Después de Conectar Security Command Center a Amazon Web Services (AWS) para la administración de vulnerabilidades, con la excepción de los nombres de los delegados y de recopilador, puedes modificar la configuración de tu conexión de AWS. Si necesitas cambiar los nombres de los roles, debes borrar tu conector de AWS y configurar una nueva conexión.
Antes de comenzar
Completa estas tareas antes de completar las tareas restantes de esta página.
Configura los permisos
Si deseas obtener los permisos que necesitas para usar el conector de AWS, sigue estos pasos:
solicita a tu administrador que te otorgue el
Rol de IAM de propietario de recursos de Cloud (roles/cloudasset.owner).
Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.
También puedes obtener los permisos necesarios mediante roles personalizados o cualquier otro rol predefinido.
Crea cuentas de AWS
Asegúrate de haber creado los siguientes recursos de AWS:
- Una IAM de AWS usuario con Acceso a IAM de AWS para las consolas de la cuenta de AWS delegados y colectores.
La cuenta de AWS ID para una cuenta de AWS que se pueda usar como cuenta delegada. Si quieres Security Command Center para descubrir automáticamente las cuentas de AWS y buscar recursos, el la cuenta delegada debe estar conectada a una cuenta de AWS organización y ser una de las siguientes opciones:
Una cuenta de AWS con una delegación basada en recursos política que proporciona los permisos
organizationylist. Por ejemplo consulta Ejemplo: Ver organizaciones, UO, cuentas y políticas.
Modifica una conexión de AWS existente para la detección de vulnerabilidades y la evaluación de riesgos
Modifica una conexión de AWS existente cuando se configure tu entorno de AWS cambios. Por ejemplo, deseas supervisar diferentes regiones de AWS o cambiar la una lista de las cuentas de AWS que usa Security Command Center.
En la consola de Google Cloud, ve a la página Findings (Resultados) de Security Command Center.
Selecciona la organización en la que activaste Security Command Center Enterprise.
Haz clic en Configuración de .
Haz clic en la pestaña Conectores.
Haz clic en la opción Edit junto a la conexión que deseas actualizar.
En la página Editar conector de Amazon Web Services, realiza los cambios. El en la siguiente tabla, se describen las opciones.
Opción Descripción Especifica qué cuentas de AWS usar Puedes permitir que Security Command Center descubra las cuentas de AWS automáticamente o puedes proporcionar una lista de cuentas de AWS que Security Command Center puede usar para buscar recursos. Especifica qué cuentas de AWS se deben excluir Si permites que Security Command Center descubra las cuentas automáticamente, puedes proporcionar una lista de cuentas de AWS que Security Command Center no puede usar para encontrar recursos. Especifica qué regiones de AWS supervisar Puedes seleccionar una o más regiones de AWS para que Security Command Center realice las siguientes acciones: supervisar. Deja el campo Regiones de AWS vacío para supervisar todas las regiones. Anula las consultas por segundo (QPS) predeterminadas para servicios de AWS Puedes cambiar las QPS para controlar el límite de cuota Security Command Center. Establece la anulación en un valor menor que la el valor predeterminado para ese servicio, mayor o igual que 1. El valor predeterminado es el valor máximo. Si cambias las QPS, Security Command Center podría tener problemas para recuperar los datos. Por lo tanto, no recomendamos cambiar este valor.Cambia el extremo del servicio de tokens de seguridad de AWS Puedes especificar un extremo específico para El servicio de tokens de seguridad (por ejemplo, https://sts.us-east-2.amazonaws.com). Abandona el recurso de AWS El campo del servicio de tokens de seguridad (AWS STS) (opcional) está vacío para usarlo el extremo global predeterminado (https://sts.amazonaws.com).Si cambiaste el ID de la cuenta delegada o la lista de cuentas de AWS a incluir o excluir, debes actualizar tu entorno de AWS. Un cambio en el de cuenta delegada requiere que vuelvas a establecer la configuración de AWS. R cambio en la lista de cuentas de AWS requiere que agregues o quites el recopilador roles de seguridad. Quitar las cuentas de AWS de la lista de exclusiones porque deseas Para incluirlos, deberás agregar los roles de recopilador a esas cuentas. Completa lo siguiente:
Haga clic en Continuar.
En la página Crear conexión con AWS, completa una de las siguientes acciones:
Descarga las plantillas de CloudFormation para el rol delegado y recopilador de registros. Para obtener instrucciones sobre cómo utilizar las plantillas, consulta Cómo utilizar las plantillas Plantillas de CloudFormation para configurar tu AWS entorno.
Si quieres cambiar la configuración de AWS manualmente, selecciona Use the Consola de AWS. Copia el ID del agente de servicio, el nombre del rol delegado y el nombre de rol recopilador. Si quieres obtener instrucciones para actualizar AWS manualmente, consulta Configura cuentas de AWS manualmente.
Si agregaste una cuenta de AWS a la lista de cuentas de AWS para excluir, que quites el rol recopilador de la cuenta.
Haz clic en Probar conector para verificar que Security Command Center pueda conectarse a tu entorno de AWS. Si la conexión es exitosa, el servidor de Google Cloud el agente de servicio puede asumir el rol delegado, y este último tiene los permisos necesarios para asumir el rol de recopilador. Si la conexión no es correctamente, consulta Soluciona errores cuando pruebas la conexión.
Haz clic en Guardar.
¿Qué sigue?
- Para obtener información sobre la solución de problemas, consulta Conecta Security Command Center a AWS.