Aggiorna le impostazioni di connessione AWS

Dopo aver connesso Security Command Center ad Amazon Web Services (AWS) per la raccolta dei dati di configurazione e delle risorse, puoi modificare le impostazioni di connessione.

Prima di iniziare

Completa queste attività prima di completare le attività rimanenti in questa pagina.

Configurare le autorizzazioni in Google Cloud

Per ottenere le autorizzazioni necessarie per utilizzare il connettore AWS, chiedi all'amministratore di concederti il ruolo IAM Proprietario asset Cloud (roles/cloudasset.owner). Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

Crea account AWS

Assicurati di disporre delle seguenti risorse AWS:

• Un utente IAM AWS con accesso IAM AWS per le console degli account AWS delegato e collector.

• L'ID account AWS per un account AWS che puoi utilizzare come account delegato. L'account delegato deve soddisfare i seguenti requisiti:

  • L'account delegato deve essere collegato a un'organizzazione AWS. Per collegare un account a un'organizzazione AWS:

    1. Crea o identifica un'organizzazione a cui collegare l'account delegato.
    2. Invita l'account delegato a entrare a far parte dell'organizzazione.

  • L'account delegato deve essere uno dei seguenti:

    • Un account di gestione AWS.
    • Un amministratore delegato AWS.
    • Un account AWS con una policy di delega basata sulle risorse che fornisce l'autorizzazione organizations:ListAccounts. Per un esempio di policy, consulta Creare una policy di delega basata sulle risorse con AWS Organizations nella documentazione AWS.

Modifica la connessione AWS

Modifica una connessione AWS esistente quando la configurazione dell'ambiente AWS cambia. Ad esempio, vuoi monitorare diverse regioni AWS o modificare l'elenco degli account AWS utilizzati da Security Command Center. Non puoi modificare i nomi del ruolo delegato e del ruolo raccoglitore. Se devi modificare questi nomi dei ruoli, devi eliminare il connettore AWS e configurare una nuova connessione.

1. Nella console Google Cloud , vai alla pagina Security Command Center.

   Vai a Security Command Center

2. Seleziona l'organizzazione su cui hai attivato Security Command Center Enterprise.

3. Fai clic su settings Impostazioni.

4. Fai clic sulla scheda Connettori.

5. Fai clic su Modifica accanto alla connessione da aggiornare.

6. Nella pagina Modifica connettore Amazon Web Services, apporta le modifiche. La tabella seguente descrive le opzioni.

   Opzione	Descrizione
   Aggiungi account connettore AWS	Seleziona un'opzione in base alle tue preferenze: Aggiungi account automaticamente (opzione consigliata): seleziona questa opzione per consentire a Security Command Center di rilevare automaticamente gli account AWS. Aggiungi account singolarmente: seleziona questa opzione per aggiungere manualmente gli account AWS.
   Escludi account connettore AWS	Se hai selezionato Aggiungi account automaticamente nella sezione Aggiungi account connettore AWS, fornisci un elenco di account AWS che Security Command Center non deve utilizzare per trovare risorse.
   Inserisci gli account connettore AWS	Se hai selezionato Aggiungi account singolarmente nella sezione Aggiungi account connettore AWS, fornisci un elenco di account AWS che Security Command Center può utilizzare per trovare risorse.
   Seleziona le regioni per la raccolta dei dati	Seleziona una o più regioni AWS da cui Security Command Center deve raccogliere i dati. Lascia vuoto il campo Regioni AWS per raccogliere i dati da tutte le regioni.
   Numero massimo di query al secondo (QPS) per i servizi AWS	Puoi modificare le QPS per controllare il limite di quota per Security Command Center. Imposta l'override su un valore inferiore al valore predefinito per quel servizio e maggiore o uguale a 1. Il valore predefinito è il valore massimo. Se modifichi il QPS, Security Command Center potrebbe riscontrare problemi durante il recupero dei dati. Pertanto, ti sconsigliamo di modificare questo valore.
   Endpoint per il servizio token di sicurezza AWS	Puoi specificare un endpoint specifico per il servizio token di sicurezza AWS (ad esempio, https://sts.us-east-2.amazonaws.com). Lascia vuoto il campo Servizio token di sicurezza AWS per utilizzare l'endpoint globale predefinito (https://sts.amazonaws.com).

7. Se hai modificato l'ID account delegato o l'elenco degli account AWS da includere o escludere, devi aggiornare l'ambiente AWS. Una modifica all'ID account delegato richiede di configurare nuovamente AWS. Una modifica all'elenco degli account AWS richiede l'aggiunta o la rimozione dei ruoli del raccoglitore. La rimozione degli account AWS dall'elenco di esclusione, perché vuoi includerli, richiede l'aggiunta dei ruoli del raccoglitore a questi account. Completa i seguenti passaggi:

   1. Fai clic su Continua.

   2. Nella pagina Crea connessione con AWS, completa una delle seguenti operazioni:

      • Scarica i modelli CloudFormation per il ruolo delegato e il ruolo raccoglitore. Per istruzioni sull'utilizzo dei modelli, vedi Utilizzare i modelli CloudFormation per configurare l'ambiente AWS.

      • Se vuoi modificare manualmente la configurazione AWS, seleziona Usa la console AWS. Copia l'ID agente di servizio, il nome del ruolo delegato e il nome del ruolo raccoglitore. Per istruzioni sull'aggiornamento manuale di AWS, consulta Configurare manualmente gli account AWS.

8. Se hai aggiunto un account AWS all'elenco degli account AWS da escludere, ti consigliamo di rimuovere il ruolo di raccoglitore dall'account.

9. Fai clic su Testa connettore per verificare che Security Command Center possa connettersi al tuo ambiente AWS. Se la connessione va a buon fine, l'agente di servizio Google Cloudpuò assumere il ruolo delegato e questo ruolo dispone di tutte le autorizzazioni necessarie per assumere il ruolo di raccoglitore. Se la connessione non va a buon fine, vedi Risolvere gli errori durante il test della connessione.

10. Fai clic su Salva.

Passaggi successivi

• Per informazioni sulla risoluzione dei problemi, consulta Connettere Security Command Center ad AWS.