AWS-Einstellungen für Sicherheitslücken ändern oder deaktivieren

Nachdem Sie Security Command Center mit Amazon Web Services (AWS) verbunden haben, können Sie Folgendes ändern:

• AWS-Verbindungseinstellungen

• Scaneinstellungen für die Sicherheitslückenbewertung für AWS

Hinweise

Führen Sie diese Aufgaben aus, bevor Sie mit den verbleibenden Aufgaben auf dieser Seite fortfahren.

Berechtigungen einrichten

Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Inhaber von Cloud-Assets (roles/cloudasset.owner) zuzuweisen, um die Berechtigungen zu erhalten, die Sie für die Verwendung des AWS-Connectors benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

AWS-Konten erstellen

Es müssen die folgenden AWS-Ressourcen erstellt sein:

• Ein AWS IAM-Nutzer mit AWS IAM-Zugriff für die Konsolen des delegierten und des Sammel-AWS-Kontos.

• Die AWS-Konto-ID für ein AWS-Konto, das Sie als delegiertes Konto verwenden können. Wenn Sie möchten, dass Security Command Center automatisch AWS-Konten erkennt, um Ressourcen zu finden, muss das delegierte Konto mit einer AWS-Organisation verknüpft sein und eine der folgenden Rollen haben:

  • Ein AWS-Verwaltungskonto

  • Ein delegierter AWS-Administrator.

  • Ein AWS-Konto mit einer ressourcenbasierten Delegierungsrichtlinie, die die Berechtigung organizations:ListAccounts gewährt. Eine Beispielrichtlinie finden Sie in der AWS-Dokumentation unter Ressourcenbasierte Delegierungsrichtlinie mit AWS Organizations erstellen.

AWS-Verbindung ändern

Ändern Sie eine vorhandene AWS-Verbindung, wenn sich die Konfiguration Ihrer AWS-Umgebung ändert. Sie möchten beispielsweise verschiedene AWS-Regionen überwachen oder die Liste der AWS-Konten ändern, die vom Security Command Center verwendet werden. Die Namen der delegierten Rolle und der Collector-Rolle können nicht geändert werden. Wenn Sie diese Rollennamen ändern möchten, müssen Sie den AWS-Connector löschen und eine neue Verbindung einrichten.

1. Rufen Sie in der Google Cloud Console die Seite „Security Command Center“ auf.

   Zum Security Command Center

2. Wählen Sie die Organisation aus, für die Sie Security Command Center Enterprise aktiviert haben.

3. Klicke auf settings Einstellungen.

4. Klicken Sie auf den Tab Connectors.

5. Klicken Sie neben der Verbindung, die Sie aktualisieren möchten, auf Bearbeiten.

6. Nehmen Sie auf der Seite Amazon Web Services-Verbindung bearbeiten die gewünschten Änderungen vor. In der folgenden Tabelle werden die Optionen beschrieben.

   Option	Beschreibung
   AWS-Connector-Konten hinzufügen	Wählen Sie das Feld Konten automatisch hinzufügen (empfohlen) aus, damit Security Command Center die AWS-Konten automatisch erkennt, oder wählen Sie Konten einzeln hinzufügen aus und geben Sie eine Liste der AWS-Konten an, die Security Command Center zum Finden von Ressourcen verwenden kann.
   AWS-Connector-Konten ausschließen	Wenn Sie im Abschnitt AWS-Connector-Konten hinzufügen das Feld Konten einzeln hinzufügen ausgewählt haben, geben Sie eine Liste der AWS-Konten an, die Security Command Center nicht zum Suchen nach Ressourcen verwenden soll.
   Regionen für die Datenerhebung auswählen	Wählen Sie eine oder mehrere AWS-Regionen aus, in denen Security Command Center Daten erfassen soll. Lassen Sie das Feld AWS-Regionen leer, um Daten aus allen Regionen zu erheben.
   Maximale Anzahl von Abfragen pro Sekunde (QPS) für AWS-Dienste	Sie können die QPS ändern, um das Kontingentlimit für Security Command Center zu steuern. Legen Sie für die Überschreibung einen Wert fest, der kleiner als der Standardwert für diesen Dienst und größer oder gleich 1 ist. Der Standardwert ist der Höchstwert. Wenn Sie den QPS ändern, kann es in Security Command Center zu Problemen beim Abrufen von Daten kommen. Wir empfehlen daher, diesen Wert nicht zu ändern.
   Endpunkt für AWS Security Token Service	Sie können einen bestimmten Endpunkt für den AWS Security Token Service angeben, z. B. https://sts.us-east-2.amazonaws.com. Lassen Sie das Feld AWS Security Token Service leer, um den standardmäßigen globalen Endpunkt (https://sts.amazonaws.com) zu verwenden.

7. Wenn Sie die ID des delegierten Kontos oder die Liste der AWS-Konten geändert haben, die ein- oder ausgeschlossen werden sollen, müssen Sie Ihre AWS-Umgebung aktualisieren. Wenn Sie die ID des delegierten Kontos ändern, müssen Sie Ihre AWS-Konfiguration noch einmal einrichten. Wenn Sie die Liste der AWS-Konten ändern möchten, müssen Sie Collector-Rollen hinzufügen oder entfernen. Wenn Sie AWS-Konten aus der Ausschlussliste entfernen, weil Sie sie einbeziehen möchten, müssen Sie diesen Konten die Rollen „Collector“ hinzufügen. Führen Sie Folgendes aus:

   1. Klicken Sie auf Weiter.

   2. Führen Sie auf der Seite Verbindung mit AWS erstellen einen der folgenden Schritte aus:

      • Laden Sie die CloudFormation-Vorlagen für die delegierte Rolle und die Rolle des Datensammlers herunter. Eine Anleitung zur Verwendung der Vorlagen finden Sie unter AWS-Umgebung mit CloudFormation-Vorlagen einrichten.

      • Wenn Sie die AWS-Konfiguration manuell ändern möchten, wählen Sie AWS-Konsole verwenden aus. Kopieren Sie die ID des Dienst-Agents, den Namen der delegierten Rolle und den Namen der Rolle des Datensammlers. Eine Anleitung zum manuellen Aktualisieren von AWS finden Sie unter AWS-Konten manuell konfigurieren.

8. Wenn Sie der Liste der auszuschließenden AWS-Konten ein AWS-Konto hinzugefügt haben, empfehlen wir Ihnen, die Rolle „Collector“ aus dem Konto zu entfernen.

9. Klicken Sie auf Connector testen, um zu prüfen, ob Security Command Center eine Verbindung zu Ihrer AWS-Umgebung herstellen kann. Wenn die Verbindung erfolgreich ist, kann der Google Cloud-Kundenservicemitarbeiter die delegierte Rolle übernehmen. Diese Rolle hat alle erforderlichen Berechtigungen, um die Rolle „Datensammler“ zu übernehmen. Wenn die Verbindung nicht hergestellt werden kann, lesen Sie den Hilfeartikel Fehler beim Testen der Verbindung beheben.

10. Klicken Sie auf Speichern.

Vorhandenen Scan für die Sicherheitslückenbewertung für AWS ändern

Im folgenden Abschnitt wird beschrieben, wie Sie die Konfiguration für einen Scan der Sicherheitslückenbewertung für AWS ändern.

1. Sie benötigen die Berechtigungen und Rollen, die unter Sicherheitslückenbewertung für AWS aktivieren und verwenden definiert sind.

2. Rufen Sie im Security Command Center die Seite Einstellungen auf:

   Einstellungen aufrufen

3. Wählen Sie die Organisation aus, in der Sie die Sicherheitslückenbewertung für AWS ändern möchten. Der Tab Dienste auf der Seite Einstellungen wird geöffnet.

4. Wählen Sie Einstellungen aus.

5. Klicken Sie auf der Karte „Sicherheitsrisikobewertung“ des Dienstes auf Einstellungen verwalten. Die Seite Sicherheitsrisikobewertung wird geöffnet.

6. Wählen Sie den Tab Amazon Web Services aus.

7. Klicken Sie unter Scaneinstellungen für AWS-Computing und ‑Speicher auf Scaneinstellungen bearbeiten, um den Umfang der zu scannenden Ressourcen zu ändern.

   Sie können maximal 50 AWS-Tags und Amazon EC2-Instanz-IDs definieren. Änderungen an den Scaneinstellungen wirken sich nicht auf die AWS CloudFormation-Vorlage aus. Sie müssen die Vorlage nicht neu bereitstellen. Wenn ein Tag- oder Instanz-ID-Wert nicht korrekt ist (z. B. falsch geschrieben) und die angegebene Ressource nicht existiert, wird der Wert beim Scannen ignoriert.

   Option	Beschreibung
   Scanintervall	Geben Sie die Anzahl der Stunden zwischen den einzelnen Scans ein. Gültige Werte reichen von 6 bis 24. Der Standardwert ist 6. Häufigere Scans können zu einer höheren Ressourcennutzung und möglicherweise zu höheren Abrechnungskosten führen.
   AWS-Regionen	Wählen Sie eine Teilmenge der Regionen aus, die in die Sicherheitslückenbewertung einbezogen werden sollen. Es werden nur Instanzen aus den ausgewählten Regionen gescannt. Wählen Sie eine oder mehrere AWS-Regionen aus, die in den Scan eingeschlossen werden sollen. Wenn Sie bestimmte Regionen im Amazon Web Services-Connector (AWS) konfiguriert haben, müssen die hier ausgewählten Regionen mit denjenigen übereinstimmen, die Sie bei der Konfiguration der Verbindung zu AWS definiert haben, oder eine Teilmenge davon sein.
   AWS-Tags	Geben Sie Tags an, mit denen die Teilmenge der Instanzen angegeben wird, die gescannt werden sollen. Nur Instanzen mit diesen Tags werden gescannt. Geben Sie für jedes Tag das Schlüssel/Wert-Paar ein. Wenn ein ungültiges Tag angegeben wird, wird es ignoriert. Sie können maximal 50 Tags angeben. Weitere Informationen zu Tags finden Sie unter Amazon EC2-Ressourcen taggen und Tags für Amazon EC2-Ressourcen hinzufügen und entfernen.
   Nach Instanz-ID ausschließen	Sie können EC2-Instanzen aus jedem Scan ausschließen, indem Sie die EC2-Instanz-ID angeben. Sie können maximal 50 Instanz-IDs angeben. Ungültige Werte werden ignoriert. Wenn Sie mehrere Instanz-IDs definieren, werden sie mit dem Operator AND kombiniert. Wenn Sie Instanz nach ID ausschließen auswählen, geben Sie jede Instanz-ID manuell ein. Klicken Sie dazu auf AWS EC2-Instanz hinzufügen und geben Sie den Wert ein. Wenn Sie Liste auszuschließender Instanz-IDs im JSON-Format kopieren und einfügen auswählen, gehen Sie so vor: Geben Sie ein Array von Instanz-IDs ein. Beispiel: [ "instance-id-1", "instance-id-2" ] Laden Sie eine Datei mit der Liste der Instanz-IDs hoch. Der Inhalt der Datei sollte ein Array von Instanz-IDs sein, z. B.: [ "instance-id-1", "instance-id-2" ]
   SC1-Instanz scannen	Wählen Sie SC1-Instanz scannen aus, um diese Instanzen einzubeziehen. SC1-Instanzen sind standardmäßig ausgeschlossen. Weitere Informationen zu SC1-Instanzen
   ST1-Instanz scannen	Wählen Sie ST1-Instanz scannen aus, um diese Instanzen einzubeziehen. ST1-Instanzen sind standardmäßig ausgeschlossen. Weitere Informationen zu ST1-Instanzen
   Elastic Container Registry (ECR) scannen	Wählen Sie Elastic Container Registry-Instanz scannen aus, um in ECR gespeicherte Container-Images und die darin installierten Pakete zu scannen. Weitere Informationen zu Elastic Container Registry

8. Klicken Sie auf Speichern.

Sicherheitslückenbewertung für AWS-Scan deaktivieren

Wenn Sie den Dienst „Sicherheitslückenbewertung für AWS“ deaktivieren möchten, müssen Sie ihn in Security Command Center deaktivieren und dann den Stack löschen, der die CloudFormation-Vorlage in AWS enthält. Wenn der Stack nicht gelöscht wird, fallen weiterhin Kosten in AWS an.

Führen Sie die folgenden Schritte aus, um die Sicherheitslückenbewertung für AWS zu deaktivieren:

1. Rufen Sie im Security Command Center die Seite Einstellungen auf:

   Einstellungen aufrufen

2. Wählen Sie die Organisation aus, in der Sie die Sicherheitslückenbewertung für AWS deaktivieren möchten. Der Tab Dienste der Seite Einstellungen wird geöffnet.

3. Klicken Sie auf der Karte „Sicherheitsrisikobewertung“ des Dienstes auf Einstellungen verwalten.

4. Wählen Sie den Tab Amazon Web Services aus.

5. Wählen Sie im Feld Status unter Dienstaktivierung die Option Deaktivieren aus.

6. Rufen Sie in der AWS-Managementkonsole die Seite AWS CloudFormation-Vorlage auf.

7. Löschen Sie den Stack, der die CloudFormation-Vorlage für die Sicherheitslückenbewertung für AWS enthält.

   Wenn Sie die Vorlage nicht löschen, entstehen Ihnen möglicherweise unnötige Kosten.

Nächste Schritte

• Informationen zur Fehlerbehebung finden Sie unter Security Command Center mit AWS verbinden.