Memperbarui setelan koneksi AWS

Setelah menghubungkan Security Command Center ke Amazon Web Services (AWS) untuk pengumpulan data konfigurasi dan resource, Anda dapat mengubah setelan koneksi.

Sebelum memulai

Selesaikan tugas ini sebelum Anda menyelesaikan tugas lainnya di halaman ini.

Menyiapkan izin di Google Cloud

Untuk mendapatkan izin yang diperlukan untuk menggunakan konektor AWS, minta administrator Anda untuk memberi Anda peran IAM Cloud Asset Owner (roles/cloudasset.owner). Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.

Membuat akun AWS

Pastikan Anda memiliki resource AWS berikut:

• Pengguna AWS IAM dengan akses AWS IAM untuk konsol akun AWS yang didelegasikan dan pengumpul.

• ID akun AWS untuk akun AWS yang dapat Anda gunakan sebagai akun yang didelegasikan. Akun yang didelegasikan harus memenuhi persyaratan berikut:

  • Akun yang didelegasikan harus dilampirkan ke organisasi AWS. Untuk melampirkan akun ke organisasi AWS, lakukan hal berikut:

    1. Buat atau identifikasi organisasi tempat Anda akan melampirkan akun yang didelegasikan.
    2. Undang akun yang didelegasikan untuk bergabung dengan organisasi.

  • Akun yang didelegasikan harus berupa salah satu dari berikut:

    • Akun pengelolaan AWS.
    • Administrator yang didelegasikan AWS.
    • Akun AWS dengan kebijakan delegasi berbasis resource yang memberikan izin organizations:ListAccounts. Untuk contoh kebijakan, lihat Membuat kebijakan delegasi berbasis resource dengan AWS Organizations dalam dokumentasi AWS.

Mengubah koneksi AWS

Ubah koneksi AWS yang ada saat konfigurasi lingkungan AWS Anda berubah. Misalnya, Anda ingin memantau berbagai region AWS, atau mengubah daftar akun AWS yang digunakan Security Command Center. Anda tidak dapat mengubah nama peran yang didelegasikan dan peran pengumpul. Jika perlu mengubah nama peran ini, Anda harus menghapus konektor AWS dan menyiapkan koneksi baru.

1. Di konsol Google Cloud , buka halaman Security Command Center.

   Buka Security Command Center

2. Pilih organisasi tempat Anda mengaktifkan Security Command Center Enterprise.

3. Klik settings Setelan.

4. Klik tab Konektor.

5. Klik Edit di samping koneksi yang ingin Anda perbarui.

6. Di halaman Edit konektor Amazon Web Services, buat perubahan Anda. Tabel berikut menjelaskan opsinya.

   Opsi	Deskripsi
   Menambahkan akun konektor AWS	Pilih opsi, bergantung pada preferensi Anda: Tambahkan akun secara otomatis (direkomendasikan): Pilih opsi ini agar Security Command Center dapat menemukan akun AWS secara otomatis. Tambahkan akun satu per satu: Pilih opsi ini untuk menambahkan akun AWS secara manual sendiri.
   Mengecualikan akun konektor AWS	Jika Anda memilih Tambahkan akun secara otomatis di bagian Tambahkan akun konektor AWS, berikan daftar akun AWS yang tidak boleh digunakan Security Command Center untuk menemukan resource.
   Masukkan akun konektor AWS	Jika Anda memilih Tambahkan akun satu per satu di bagian Tambahkan akun konektor AWS, berikan daftar akun AWS yang dapat digunakan Security Command Center untuk menemukan resource.
   Pilih wilayah untuk mengumpulkan data	Pilih satu atau beberapa region AWS agar Security Command Center mengumpulkan data dari region tersebut. Kosongkan kolom AWS regions untuk mengumpulkan data dari semua wilayah.
   Kueri per detik (QPS) maksimum untuk layanan AWS	Anda dapat mengubah QPS untuk mengontrol batas kuota untuk Security Command Center. Tetapkan penggantian ke nilai yang kurang dari nilai default untuk layanan tersebut, dan lebih besar dari atau sama dengan 1. Nilai default adalah nilai maksimum. Jika Anda mengubah QPS, Security Command Center mungkin mengalami masalah saat mengambil data. Oleh karena itu, sebaiknya jangan ubah nilai ini.
   Endpoint untuk AWS Security Token Service	Anda dapat menentukan endpoint tertentu untuk AWS Security Token Service (misalnya, https://sts.us-east-2.amazonaws.com). Biarkan kolom AWS Security Token Service kosong untuk menggunakan endpoint global default (https://sts.amazonaws.com).

7. Jika Anda mengubah ID akun yang didelegasikan atau daftar akun AWS yang akan disertakan atau dikecualikan, Anda harus memperbarui lingkungan AWS. Perubahan pada ID akun yang didelegasikan mengharuskan Anda menyiapkan konfigurasi AWS lagi. Perubahan pada daftar akun AWS mengharuskan Anda menambahkan atau menghapus peran pengumpul. Menghapus akun AWS dari daftar pengecualian, karena Anda ingin menyertakannya, mengharuskan Anda menambahkan peran pengumpul ke akun tersebut. Selesaikan langkah-langkah berikut:

   1. Klik Lanjutkan.

   2. Di halaman Create connection with AWS, selesaikan salah satu tindakan berikut:

      • Download template CloudFormation untuk peran yang didelegasikan dan peran pengumpul. Untuk mengetahui petunjuk tentang cara menggunakan template, lihat Menggunakan template CloudFormation untuk menyiapkan lingkungan AWS Anda.

      • Jika Anda ingin mengubah konfigurasi AWS secara manual, pilih Gunakan konsol AWS. Salin ID agen layanan, nama peran yang didelegasikan, dan nama peran pengumpul. Untuk mengetahui petunjuk tentang cara memperbarui AWS secara manual, lihat Mengonfigurasi akun AWS secara manual.

8. Jika Anda menambahkan akun AWS ke daftar akun AWS yang akan dikecualikan, sebaiknya hapus peran pengumpul dari akun tersebut.

9. Klik Uji konektor untuk memverifikasi bahwa Security Command Center dapat terhubung ke lingkungan AWS Anda. Jika koneksi berhasil, agen layanan Google Cloud dapat mengambil peran yang didelegasikan dan peran yang didelegasikan memiliki semua izin yang diperlukan untuk mengambil peran pengumpul. Jika koneksi tidak berhasil, lihat Memecahkan masalah error saat menguji koneksi.

10. Klik Simpan.

Langkah berikutnya

• Untuk mengetahui informasi pemecahan masalah, lihat artikel Menghubungkan Security Command Center ke AWS.