Modifier ou désactiver les paramètres AWS pour les failles

Après avoir connecté Security Command Center à Amazon Web Services (AWS) pour la gestion des failles, vous pouvez modifier les éléments suivants:

• Paramètres de connexion AWS

• Paramètres d'analyse de l'évaluation des failles pour AWS

Avant de commencer

Effectuez ces tâches avant d'effectuer les autres tâches de cette page.

Configurer les autorisations

Pour obtenir les autorisations nécessaires pour utiliser le connecteur AWS, demandez à votre administrateur de vous accorder le rôle IAM Propriétaire d'éléments Cloud (roles/cloudasset.owner). Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.

Vous pouvez également obtenir les autorisations requises via des rôles personnalisés ou d'autres rôles prédéfinis.

Créer des comptes AWS

Assurez-vous d'avoir créé les ressources AWS suivantes:

• Un utilisateur IAM AWS disposant d'un accès IAM AWS pour les consoles de compte AWS du délégué et du collecteur.

• ID de compte AWS pour un compte AWS que vous pouvez utiliser comme compte délégué. Si vous souhaitez que Security Command Center découvre automatiquement les comptes AWS pour trouver des ressources, le compte délégué doit être associé à une organisation AWS et être l'un des suivants:

  • Un compte de gestion AWS

  • Un administrateur délégué AWS.

  • Un compte AWS avec une stratégie de délégation basée sur les ressources qui fournit l'autorisation organizations:ListAccounts. Pour obtenir un exemple de stratégie, consultez Créer une stratégie de délégation basée sur les ressources avec AWS Organizations dans la documentation AWS.

Modifier la connexion AWS

Modifiez une connexion AWS existante lorsque la configuration de votre environnement AWS change. Par exemple, vous souhaitez surveiller différentes régions AWS ou modifier la liste des comptes AWS utilisés par Security Command Center. Vous ne pouvez pas modifier les noms du rôle délégué et du rôle de collecteur. Si vous devez modifier ces noms de rôle, vous devez supprimer votre connecteur AWS et configurer une nouvelle connexion.

1. Dans la console Google Cloud, accédez à la page Security Command Center.

   Accéder à Security Command Center

2. Sélectionnez l'organisation pour laquelle vous avez activé Security Command Center Enterprise.

3. Cliquez sur settings Paramètres.

4. Cliquez sur l'onglet Connecteurs.

5. Cliquez sur Modifier à côté de la connexion que vous souhaitez mettre à jour.

6. Sur la page Modifier le connecteur Amazon Web Services, apportez les modifications nécessaires. Le tableau suivant décrit les options.

   Option	Description
   Ajouter des comptes de connecteur AWS	Sélectionnez le champ Add accounts automatically (recommended) (Ajouter des comptes automatiquement (recommandé)) pour permettre à Security Command Center de découvrir automatiquement les comptes AWS, ou sélectionnez Add accounts individually (Ajouter des comptes individuellement) et fournissez une liste des comptes AWS que Security Command Center peut utiliser pour trouver des ressources.
   Exclure des comptes de connecteur AWS	Si vous avez sélectionné le champ Ajouter des comptes individuellement sous la section Ajouter des comptes de connecteur AWS, fournissez une liste des comptes AWS que Security Command Center ne doit pas utiliser pour rechercher des ressources.
   Sélectionner les régions dans lesquelles collecter des données	Sélectionnez une ou plusieurs régions AWS dans lesquelles Security Command Center doit collecter des données. Laissez le champ Régions AWS vide pour collecter des données dans toutes les régions.
   Nombre maximal de requêtes par seconde (RPS) pour les services AWS	Vous pouvez modifier le débit de requêtes par seconde pour contrôler la limite de quota pour Security Command Center. Définissez le forçage sur une valeur inférieure à la valeur par défaut de ce service et supérieure ou égale à 1. La valeur par défaut est la valeur maximale. Si vous modifiez le QPS, Security Command Center risque de rencontrer des problèmes lors de la récupération des données. C'est pourquoi nous vous déconseillons de modifier cette valeur.
   Point de terminaison pour AWS Security Token Service	Vous pouvez spécifier un point de terminaison spécifique pour le service AWS Security Token Service (par exemple, https://sts.us-east-2.amazonaws.com). Laissez le champ AWS Security Token Service vide pour utiliser le point de terminaison global par défaut (https://sts.amazonaws.com).

7. Si vous avez modifié l'ID de compte délégué ou la liste des comptes AWS à inclure ou à exclure, vous devez mettre à jour votre environnement AWS. Si vous modifiez l'ID de compte délégué, vous devez reconfigurer votre configuration AWS. Si vous modifiez la liste des comptes AWS, vous devez ajouter ou supprimer des rôles de collecteur. Si vous souhaitez supprimer des comptes AWS de la liste d'exclusion pour les inclure, vous devez ajouter les rôles de collecteur à ces comptes. Effectuer les actions suivantes :

   1. Cliquez sur Continuer.

   2. Sur la page Créer une connexion avec AWS, procédez comme suit:

      • Téléchargez les modèles CloudFormation pour le rôle délégué et le rôle de collecteur. Pour obtenir des instructions sur l'utilisation des modèles, consultez Utiliser des modèles CloudFormation pour configurer votre environnement AWS.

      • Si vous souhaitez modifier manuellement la configuration AWS, sélectionnez Utiliser la console AWS. Copiez l'ID de l'agent de service, le nom du rôle délégué et le nom du rôle de collecteur. Pour savoir comment mettre à jour AWS manuellement, consultez la section Configurer manuellement des comptes AWS.

8. Si vous avez ajouté un compte AWS à la liste des comptes AWS à exclure, nous vous recommandons de supprimer le rôle de collecteur du compte.

9. Cliquez sur Tester le connecteur pour vérifier que Security Command Center peut se connecter à votre environnement AWS. Si la connexion aboutit, l'agent de service Google Cloudpeut assumer le rôle délégué, et le rôle délégué dispose de toutes les autorisations requises pour assumer le rôle de collecteur. Si la connexion échoue, consultez la section Résoudre les erreurs lors du test de la connexion.

10. Cliquez sur Enregistrer.

Modifier une analyse de l'évaluation des failles pour AWS

La section suivante explique comment modifier la configuration d'une analyse de l'évaluation des failles pour AWS.

1. Assurez-vous de disposer des autorisations et des rôles définis dans Activer et utiliser l'évaluation des failles pour AWS.

2. Accédez à la page Paramètres de Security Command Center:

   Accéder aux paramètres

3. Sélectionnez l'organisation dans laquelle vous devez modifier l'évaluation des failles pour AWS. L'onglet Services de la page Paramètres s'ouvre.

4. Sélectionnez Paramètres.

5. Dans la fiche de service Évaluation des failles, cliquez sur Gérer les paramètres. La page Évaluation des failles s'affiche.

6. Sélectionnez l'onglet Amazon Web Services.

7. Dans la section Paramètres d'analyse pour le calcul et le stockage AWS, cliquez sur Modifier les paramètres d'analyse pour modifier la portée des ressources analysées.

   Vous pouvez définir un maximum de 50 balises AWS et d'ID d'instance Amazon EC2. Les modifications apportées aux paramètres d'analyse n'affectent pas le modèle AWS CloudFormation. Vous n'avez pas besoin de redéployer le modèle. Si la valeur d'un tag ou d'un ID d'instance n'est pas correcte (par exemple, si elle est mal orthographiée) et que la ressource spécifiée n'existe pas, la valeur est ignorée lors de l'analyse.

   Option	Description
   Intervalle d'analyse	Saisissez le nombre d'heures à laisser s'écouler entre chaque analyse. Les valeurs valides sont comprises entre 6 et 24. La valeur par défaut est 6. Des analyses plus fréquentes peuvent entraîner une augmentation de l'utilisation des ressources et éventuellement une augmentation des frais de facturation.
   Régions AWS	Choisissez un sous-ensemble de régions à inclure dans l'analyse d'évaluation des failles. Seules les instances des régions sélectionnées sont analysées. Sélectionnez une ou plusieurs régions AWS à inclure dans l'analyse. Si vous avez configuré des régions spécifiques dans le connecteur Amazon Web Services (AWS), assurez-vous que les régions sélectionnées ici sont identiques ou un sous-ensemble de celles définies lorsque vous avez configuré la connexion à AWS.
   Balises AWS	Spécifiez des balises qui identifient le sous-ensemble d'instances à analyser. Seules les instances comportant ces balises sont analysées. Saisissez la paire clé-valeur pour chaque balise. Si une balise non valide est spécifiée, elle sera ignorée. Vous pouvez spécifier jusqu'à 50 tags. Pour en savoir plus sur les tags, consultez les articles Ajouter des tags à vos ressources Amazon EC2 et Ajouter et supprimer des tags pour des ressources Amazon EC2.
   Exclure par ID d'instance	Excluez les instances EC2 de chaque analyse en spécifiant l' ID d'instance EC2. Vous pouvez spécifier jusqu'à 50 ID d'instance. Si des valeurs non valides sont spécifiées, elles seront ignorées. Si vous définissez plusieurs ID d'instance, ils sont combinés à l'aide de l'opérateur AND. Si vous sélectionnez Exclure l'instance par ID, saisissez manuellement chaque ID d'instance en cliquant sur Ajouter une instance AWS EC2, puis en saisissant la valeur. Si vous sélectionnez Copier et coller une liste d'ID d'instance à exclure (format JSON), procédez comme suit: Saisissez un tableau d'ID d'instance. Exemple : [ "instance-id-1", "instance-id-2" ] Importez un fichier contenant la liste des ID d'instance. Le contenu du fichier doit être un tableau d'ID d'instance, par exemple: [ "instance-id-1", "instance-id-2" ]
   Analyser l'instance SC1	Sélectionnez Analyser l'instance SC1 pour les inclure. Les instances SC1 sont exclues par défaut. En savoir plus sur les instances SC1
   Analyser l'instance ST1	Sélectionnez Analyser l'instance ST1 pour les inclure. Les instances ST1 sont exclues par défaut. En savoir plus sur les instances ST1
   Analyser Elastic Container Registry (ECR)	Sélectionnez Analyser l'instance Elastic Container Registry pour analyser les images de conteneur stockées dans ECR et leurs paquets installés. En savoir plus sur Elastic Container Registry

8. Cliquez sur Enregistrer.

Désactiver l'analyse de l'évaluation des failles pour AWS

Pour désactiver le service d'évaluation des failles pour AWS, vous devez le désactiver dans Security Command Center, puis supprimer la pile contenant le modèle CloudFormation dans AWS. Si la pile n'est pas supprimée, des frais continueront d'être facturés sur AWS.

Pour désactiver l'évaluation des failles pour AWS, procédez comme suit:

1. Accédez à la page Paramètres de Security Command Center:

   Accéder aux paramètres

2. Sélectionnez l'organisation dans laquelle vous devez désactiver l'évaluation des failles pour AWS. L'onglet Services de la page Paramètres s'ouvre.

3. Dans la fiche de service Évaluation des failles, cliquez sur Gérer les paramètres.

4. Sélectionnez l'onglet Amazon Web Services.

5. Dans le champ État sous Activation du service, sélectionnez Désactiver.

6. Accédez à la page Modèle AWS CloudFormation dans la console AWS Management Console.

7. Supprimez la pile contenant le modèle CloudFormation pour l'évaluation des failles pour AWS.

   Si vous ne le supprimez pas, vous risquez de subir des coûts inutiles.

Étape suivante

• Pour plus d'informations sur le dépannage, consultez la section Connecter Security Command Center à AWS.