AWS-Verbindungseinstellungen aktualisieren

Nachdem Sie Security Command Center mit Amazon Web Services (AWS) verbunden haben, um Konfigurations- und Ressourcendaten zu erheben, können Sie die Verbindungseinstellungen ändern.

Hinweise

Führen Sie diese Aufgaben aus, bevor Sie die verbleibenden Aufgaben auf dieser Seite erledigen.

Berechtigungen in Google Cloudeinrichten

Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Cloud Asset Owner (roles/cloudasset.owner) zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Verwenden des AWS-Connectors benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

AWS-Konten erstellen

Es müssen die folgenden AWS-Ressourcen vorhanden sein:

AWS-Verbindung ändern

Sie können eine vorhandene AWS-Verbindung ändern, wenn sich die Konfiguration Ihrer AWS-Umgebung ändert. Sie möchten beispielsweise verschiedene AWS-Regionen überwachen oder die Liste der AWS-Konten ändern, die von Security Command Center verwendet werden. Die Namen der delegierten Rolle und der Collector-Rolle können nicht geändert werden. Wenn Sie diese Rollennamen ändern möchten, müssen Sie den AWS-Connector löschen und eine neue Verbindung einrichten.

  1. Rufen Sie in der Google Cloud Console die Seite „Security Command Center“ auf.

    Zum Security Command Center

  2. Wählen Sie die Organisation aus, für die Sie Security Command Center Enterprise aktiviert haben.

  3. Klicken Sie auf  Einstellungen.

  4. Klicken Sie auf den Tab Connectors (Connectors).

  5. Klicken Sie neben der Verbindung, die Sie aktualisieren möchten, auf Bearbeiten.

  6. Nehmen Sie auf der Seite Amazon Web Services-Connector bearbeiten die gewünschten Änderungen vor. In der folgenden Tabelle werden die Optionen beschrieben.

    Option Beschreibung
    AWS-Connector-Konten hinzufügen

    Wählen Sie je nach Bedarf eine Option aus:

    • Konten automatisch hinzufügen (empfohlen): Wählen Sie diese Option aus, damit Security Command Center die AWS-Konten automatisch ermittelt.
    • Konten einzeln hinzufügen: Wählen Sie diese Option aus, um AWS-Konten manuell hinzuzufügen.
    AWS-Connector-Konten ausschließen Wenn Sie im Abschnitt AWS-Verbindungskonten hinzufügen die Option Konten automatisch hinzufügen ausgewählt haben, geben Sie eine Liste der AWS-Konten an, die Security Command Center nicht zum Suchen nach Ressourcen verwenden soll.
    AWS-Connector-Konten eingeben Wenn Sie im Bereich AWS-Connector-Konten hinzufügen die Option Konten einzeln hinzufügen ausgewählt haben, geben Sie eine Liste der AWS-Konten an, die Security Command Center zum Suchen nach Ressourcen verwenden kann.
    Regionen für die Datenerfassung auswählen Wählen Sie eine oder mehrere AWS-Regionen aus, aus denen Security Command Center Daten erfassen soll. Lassen Sie das Feld AWS-Regionen leer, um Daten aus allen Regionen zu erfassen.
    Maximale Anzahl von Abfragen pro Sekunde für AWS-Dienste Sie können die QPS ändern, um das Kontingentlimit für Security Command Center zu steuern. Legen Sie den Überschreibungswert auf einen Wert fest, der kleiner als der Standardwert für diesen Dienst und größer oder gleich 1 ist. Der Standardwert ist der Höchstwert. Wenn Sie den QPS-Wert ändern, können beim Abrufen von Daten in Security Command Center Probleme auftreten. Wir empfehlen daher, diesen Wert nicht zu ändern.
    Endpunkt für AWS Security Token Service Sie können einen bestimmten Endpunkt für den AWS Security Token Service angeben, z. B. https://sts.us-east-2.amazonaws.com. Lassen Sie das Feld AWS Security Token Service leer, um den globalen Standardendpunkt (https://sts.amazonaws.com) zu verwenden.

  7. Wenn Sie die ID des delegierten Kontos oder die Liste der ein- oder auszuschließenden AWS-Konten geändert haben, müssen Sie Ihre AWS-Umgebung aktualisieren. Wenn Sie die ID des delegierten Kontos ändern, müssen Sie Ihre AWS-Konfiguration noch einmal einrichten. Wenn Sie die Liste der AWS-Konten ändern, müssen Sie Collector-Rollen hinzufügen oder entfernen. Wenn Sie AWS-Konten aus der Ausschlussliste entfernen, weil Sie sie einbeziehen möchten, müssen Sie diesen Konten die Collector-Rollen hinzufügen. Führen Sie Folgendes aus:

    1. Klicken Sie auf Weiter.

    2. Führen Sie auf der Seite Verbindung mit AWS erstellen einen der folgenden Schritte aus:

      • Laden Sie die CloudFormation-Vorlagen für die delegierte Rolle und die Collector-Rolle herunter. Eine Anleitung zur Verwendung der Vorlagen finden Sie unter CloudFormation-Vorlagen zum Einrichten der AWS-Umgebung verwenden.

      • Wenn Sie die AWS-Konfiguration manuell ändern möchten, wählen Sie AWS-Konsole verwenden aus. Kopieren Sie die Dienst-Agent-ID, den Namen der delegierten Rolle und den Namen der Collector-Rolle. Eine Anleitung zum manuellen Aktualisieren von AWS finden Sie unter AWS-Konten manuell konfigurieren.

  8. Wenn Sie ein AWS-Konto der Liste der auszuschließenden AWS-Konten hinzugefügt haben, empfehlen wir, die Collector-Rolle aus dem Konto zu entfernen.

  9. Klicken Sie auf Connector testen, um zu prüfen, ob Security Command Center eine Verbindung zu Ihrer AWS-Umgebung herstellen kann. Wenn die Verbindung erfolgreich ist, kann der Google Cloud-Dienst-Agent die delegierte Rolle übernehmen und die delegierte Rolle hat alle erforderlichen Berechtigungen, um die Collector-Rolle zu übernehmen. Wenn die Verbindung nicht erfolgreich ist, lesen Sie den Abschnitt Fehlerbehebung beim Testen der Verbindung.

  10. Klicken Sie auf Speichern.

Nächste Schritte