Setelah menghubungkan Security Command Center ke Amazon Web Services (AWS) untuk pengelolaan kerentanan, dengan pengecualian nama peran yang didelegasikan dan peran kolektor, Anda dapat mengubah setelan koneksi AWS. Jika perlu mengubah nama peran, Anda harus menghapus konektor AWS dan menyiapkan koneksi baru.
Sebelum memulai
Selesaikan tugas berikut sebelum Anda menyelesaikan tugas lainnya di halaman ini.
Siapkan izin
Untuk mendapatkan izin yang diperlukan untuk menggunakan konektor AWS, minta administrator untuk memberi Anda peran IAM Cloud Asset Owner (roles/cloudasset.owner
).
Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses.
Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.
Membuat akun AWS
Pastikan Anda telah membuat resource AWS berikut:
- Pengguna IAM AWS dengan akses IAM AWS untuk konsol akun AWS delegasi dan kolektor.
ID akun AWS untuk akun AWS yang dapat Anda gunakan sebagai akun yang didelegasikan. Jika Anda ingin Security Command Center secara otomatis menemukan akun AWS untuk menemukan resource, akun yang didelegasikan harus dilampirkan ke organisasi AWS dan menjadi salah satu dari berikut:
Akun AWS dengan kebijakan delegasi berbasis resource yang memberikan izin
organization
danlist
. Untuk contoh kebijakan, lihat Contoh: Melihat organisasi, OU, akun, dan kebijakan.
Memodifikasi koneksi AWS yang ada untuk deteksi kerentanan dan penilaian risiko
Ubah koneksi AWS yang ada saat konfigurasi lingkungan AWS Anda berubah. Misalnya, Anda ingin memantau berbagai region AWS, atau mengubah daftar akun AWS yang digunakan Security Command Center.
Di konsol Google Cloud, buka halaman Security Command Center.
Pilih organisasi tempat Anda mengaktifkan Security Command Center Enterprise.
Klik Setelan
.Klik tab Konektor.
Klik opsi Edit di samping koneksi yang ingin diperbarui.
Di halaman Edit Amazon Web Services Connector, lakukan perubahan. Tabel berikut menjelaskan opsi yang tersedia.
Opsi Deskripsi Menentukan akun AWS yang akan digunakan Anda dapat mengizinkan Security Command Center menemukan akun AWS secara otomatis, atau Anda dapat memberikan daftar akun AWS yang dapat digunakan Security Command Center untuk menemukan resource. Menentukan akun AWS yang akan dikecualikan Jika mengizinkan Security Command Center secara otomatis menemukan akun, Anda dapat memberikan daftar akun AWS yang tidak dapat digunakan Security Command Center untuk menemukan resource. Menentukan region AWS yang akan dipantau Anda dapat memilih satu atau beberapa region AWS untuk Security Command Center yang akan dipantau. Biarkan kolom AWS region kosong untuk memantau semua region. Mengganti kueri per detik (QPS) default untuk layanan AWS Anda dapat mengubah QPS untuk mengontrol batas kuota Security Command Center. Tetapkan penggantian ke nilai yang lebih kecil daripada nilai default untuk layanan tersebut, dan lebih besar dari atau sama dengan 1
. Nilai defaultnya adalah nilai maksimum. Jika Anda mengubah QPS, Security Command Center mungkin mengalami masalah saat mengambil data. Oleh karena itu, sebaiknya Anda tidak mengubah nilai ini.Mengubah endpoint untuk AWS Security Token Service Anda dapat menentukan endpoint tertentu untuk AWS Security Token Service (misalnya, https://sts.us-east-2.amazonaws.com
). Biarkan kolom AWS Security Token Service (AWS STS) (opsional) untuk menggunakan endpoint global default (https://sts.amazonaws.com
).Jika Anda mengubah ID akun yang didelegasikan atau daftar akun AWS yang akan disertakan atau dikecualikan, Anda harus memperbarui lingkungan AWS. Perubahan pada ID akun yang didelegasikan mengharuskan Anda menyiapkan konfigurasi AWS lagi. Perubahan pada daftar akun AWS mengharuskan Anda menambahkan atau menghapus peran kolektor. Jika akun AWS dihapus dari daftar pengecualian karena Anda ingin menyertakannya, Anda harus menambahkan peran kolektor ke akun tersebut. Isi kolom berikut:
Klik Lanjutkan.
Di halaman Create connection with AWS, selesaikan salah satu langkah berikut:
Download template CloudFormation untuk peran yang didelegasikan dan peran pengumpul. Untuk petunjuk penggunaan template, lihat Menggunakan template CloudFormation untuk menyiapkan lingkungan AWS.
Jika Anda ingin mengubah konfigurasi AWS secara manual, pilih Use the AWS console. Salin ID agen layanan, nama peran yang didelegasikan, dan nama peran pengumpul. Untuk mengetahui petunjuk cara mengupdate AWS secara manual, lihat Mengonfigurasi akun AWS secara manual.
Jika Anda menambahkan akun AWS ke daftar akun AWS yang akan dikecualikan, sebaiknya hapus peran kolektor dari akun.
Klik Test Connector untuk memverifikasi bahwa Security Command Center dapat terhubung ke lingkungan AWS Anda. Jika koneksi berhasil, agen layanan Google Cloud dapat mengambil peran yang didelegasikan dan peran yang didelegasikan memiliki semua izin yang diperlukan untuk mengambil peran kolektor. Jika koneksi tidak berhasil, lihat Memecahkan masalah error saat menguji koneksi.
Klik Save.
Langkah selanjutnya
- Untuk mengetahui informasi pemecahan masalah, lihat Menghubungkan Pusat Perintah Keamanan ke AWS.