Actualiza la configuración de la conexión de AWS

Después de conectar Security Command Center a Amazon Web Services (AWS) para la recopilación de datos de configuración y recursos, puedes modificar la configuración de la conexión.

Antes de comenzar

Completa estas tareas antes de completar las tareas restantes de esta página.

Configura permisos en Google Cloud

Para obtener los permisos que necesitas para usar el conector de AWS, pídele a tu administrador que te otorgue el rol de IAM de propietario de Cloud Assets (roles/cloudasset.owner). Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

También puedes obtener los permisos necesarios a través de roles personalizados o cualquier otro rol predefinido.

Crear cuentas de AWS

Asegúrate de tener los siguientes recursos de AWS:

Modifica la conexión de AWS

Modifica una conexión de AWS existente cuando cambie la configuración de tu entorno de AWS. Por ejemplo, si deseas supervisar diferentes regiones de AWS o cambiar la lista de cuentas de AWS que usa Security Command Center. No puedes modificar los nombres del rol delegado ni del rol recopilador. Si necesitas cambiar estos nombres de roles, debes borrar tu conector de AWS y configurar una nueva conexión.

  1. En la consola de Google Cloud , ve a la página de Security Command Center.

    Ir a Security Command Center

  2. Selecciona la organización en la que activaste Security Command Center Enterprise.

  3. Haz clic en Configuración.

  4. Haz clic en la pestaña Conectores.

  5. Haz clic en Editar junto a la conexión que deseas actualizar.

  6. En la página Editar conector de Amazon Web Services, realiza los cambios que desees. En la siguiente tabla, se describen las opciones.

    Opción Descripción
    Agrega cuentas de conectores de AWS

    Selecciona una opción según tu preferencia:

    • Agregar cuentas automáticamente (recomendado): Selecciona esta opción para permitir que Security Command Center descubra las cuentas de AWS automáticamente.
    • Agregar cuentas individualmente: Selecciona esta opción para agregar cuentas de AWS de forma manual.
    Excluye cuentas de conectores de AWS Si seleccionaste Agregar cuentas automáticamente en la sección Agregar cuentas de conector de AWS, proporciona una lista de las cuentas de AWS que Security Command Center no debe usar para encontrar recursos.
    Ingresa cuentas de conectores de AWS Si seleccionaste Agregar cuentas de forma individual en la sección Agregar cuentas de conector de AWS, proporciona una lista de las cuentas de AWS que Security Command Center puede usar para encontrar recursos.
    Selecciona regiones para recopilar datos Selecciona una o más regiones de AWS para que Security Command Center recopile datos. Deja el campo Regiones de AWS vacío para recopilar datos de todas las regiones.
    Consultas por segundo (QPS) máximas para los servicios de AWS Puedes cambiar las QPS para controlar el límite de cuota de Security Command Center. Establece la anulación en un valor inferior al valor predeterminado de ese servicio y mayor o igual que 1. El valor predeterminado es el valor máximo. Si cambias el QPS, es posible que Security Command Center tenga problemas para recuperar datos. Por lo tanto, no recomendamos cambiar este valor.
    Extremo del Servicio de tokens de seguridad de AWS Puedes especificar un extremo específico para el servicio de tokens de seguridad (STS) de AWS (por ejemplo, https://sts.us-east-2.amazonaws.com). Deja el campo Servicio de tokens de seguridad de AWS vacío para usar el extremo global predeterminado (https://sts.amazonaws.com).

  7. Si cambiaste el ID de la cuenta delegada o la lista de cuentas de AWS para incluir o excluir, debes actualizar tu entorno de AWS. Si cambias el ID de la cuenta delegada, deberás volver a configurar tu cuenta de AWS. Un cambio en la lista de cuentas de AWS requiere que agregues o quites roles de recopilador. Si quitas cuentas de AWS de la lista de exclusiones porque deseas incluirlas, debes agregar los roles de recopilador a esas cuentas. Completa lo siguiente:

    1. Haz clic en Continuar.

    2. En la página Crear conexión con AWS, completa una de las siguientes opciones:

      • Descarga las plantillas de CloudFormation para el rol delegado y el rol de recopilador. Para obtener instrucciones sobre cómo usar las plantillas, consulta Usa plantillas de CloudFormation para configurar tu entorno de AWS.

      • Si quieres cambiar la configuración de AWS de forma manual, selecciona Usar la consola de AWS. Copia el ID del agente de servicio, el nombre del rol delegado y el nombre del rol del recopilador. Si deseas obtener instrucciones para actualizar AWS de forma manual, consulta Configura cuentas de AWS de forma manual.

  8. Si agregaste una cuenta de AWS a la lista de cuentas de AWS para excluir, te recomendamos que quites el rol de recopilador de la cuenta.

  9. Haz clic en Probar conector para verificar que Security Command Center pueda conectarse a tu entorno de AWS. Si la conexión se realiza correctamente, el agente de servicio Google Cloudpuede asumir el rol delegado, y este tiene todos los permisos necesarios para asumir el rol de recopilador. Si la conexión no se realiza correctamente, consulta Soluciona errores cuando pruebes la conexión.

  10. Haz clic en Guardar.

¿Qué sigue?