Modificare o disattivare le impostazioni AWS per le vulnerabilità

Dopo aver collegato Security Command Center ad Amazon Web Services (AWS) per la gestione delle vulnerabilità, puoi modificare quanto segue:

Prima di iniziare

Completa queste attività prima di completare le restanti attività in questa pagina.

Configurare le autorizzazioni

Per ottenere le autorizzazioni necessarie per utilizzare il connettore AWS, chiedi all'amministratore di concederti il ruolo IAM Proprietario asset cloud (roles/cloudasset.owner). Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.

Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

Crea account AWS

Assicurati di aver creato le seguenti risorse AWS:

Modifica la connessione AWS

Modifica una connessione AWS esistente quando la configurazione dell'ambiente AWS cambia. Ad esempio, vuoi monitorare regioni AWS diverse o modificare l'elenco di account AWS utilizzati da Security Command Center. Non puoi modificare i nomi del ruolo delegato e del ruolo del raccoglitore. Se devi modificare questi nomi di ruolo, devi eliminare il connettore AWS e configurare una nuova connessione.

  1. Nella console Google Cloud, vai alla pagina Security Command Center.

    Andare a Security Command Center

  2. Seleziona l'organizzazione in cui hai attivato Security Command Center Enterprise.

  3. Fai clic su Impostazioni.

  4. Fai clic sulla scheda Connettori.

  5. Fai clic su Modifica accanto alla connessione che vuoi aggiornare.

  6. Nella pagina Modifica connettore Amazon Web Services, apporta le modifiche. La tabella seguente descrive le opzioni.

    Opzione Descrizione
    Aggiungi account connettore AWS Seleziona il campo Aggiungi account automaticamente (opzione consigliata) per consentire a Security Command Center di rilevare automaticamente gli account AWS oppure seleziona Aggiungi account singolarmente e fornisci un elenco di account AWS che Security Command Center può utilizzare per trovare le risorse.
    Escludi account connettore AWS Se hai selezionato il campo Aggiungi account singolarmente nella sezione Aggiungi account connettore AWS, fornisci un elenco di account AWS che Security Command Center non deve utilizzare per trovare le risorse.
    Seleziona le regioni in cui raccogliere i dati Seleziona una o più regioni AWS da cui Security Command Center deve raccogliere i dati. Lascia vuoto il campo Regioni AWS per raccogliere i dati da tutte le regioni.
    Numero massimo di query al secondo (QPS) per i servizi AWS Puoi modificare le richieste al secondo per controllare il limite di quota per Security Command Center. Imposta l'override su un valore inferiore al valore predefinito per il servizio e maggiore o uguale a 1. Il valore predefinito è il valore massimo. Se modifichi la QPS, Security Command Center potrebbe riscontrare problemi di recupero dei dati. Pertanto, sconsigliamo di modificare questo valore.
    Endpoint per il servizio token di sicurezza AWS Puoi specificare un endpoint specifico per il servizio token di sicurezza AWS (ad esempio https://sts.us-east-2.amazonaws.com). Lascia vuoto il campo Servizio token di sicurezza AWS per utilizzare l'endpoint globale predefinito (https://sts.amazonaws.com).

  7. Se hai modificato l'ID account delegato o l'elenco di account AWS da includere o escludere, devi aggiornare il tuo ambiente AWS. Una modifica all'ID account delegato richiede la reimpostazione della configurazione AWS. Una modifica all'elenco degli account AWS richiede l'aggiunta o la rimozione di ruoli collezionisti. Se vuoi rimuovere gli account AWS dall'elenco di esclusione per includerli, devi aggiungere i ruoli di raccoglitore a questi account. Completa quanto segue:

    1. Fai clic su Continua.

    2. Nella pagina Crea connessione con AWS, completa una delle seguenti operazioni:

  8. Se hai aggiunto un account AWS all'elenco degli account AWS da escludere, ti consigliamo di rimuovere il ruolo di raccoglitore dall'account.

  9. Fai clic su Testa connettore per verificare che Security Command Center possa connettersi al tuo ambiente AWS. Se la connessione è riuscita, l' Google CloudAgente di servizio può assumere il ruolo delegato e il ruolo delegato dispone di tutte le autorizzazioni necessarie per assumere il ruolo di raccoglitore. Se la connessione non va a buon fine, consulta Risolvere gli errori durante il test della connessione.

  10. Fai clic su Salva.

Modificare una scansione della valutazione delle vulnerabilità per AWS esistente

La sezione seguente descrive come modificare la configurazione di un'analisi della Valutazione delle vulnerabilità per AWS.

  1. Assicurati di disporre delle autorizzazioni e dei ruoli definiti in Abilitare e utilizzare Vulnerability Assessment per AWS.

  2. Vai alla pagina Impostazioni in Security Command Center:

    Vai alle impostazioni

  3. Seleziona l'organizzazione in cui devi modificare la valutazione delle vulnerabilità per AWS. Si apre la scheda Servizi della pagina Impostazioni.

  4. Seleziona Settings (Impostazioni).

  5. Nella scheda del servizio Valutazione della vulnerabilità, fai clic su Gestisci impostazioni. Viene visualizzata la pagina Valutazione delle vulnerabilità.

  6. Seleziona la scheda Amazon Web Services.

  7. Nella sezione Impostazioni di analisi per calcolo e archiviazione AWS, fai clic su Modifica impostazioni di analisi per modificare l'ambito delle risorse sottoposte ad analisi.

    Puoi definire un massimo di 50 tag AWS e ID istanza Amazon EC2. Le modifiche alle impostazioni di analisi non influiscono sul modello AWS CloudFormation. Non è necessario eseguire nuovamente il deployment del modello. Se il valore di un tag o di un ID istanza non è corretto (ad esempio, è stato scritto male) e la risorsa specificata non esiste, il valore viene ignorato durante la scansione.
    Opzione Descrizione
    Intervallo di analisi Inserisci il numero di ore tra ogni analisi. I valori validi sono compresi tra 6 e 24. Il valore predefinito è 6. Le scansioni più frequenti potrebbero causare un aumento dell'utilizzo delle risorse e possibilmente un aumento degli addebiti di fatturazione.
    Regioni AWS

    Scegli un sottoinsieme di regioni da includere nella scansione di valutazione delle vulnerabilità.

    Vengono scansionate solo le istanze delle regioni selezionate. Seleziona una o più regioni AWS da includere nella ricerca.

    Se hai configurato regioni specifiche nel connettore Amazon Web Services (AWS), assicurati che quelle selezionate qui siano uguali o un sottoinsieme di quelle definite quando hai configurato la connessione ad AWS.

    Tag AWS Specifica i tag che identificano il sottoinsieme di istanze sottoposte a scansione. Vengono scansionate solo le istanze con questi tag. Inserisci la coppia chiave-valore per ogni tag. Se viene specificato un tag non valido, questo verrà ignorato. Puoi specificare un massimo di 50 tag. Per ulteriori informazioni sui tag, consulta Taggare le risorse Amazon EC2 e Aggiungere e rimuovere tag per le risorse Amazon EC2.
    Escludi per ID istanza

    Escludi le istanze EC2 da ogni scansione specificando il ID istanza EC2. Puoi specificare un massimo di 50 ID istanza. Se vengono specificati valori non validi, questi verranno ignorati. Se definisci più ID istanza, questi vengono combinati utilizzando l'operatore AND.

    • Se selezioni Escludi istanza per ID, inserisci manualmente ogni ID istanza facendo clic su Aggiungi istanza AWS EC2 e poi digitando il valore.

    • Se selezioni Copia e incolla un elenco di ID istanze da escludere nel formato JSON, esegui una delle seguenti operazioni:

      • Inserisci un array di ID istanza. Ad esempio:

        [ "instance-id-1", "instance-id-2" ]

      • Carica un file con l'elenco degli ID istanza. I contenuti del file devono essere un array di ID istanza, ad esempio: 

        [ "instance-id-1", "instance-id-2" ]
    Esegui la scansione dell'istanza SC1 Seleziona Scan SC1 instance (Esegui la scansione dell'istanza SC1) per includere queste istanze. Le istanze SC1 sono escluse per impostazione predefinita. Scopri di più sulle istanze SC1.
    Esegui la scansione dell'istanza ST1 Seleziona Scan ST1 instance (Esegui la scansione dell'istanza ST1) per includerle. Le istanze ST1 sono escluse per impostazione predefinita. Scopri di più sulle istanze ST1.
    Esegui la scansione di Elastic Container Registry (ECR) Seleziona Scan Elastic Container Registry instance (Esegui la scansione dell'istanza Elastic Container Registry) per analizzare le immagini container archiviate in ECR e i relativi pacchetti installati. Scopri di più su Elastic Container Registry.

  8. Fai clic su Salva.

Disattivare la scansione di Vulnerability Assessment for AWS

Per disattivare il servizio Vulnerability Assessment for AWS, devi disattivarlo in Security Command Center ed eliminare lo stack contenente il modello CloudFormation in AWS. Se lo stack non viene eliminato, continuerà a generare costi in AWS.

Per disattivare Vulnerability Assessment for AWS:

  1. Vai alla pagina Impostazioni in Security Command Center:

    Vai alle impostazioni

  2. Seleziona l'organizzazione in cui devi disattivare Vulnerability Assessment for AWS. Si apre la scheda Servizi della pagina Impostazioni.

  3. Nella scheda del servizio Valutazione della vulnerabilità, fai clic su Gestisci impostazioni.

  4. Seleziona la scheda Amazon Web Services.

  5. Nel campo Stato in Abilitazione del servizio, seleziona Disattiva.

  6. Vai alla pagina Modello AWS CloudFormation nella console di gestione AWS.

  7. Elimina lo stack contenente il modello CloudFormation per la valutazione delle vulnerabilità per AWS.

    Se non elimini il modello, potresti incorrere in costi non necessari.

Passaggi successivi