脆弱性管理のために AWS 設定を更新する

脆弱性管理のために Security Command Center を Amazon Web Services（AWS）に接続すると、委任されたロールとコレクタのロールを除き、AWS 接続設定を変更できます。ロール名を変更する必要がある場合は、AWS コネクタを削除して新しい接続を設定する必要があります。

始める前に

これらのタスクを完了してから、このページの残りのタスクを完了してください。

権限を設定する

AWS コネクタを使用するために必要な権限を取得するには、Cloud Asset オーナー（roles/cloudasset.owner）IAM ロールの付与を管理者に依頼してください。ロールの付与の詳細については、アクセス権の管理をご覧ください。

必要な権限は、カスタムロールや他の事前定義ロールから取得することもできます。

AWS アカウントを作成する

以下の　AWS リソースが作成されていることを確認します。

委任とコレクタの AWS アカウントコンソールの AWS IAM アクセス権を持つ AWS IAM ユーザー。
委任アカウントとして使用できる AWS アカウントの AWS アカウント ID。Security Command Center で AWS アカウントを自動的に検出してリソースを検索する場合は、委任アカウントを AWS 組織に接続し、次のいずれかに設定する必要があります。
- AWS 管理アカウント。
- AWS 委任管理者。
- organization 権限と list 権限を付与するリソースベースの委任ポリシーが設定された AWS アカウント。ポリシーの例については、例: 組織、OU、アカウント、ポリシーを表示するをご覧ください。

脆弱性の検出とリスク評価のために既存の AWS 接続を変更する

AWS 環境の構成が変更されたときに、既存の AWS 接続を変更します。たとえば、さまざまな AWS リージョンをモニタリングする場合や、Security Command Center が使用する AWS アカウントのリストを変更する場合です。

Google Cloud コンソールで、Security Command Center ページに移動します。

Security Command Center に移動
Security Command Center Enterprise を有効にした組織を選択します。
[ 設定] をクリックします。
[コネクタ] タブをクリックします。
更新する接続の横にある [編集] オプションをクリックします。

[アマゾンウェブサービスコネクタの編集] ページで、変更を行います。次の表でオプションを説明します。

オプション	説明
使用する AWS アカウントを指定する	Security Command Center に AWS アカウントを自動的に検出させることも、Security Command Center がリソースの検索に使用できる AWS アカウントのリストを指定することもできます。
除外する AWS アカウントを指定する	Security Command Center がアカウントを自動的に検出できるようにする場合は、Security Command Center がリソースの検索に使用できない AWS アカウントのリストを指定できます。
モニタリングする AWS リージョンを指定する	Security Command Center でモニタリングする 1 つ以上の AWS リージョンを選択できます。すべてのリージョンをモニタリングするには、[AWS リージョン] フィールドは空のままにします。
AWS サービスのデフォルトの秒間クエリ数（QPS）をオーバーライドする	QPS を変更して、Security Command Center の割り当て上限を制御できます。オーバーライドをそのサービスのデフォルト値よりも小さく、かつ `1` 以上の値に設定します。デフォルト値は最大値です。QPS を変更すると、Security Command Center がデータの取得で問題が発生することがあります。そのため、この値の変更はおすすめしません。
AWS Security Token Service のエンドポイントを変更する	AWS セキュリティトークンサービスには、特定のエンドポイント（`https://sts.us-east-2.amazonaws.com` など）を指定できます。デフォルトのグローバルエンドポイント（`https://sts.amazonaws.com`）を使用するには、[AWS Security Token Service（AWS STS）（省略可）] フィールドを空白のままにします。

委任アカウント ID や、追加または除外する AWS アカウントのリストを変更した場合は、AWS 環境を更新する必要があります。委任されたアカウント ID を変更するには、AWS 構成を再度設定する必要があります。AWS アカウントのリストを変更するには、コレクタロールを追加または削除する必要があります。AWS アカウントを除外リストから削除するには、それらのアカウントにコレクタロールを追加する必要があります。次の手順に沿って操作します。
1. [続行] をクリックします。
2. [AWS との接続の作成] ページで、次のいずれかを行います。
  - 委任されたロールとコレクタのロール用の CloudFormation テンプレートをダウンロードします。テンプレートの使用方法については、CloudFormation テンプレートを使用して AWS 環境を設定するをご覧ください。
  - AWS 構成を手動で変更する場合は、[Use the AWS console] を選択します。サービスエージェント ID、委任されたロール名、コレクタのロール名をコピーします。AWS を手動で更新する手順については、AWS アカウントを手動で構成するをご覧ください。
除外する AWS アカウントのリストに AWS アカウントを追加した場合は、アカウントからコレクタロールを削除することをおすすめします。
[テストコネクタ] をクリックして、Security Command Center が AWS 環境に接続できることを確認します。接続に成功すると、Google Cloud サービスエージェントは委任されたロールを引き継ぐことができます。委任されたロールには、コレクタロールを引き継ぐために必要なすべての権限があります。接続に成功しない場合は、接続テスト時のエラーのトラブルシューティングをご覧ください。
[保存] をクリックします。

次のステップ

トラブルシューティング情報については、Security Command Center を AWS に接続するをご覧ください。