Après avoir connecté Security Command Center à Amazon Web Services (AWS) pour la gestion des failles, à l'exception des noms des rôles délégués et de collecteur, vous pouvez modifier vos paramètres de connexion AWS. Si vous devez modifier les noms des rôles, vous devez supprimer votre connecteur AWS et configurer une nouvelle connexion.
Avant de commencer
Effectuez ces tâches avant de terminer celles restantes sur cette page.
Configurer les autorisations
Pour obtenir les autorisations dont vous avez besoin pour utiliser le connecteur AWS, demandez à votre administrateur de vous attribuer le rôle IAM Propriétaire d'éléments cloud (roles/cloudasset.owner
).
Pour en savoir plus sur l'attribution de rôles, consultez la section Gérer les accès.
Vous pouvez également obtenir les autorisations requises via des rôles personnalisés ou d'autres rôles prédéfinis.
Créer des comptes AWS
Assurez-vous d'avoir créé les ressources AWS suivantes:
- Un utilisateur AWS IAM disposant d'un accès AWS IAM aux consoles de compte AWS délégué et de collecteur
L'ID de compte AWS que vous pouvez utiliser comme compte délégué pour un compte AWS. Si vous souhaitez que Security Command Center détecte automatiquement les comptes AWS pour rechercher des ressources, le compte délégué doit être associé à une organisation AWS et correspondre à l'un des éléments suivants:
Un compte AWS avec une règle de délégation basée sur les ressources qui fournit les autorisations
organization
etlist
Pour obtenir un exemple de règle, consultez la section Exemple: Afficher l'organisation, les UO, les comptes et les règles.
Modifier une connexion AWS existante pour détecter les failles et évaluer les risques
Modifier une connexion AWS existante lorsque la configuration de votre environnement AWS change. Par exemple, vous souhaitez surveiller différentes régions AWS ou modifier la liste des comptes AWS utilisés par Security Command Center.
Dans la console Google Cloud, accédez à la page "Security Command Center".
Sélectionnez l'organisation pour laquelle vous avez activé Security Command Center Enterprise.
Cliquez sur Paramètres
.Cliquez sur l'onglet Connecteurs.
Cliquez sur l'option Edit (Modifier) à côté de la connexion que vous souhaitez mettre à jour.
Sur la page Modifier le connecteur Amazon Web Services, apportez vos modifications. Le tableau suivant décrit les options.
Option Description Spécifier les comptes AWS à utiliser Vous pouvez autoriser Security Command Center à détecter automatiquement les comptes AWS, ou fournir une liste de comptes AWS que Security Command Center peut utiliser pour rechercher des ressources. Spécifier les comptes AWS à exclure Si vous autorisez Security Command Center à détecter automatiquement les comptes, vous pouvez fournir la liste des comptes AWS qu'il ne peut pas utiliser pour rechercher des ressources. Spécifier les régions AWS à surveiller Vous pouvez sélectionner une ou plusieurs régions AWS que Security Command Center doit surveiller. Laissez le champ AWS régions (Régions AWS) vide pour surveiller toutes les régions. Remplacer les requêtes par seconde (RPS) par défaut pour les services AWS Vous pouvez modifier les RPS pour contrôler la limite de quota de Security Command Center. Définissez le forçage sur une valeur inférieure à la valeur par défaut de ce service, et supérieure ou égale à 1
. La valeur par défaut est la valeur maximale. Si vous modifiez les RPS, il se peut que Security Command Center rencontre des problèmes pour récupérer les données. Par conséquent, nous vous déconseillons de modifier cette valeur.Modifier le point de terminaison pour AWS Security Token Service Vous pouvez spécifier un point de terminaison spécifique pour le service de jetons de sécurité AWS (par exemple, https://sts.us-east-2.amazonaws.com
). Laissez le champ AWS Security Token Service (AWS STS) (facultatif) vide pour utiliser le point de terminaison global par défaut (https://sts.amazonaws.com
).Si vous avez modifié l'ID de compte délégué ou la liste des comptes AWS à inclure ou à exclure, vous devez mettre à jour votre environnement AWS. Si vous modifiez l'ID de compte délégué, vous devez reconfigurer votre configuration AWS. Une modification de la liste des comptes AWS nécessite l'ajout ou la suppression de rôles de collecteur. Pour supprimer des comptes AWS de la liste d'exclusion parce que vous souhaitez les inclure, vous devez ajouter les rôles de collecteur à ces comptes. Effectuer les actions suivantes :
Cliquez sur Continuer.
Sur la page Créer une connexion avec AWS, effectuez l'une des opérations suivantes:
Téléchargez les modèles CloudFormation pour le rôle délégué et le rôle de collecteur. Pour obtenir des instructions sur l'utilisation des modèles, consultez la section Utiliser les modèles CloudFormation pour configurer votre environnement AWS.
Si vous souhaitez modifier la configuration AWS manuellement, sélectionnez Utiliser la console AWS. Copiez l'ID de l'agent de service, le nom du rôle délégué et le nom du rôle de collecteur. Pour obtenir des instructions sur la mise à jour manuelle d'AWS, consultez la page Configurer manuellement des comptes AWS.
Si vous avez ajouté un compte AWS à la liste des comptes AWS à exclure, nous vous recommandons de supprimer le rôle de collecteur du compte.
Cliquez sur Tester le connecteur pour vérifier que Security Command Center peut se connecter à votre environnement AWS. Si la connexion aboutit, l'agent de service Google Cloud peut assumer le rôle délégué, et le rôle délégué dispose de toutes les autorisations requises pour assumer le rôle de collecteur. Si la connexion échoue, consultez la section Résoudre les erreurs lors du test de la connexion.
Cliquez sur Enregistrer.
Étapes suivantes
- Pour obtenir des informations de dépannage, consultez la page Connecter Security Command Center à AWS.