AWS 接続設定を更新する

構成とリソースデータの収集のために Security Command Center を Amazon Web Services（AWS）に接続すると、以下を変更できます。

• AWS 接続設定

• AWS の脆弱性評価スキャンの設定。

始める前に

以下のタスクを完了してから、このページの残りのタスクを完了してください。

Google Cloudで権限を設定する

AWS コネクタを使用するために必要な権限を取得するには、Cloud Asset オーナー （roles/cloudasset.owner）IAM ロールの付与を管理者に依頼してください。ロールの付与については、プロジェクト、フォルダ、組織へのアクセスを管理するをご覧ください。

必要な権限は、カスタムロールや他の事前定義ロールから取得することもできます。

AWS アカウントを作成する

次の AWS リソースがあることを確認します。

• 委任アカウントとコレクタの AWS アカウント コンソール用の AWS IAM アクセス権限を持つ AWS IAM ユーザー。

• 委任アカウントとして使用できる AWS アカウントの AWS アカウント ID。委任アカウントは、次の要件を満たしている必要があります。

  • 委任アカウントは AWS 組織に接続されている必要があります。アカウントを AWS 組織に接続するには、次の操作を行います。

    1. 委任アカウントを接続する組織を作成するか、特定します。
    2. 委任アカウントを組織に招待します。

  • 委任アカウントは次のいずれかである必要があります。

    • AWS 管理アカウント。
    • AWS 委任管理者。
    • organizations:ListAccounts 権限を付与するリソースベースの委任ポリシーを持つ AWS アカウント。ポリシーの例については、AWS ドキュメントの AWS Organizations でリソースベースの委任ポリシーを作成するをご覧ください。

AWS 接続を変更する

AWS 環境の構成が変更されたときに既存の AWS 接続を変更します。たとえば、異なる AWS リージョンをモニタリングする場合、または Security Command Center が使用する AWS アカウントのリストを変更する場合。委任されたロールとコレクタのロールの名前は変更できません。これらのロール名を変更する必要がある場合は、AWS コネクタを削除して新しい接続を設定する必要があります。

1. Google Cloud コンソールで、Security Command Center ページに移動します。

   Security Command Center に移動

2. Security Command Center Enterprise を有効にした組織を選択します。

3. [settings 設定] をクリックします。

4. [コネクタ] タブをクリックします。

5. 更新する接続の横にある [編集] をクリックします。

6. [Amazon Web Services コネクタの編集] ページで変更を行います。次の表に、オプションを示します。

   オプション	説明
   AWS コネクタ アカウントの追加	[アカウントを自動的に追加（推奨）] フィールドを選択して、Security Command Center に AWS アカウントを自動的に検出させるか、[アカウントを個別に追加] を選択して Security Command Center がリソースの検索に使用できる AWS アカウントのリストを指定します。
   AWS コネクタ アカウントを除外する	[AWS コネクタ アカウントの追加] セクションで [アカウントを個別に追加] フィールドを選択した場合は、Security Command Center がリソースの検索で使用しない AWS アカウントのリストを指定します。
   データを収集するリージョンを選択する	データを収集する Security Command Center の AWS リージョンを 1 つ以上選択します。すべてのリージョンからデータを収集するには、[AWS リージョン] フィールドを空白のままにします。
   AWS サービスの最大秒間クエリ数（QPS）	QPS を変更して、Security Command Center の割り当て上限を制御できます。オーバーライドを、そのサービスのデフォルト値よりも小さい、1 以上の値に設定します。デフォルト値は最大値です。QPS を変更すると、Security Command Center でのデータ取得で問題が発生することがあります。そのため、この値は変更しないことをおすすめします。
   AWS Security Token Service のエンドポイント	AWS Security Token Service には、特定のエンドポイントを指定できます（例: https://sts.us-east-2.amazonaws.com）。デフォルトのグローバル エンドポイント（https://sts.amazonaws.com）を使用するには、[AWS Security Token Service] フィールドを空のままにします。

7. 委任アカウント ID または AWS アカウントのリストを変更して、含めるまたは除外するアカウントを変更した場合は、AWS 環境を更新する必要があります。委任アカウント ID を変更する場合は、AWS 構成を再度設定する必要があります。AWS アカウントのリストを変更するには、コレクタロールを追加または削除する必要があります。AWS アカウントを除外リストから削除して含めるためには、これらのアカウントにコレクタロールを追加する必要があります。次の手順に沿って操作します。

   1. [続行] をクリックします。

   2. [AWS と接続する] のページで、次のいずれかを行います。

      • 委任ロールとコレクタロールの CloudFormation テンプレートをダウンロードします。テンプレートの使用方法については、CloudFormation テンプレートを使用して AWS 環境を設定するをご覧ください。

      • AWS 構成を手動で変更する場合は、[AWS コンソールを使用する] を選択します。サービス エージェント ID、委任ロール名、コレクタのロール名をコピーします。AWS を手動で更新する手順については、AWS アカウントを手動で構成するをご覧ください。

8. 除外する AWS アカウントのリストに AWS アカウントを追加した場合は、アカウントからコレクタロールを削除することをおすすめします。

9. [コネクタをテスト] をクリックして、Security Command Center が AWS 環境に接続できることを確認します。接続が成功すると、 Google Cloudサービス エージェントは委任ロールを想定できるようになります。委任ロールには、コレクタロールを引き受けるために必要なすべての権限が付与されています。接続に失敗した場合は、接続テスト時のエラーのトラブルシューティングをご覧ください。

10. [保存] をクリックします。

既存の AWS の脆弱性評価スキャンを変更する

次のセクションでは、AWS の脆弱性評価スキャンの構成を変更する方法について説明します。

1. AWS の脆弱性評価を有効にして使用するで定義されている権限とロールがあることを確認します。

2. Security Command Center の [設定] ページに移動します。

   [設定] に移動

3. AWS の脆弱性評価を変更にする組織を選択します。[設定] ページの [サービス] タブが開きます。

4. [設定] を選択します。

5. [脆弱性評価] サービスカードで、[設定を管理] をクリックします。 [脆弱性評価] ページが開きます。

6. [Amazon Web Services] タブを選択します。

7. [Scan settings for AWS compute and storage] セクションで、[Edit scan settings] をクリックして、スキャンするリソースの範囲を変更します。

   最大 50 個の AWS タグと Amazon EC2 インスタンス ID を定義できます。スキャン設定の変更は、AWS CloudFormation テンプレートに影響しません。テンプレートを再デプロイする必要はありません。 タグまたはインスタンス ID の値が正しくなく（値のスペルが間違っているなど）、指定されたリソースが存在しない場合、その値はスキャン中に無視されます。

   オプション	説明
   スキャン間隔	各スキャンの時間間隔を入力します。有効な値の範囲は 6 ～ 24 です。デフォルト値は 6 です。スキャンの頻度を上げると、リソースの使用量が増加し、請求額が増加する可能性があります。
   AWS リージョン	脆弱性評価スキャンに含めるリージョンのサブセットを選択します。 選択したリージョンのインスタンスのみがスキャンされます。スキャンに含める 1 つ以上の AWS リージョンを選択します。 Amazon Web Services（AWS）コネクタで特定のリージョンを構成した場合は、ここで選択したリージョンが、AWS への接続を構成したときに定義したリージョンと同じか、そのサブセットであることを確認してください。
   AWS タグ	スキャンされるインスタンスのサブセットを識別するタグを指定します。これらのタグを持つインスタンスのみがスキャンされます。各タグの Key-Value ペアを入力します。無効なタグが指定されている場合、無視されます。指定できるタグは最大 50 個です。タグの詳細については、Amazon EC2 リソースにタグ付けすると Amazon EC2 リソースのタグを追加または削除するをご覧ください。
   インスタンス ID で除外	EC2 インスタンス ID を指定して、各スキャンから EC2 インスタンスを除外します。最大 50 個のインスタンス ID を指定できます。無効な値が指定された場合は、無視されます。複数のインスタンス ID を定義すると、それらは AND 演算子を使用して結合されます。 [ID でインスタンスを除外する] を選択した場合は、[AWS EC2 インスタンスを追加] をクリックして各インスタンスの ID を手動で入力してから、値を入力します。 [除外するインスタンス ID のリストを JSON 形式でコピーして貼り付ける] を選択した場合は、次のいずれかを行います。 インスタンス ID の配列を入力します。次に例を示します。 [ "instance-id-1", "instance-id-2" ] インスタンス ID のリストを含むファイルをアップロードします。ファイルの内容は、インスタンス ID の配列にする必要があります（例: ）。 [ "instance-id-1", "instance-id-2" ]
   SC1 インスタンスをスキャンする	[SC1 インスタンスをスキャンする] を選択して、これらのインスタンスを含めます。SC1 インスタンスはデフォルトで除外されます。SC1 インスタンスの詳細。
   ST1 インスタンスをスキャンする	[ST1 インスタンスをスキャンする] を選択して、これらのインスタンスを含めます。ST1 インスタンスはデフォルトで除外されます。ST1 インスタンスの詳細。
   Elastic Container Registry（ECR）のスキャン	[Elastic Container Registry インスタンスをスキャンする] を選択して、ECR に保存されているコンテナ イメージとそのインストール済みパッケージをスキャンします。 Elastic Container Registry の詳細

8. [保存] をクリックします。

AWS の脆弱性評価スキャンを無効にする

AWS サービスの脆弱性評価を無効にするには、Security Command Center でサービスを無効にしてから、AWS で CloudFormation テンプレートを含むスタックを削除する必要があります。スタックが削除されなければ、AWS で引き続き費用が発生します。

AWS の脆弱性評価を無効にするには、次の手順を完了します。

1. Security Command Center の [設定] ページに移動します。

   [設定] に移動

2. AWS の脆弱性評価を無効にする組織を選択します。[設定] ページの [サービス] タブが開きます。

3. [脆弱性評価] サービスカードで、[設定を管理] をクリックします。

4. [Amazon Web Services] タブを選択します。

5. [サービスの有効化] の [ステータス] フィールドで [無効] を選択します。

6. AWS Management Console の [AWS CloudFormation テンプレート] ページに移動します。

7. AWS の脆弱性評価の CloudFormation テンプレートを含むスタックを削除します。

   テンプレートを削除しないと、不要な費用が発生する場合があります。

次のステップ

• トラブルシューティングについては、Security Command Center を AWS に接続するをご覧ください。