Nachdem Sie Security Command Center zur Verwaltung von Sicherheitslücken mit Amazon Web Services (AWS) verbunden haben (mit Ausnahme der Namen der delegierten Rolle und der Collector-Rolle), können Sie die AWS-Verbindungseinstellungen ändern. Wenn Sie die Rollennamen ändern müssen, müssen Sie den AWS-Connector löschen und eine neue Verbindung einrichten.
Hinweise
Führen Sie diese Aufgaben aus, bevor Sie die restlichen Aufgaben auf dieser Seite ausführen.
Berechtigungen einrichten
Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Cloud Asset Owner (roles/cloudasset.owner) zu gewähren, damit Sie die Berechtigungen erhalten, die Sie für die Verwendung des AWS-Connectors benötigen.
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.
Möglicherweise können Sie die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.
AWS-Konten erstellen
Prüfen Sie, ob Sie die folgenden AWS-Ressourcen erstellt haben:
- Ein AWS IAM-Nutzer mit AWS IAM-Zugriff für die AWS-Delegat- und Collector-Kontokonsolen.
Die AWS-Konto-ID für ein AWS-Konto, das Sie als delegiertes Konto verwenden können. Wenn Security Command Center automatisch AWS-Konten erkennen soll, um Ressourcen zu finden, muss das delegierte Konto an eine AWS-Organisation angehängt sein und eines der folgenden sein:
Ein AWS-Verwaltungskonto.
Ein AWS-Konto mit einer ressourcenbasierten Delegierungsrichtlinie, die die Berechtigungen
organizationundlistgewährt. Eine Beispielrichtlinie finden Sie unter Beispiel: Organisation, OEs, Konten und Richtlinien ansehen.
Vorhandene AWS-Verbindung ändern, um Sicherheitslücken zu erkennen und Risiken zu bewerten
Ändern Sie eine vorhandene AWS-Verbindung, wenn sich die Konfiguration Ihrer AWS-Umgebung ändert. Sie möchten beispielsweise verschiedene AWS-Regionen überwachen oder die Liste der AWS-Konten ändern, die Security Command Center verwendet.
Rufen Sie in der Google Cloud Console die Seite „Security Command Center“ auf.
Wählen Sie die Organisation aus, für die Sie Security Command Center Enterprise aktiviert haben.
Klicken Sie auf Einstellungen.
Klicken Sie auf den Tab Connectors.
Klicken Sie neben der Verbindung, die Sie aktualisieren möchten, auf die Option Bearbeiten.
Nehmen Sie auf der Seite Amazon Web Services-Connector bearbeiten die gewünschten Änderungen vor. In der folgenden Tabelle werden die Optionen beschrieben.
Wahltaste Beschreibung Angeben, welche AWS-Konten verwendet werden sollen Sie können Security Command Center die AWS-Konten automatisch erkennen lassen oder eine Liste der AWS-Konten bereitstellen, mit denen Security Command Center Ressourcen finden kann. Geben Sie an, welche AWS-Konten ausgeschlossen werden sollen Wenn Sie Security Command Center Konten automatisch erkennen lassen, können Sie eine Liste von AWS-Konten bereitstellen, mit denen Security Command Center keine Ressourcen finden kann. Geben Sie an, welche AWS-Regionen überwacht werden sollen Sie können eine oder mehrere AWS-Regionen auswählen, die von Security Command Center überwacht werden sollen. Lassen Sie das Feld AWS regions leer, um alle Regionen zu überwachen. Standardabfragen pro Sekunde für AWS-Dienste überschreiben Sie können die Anzahl der Abfragen pro Sekunde ändern, um das Kontingentlimit für Security Command Center zu steuern. Legen Sie für die Überschreibung einen Wert fest, der kleiner als der Standardwert für diesen Dienst und größer oder gleich 1ist. Der Standardwert ist der Maximalwert. Wenn Sie die Abfragen pro Sekunde ändern, können in Security Command Center Probleme beim Abrufen von Daten auftreten. Daher raten wir davon ab, diesen Wert zu ändern.Endpunkt für AWS Security Token Service ändern Sie können einen bestimmten Endpunkt für den AWS Security Token Service angeben (z. B. https://sts.us-east-2.amazonaws.com). Lassen Sie das Feld AWS Security Token Service (AWS STS) (optional) leer, um den globalen Standardendpunkt (https://sts.amazonaws.com) zu verwenden.Wenn Sie die delegierte Konto-ID oder die Liste der AWS-Konten geändert haben, um sie ein- oder auszuschließen, müssen Sie Ihre AWS-Umgebung aktualisieren. Nach einer Änderung der ID des delegierten Kontos müssen Sie Ihre AWS-Konfiguration noch einmal einrichten. Bei einer Änderung an der Liste der AWS-Konten müssen Sie Collector-Rollen hinzufügen oder entfernen. Wenn Sie AWS-Konten aus der Ausschlussliste entfernen, müssen Sie diesen Konten die Collector-Rollen hinzufügen. Führen Sie Folgendes aus:
Klicken Sie auf Weiter.
Führen Sie auf der Seite Create connection with AWS (Verbindung mit AWS erstellen) einen der folgenden Schritte aus:
Laden Sie die CloudFormation-Vorlagen für die delegierte Rolle und die Collector-Rolle herunter. Eine Anleitung zur Verwendung der Vorlagen finden Sie unter CloudFormation-Vorlagen zum Einrichten der AWS-Umgebung verwenden.
Wenn Sie die AWS-Konfiguration manuell ändern möchten, wählen Sie AWS-Konsole verwenden aus. Kopieren Sie die Dienst-Agent-ID, den Namen der delegierten Rolle und den Namen der Collector-Rolle. Eine Anleitung zum manuellen Aktualisieren von AWS finden Sie unter AWS-Konten manuell konfigurieren.
Wenn Sie der Liste der auszuschließenden AWS-Konten ein AWS-Konto hinzugefügt haben, empfehlen wir Ihnen, die Collector-Rolle aus dem Konto zu entfernen.
Klicken Sie auf Connector testen, um zu prüfen, ob Security Command Center eine Verbindung zu Ihrer AWS-Umgebung herstellen kann. Wenn die Verbindung erfolgreich hergestellt wurde, kann der Google Cloud-Dienst-Agent die delegierte Rolle übernehmen. Diese hat dann alle erforderlichen Berechtigungen, um die Collector-Rolle zu übernehmen. Wenn die Verbindung nicht erfolgreich ist, lesen Sie Fehlerbehebung beim Testen der Verbindung.
Klicken Sie auf Speichern.
Nächste Schritte
- Informationen zur Fehlerbehebung finden Sie unter Security Command Center mit AWS verbinden.