Depois de associar o Security Command Center aos Amazon Web Services (AWS) para a configuração e a recolha de dados de recursos, pode modificar as definições de associação.
Antes de começar
Conclua estas tarefas antes de concluir as restantes tarefas nesta página.
Configure as autorizações no Google Cloud
Para receber as autorizações de que
precisa para usar o conetor da AWS,
peça ao administrador para lhe conceder a função de IAM de
proprietário de recursos na nuvem (roles/cloudasset.owner).
Para mais informações sobre a atribuição de funções, consulte o artigo Faça a gestão do acesso a projetos, pastas e organizações.
Também pode conseguir as autorizações necessárias através de funções personalizadas ou outras funções predefinidas.
Crie contas da AWS
Certifique-se de que tem os seguintes recursos da AWS:
Um utilizador do AWS IAM com acesso ao AWS IAM para as consolas da conta do AWS delegada e do coletor.
O ID da conta da AWS para uma conta da AWS que pode usar como conta delegada. A conta delegada tem de cumprir os seguintes requisitos:
A conta delegada tem de estar anexada a uma organização da AWS. Para anexar uma conta a uma organização da AWS, faça o seguinte:
- Crie ou identifique uma organização à qual vai anexar a conta delegada.
- Convide a conta delegada a aderir à organização.
A conta delegada tem de ser uma das seguintes:
- Uma conta de gestão da AWS.
- Um administrador delegado da AWS.
- Uma conta da AWS com uma política de delegação baseada em recursos
que concede a autorização
organizations:ListAccounts. Para ver um exemplo de política, consulte o artigo Crie uma política de delegação baseada em recursos com o AWS Organizations na documentação da AWS.
Modifique a associação da AWS
Modificar uma associação da AWS existente quando a configuração do seu ambiente da AWS muda. Por exemplo, quer monitorizar diferentes regiões da AWS ou alterar a lista de contas da AWS que o Security Command Center usa. Não pode modificar os nomes da função delegada e da função de recolhedor. Se precisar de alterar estes nomes de funções, tem de eliminar o conector da AWS e configurar uma nova ligação.
Na Google Cloud consola, aceda à página do Security Command Center.
Selecione a organização na qual ativou o Security Command Center Enterprise.
Clique em Definições.
Clique no separador Conetores.
Clique em Editar junto à associação que quer atualizar.
Na página Editar conetor da Amazon Web Services, faça as alterações. A tabela seguinte descreve as opções.
Opção Descrição Adicione contas do conetor da AWS Selecione uma opção, consoante a sua preferência:
- Adicionar contas automaticamente (recomendado): selecione esta opção para permitir que o Security Command Center descubra as contas da AWS automaticamente.
- Adicionar contas individualmente: selecione esta opção para adicionar manualmente as contas da AWS.
Exclua contas do conector da AWS Se selecionou Adicionar contas automaticamente na secção Adicionar contas do conetor da AWS, faculte uma lista de contas da AWS que o Security Command Center não deve usar para encontrar recursos. Introduza contas do conector da AWS Se selecionou Adicionar contas individualmente na secção Adicionar contas do conetor da AWS, faculte uma lista de contas da AWS que o Security Command Center pode usar para encontrar recursos. Selecione regiões para recolher dados Selecione uma ou mais regiões da AWS para o Security Command Center recolher dados. Deixe o campo Regiões da AWS vazio para recolher dados de todas as regiões. Máximo de consultas por segundo (CPS) para serviços AWS Pode alterar o QPS para controlar o limite de quota do Security Command Center. Defina a substituição para um valor inferior ao valor predefinido desse serviço e superior ou igual a 1. O valor predefinido é o valor máximo. Se alterar o QPS, o Security Command Center pode ter problemas ao obter dados. Por conseguinte, não recomendamos que altere este valor.Ponto final para o AWS Security Token Service Pode especificar um ponto final específico para o serviço de tokens de segurança da AWS (por exemplo, https://sts.us-east-2.amazonaws.com). Deixe o campo Serviço de tokens de segurança da AWS vazio para usar o ponto final global predefinido (https://sts.amazonaws.com).Se alterou o ID da conta delegada ou a lista de contas da AWS a incluir ou excluir, tem de atualizar o seu ambiente da AWS. Uma alteração ao ID da conta delegada requer que configure novamente a sua configuração da AWS. Uma alteração à lista de contas da AWS requer que adicione ou remova funções de recolhedor. A remoção de contas da AWS da lista de exclusões, porque quer incluí-las, requer que adicione as funções do coletor a essas contas. Faça o seguinte:
- Clique em Continuar.
Na página Crie uma associação com a AWS, conclua uma das seguintes opções:
Transfira os modelos do CloudFormation para a função delegada e a função de recolha. Para obter instruções sobre como usar os modelos, consulte o artigo Use modelos do CloudFormation para configurar o seu ambiente da AWS.
Se quiser alterar a configuração da AWS manualmente, selecione Usar a consola da AWS. Copie o ID do agente do serviço, o nome da função delegada e o nome da função do coletor. Para obter instruções sobre a atualização manual da AWS, consulte o artigo Configure manualmente as contas da AWS.
Se adicionou uma conta da AWS à lista de contas da AWS a excluir, recomendamos que remova a função de coletor da conta.
Clique em Testar conetor para verificar se o Security Command Center consegue estabelecer ligação ao seu ambiente da AWS. Se a ligação for bem-sucedida, o Google Cloud agente de serviço pode assumir a função delegada e a função delegada tem todas as autorizações necessárias para assumir a função de recolhedor. Se a ligação não for bem-sucedida, consulte o artigo Resolução de problemas de erros ao testar a ligação.
Clique em Guardar.
O que se segue?
- Para informações de resolução de problemas, consulte o artigo Associe o Security Command Center à AWS.