Mettre à jour les paramètres de connexion AWS

Après avoir connecté Security Command Center à Amazon Web Services (AWS) pour la collecte de données de configuration et de ressources, vous pouvez modifier les paramètres de connexion.

Avant de commencer

Effectuez ces tâches avant de passer aux autres tâches de cette page.

Configurer les autorisations dans Google Cloud

Pour obtenir les autorisations nécessaires pour utiliser le connecteur AWS, demandez à votre administrateur de vous accorder le rôle IAM Propriétaire des éléments Cloud (roles/cloudasset.owner). Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.

Vous pouvez également obtenir les autorisations requises avec des rôles personnalisés ou d'autres rôles prédéfinis.

Créer des comptes AWS

Assurez-vous de disposer des ressources AWS suivantes :

• Un utilisateur IAM AWS avec un accès IAM AWS aux consoles des comptes AWS délégués et collecteurs.

• L'ID de compte AWS d'un compte AWS que vous pouvez utiliser comme compte délégué. Le compte délégué doit répondre aux exigences suivantes :

  • Le compte délégué doit être associé à une organisation AWS. Pour associer un compte à une organisation AWS, procédez comme suit :

    1. Créez ou identifiez une organisation à laquelle vous allez associer le compte délégué.
    2. Invitez le compte délégué à rejoindre l'organisation.

  • Le compte délégué doit être l'un des suivants :

    • Un compte de gestion AWS.
    • Un administrateur délégué AWS.
    • Un compte AWS avec une stratégie de délégation basée sur les ressources qui fournit l'autorisation organizations:ListAccounts. Pour obtenir un exemple de règle, consultez Créer une règle de délégation basée sur les ressources avec AWS Organizations dans la documentation AWS.

Modifier la connexion AWS

Modifiez une connexion AWS existante lorsque la configuration de votre environnement AWS change. Par exemple, vous souhaitez surveiller différentes régions AWS ou modifier la liste des comptes AWS utilisés par Security Command Center. Vous ne pouvez pas modifier les noms du rôle délégué et du rôle de collecteur. Si vous devez modifier ces noms de rôle, vous devez supprimer votre connecteur AWS et configurer une nouvelle connexion.

1. Dans la console Google Cloud , accédez à la page "Security Command Center".

   Accéder à Security Command Center

2. Sélectionnez l'organisation pour laquelle vous avez activé Security Command Center Enterprise.

3. Cliquez sur settings Paramètres.

4. Cliquez sur l'onglet Connecteurs.

5. Cliquez sur Modifier à côté de la connexion que vous souhaitez modifier.

6. Sur la page Modifier le connecteur Amazon Web Services, apportez les modifications souhaitées. Le tableau suivant décrit les options.

   Option	Description
   Ajouter des comptes de connecteur AWS	Sélectionnez une option selon vos préférences : Ajouter des comptes automatiquement (recommandé) : sélectionnez cette option pour permettre à Security Command Center de découvrir automatiquement les comptes AWS. Ajouter des comptes individuellement : sélectionnez cette option pour ajouter manuellement des comptes AWS.
   Exclure des comptes de connecteur AWS	Si vous avez sélectionné Ajouter des comptes automatiquement dans la section Ajouter des comptes de connecteur AWS, fournissez la liste des comptes AWS que Security Command Center ne doit pas utiliser pour trouver des ressources.
   Saisir les comptes de connecteur AWS	Si vous avez sélectionné Ajouter des comptes individuellement dans la section Ajouter des comptes de connecteur AWS, fournissez la liste des comptes AWS que Security Command Center peut utiliser pour trouver des ressources.
   Sélectionner les régions dans lesquelles collecter des données	Sélectionnez une ou plusieurs régions AWS à partir desquelles Security Command Center collectera les données. Laissez le champ Régions AWS vide pour collecter des données dans toutes les régions.
   Nombre maximal de requêtes par seconde (RPS) pour les services AWS	Vous pouvez modifier le QPS pour contrôler la limite de quota pour Security Command Center. Définissez le remplacement sur une valeur inférieure à la valeur par défaut de ce service et supérieure ou égale à 1. La valeur par défaut est la valeur maximale. Si vous modifiez le QPS, Security Command Center peut rencontrer des problèmes lors de la récupération des données. Nous vous recommandons donc de ne pas modifier cette valeur.
   Point de terminaison pour AWS Security Token Service	Vous pouvez spécifier un point de terminaison spécifique pour le service AWS Security Token Service (par exemple, https://sts.us-east-2.amazonaws.com). Laissez le champ AWS Security Token Service vide pour utiliser le point de terminaison global par défaut (https://sts.amazonaws.com).

7. Si vous avez modifié l'ID du compte délégué ou la liste des comptes AWS à inclure ou à exclure, vous devez mettre à jour votre environnement AWS. Si vous modifiez l'ID du compte délégué, vous devrez reconfigurer votre configuration AWS. Si vous modifiez la liste des comptes AWS, vous devez ajouter ou supprimer des rôles de collecteur. Si vous supprimez des comptes AWS de la liste d'exclusion, car vous souhaitez les inclure, vous devez ajouter les rôles de collecteur à ces comptes. Effectuer les actions suivantes :

   1. Cliquez sur Continuer.

   2. Sur la page Créer une connexion avec AWS, procédez comme suit :

      • Téléchargez les modèles CloudFormation pour le rôle délégué et le rôle de collecteur. Pour savoir comment utiliser les modèles, consultez Utiliser des modèles CloudFormation pour configurer votre environnement AWS.

      • Si vous souhaitez modifier manuellement la configuration AWS, sélectionnez Utiliser la console AWS. Copiez l'ID de l'agent de service, le nom du rôle délégué et le nom du rôle du collecteur. Pour savoir comment mettre à jour AWS manuellement, consultez Configurer manuellement les comptes AWS.

8. Si vous avez ajouté un compte AWS à la liste des comptes AWS à exclure, nous vous recommandons de supprimer le rôle de collecteur du compte.

9. Cliquez sur Tester le connecteur pour vérifier que Security Command Center peut se connecter à votre environnement AWS. Si la connexion est établie, l'agent de service Google Cloudpeut assumer le rôle délégué, qui dispose de toutes les autorisations requises pour assumer le rôle de collecteur. Si la connexion échoue, consultez Résoudre les problèmes liés aux erreurs lors du test de la connexion.

10. Cliquez sur Enregistrer.

Étapes suivantes

• Pour obtenir des informations sur le dépannage, consultez Connecter Security Command Center à AWS.