Mengubah atau menonaktifkan setelan AWS untuk kerentanan

Setelah menghubungkan Security Command Center ke Amazon Web Services (AWS) untuk pengelolaan kerentanan, Anda dapat mengubah hal berikut:

• Setelan koneksi AWS

• Penilaian Kerentanan untuk setelan pemindaian AWS.

Sebelum memulai

Selesaikan tugas ini sebelum Anda menyelesaikan tugas lainnya di halaman ini.

Siapkan izin

Untuk mendapatkan izin yang diperlukan guna menggunakan konektor AWS, minta administrator untuk memberi Anda peran IAM Cloud Asset Owner (roles/cloudasset.owner). Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.

Membuat akun AWS

Pastikan Anda telah membuat resource AWS berikut:

• Pengguna AWS IAM dengan akses AWS IAM untuk konsol akun AWS delegasi dan kolektor.

• ID akun AWS untuk akun AWS yang dapat Anda gunakan sebagai akun yang didelegasikan. Jika Anda ingin Security Command Center otomatis menemukan akun AWS untuk menemukan resource, akun yang didelegasikan harus dilampirkan ke organisasi AWS dan merupakan salah satu dari berikut:

  • Akun pengelolaan AWS.

  • Administrator AWS yang didelegasikan.

  • Akun AWS dengan kebijakan delegasi berbasis resource yang memberikan izin organizations:ListAccounts. Untuk contoh kebijakan, lihat Membuat kebijakan delegasi berbasis resource dengan AWS Organizations dalam dokumentasi AWS.

Mengubah koneksi AWS

Ubah koneksi AWS yang ada saat konfigurasi lingkungan AWS Anda berubah. Misalnya, Anda ingin memantau berbagai region AWS, atau mengubah daftar akun AWS yang digunakan Security Command Center. Anda tidak dapat mengubah nama peran yang didelegasikan dan peran kolektor. Jika perlu mengubah nama peran ini, Anda harus menghapus konektor AWS dan menyiapkan koneksi baru.

1. Di konsol Google Cloud, buka halaman Security Command Center.

   Buka Security Command Center

2. Pilih organisasi tempat Anda mengaktifkan Security Command Center Enterprise.

3. Klik settings Setelan.

4. Klik tab Konektor.

5. Klik Edit di samping koneksi yang ingin Anda perbarui.

6. Di halaman Edit konektor Amazon Web Services, buat perubahan Anda. Tabel berikut menjelaskan opsi tersebut.

   Opsi	Deskripsi
   Menambahkan akun konektor AWS	Pilih kolom Tambahkan akun secara otomatis (direkomendasikan), agar Security Command Center dapat menemukan akun AWS secara otomatis, atau pilih Tambahkan akun satu per satu dan berikan daftar akun AWS yang dapat digunakan Security Command Center untuk menemukan resource.
   Kecualikan akun konektor AWS	Jika Anda memilih kolom Tambahkan akun satu per satu di bagian Tambahkan akun konektor AWS, berikan daftar akun AWS yang tidak boleh digunakan Security Command Center untuk menemukan resource.
   Memilih region untuk mengumpulkan data	Pilih satu atau beberapa region AWS tempat Security Command Center akan mengumpulkan data. Kosongkan kolom AWS regions untuk mengumpulkan data dari semua wilayah.
   Kueri per detik (QPS) maksimum untuk layanan AWS	Anda dapat mengubah QPS untuk mengontrol batas kuota untuk Security Command Center. Tetapkan penggantian ke nilai yang kurang dari nilai default untuk layanan tersebut, dan lebih besar dari atau sama dengan 1. Nilai defaultnya adalah nilai maksimum. Jika Anda mengubah QPS, Security Command Center mungkin mengalami masalah saat mengambil data. Oleh karena itu, sebaiknya jangan ubah nilai ini.
   Endpoint untuk AWS Security Token Service	Anda dapat menentukan endpoint tertentu untuk AWS Security Token Service (misalnya, https://sts.us-east-2.amazonaws.com). Biarkan kolom AWS Security Token Service kosong untuk menggunakan endpoint global default (https://sts.amazonaws.com).

7. Jika Anda mengubah ID akun yang didelegasikan atau daftar akun AWS yang akan disertakan atau dikecualikan, Anda harus memperbarui lingkungan AWS. Perubahan pada ID akun yang didelegasikan mengharuskan Anda menyiapkan konfigurasi AWS lagi. Perubahan pada daftar akun AWS mengharuskan Anda menambahkan atau menghapus peran kolektor. Jika ingin menyertakan akun AWS, Anda harus menambahkan peran kolektor ke akun tersebut karena akun AWS telah dihapus dari daftar pengecualian. Selesaikan langkah-langkah berikut:

   1. Klik Lanjutkan.

   2. Di halaman Create connection with AWS, selesaikan salah satu hal berikut:

      • Download template CloudFormation untuk peran yang didelegasikan dan peran kolektor. Untuk mengetahui petunjuk penggunaan template, lihat Menggunakan template CloudFormation untuk menyiapkan lingkungan AWS Anda.

      • Jika Anda ingin mengubah konfigurasi AWS secara manual, pilih Gunakan konsol AWS. Salin ID agen layanan, nama peran yang didelegasikan, dan nama peran kolektor. Untuk petunjuk cara mengupdate AWS secara manual, lihat Mengonfigurasi akun AWS secara manual.

8. Jika Anda menambahkan akun AWS ke daftar akun AWS yang akan dikecualikan, sebaiknya hapus peran kolektor dari akun tersebut.

9. Klik Uji konektor untuk memverifikasi bahwa Security Command Center dapat terhubung ke lingkungan AWS Anda. Jika koneksi berhasil, agen layanan Google Clouddapat mengambil peran yang didelegasikan dan peran yang didelegasikan memiliki semua izin yang diperlukan untuk mengambil peran kolektor. Jika koneksi tidak berhasil, lihat Memecahkan masalah error saat menguji koneksi.

10. Klik Simpan.

Mengubah Penilaian Kerentanan yang ada untuk pemindaian AWS

Bagian berikut menjelaskan cara mengubah konfigurasi untuk pemeriksaan Vulnerability Assessment for AWS.

1. Pastikan Anda memiliki izin dan peran yang ditentukan dalam Mengaktifkan dan menggunakan Penilaian Kerentanan untuk AWS.

2. Buka halaman Setelan di Security Command Center:

   Buka Setelan

3. Pilih organisasi tempat Anda perlu mengubah Penilaian Kerentanan untuk AWS. Tab Layanan di halaman Setelan akan terbuka.

4. Pilih Setelan.

5. Di kartu layanan Vulnerability Assessment, klik Manage Settings. Halaman Vulnerability Assessment akan terbuka.

6. Pilih tab Amazon Web Services.

7. Di bagian Setelan pemindaian untuk komputasi dan penyimpanan AWS, klik Edit setelan pemindaian untuk mengubah cakupan resource yang dipindai.

   Anda dapat menentukan maksimum 50 tag AWS dan ID instance Amazon EC2. Perubahan pada setelan pemindaian tidak akan memengaruhi template AWS CloudFormation. Anda tidak perlu men-deploy ulang template. Jika nilai tag atau ID instance salah (misalnya, nilai salah eja) dan resource yang ditentukan tidak ada, nilai tersebut akan diabaikan selama pemindaian.

   Opsi	Deskripsi
   Interval pemindaian	Masukkan jumlah jam di antara setiap pemindaian. Nilai yang valid berkisar dari 6 hingga 24. Nilai defaultnya adalah 6. Pemindaian yang lebih sering dapat menyebabkan peningkatan penggunaan resource dan kemungkinan peningkatan tagihan penagihan.
   Region AWS	Pilih subset region yang akan disertakan dalam pemindaian penilaian kerentanan. Hanya instance dari wilayah yang dipilih yang akan dipindai. Pilih satu atau beberapa region AWS yang akan disertakan dalam pemindaian. Jika Anda mengonfigurasi region tertentu di konektor Amazon Web Services (AWS), pastikan region yang dipilih di sini sama, atau merupakan subset dari, region yang ditentukan saat Anda mengonfigurasi koneksi ke AWS.
   Tag AWS	Tentukan tag yang mengidentifikasi subset instance yang dipindai. Hanya instance dengan tag ini yang akan dipindai. Masukkan pasangan nilai kunci untuk setiap tag. Jika tag yang tidak valid ditentukan, tag tersebut akan diabaikan. Anda dapat menentukan maksimum 50 tag. Untuk mengetahui informasi selengkapnya tentang tag, lihat Memberi tag pada resource Amazon EC2 dan Menambahkan dan menghapus tag untuk resource Amazon EC2.
   Kecualikan menurut Instance ID	Kecualikan instance EC2 dari setiap pemindaian dengan menentukan ID instance EC2. Anda dapat menentukan maksimum 50 ID instance. Jika nilai yang tidak valid ditentukan, nilai tersebut akan diabaikan. Jika Anda menentukan beberapa ID instance, ID tersebut akan digabungkan menggunakan operator AND. Jika Anda memilih Kecualikan instance menurut ID, masukkan setiap ID instance secara manual dengan mengklik Tambahkan instance AWS EC2, lalu mengetik nilainya. Jika Anda memilih Salin dan tempel daftar ID instance yang akan dikecualikan dalam format JSON, lakukan salah satu tindakan berikut: Masukkan array ID instance. Contoh: [ "instance-id-1", "instance-id-2" ] Upload file yang berisi daftar ID instance. Konten file harus berupa array ID instance, misalnya: [ "instance-id-1", "instance-id-2" ]
   Memindai instance SC1	Pilih Pindai instance SC1 untuk menyertakan instance ini. Instance SC1 dikecualikan secara default. Pelajari instance SC1 lebih lanjut.
   Memindai instance ST1	Pilih Pindai instance ST1 untuk menyertakan instance ini. Instance ST1 dikecualikan secara default. Pelajari instance ST1 lebih lanjut.
   Memindai Elastic Container Registry (ECR)	Pilih Pindai instance Elastic Container Registry untuk memindai image container yang disimpan di ECR dan paket yang diinstalnya. Pelajari Elastic Container Registry lebih lanjut.

8. Klik Simpan.

Menonaktifkan Penilaian Kerentanan untuk pemindaian AWS

Untuk menonaktifkan layanan Penilaian Kerentanan untuk AWS, Anda harus menonaktifkannya di Security Command Center, lalu menghapus stack yang berisi template CloudFormation di AWS. Jika tidak dihapus, stack akan terus menimbulkan biaya di AWS.

Selesaikan langkah-langkah berikut untuk menonaktifkan Penilaian Kerentanan untuk AWS:

1. Buka halaman Setelan di Security Command Center:

   Buka Setelan

2. Pilih organisasi tempat Anda perlu menonaktifkan Penilaian Kerentanan untuk AWS. Tab Layanan di halaman Setelan akan terbuka.

3. Di kartu layanan Vulnerability Assessment, klik Manage Settings.

4. Pilih tab Amazon Web Services.

5. Di kolom Status pada bagian Aktifasi layanan, pilih Nonaktifkan.

6. Buka halaman AWS CloudFormation Template di AWS Management Console.

7. Hapus stack yang berisi template CloudFormation untuk Penilaian Kerentanan untuk AWS.

   Jika tidak menghapus template, Anda mungkin akan dikenai biaya yang tidak perlu.

Langkah berikutnya

• Untuk informasi pemecahan masalah, lihat Menghubungkan Security Command Center ke AWS.