Connettiti ad AWS per la raccolta dei dati di configurazione e delle risorse

Collega il livello Security Command Center Enterprise al tuo ambiente Amazon Web Services (AWS) per poter:

  • Rileva e correggi vulnerabilità del software ed errori di configurazione nel tuo ambiente AWS
  • Crea e gestisci una postura di sicurezza per AWS
  • Identifica i potenziali percorsi di attacco da internet pubblico alle tue risorse AWS di alto valore
  • Mappare la conformità delle risorse AWS con vari standard e benchmark

Quando colleghi Security Command Center ad AWS, viene creato un unico punto per il tuo team di operazioni di sicurezza per gestire e correggere minacce e vulnerabilità inGoogle Cloud e AWS.

Per consentire a Security Command Center di monitorare la tua organizzazione AWS, devi configurare una connessione utilizzando un agente di servizioGoogle Cloud e un account AWS che abbia accesso alle risorse che vuoi monitorare. Security Command Center utilizza questa connessione per raccogliere periodicamente i dati in tutti gli account e le regioni AWS che definisci. Questi dati vengono gestiti allo stesso modo dei Dati di servizio, in conformità con l'Informativa sulla privacy di Google Cloud.

Puoi creare una connessione AWS per ogni organizzazione Google Cloud . Il connettore utilizza chiamate API per raccogliere i dati degli asset AWS. Queste chiamate API potrebbero comportare addebiti AWS.

Questo documento descrive come configurare la connessione con AWS. Quando configuri una connessione, configuri quanto segue:

  • Una serie di account in AWS che hanno accesso diretto alle risorse AWS che vuoi monitorare. Nella Google Cloud console, questi account sono chiamati account raccoglitore.
  • Un account in AWS con policy e ruoli appropriati per consentire l'autenticazione agli account raccoglitore. Nella Google Cloud console, questo account è chiamato account delegato. Sia l'account delegato sia gli account di raccolta devono appartenere alla stessa organizzazione AWS.
  • Un service agent in Google Cloud che si connette all'account delegato per l'autenticazione.
  • Una pipeline per raccogliere i dati degli asset dalle risorse AWS.
  • (Facoltativo) Autorizzazioni per Sensitive Data Protection per profilare i tuoi contenuti AWS.

Il connettore non importa i log AWS necessari per le funzionalità di rilevamento curate SIEM in Security Command Center Enterprise. Per informazioni sull'importazione di questi dati, vedi Connettersi ad AWS per l'importazione dei log.

Questa connessione non si applica alle funzionalità SIEM di Security Command Center che ti consentono di importare i log AWS per il rilevamento delle minacce.

Il seguente diagramma mostra questa configurazione. Il progetto tenant è un progetto che viene creato automaticamente e contiene l'istanza della pipeline di raccolta dei dati degli asset.

Configurazione di AWS e Security Command Center.

Panoramica di alto livello dei passaggi di configurazione

Dopo aver completato i passaggi descritti in Prima di iniziare, segui i passaggi in ogni sezione per connettere il livello Security Command Center Enterprise al tuo ambiente Amazon Web Services (AWS):

  1. Configura il connettore AWS
  2. Configura l'ambiente AWS utilizzando uno dei seguenti metodi:
    • Automaticamente con i modelli CloudFormation
    • Manualmente inserendo gli account AWS
  3. Completa la procedura di integrazione del connettore AWS

Prima di iniziare

Completa queste attività prima di completare le attività rimanenti in questa pagina.

Configurare le autorizzazioni in Google Cloud

Per ottenere le autorizzazioni necessarie per utilizzare il connettore AWS, chiedi all'amministratore di concederti il ruolo IAM Proprietario asset Cloud (roles/cloudasset.owner). Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

Crea account AWS

Assicurati di disporre delle seguenti risorse AWS:

Configura il connettore AWS

  1. Apri la scheda Connettori nella pagina Impostazioni.

    Vai a Connettori

  2. Seleziona l'organizzazione in cui hai attivato Security Command Center Enterprise.

  3. Seleziona Connettori > Aggiungi connettore > Amazon Web Services.

  4. In ID account delegato, inserisci l'ID account AWS per l'account AWS che puoi utilizzare come account delegato.

  5. Per consentire a Sensitive Data Protection di profilare i tuoi dati AWS, mantieni selezionata l'opzione Concedi le autorizzazioni per il rilevamento Sensitive Data Protection. Questa opzione aggiunge le autorizzazioni AWS Identity and Access Management (IAM) nel modello CloudFormation per il ruolo di raccolta.

    Autorizzazioni AWS IAM concesse da questa opzione

    • s3:GetBucketLocation
    • s3:ListAllMyBuckets
    • s3:GetBucketPolicyStatus
    • s3:ListBucket
    • s3:GetObject
    • s3:GetObjectVersion
    • s3:GetBucketPublicAccessBlock
    • s3:GetBucketOwnershipControls
    • s3:GetBucketTagging
    • iam:ListAttachedRolePolicies
    • iam:GetPolicy
    • iam:GetPolicyVersion
    • iam:ListRolePolicies
    • iam:GetRolePolicy
    • ce:GetCostAndUsage
    • dynamodb:DescribeTableReplicaAutoScaling
    • identitystore:ListGroupMemberships
    • identitystore:ListGroups
    • identitystore:ListUsers
    • lambda:GetFunction
    • lambda:GetFunctionConcurrency
    • logs:ListTagsForResource
    • s3express:CreateSession
    • s3express:GetBucketPolicy
    • s3express:ListAllMyDirectoryBuckets
    • wafv2:GetIPSet

  6. (Facoltativo) Controlla e modifica le opzioni avanzate. Per informazioni su altre opzioni, consulta Personalizzare la configurazione del connettore AWS.

  7. Fai clic su Continua. Si apre la pagina Connettiti ad AWS.

  8. Seleziona una delle seguenti opzioni:

    • Utilizza i modelli AWS CloudFormation, quindi scarica ed esamina i modelli CloudFormation per il ruolo delegato e il ruolo raccoglitore.

    • Configura manualmente gli account AWS: seleziona questa opzione se hai configurato le opzioni avanzate o devi modificare i nomi dei ruoli AWS predefiniti (aws-delegated-role, aws-collector-role e aws-sensitive-data-protection-role). Copia l'ID agente di servizio, il nome del ruolo delegato, il nome del ruolo raccoglitore e il nome del ruolo raccoglitore Sensitive Data Protection.

    Non puoi modificare i nomi dei ruoli dopo aver creato la connessione.

Non fare clic su Salva o Continua. In alternativa, configura l'ambiente AWS.

Configurare l'ambiente AWS

Puoi configurare l'ambiente AWS utilizzando uno dei seguenti metodi:

Utilizza i modelli CloudFormation per configurare l'ambiente AWS

Se hai scaricato i modelli CloudFormation, segui questi passaggi di alto livello per configurare il tuo ambiente AWS:

  1. Accedi alla console dell'account delegato AWS. Assicurati di aver eseguito l'accesso all'account delegato utilizzato per assumere altri account AWS di raccolta (ovvero un account di gestione AWS o qualsiasi account membro registrato come amministratore delegato).

  2. Crea uno stack che esegua il provisioning del ruolo delegato. Per saperne di più, consulta Creazione di uno stack.

    Tieni presente che:

    • Se hai modificato il nome del ruolo delegato, del ruolo raccoglitore o del ruolo Sensitive Data Protection, aggiorna i parametri di conseguenza. I parametri che inserisci devono corrispondere a quelli elencati nella pagina Connetti ad AWS nella console Google Cloud .
    • Attendi la creazione dello stack. Se si verifica un errore, vedi Risoluzione dei problemi. Per saperne di più, consulta Creazione di uno stack nella console AWS CloudFormation nella documentazione di AWS.

  3. Crea uno stack che esegua il provisioning dei ruoli di raccolta. Per ulteriori informazioni su come eseguire questa operazione, consulta Creare StackSet CloudFormation con autorizzazioni gestite dal servizio.

    Tieni presente che:

  • Se hai scelto di aggiungere gli account AWS singolarmente (selezionando Aggiungi account singolarmente durante la configurazione del connettore nella consoleGoogle Cloud ), puoi anche creare stack separati per ogni account AWS anziché creare un singolo set di stack.

    • Le autorizzazioni gestite dal servizio sono l'impostazione consigliata. Puoi scegliere di utilizzare le autorizzazioni autogestite, ma devi concedere le autorizzazioni manualmente. Nota: se scegli le autorizzazioni autogestite, puoi scegliere gli account AWS in cui eseguire il deployment. Il modello CloudFormation non supporta un elenco di account AWS da includere o escludere, come descritto in Configurazione personalizzata. Se vuoi creare un elenco di account AWS da includere o escludere, il set di stack potrebbe creare alcuni stack non necessari. Puoi ignorare o rimuovere questi stack.

      • Se hai modificato il nome del ruolo delegato, del ruolo raccoglitore o del ruolo Sensitive Data Protection, aggiorna i parametri di conseguenza. I parametri che inserisci devono corrispondere a quelli elencati nella pagina Connetti ad AWS nella console Google Cloud .

      • Configura le opzioni del set di stack come richiesto dalla tua organizzazione.

      • Quando specifichi le opzioni di deployment, scegli le destinazioni di deployment. Puoi eseguire il deployment nell'intera organizzazione AWS o in un'unità organizzativa (UO) che include tutti gli account AWS da cui vuoi raccogliere i dati.

      • Specifica le regioni AWS in cui creare i ruoli e i criteri. Poiché i ruoli sono risorse globali, non devi specificare più regioni.

      • Se ricevi un errore, consulta la sezione Risoluzione dei problemi. Per saperne di più, consulta la sezione Crea StackSet CloudFormation con autorizzazioni gestite dal servizio nella documentazione di AWS.

    1. Se devi raccogliere dati dall'account amministratore, accedi all'account amministratore e implementa uno stack separato per eseguire il provisioning dei ruoli del raccoglitore. Quando specifichi il modello, carica il file del modello del ruolo raccoglitore.

    Questo passaggio è necessario perché i set di stack AWS CloudFormation non creano istanze di stack negli account di gestione. Per saperne di più, consulta la sezione DeploymentTargets nella documentazione di AWS.

Esegui i passaggi descritti in Completa la procedura di integrazione.

Configura manualmente gli account AWS

Se non puoi utilizzare i modelli CloudFormation (ad esempio, utilizzi nomi di ruoli diversi o personalizzi l'integrazione), puoi creare manualmente i ruoli AWS IAM e le policy AWS IAM richiesti.

Esamina e completa queste sezioni nel seguente ordine:

  1. Creare il criterio AWS IAM per il ruolo delegato
  2. Crea un ruolo IAM AWS per la relazione di fiducia tra AWS e Google Cloud
  3. Crea il criterio AWS IAM per la raccolta dei dati di configurazione degli asset
  4. Crea il ruolo AWS IAM per la raccolta dei dati di configurazione degli asset in ogni account
  5. Crea il criterio AWS IAM per Sensitive Data Protection

Devi creare policy IAM AWS e ruoli IAM AWS per l'account delegato e gli account raccoglitore.

Crea il criterio AWS IAM per il ruolo delegato

Per creare un criterio AWS IAM per il ruolo delegato (un criterio delegato), segui i passaggi descritti in Creare un criterio nella documentazione di AWS.

Quando crei la norma, incolla uno dei seguenti codici per il passaggio JSON, a seconda che tu abbia selezionato la casella di controllo Concedi autorizzazioni per l'individuazione di Sensitive Data Protection in Configura Security Command Center.

Concedi le autorizzazioni per il rilevamento di Sensitive Data Protection: deselezionata

    {
      "Version": "2012-10-17",
      "Statement": [
          {
              "Action": "sts:AssumeRole",
              "Resource": "arn:aws:iam:::role/COLLECTOR_ROLE_NAME",
              "Effect": "Allow"
          },
          {
              "Action": [
                  "organizations:List",
                  "organizations:Describe"
              ],
              "Resource": "",
              "Effect": "Allow"
          }
      ]
    }

Sostituisci COLLECTOR_ROLE_NAME con il nome del ruolo del raccoglitore che hai copiato durante la configurazione di Security Command Center (il valore predefinito è aws-collector-role).

Concedi le autorizzazioni per il rilevamento Sensitive Data Protection: selezionato

    {
      "Version": "2012-10-17",
      "Statement": [
        {
          "Action": "sts:AssumeRole",
          "Resource": [
            "arn:aws:iam::*:role/COLLECTOR_ROLE_NAME",
            "arn:aws:iam::*:role/SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME"
          ],
          "Effect": "Allow"
        },
        {
          "Action": [
            "organizations:List*",
            "organizations:Describe*"
          ],
          "Resource": "*",
          "Effect": "Allow"
        }
      ]
    }

Sostituisci quanto segue:

  • COLLECTOR_ROLE_NAME: il nome del ruolo di raccolta dei dati di configurazione che hai copiato durante la configurazione di Security Command Center (il valore predefinito è aws-collector-role)
  • SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME: il nome del ruolo raccoglitore Sensitive Data Protection che hai copiato durante la configurazione di Security Command Center (il valore predefinito è aws-sensitive-data-protection-role)

Crea un ruolo IAM AWS per la relazione di trust tra AWS e Google Cloud

Crea un ruolo delegato che configuri una relazione di trust tra AWS e Google Cloud. Questo ruolo utilizza il criterio delegato creato in Crea il criterio AWS IAM per il ruolo delegato.

Segui le istruzioni riportate in Creazione di un ruolo per OIDC nella documentazione di AWS.

Quando crei il ruolo, specifica quanto segue:

Creare il criterio AWS IAM per la raccolta dei dati di configurazione degli asset

Per creare una policy AWS IAM per la raccolta dei dati di configurazione degli asset (una policy del raccoglitore), completa i seguenti passaggi:

  • Segui i passaggi descritti in Creare una policy nella documentazione AWS e ripeti questi passaggi, se necessario, per ogni account raccoglitore.

    Quando crei il ruolo, specifica quanto segue per il passaggio JSON:

    {
  "Version": "2012-10-17",
  "Statement": [
      {
          "Effect": "Allow",
          "Action": [
              "ce:GetCostAndUsage",
              "dynamodb:DescribeTableReplicaAutoScaling",
              "identitystore:ListGroupMemberships",
              "identitystore:ListGroups",
              "identitystore:ListUsers",
              "lambda:GetFunction",
              "lambda:GetFunctionConcurrency",
              "logs:ListTagsForResource",
              "s3express:GetBucketPolicy",
              "s3express:ListAllMyDirectoryBuckets",
              "wafv2:GetIPSet"
          ],
          "Resource": [
              "*"
          ]
      },
      {
          "Effect": "Allow",
          "Action": [
              "apigateway:GET"
          ],
          "Resource": [
              "arn:aws:apigateway:*::/usageplans",
              "arn:aws:apigateway:*::/usageplans/*/keys",
              "arn:aws:apigateway:*::/vpclinks/*"
          ]
      }
  ]

}

Crea il ruolo IAM AWS per la raccolta dei dati di configurazione degli asset in ogni account

Crea il ruolo di raccolta che consente a Security Command Center di ottenere i dati di configurazione degli asset da AWS. Questo ruolo utilizza il criterio del raccoglitore creato in Crea il criterio AWS IAM per la raccolta dei dati di configurazione degli asset.

  • Segui i passaggi descritti in Creare un ruolo personalizzato nella documentazione di AWS e ripeti questi passaggi, se necessario, per ogni account del raccoglitore.

    Per la policy di attendibilità personalizzata, aggiungi quanto segue:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::DELEGATE_ACCOUNT_ID:role/DELEGATE_ACCOUNT_ROLE"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

    Sostituisci quanto segue:

    • DELEGATE_ACCOUNT_ID: l'ID account AWS per l'account delegato

    • DELEGATE_ACCOUNT_ROLE: il nome del ruolo delegato che hai copiato quando hai configurato Security Command Center.

    • Per concedere a questo ruolo di raccoglitore l'accesso ai dati di configurazione delle risorse AWS, collega le policy di autorizzazione al ruolo. Cerca la policy del raccoglitore personalizzato che è stata creata in Crea la policy AWS IAM per la raccolta dei dati di configurazione degli asset e selezionala.

    • Cerca e seleziona i seguenti criteri gestiti:

      • arn:aws:iam::aws:policy/job-function/ViewOnlyAccess
      • arn:aws:iam::aws:policy/SecurityAudit

    • Nella sezione Dettagli ruolo, inserisci il nome del ruolo di raccolta dei dati di configurazione che hai copiato quando hai configurato Security Command Center.

Se hai selezionato la casella di controllo Concedi le autorizzazioni per il rilevamento Sensitive Data Protection in Configura Security Command Center, procedi alla sezione successiva.

Se non hai selezionato la casella di controllo Concedi le autorizzazioni per il rilevamento Sensitive Data Protection, completa la procedura di integrazione.

Crea il criterio AWS IAM per Sensitive Data Protection

Completa questi passaggi se hai selezionato la casella di controllo Concedi le autorizzazioni per il rilevamento di Sensitive Data Protection in Configura Security Command Center.

Per creare una policy AWS IAM per Sensitive Data Protection (una policy del raccoglitore), completa i seguenti passaggi:

  • Segui i passaggi descritti in Creare un ruolo personalizzato nella documentazione AWS e ripetili, se necessario, per ogni account raccoglitore.

    Quando crei il ruolo personalizzato, specifica quanto segue per il passaggio JSON:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:GetBucketLocation",
        "s3:ListAllMyBuckets",
        "s3:GetBucketPolicyStatus",
        "s3:ListBucket",
        "s3:GetObject",
        "s3:GetObjectVersion",
        "s3:GetBucketPublicAccessBlock",
        "s3:GetBucketOwnershipControls",
        "s3:GetBucketTagging"
      ],
      "Resource": ["arn:aws:s3:::*"]
    },
    {
      "Effect": "Allow",
      "Action": [
        "iam:ListAttachedRolePolicies",
        "iam:GetPolicy",
        "iam:GetPolicyVersion",
        "iam:ListRolePolicies",
        "iam:GetRolePolicy",
        "ce:GetCostAndUsage",
        "dynamodb:DescribeTableReplicaAutoScaling",
        "identitystore:ListGroupMemberships",
        "identitystore:ListGroups",
        "identitystore:ListUsers",
        "lambda:GetFunction",
        "lambda:GetFunctionConcurrency",
        "logs:ListTagsForResource",
        "s3express:GetBucketPolicy",
        "s3express:ListAllMyDirectoryBuckets",
        "wafv2:GetIPSet"
      ],
      "Resource": ["*"]
    },
    {
      "Effect": "Allow",
      "Action": [
          "s3express:CreateSession"
      ],
      "Resource": ["arn:aws:s3express:*:*:bucket/*"]
    }
  ]
}

Crea il ruolo IAM AWS per Sensitive Data Protection in ogni account

Completa questi passaggi se hai selezionato la casella di controllo Concedi autorizzazioni per la scoperta di Sensitive Data Protection in Configura il connettore AWS.

Crea il ruolo raccoglitore che consente a Sensitive Data Protection di profilare i contenuti delle tue risorse AWS. Questo ruolo utilizza il criterio del raccoglitore creato in Crea il criterio AWS IAM per Sensitive Data Protection.

  • Segui i passaggi descritti in Creazione di un ruolo di Identity and Access Management utilizzando un criterio di attendibilità personalizzato (console) nella documentazione AWS e ripeti i passaggi, se necessario, per ogni account raccoglitore.

    Quando crei la norma, specifica quanto segue:

    • Tipo di entità attendibile: scegli Norme di attendibilità personalizzate.

    • Per la policy di attendibilità personalizzata, incolla quanto segue:

      {
"Version": "2012-10-17",
"Statement": [
  {
    "Effect": "Allow",
    "Principal": {
      "AWS": "arn:aws:iam::DELEGATE_ACCOUNT_ID:role/DELEGATE_ACCOUNT_ROLE"
    },
    "Action": "sts:AssumeRole"
  }
]
}

      Sostituisci quanto segue:

      • DELEGATE_ACCOUNT_ID: l'ID account AWS per l'account delegato
      • DELEGATE_ACCOUNT_ROLE: il nome del ruolo delegato che hai copiato quando hai configurato Security Command Center

    • Per concedere a questo ruolo di raccoglitore l'accesso ai contenuti delle tue risorse AWS, collega le policy di autorizzazione al ruolo. Cerca la norma del raccoglitore personalizzato che è stata creata in Crea la norma AWS IAM per Sensitive Data Protection e selezionala.

    • Per i dettagli del ruolo, inserisci il nome del ruolo per Sensitive Data Protection che hai copiato quando hai configurato Security Command Center.

Esegui i passaggi descritti in Completa la procedura di integrazione.

Completa la configurazione del connettore AWS

  1. Torna alla pagina Connettiti ad AWS e poi fai clic su Continua.

  2. Nella console Google Cloud , nella pagina Test connector (Prova connettore), fai clic su Test connector (Prova connettore) per verificare che Security Command Center possa connettersi al tuo ambiente AWS. Se la connessione viene stabilita, il test ha determinato che il ruolo delegato dispone di tutte le autorizzazioni necessarie per assumere i ruoli di raccolta. Se la connessione non va a buon fine, vedi Risoluzione dei problemi relativi agli errori durante il test della connessione.

  3. Fai clic su Salva.

Personalizzare la configurazione del connettore AWS

Questa sezione descrive alcuni modi in cui puoi personalizzare la connessione tra Security Command Center e AWS. Queste opzioni sono disponibili nella sezione Opzioni avanzate (facoltativo) della pagina Aggiungi connettore Amazon Web Services nella console Google Cloud .

Per impostazione predefinita, Security Command Center rileva automaticamente i tuoi account AWS in tutte le regioni AWS. La connessione utilizza l'endpoint globale predefinito per il servizio token di sicurezza AWS e il numero di query al secondo (QPS) predefinito per il servizio AWS che stai monitorando. Queste opzioni avanzate ti consentono di personalizzare le impostazioni predefinite.

Opzione Descrizione
Aggiungi account connettore AWS

Seleziona un'opzione in base alle tue preferenze:

  • Aggiungi account automaticamente (opzione consigliata): seleziona questa opzione per consentire a Security Command Center di rilevare automaticamente gli account AWS.
  • Aggiungi account singolarmente: seleziona questa opzione per aggiungere manualmente gli account AWS.
Escludi account connettore AWS Se hai selezionato Aggiungi account automaticamente nella sezione Aggiungi account connettore AWS, fornisci un elenco di account AWS che Security Command Center non deve utilizzare per trovare risorse.
Inserisci gli account connettore AWS Se hai selezionato Aggiungi account singolarmente nella sezione Aggiungi account connettore AWS, fornisci un elenco di account AWS che Security Command Center può utilizzare per trovare risorse.
Seleziona le regioni per la raccolta dei dati Seleziona una o più regioni AWS da cui Security Command Center deve raccogliere i dati. Lascia vuoto il campo Regioni AWS per raccogliere i dati da tutte le regioni.
Numero massimo di query al secondo (QPS) per i servizi AWS Puoi modificare le QPS per controllare il limite di quota per Security Command Center. Imposta l'override su un valore inferiore al valore predefinito per quel servizio e maggiore o uguale a 1. Il valore predefinito è il valore massimo. Se modifichi il QPS, Security Command Center potrebbe riscontrare problemi nel recupero dei dati. Pertanto, ti sconsigliamo di modificare questo valore.
Endpoint per il servizio token di sicurezza AWS Puoi specificare un endpoint specifico per il servizio token di sicurezza AWS (ad esempio, https://sts.us-east-2.amazonaws.com). Lascia vuoto il campo Servizio token di sicurezza AWS per utilizzare l'endpoint globale predefinito (https://sts.amazonaws.com).

Concedi le autorizzazioni di rilevamento dei dati sensibili a un connettore AWS esistente

Per eseguire il rilevamento dei dati sensibili sui tuoi contenuti AWS, devi disporre di un connettore AWS con le autorizzazioni IAM AWS richieste.

Questa sezione descrive come concedere queste autorizzazioni a un connettore AWS esistente. I passaggi da seguire dipendono dal fatto che tu abbia configurato l'ambiente AWS utilizzando i modelli CloudFormation o manualmente.

Aggiornare un connettore esistente utilizzando i modelli CloudFormation

Se hai configurato l'ambiente AWS utilizzando i modelli CloudFormation, segui questi passaggi per concedere le autorizzazioni di rilevamento dei dati sensibili per il connettore AWS esistente.

  1. Nella console Google Cloud , vai a Impostazioni > Impostazioni SCC.

    Vai alle impostazioni

  2. Seleziona l'organizzazione in cui hai attivato Security Command Center Enterprise.

  3. Seleziona Connettori. Si apre la pagina Configura connettore.

  4. Per il connettore AWS, fai clic su Altre opzioni > Modifica.

  5. Nella sezione Esamina i tipi di dati, seleziona Concedi le autorizzazioni per il rilevamento Sensitive Data Protection.

  6. Fai clic su Continua. Si apre la pagina Connettiti ad AWS.

  7. Fai clic su Scarica modello del ruolo delegato. Il modello viene scaricato sul tuo computer.

  8. Fai clic su Scarica modello del ruolo raccoglitore. Il modello viene scaricato sul tuo computer.

  9. Fai clic su Continua. Si apre la pagina Testa connettore. Non testare ancora il connettore.

  10. Nella console CloudFormation, aggiorna il modello di stack per il ruolo delegato:

    1. Accedi alla console dell'account delegato AWS. Assicurati di aver eseguito l'accesso all'account delegato utilizzato per assumere altri account AWS del raccoglitore.
    2. Vai alla console AWS CloudFormation.

    3. Sostituisci il modello di stack per il ruolo delegato con il modello di ruolo delegato aggiornato che hai scaricato.

      Per saperne di più, consulta Aggiornare il modello di uno stack (console) nella documentazione di AWS.

  11. Aggiorna il set di stack per il ruolo di raccoglitore:

    1. Utilizzando un account di gestione AWS o qualsiasi account membro registrato come amministratore delegato, vai alla console AWS CloudFormation.

    2. Sostituisci il modello di set di stack per il ruolo raccoglitore con il modello di ruolo raccoglitore aggiornato che hai scaricato.

      Per ulteriori informazioni, consulta la sezione Aggiorna il set di stack utilizzando la console AWS CloudFormation nella documentazione di AWS.

  12. Se devi raccogliere dati dall'account amministratore, accedi all'account amministratore e sostituisci il modello nello stack del raccoglitore con il modello di ruolo del raccoglitore aggiornato che hai scaricato.

    Questo passaggio è necessario perché i set di stack AWS CloudFormation non creano istanze di stack negli account di gestione. Per saperne di più, consulta la sezione DeploymentTargets nella documentazione di AWS.

  13. Nella Google Cloud console, nella pagina Test connettore, fai clic su Test connettore. Se la connessione ha esito positivo, il test ha stabilito che il ruolo delegato dispone di tutte le autorizzazioni necessarie per assumere i ruoli del raccoglitore. Se la connessione non va a buon fine, consulta Risolvere gli errori durante il test della connessione.

  14. Fai clic su Salva.

Aggiornare manualmente un connettore esistente

Se hai configurato manualmente i tuoi account AWS quando hai creato il connettore AWS, segui questi passaggi per concedere le autorizzazioni di rilevamento dei dati sensibili per il connettore AWS esistente.

  1. Apri la scheda Connettori nella pagina Impostazioni.

    Vai a Connettori

  2. Seleziona l'organizzazione in cui hai attivato Security Command Center Enterprise.

  3. Per il connettore AWS, fai clic su Altre opzioni > Modifica.

  4. Nella sezione Esamina i tipi di dati, seleziona Concedi le autorizzazioni per il rilevamento Sensitive Data Protection.

  5. Fai clic su Continua. Si apre la pagina Connettiti ad AWS.

  6. Fai clic su Configura manualmente gli account AWS (consigliato se utilizzi impostazioni avanzate o nomi ruolo personalizzati).

  7. Copia i valori dei seguenti campi:

    • Nome ruolo delegato
    • Nome ruolo raccoglitore
    • Nome ruolo raccoglitore Sensitive Data Protection

  8. Fai clic su Continua. Si apre la pagina Testa connettore. Non testare ancora il connettore.

  9. Nella console dell'account delegato AWS, aggiorna il criterio AWS IAM per il ruolo delegato in modo che utilizzi il seguente JSON:

        {
      "Version": "2012-10-17",
      "Statement": [
        {
          "Action": "sts:AssumeRole",
          "Resource": [
            "arn:aws:iam::*:role/COLLECTOR_ROLE_NAME",
            "arn:aws:iam::*:role/SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME"
          ],
          "Effect": "Allow"
        },
        {
          "Action": [
            "organizations:List*",
            "organizations:Describe*"
          ],
          "Resource": "*",
          "Effect": "Allow"
        }
      ]
    }

    Sostituisci quanto segue:

    • COLLECTOR_ROLE_NAME: il nome del ruolo di raccolta dei dati di configurazione che hai copiato (il valore predefinito è aws-collector-role).
    • SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME: il nome del ruolo raccoglitore Sensitive Data Protection che hai copiato (il valore predefinito è aws-sensitive-data-protection-role)

    Per saperne di più, consulta la sezione Modifica delle policy gestite dal cliente (console) nella documentazione di AWS.

  10. Per ogni account di raccolta, esegui queste procedure:

    1. Crea il criterio AWS IAM per Sensitive Data Protection.

    2. Crea il ruolo AWS IAM per Sensitive Data Protection in ogni account.

  11. Nella Google Cloud console, nella pagina Test connettore, fai clic su Test connettore. Se la connessione ha esito positivo, il test ha stabilito che il ruolo delegato dispone di tutte le autorizzazioni necessarie per assumere i ruoli del raccoglitore. Se la connessione non va a buon fine, consulta Risolvere gli errori durante il test della connessione.

  12. Fai clic su Salva.

Risoluzione dei problemi

Questa sezione include alcuni problemi comuni che potresti riscontrare quando integri Security Command Center con AWS.

Le risorse esistono già

Questo errore si verifica nell'ambiente AWS quando provi a creare i criteri IAM AWS e i ruoli IAM AWS e il ruolo esiste già nel tuo account AWS.

Per risolvere questo errore, completa le seguenti operazioni:

  • Verifica che il ruolo o il criterio che stai creando esista già e soddisfi i requisiti elencati in questa guida.
  • Se necessario, modifica il nome del ruolo per evitare conflitti.

Entità non valida nella policy

Questo errore può verificarsi nell'ambiente AWS quando crei i ruoli del raccoglitore, ma il ruolo delegato non esiste ancora.

Per risolvere questo errore, completa i passaggi descritti in Crea il criterio AWS IAM per il ruolo delegato e attendi la creazione del ruolo delegato prima di continuare.

Limitazioni della limitazione in AWS

AWS limita le richieste API per ogni account AWS in base all'account o alla regione. Per garantire che questi limiti non vengano superati quando Security Command Center raccoglie i dati di configurazione degli asset da AWS, Security Command Center raccoglie i dati a un QPS massimo fisso per ogni servizio AWS, come descritto nella documentazione API per il servizio AWS.

Se riscontri la limitazione delle richieste nel tuo ambiente AWS a causa delle QPS consumate, puoi risolvere il problema completando quanto segue:

  • Nella pagina delle impostazioni del connettore AWS, imposta un QPS personalizzato per il servizio AWS che sta riscontrando la limitazione delle richieste.

  • Limita le autorizzazioni del ruolo di raccoglitore AWS in modo che i dati di questo servizio specifico non vengano più raccolti. Questa tecnica di mitigazione impedisce alle simulazioni del percorso di attacco di funzionare correttamente per AWS.

La revoca di tutte le autorizzazioni in AWS interrompe immediatamente il processo di raccolta dei dati. L'eliminazione del connettore AWS non interrompe immediatamente il processo di raccolta dei dati, ma non verrà riavviato al termine.

Il risultato viene restituito per una risorsa AWS eliminata

Dopo l'eliminazione di una risorsa AWS, possono essere necessarie fino a 40 ore prima che venga rimossa dal sistema di inventario degli asset di Security Command Center. Se scegli di risolvere un problema eliminando la risorsa, potresti visualizzare il problema segnalato entro questo periodo di tempo perché l'asset non è ancora stato rimosso dal sistema di inventario degli asset di Security Command Center.

Risoluzione degli errori durante il test della connessione

Questi errori possono verificarsi quando testi la connessione tra Security Command Center e AWS.

AWS_FAILED_TO_ASSUME_DELEGATED_ROLE

La connessione non è valida perché l'agente di servizio non può assumere il ruolo delegato. Google Cloud

Per risolvere il problema, tieni presente quanto segue:

AWS_FAILED_TO_CONNECT_TO_ORGNIZATIONS_SERVICE

La connessione non è valida perché non può connettersi al servizio AWS Organizations. Questo stato si applica solo alle connessioni con l'individuazione automatica disattivata.

Per risolvere il problema, tieni presente quanto segue:

  • Verifica la configurazione controllando di aver seguito i passaggi descritti in Creare account AWS. Verifica che le autorizzazioni AWS IAM per il ruolo delegato siano configurate correttamente.
  • Esamina la configurazione dell'organizzazione AWS facendo riferimento alla sezione Risoluzione dei problemi relativi alle organizzazioni AWS.
  • Controlla i log di AWS CloudTrail per errori specifici di accesso negato correlati ai servizi AWS Organizations. Questo passaggio può aiutarti a individuare l'esatta lacuna di autorizzazioni.

AWS_FAILED_TO_LIST_ACCOUNTS

La connessione non è valida perché il rilevamento automatico è abilitato e il ruolo delegato non può recuperare tutti gli account AWS nelle organizzazioni.

Questo errore indica che la policy per consentire l'azione organizations:ListAccounts sul ruolo delegato non è presente in alcune risorse. Per risolvere questo errore, verifica quali risorse mancano. Per verificare le impostazioni per il criterio delegato, consulta Creare il criterio AWS IAM per il ruolo delegato.

Verifica di aver creato e configurato gli account AWS come descritto nella sezione Crea account AWS.

AWS_ACTIVE_COLLECTOR_ACCOUNTS_NOT_FOUND

La connessione non è valida perché non sono stati trovati account raccoglitore AWS con lo stato ACTIVE.

Se hai selezionato Aggiungi account automaticamente nel campo Aggiungi account connettore AWS, non sono stati trovati account AWS con lo stato ACTIVE, esclusi quelli specificati nel campo Escludi account connettore AWS.

Se hai selezionato Aggiungi account singolarmente, nel campo Aggiungi account connettore AWS verifica che gli account che hai fornito abbiano lo stato ACTIVE.

AWS_INVALID_COLLECTOR_ACCOUNTS

La connessione non è valida perché esistono account non validi del raccoglitore. Il messaggio di errore include maggiori informazioni sulle possibili cause, tra cui le seguenti:

AWS_FAILED_TO_ASSUME_COLLECTOR_ROLE

L'account raccoglitore non è valido perché il ruolo delegato non può assumere il ruolo raccoglitore nell'account raccoglitore.

Per risolvere questo errore, tieni presente quanto segue:

AWS_COLLECTOR_ROLE_POLICY_MISSING_REQUIRED_PERMISSION

La connessione non è valida perché nella policy del raccoglitore mancano alcune impostazioni delle autorizzazioni richieste.

Per risolvere questo errore, considera le seguenti cause:

Passaggi successivi