM pour la protection des données sensibles (une stratégie de collecteur), procédez comme suit :

  1. Connectez-vous au Console du compte de collecteur AWS

  2. Cliquez sur Rules > Create rule (Règles > Créer une règle).

  3. Cliquez sur JSON et collez le contenu suivant:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:GetBucketLocation",
        "s3:ListAllMyBuckets",
        "s3:GetBucketPolicyStatus",
        "s3:ListBucket",
        "s3:GetObject",
        "s3:GetObjectVersion",
        "s3:GetBucketPublicAccessBlock",
        "s3:GetBucketOwnershipControls",
        "s3:GetBucketTagging"
      ],
      "Resource": ["arn:aws:s3:::*"]
    },
    {
      "Effect": "Allow",
      "Action": [
        "iam:ListAttachedRolePolicies",
        "iam:GetPolicy",
        "iam:GetPolicyVersion",
        "iam:ListRolePolicies",
        "iam:GetRolePolicy",
        "ce:GetCostAndUsage",
        "dynamodb:DescribeTableReplicaAutoScaling",
        "identitystore:ListGroupMemberships",
        "identitystore:ListGroups",
        "identitystore:ListUsers",
        "lambda:GetFunction",
        "lambda:GetFunctionConcurrency",
        "logs:ListTagsForResource",
        "s3express:GetBucketPolicy",
        "s3express:ListAllMyDirectoryBuckets",
        "wafv2:GetIPSet"
      ],
      "Resource": ["*"]
    },
    {
      "Effect": "Allow",
      "Action": [
          "s3express:CreateSession"
      ],
      "Resource": ["arn:aws:s3express:*:*:bucket/*"]
    }
  ]
}

  4. Cliquez sur Suivant.

  5. Dans la section Détails des règles, saisissez un nom et une description pour la .

  6. Cliquez sur Créer une règle.

  7. Répétez cette procédure pour chaque compte de collecteur.

Créer le rôle IAM AWS pour la protection des données sensibles dans chaque compte

Suivez ces étapes si vous avez coché la case Accorder des autorisations pour la détection de la protection des données sensibles dans Configurer Security Command Center.

Créez le rôle de collecteur qui permet à la protection des données sensibles de profiler le contenu de vos ressources AWS. Ce rôle utilise la stratégie de collecteur qui était dans Créer la stratégie AWS IAM pour Sensitive Data Protection.

  1. Connectez-vous à la console du compte collecteur AWS en tant qu'utilisateur autorisé à créer des rôles IAM pour les comptes collecteurs.

  2. Cliquez sur Rôles > Créer un rôle

  3. Pour Type d'entité de confiance, cliquez sur Règle de confiance personnalisée.

  4. Dans la section Règle de confiance personnalisée, collez le contenu suivant:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::DELEGATE_ACCOUNT_ID:role/DELEGATE_ACCOUNT_ROLE"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

    Remplacez les éléments suivants :

    • DELEGATE_ACCOUNT_ID : ID de compte AWS du compte délégué
    • DELEGATE_ACCOUNT_ROLE : nom du rôle délégué que vous avez copié lorsque vous avez configuré Security Command Center

  5. Pour accorder à ce rôle de collecteur l'accès au contenu de vos ressources AWS, associer les stratégies d'autorisation au rôle. Rechercher le collecteur personnalisé que vous avez créée à l'étape Créer la stratégie IAM AWS pour Sensitive Data Protection et sélectionnez-la.

  6. Dans la section Détails du rôle, saisissez le nom du rôle pour la protection des données sensibles que vous avez copié lorsque vous avez configuré Security Command Center.

  7. Cliquez sur Créer un rôle.

  8. Répétez cette procédure pour chaque compte de collecteur.

Pour terminer le processus d'intégration, consultez la section Terminer le processus d'intégration.

Finaliser le processus d'intégration

  1. Dans la console Google Cloud, sur la page Tester le connecteur, cliquez sur Tester le connecteur pour vérifier que Security Command Center peut se connecter à votre environnement AWS. Si la connexion aboutit, le test a déterminé que le rôle délégué dispose de toutes les autorisations requises les rôles de collecteur. Si la connexion échoue, consultez la section Dépannage lors du test de la connexion.

  2. Cliquez sur Créer.

Personnaliser la configuration du connecteur AWS

Cette section décrit certaines des façons dont vous pouvez personnaliser la connexion entre Security Command Center et AWS. Ces options sont disponibles dans la section Options avancées (facultatif) de la page Ajouter un connecteur Amazon Web Services de la console Google Cloud.

Par défaut, Security Command Center détecte automatiquement vos comptes AWS dans toutes les régions AWS. La connexion utilise Point de terminaison mondial par défaut pour AWS Security Token Service et les requêtes par seconde (RPS) par défaut pour le service AWS la surveillance. Ces options avancées vous permettent de personnaliser les valeurs par défaut.

Option Description
Ajouter des comptes de connecteur AWS Sélectionnez le champ Ajouter des comptes automatiquement (recommandé) pour permettre à Security Command Center de identifiez automatiquement les comptes AWS ou sélectionnez Ajouter des comptes individuellement. et fournir une liste de comptes AWS que Security Command Center peut utiliser pour rechercher des ressources.
Exclure des comptes de connecteur AWS Si vous avez sélectionné le champ Ajouter des comptes individuellement dans la section Ajouter des comptes de connecteur AWS, fournissez une liste des comptes AWS que Security Command Center ne doit pas utiliser pour rechercher des ressources.
Sélectionner les régions pour la collecte des données Sélectionnez une ou plusieurs régions AWS depuis lesquelles Security Command Center doit collecter des données. Quittez Le champ Régions AWS est vide pour collecter les données de toutes les régions.
Nombre maximal de requêtes par seconde (RPS) pour les services AWS Vous pouvez modifier les RPS pour contrôler la limite de quota pour Security Command Center. Définissez le forçage sur une valeur inférieure à la valeur par défaut de ce service et supérieure ou égale à 1. La valeur par défaut est la valeur maximale. Si vous modifiez le QPS, Security Command Center risque de rencontrer des problèmes lors de la récupération des données. C'est pourquoi nous vous déconseillons de modifier cette valeur.
Point de terminaison pour AWS Security Token Service Vous pouvez spécifier un point de terminaison spécifique pour le Service de jetons de sécurité (par exemple, https://sts.us-east-2.amazonaws.com) Laissez le champ AWS Security Token Service vide pour utiliser le point de terminaison global par défaut (https://sts.amazonaws.com).

Accorder des autorisations de découverte de données sensibles à un connecteur AWS existant

Pour effectuer une découverte de données sensibles sur votre contenu AWS, vous avez besoin d'un Connecteur AWS disposant du service AWS IAM requis autorisations.

Cette section explique comment accorder ces autorisations à un cluster AWS le connecteur. La procédure à suivre dépend de la façon dont vous avez configuré votre environnement AWS à l'aide de modèles CloudFormation ou manuellement.

Mettre à jour un connecteur existant à l'aide de modèles CloudFormation

Si vous configurez votre environnement AWS à l'aide de modèles CloudFormation, suivez ces étapes pour accorder des autorisations de découverte de données sensibles à votre connecteur AWS existant.

  1. Dans la console Google Cloud, accédez à la page Guide de configuration de Security Command Center.

    Accéder au guide de configuration

  2. Sélectionnez l'organisation pour laquelle vous avez activé le niveau de Security Command Center Enterprise. La page Guide de configuration s'ouvre.

  3. Cliquez sur Étape 3: Configurer l'intégration d'Amazon Web Services (AWS). La La page Connecteurs s'ouvre.

  4. Pour le connecteur AWS, cliquez sur Plus > Modifier.

  5. Dans la section Examiner les types de données, sélectionnez Accorder des autorisations pour la découverte de la protection des données sensibles.

  6. Cliquez sur Continuer. La page Se connecter à AWS s'ouvre.

  7. Cliquez sur Télécharger le modèle de rôle délégué. Le modèle est téléchargé sur votre ordinateur.

  8. Cliquez sur Télécharger le modèle du rôle de collecteur. Le modèle est téléchargé sur votre ordinateur.

  9. Cliquez sur Continuer. La page Tester le connecteur s'ouvre. Ne testez pas la connecteur.

  10. Dans la console CloudFormation, mettez à jour le modèle de pile pour l'instance déléguée rôle:

    1. Connectez-vous à la console du compte délégué AWS. Assurez-vous d'être connecté au compte délégué utilisé pour assumer d'autres comptes AWS de collecteur.
    2. Accédez à la page AWS CloudFormation.

    3. Remplacez le modèle de pile du rôle délégué par le modèle de rôle délégué mis à jour que vous avez téléchargé.

      Pour en savoir plus, consultez la section Modifier le modèle d'une pile (console) dans la documentation AWS.

  11. Mettez à jour l'ensemble de pile pour le rôle de collecteur :

    1. Connectez-vous à la console AWS CloudFormation à l'aide d'un compte de gestion AWS ou de tout compte membre enregistré en tant qu'administrateur délégué.

    2. Remplacez le modèle de set de piles pour le rôle de collecteur par le modèle de rôle de collecteur mis à jour que vous avez téléchargé.

      Pour en savoir plus, consultez Modifier votre ensemble de piles à l'aide de la console AWS CloudFormation dans la documentation AWS.

  12. Si vous devez collecter des données à partir du compte de gestion, connectez-vous au compte de gestion, puis remplacez le modèle dans la pile du collecteur par le modèle de rôle de collecteur mis à jour que vous avez téléchargé.

    Cette étape est nécessaire, car les ensembles de piles AWS CloudFormation ne créent pas dans les comptes de gestion. Pour en savoir plus, consultez DeploymentTargets dans la documentation AWS.

  13. Dans la console Google Cloud, sur la page Tester le connecteur, cliquez sur Tester le connecteur. Si la connexion est établie, le test a déterminé que dispose de toutes les autorisations requises pour assumer de rôles. Si la connexion échoue, consultez la section Résoudre les erreurs tester la connexion.

  14. Cliquez sur Enregistrer.

Mettre à jour manuellement un connecteur existant

Si vous avez configuré vos comptes AWS manuellement lorsque vous créé le connecteur AWS, puis suivez les étapes ci-dessous pour accorder des autorisations les autorisations de découverte pour le connecteur AWS existant.

  1. Dans la console Google Cloud, accédez à la page Guide de configuration de Security Command Center.

    Accéder au guide de configuration

  2. Sélectionnez l'organisation pour laquelle vous avez activé le niveau de Security Command Center Enterprise. La page Guide de configuration s'ouvre.

  3. Cliquez sur Étape 3: Configurer l'intégration d'Amazon Web Services (AWS). La La page Connecteurs s'ouvre.

  4. Pour le connecteur AWS, cliquez sur Plus > Modifier.

  5. Dans la section Examiner les types de données, sélectionnez Accorder des autorisations pour la protection des données sensibles. découverte.

  6. Cliquez sur Continuer. La page Se connecter à AWS s'ouvre.

  7. Cliquez sur Configurer des comptes AWS manuellement (option recommandée si vous utilisez des paramètres avancés ou des noms de rôles personnalisés).

  8. Copiez les valeurs des champs suivants :

    • Nom du rôle délégué
    • Nom du rôle de collecteur
    • Nom du rôle de collecteur de protection des données sensibles

  9. Cliquez sur Continuer. La page Tester le connecteur s'ouvre. Ne testez pas la connecteur.

  10. Dans la console du compte délégué AWS, mettez à jour la stratégie IAM AWS pour le rôle délégué afin d'utiliser le fichier JSON suivant :

        {
      "Version": "2012-10-17",
      "Statement": [
        {
          "Action": "sts:AssumeRole",
          "Resource": [
            "arn:aws:iam::*:role/COLLECTOR_ROLE_NAME",
            "arn:aws:iam::*:role/SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME"
          ],
          "Effect": "Allow"
        },
        {
          "Action": [
            "organizations:List*",
            "organizations:Describe*"
          ],
          "Resource": "*",
          "Effect": "Allow"
        }
      ]
    }

    Remplacez les éléments suivants :

    • COLLECTOR_ROLE_NAME: nom de la configuration de collecteur de données que vous avez copié (par défaut, aws-collector-role)
    • SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME : nom du rôle de collecteur Sensitive Data Protection que vous avez copié (aws-sensitive-data-protection-role par défaut)

    Pour en savoir plus, consultez Modifier des règles gérées par le client (console) dans la documentation AWS.

  11. Pour chaque compte de collecteur, procédez comme suit:

    1. Créez la stratégie AWS IAM pour la protection des données sensibles.

    2. Créez le rôle IAM AWS pour la protection des données sensibles dans chaque compte.

  12. Dans la console Google Cloud, sur la page Tester le connecteur, cliquez sur Tester le connecteur. Si la connexion aboutit, le test détermine que le rôle délégué dispose de toutes les autorisations requises pour assumer les rôles de collecteur. Si la connexion échoue, consultez la section Résoudre les erreurs tester la connexion.

  13. Cliquez sur Enregistrer.

Dépannage

Cette section inclut quelques problèmes courants que vous pouvez rencontrer lorsque vous en intégrant Security Command Center à AWS.

Les ressources existent déjà

Cette erreur se produit dans l'environnement AWS lorsque vous essayez de créer les stratégies et les rôles AWS IAM. Ce problème se produit lorsque le rôle existe déjà dans votre compte AWS et que vous essayez de le créer à nouveau.

Pour résoudre ce problème, procédez comme suit :

  • Vérifiez si le rôle ou la stratégie que vous créez existe déjà et si elle répond aux exigences indiquées dans ce guide.
  • Si nécessaire, modifiez le nom du rôle pour éviter tout conflit.

Principal non valide dans la règle

Cette erreur peut se produire dans l'environnement AWS lorsque vous créez les rôles de collecteur, mais que le rôle de délégué n'existe pas encore.

Pour résoudre ce problème, suivez la procédure décrite dans Créer la stratégie AWS IAM pour le délégué et attendez que le rôle délégué avant de continuer.

Limites de limitation dans AWS

AWS limite les requêtes d'API pour chaque compte AWS, par compte ou par région. Pour s'assurer que ces limites ne sont pas dépassées lorsque Security Command Center collecte des données de configuration des ressources auprès d'AWS, Security Command Center collecte les données à un débit de requêtes par seconde maximal fixe pour chaque service AWS, comme décrit dans la documentation de l'API du service AWS.

Si vous rencontrez un débit limité des requêtes dans votre environnement AWS en raison des RPS consommés, vous pouvez atténuer le problème en procédant comme suit :

  • Dans les paramètres du connecteur AWS , définissez une RPS pour le service AWS qui rencontre des problèmes de limitation des requêtes.

  • Limitez les autorisations du rôle de collecteur AWS afin que les données de ce rôle un service spécifique n'est plus collecté. Cette technique d'atténuation empêche les simulations de chemin d'attaque de fonctionner correctement pour AWS.

Révoquer toutes les autorisations dans AWS arrête immédiatement le processus du collecteur de données. La suppression du connecteur AWS n'arrête pas immédiatement le processus du collecteur de données, mais il ne redémarre pas une fois terminé.

Résoudre les erreurs lors du test de la connexion

Ces erreurs peuvent se produire lorsque vous testez la connexion Security Command Center et AWS.

AWS_FAILED_TO_ASSUME_DELEGATED_ROLE

La connexion n'est pas valide, car l'agent de service Google Cloud ne peut pas supposer le rôle délégué.

Pour résoudre ce problème, tenez compte des points suivants:

AWS_FAILED_TO_LIST_ACCOUNTS

La connexion n'est pas valide car la détection automatique est activée et le rôle délégué ne peut pas obtenir tous les comptes AWS des organisations.

Ce problème indique que la stratégie permettant d'autoriser l'action organizations:ListAccounts sur le rôle délégué est manquante sur certaines ressources. Pour résoudre ce problème, vérifiez quelles ressources sont manquantes. Pour effectuer la validation les paramètres de la règle déléguée, consultez Créez la stratégie AWS IAM pour le rôle délégué.

AWS_INVALID_COLLECTOR_ACCOUNTS

La connexion n'est pas valide, car il existe des comptes de collecteur non valides. Le message d'erreur inclut plus d'informations sur les causes possibles, y compris les suivantes :

AWS_FAILED_TO_ASSUME_COLLECTOR_ROLE

Le compte de collecteur n'est pas valide, car le rôle délégué ne peut pas supposer que le compte le rôle de collecteur dans le compte de collecteur.

Pour résoudre ce problème, tenez compte des points suivants:

AWS_COLLECTOR_ROLE_POLICY_MISSING_REQUIRED_PERMISSION

La connexion n'est pas valide, car certains des paramètres d'autorisation requis ne figurent pas dans la stratégie du collecteur.

Pour résoudre ce problème, prenez en compte les causes suivantes:

Étape suivante