Después de conectar Security Command Center a Amazon Web Services (AWS) para la administración de vulnerabilidades, puedes modificar la configuración de conexión de AWS, excepto los nombres de la función delegada y la de colector. Si necesitas cambiar los nombres de las funciones, debes borrar el conector de AWS y configurar una conexión nueva.
Antes de comenzar
Completa estas tareas antes de finalizar las tareas restantes de esta página.
Configurar los permisos
Si quieres obtener los permisos que necesitas para usar el conector de AWS, pídele a tu administrador que te otorgue el rol de IAM Propietario de Cloud Asset (roles/cloudasset.owner
).
Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso.
Es posible que también puedas obtener los permisos necesarios a través de los roles personalizados o de otros roles predefinidos.
Crea cuentas de AWS
Asegúrate de haber creado los siguientes recursos de AWS:
- Un usuario de IAM de AWS con acceso de IAM de AWS para las consolas de cuentas de AWS delegadas y recopiladoras
El ID de cuenta de AWS para una cuenta de AWS que puedes usar como cuenta delegada. Si deseas que Security Command Center descubra de forma automática las cuentas de AWS para buscar recursos, la cuenta delegada debe estar vinculada a una organización de AWS y ser una de las siguientes opciones:
Una cuenta de AWS con una política de delegación basada en recursos que proporcione los permisos
organization
ylist
Para obtener una política de ejemplo, consulta Ejemplo: Visualiza la organización, las UO, las cuentas y las políticas.
Modificar una conexión de AWS existente para la detección de vulnerabilidades y la evaluación de riesgos
Modifica una conexión de AWS existente cuando cambie la configuración de tu entorno de AWS. Por ejemplo, si deseas supervisar diferentes regiones de AWS o cambiar la lista de cuentas de AWS que usa Security Command Center.
En la consola de Google Cloud, ve a la página Findings (Resultados) de Security Command Center.
Selecciona la organización en la que activaste Security Command Center Enterprise.
Haz clic en
Configuración.Haz clic en la pestaña Conectores.
Haz clic en la opción Editar junto a la conexión que deseas actualizar.
En la página Editar el conector de Amazon Web Services, realiza los cambios. En la siguiente tabla, se describen las opciones.
Opción Descripción Especifica qué cuentas de AWS usar Puedes permitir que Security Command Center descubra las cuentas de AWS automáticamente o puedes proporcionar una lista de cuentas de AWS que Security Command Center puede usar para encontrar recursos. Especifica qué cuentas de AWS excluirán Si permites que Security Command Center descubra cuentas automáticamente, puedes proporcionar una lista de cuentas de AWS que Security Command Center no puede usar para encontrar recursos. Especifica qué regiones de AWS se supervisarán Puedes seleccionar una o más regiones de AWS para que Security Command Center supervise. Para supervisar todas las regiones, deja el campo Regiones de AWS vacío. Anular las consultas por segundo (QPS) predeterminadas para los servicios de AWS Puedes cambiar las QPS para controlar el límite de cuota de Security Command Center. Establece la anulación en un valor menor que el valor predeterminado para ese servicio y superior o igual a 1
. El valor predeterminado es el valor máximo. Si cambias las QPS, Security Command Center podría tener problemas para recuperar datos. Por lo tanto, no te recomendamos que cambies este valor.Cambia el extremo por el servicio de tokens de seguridad de AWS Puedes especificar un extremo específico para el servicio de tokens de seguridad de AWS (por ejemplo, https://sts.us-east-2.amazonaws.com
). Deja el campo AWS Security Token Service (AWS STS) (opcional) vacío para usar el extremo global predeterminado (https://sts.amazonaws.com
).Si cambiaste el ID de la cuenta delegada o la lista de cuentas de AWS que deseas incluir o excluir, debes actualizar tu entorno de AWS. Un cambio en el ID de la cuenta delegada requiere que vuelvas a configurar tu configuración de AWS. Un cambio en la lista de cuentas de AWS requiere que agregues o quites funciones de colector. Si quieres quitar cuentas de AWS de la lista de exclusiones porque deseas incluirlas, debes agregar las funciones de colector a esas cuentas. Completa lo siguiente:
Haz clic en Continuar.
En la página Crear una conexión con AWS, realiza una de las siguientes acciones:
Descarga las plantillas de CloudFormation para el rol delegado y el de colector. Si quieres obtener instrucciones para usar las plantillas, consulta Usa las plantillas de CloudFormation para configurar tu entorno de AWS.
Si deseas cambiar la configuración de AWS de forma manual, selecciona Use the AWS console. Copia el ID de agente de servicio, el nombre de la función delegada y el nombre de la función de recopilador. Si quieres obtener instrucciones para actualizar AWS de forma manual, consulta Configura cuentas de AWS de forma manual.
Si agregaste una cuenta de AWS a la lista de cuentas de AWS que deseas excluir, te recomendamos que quites la función de colector de la cuenta.
Haz clic en Probar conector para verificar que Security Command Center pueda conectarse a tu entorno de AWS. Si la conexión se realiza correctamente, el agente de servicio de Google Cloud puede asumir la función delegada, y esta tiene todos los permisos necesarios para asumir la función de colector. Si la conexión no es correcta, consulta Soluciona errores cuando pruebas la conexión.
Haz clic en Guardar.
¿Qué sigue?
- Para obtener información sobre la solución de problemas, consulta Conecta Security Command Center a AWS.