脆弱性管理のために Security Command Center を Amazon Web Services(AWS)に接続すると、委任されたロールとコレクタのロールを除き、AWS 接続設定を変更できます。ロール名を変更する必要がある場合は、AWS コネクタを削除して新しい接続を設定する必要があります。
始める前に
これらのタスクを完了してから、このページの残りのタスクを完了してください。
権限を設定する
AWS コネクタを使用するために必要な権限を取得するには、Cloud Asset オーナー (roles/cloudasset.owner
)IAM ロールの付与を管理者に依頼してください。
ロールの付与の詳細については、アクセス権の管理をご覧ください。
必要な権限は、カスタムロールや他の事前定義ロールから取得することもできます。
AWS アカウントを作成する
以下の AWS リソースが作成されていることを確認します。
- 委任とコレクタの AWS アカウント コンソールの AWS IAM アクセス権を持つ AWS IAM ユーザー。
委任アカウントとして使用できる AWS アカウントの AWS アカウント ID。Security Command Center で AWS アカウントを自動的に検出してリソースを検索する場合は、委任アカウントを AWS 組織に接続し、次のいずれかに設定する必要があります。
organization
権限とlist
権限を付与するリソースベースの委任ポリシーが設定された AWS アカウント。ポリシーの例については、例: 組織、OU、アカウント、ポリシーを表示するをご覧ください。
脆弱性の検出とリスク評価のために既存の AWS 接続を変更する
AWS 環境の構成が変更されたときに、既存の AWS 接続を変更します。たとえば、さまざまな AWS リージョンをモニタリングする場合や、Security Command Center が使用する AWS アカウントのリストを変更する場合です。
Google Cloud コンソールで、Security Command Center ページに移動します。
Security Command Center Enterprise を有効にした組織を選択します。
[
設定] をクリックします。[コネクタ] タブをクリックします。
更新する接続の横にある [編集] オプションをクリックします。
[アマゾン ウェブ サービス コネクタの編集] ページで、変更を行います。次の表でオプションを説明します。
オプション 説明 使用する AWS アカウントを指定する Security Command Center に AWS アカウントを自動的に検出させることも、Security Command Center がリソースの検索に使用できる AWS アカウントのリストを指定することもできます。 除外する AWS アカウントを指定する Security Command Center がアカウントを自動的に検出できるようにする場合は、Security Command Center がリソースの検索に使用できない AWS アカウントのリストを指定できます。 モニタリングする AWS リージョンを指定する Security Command Center でモニタリングする 1 つ以上の AWS リージョンを選択できます。すべてのリージョンをモニタリングするには、[AWS リージョン] フィールドは空のままにします。 AWS サービスのデフォルトの秒間クエリ数(QPS)をオーバーライドする QPS を変更して、Security Command Center の割り当て上限を制御できます。オーバーライドをそのサービスのデフォルト値よりも小さく、かつ 1
以上の値に設定します。デフォルト値は最大値です。QPS を変更すると、Security Command Center がデータの取得で問題が発生することがあります。そのため、この値の変更はおすすめしません。AWS Security Token Service のエンドポイントを変更する AWS セキュリティ トークン サービスには、特定のエンドポイント( https://sts.us-east-2.amazonaws.com
など)を指定できます。デフォルトのグローバル エンドポイント(https://sts.amazonaws.com
)を使用するには、[AWS Security Token Service(AWS STS)(省略可)] フィールドを空白のままにします。委任アカウント ID や、追加または除外する AWS アカウントのリストを変更した場合は、AWS 環境を更新する必要があります。委任されたアカウント ID を変更するには、AWS 構成を再度設定する必要があります。AWS アカウントのリストを変更するには、コレクタロールを追加または削除する必要があります。AWS アカウントを除外リストから削除するには、それらのアカウントにコレクタロールを追加する必要があります。次の手順に沿って操作します。
[続行] をクリックします。
[AWS との接続の作成] ページで、次のいずれかを行います。
委任されたロールとコレクタのロール用の CloudFormation テンプレートをダウンロードします。テンプレートの使用方法については、CloudFormation テンプレートを使用して AWS 環境を設定するをご覧ください。
AWS 構成を手動で変更する場合は、[Use the AWS console] を選択します。サービス エージェント ID、委任されたロール名、コレクタのロール名をコピーします。AWS を手動で更新する手順については、AWS アカウントを手動で構成するをご覧ください。
除外する AWS アカウントのリストに AWS アカウントを追加した場合は、アカウントからコレクタロールを削除することをおすすめします。
[テストコネクタ] をクリックして、Security Command Center が AWS 環境に接続できることを確認します。接続に成功すると、Google Cloud サービス エージェントは委任されたロールを引き継ぐことができます。委任されたロールには、コレクタロールを引き継ぐために必要なすべての権限があります。接続に成功しない場合は、接続テスト時のエラーのトラブルシューティングをご覧ください。
[保存] をクリックします。
次のステップ
- トラブルシューティング情報については、Security Command Center を AWS に接続するをご覧ください。