Atualizar as configurações de conexão da AWS

Depois de conectar o Security Command Center à Amazon Web Services (AWS) para configuração e coleta de dados de recursos, é possível modificar as configurações de conexão.

Antes de começar

Conclua estas tarefas antes de concluir as restantes nesta página.

Configurar permissões no Google Cloud

Para receber as permissões necessárias para usar o conector da AWS, peça ao administrador para conceder a você o papel Proprietário de recursos do Cloud (roles/cloudasset.owner) do IAM. Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Também é possível conseguir as permissões necessárias usando papéis personalizados ou outros papéis predefinidos.

Criar contas da AWS

Confira se você tem os seguintes recursos da AWS:

• Um usuário do IAM da AWS com acesso ao IAM da AWS para os consoles de conta da AWS delegada e do coletor.

• O ID da conta da AWS de uma conta que pode ser usada como delegada. A conta delegada precisa atender aos seguintes requisitos:

  • A conta delegada precisa estar vinculada a uma organização da AWS. Para anexar uma conta a uma organização da AWS, faça o seguinte:

    1. Crie ou identifique uma organização em que você vai anexar a conta delegada.
    2. Convide a conta delegada para participar da organização.

  • A conta delegada precisa ser uma das seguintes:

    • Uma conta de gerenciamento da AWS.
    • Um administrador delegado da AWS.
    • Uma conta da AWS com uma política de delegação baseada em recursos que forneça a permissão organizations:ListAccounts. Para um exemplo de política, consulte Criar uma política de delegação baseada em recursos com o AWS Organizations na documentação da AWS.

Modificar a conexão da AWS

Modifique uma conexão da AWS quando a configuração do ambiente da AWS mudar. Por exemplo, você quer monitorar diferentes regiões da AWS ou mudar a lista de contas da AWS que o Security Command Center usa. Não é possível modificar os nomes da função delegada e da função do coletor. Se você precisar mudar esses nomes de função, exclua o conector da AWS e configure uma nova conexão.

1. No console Google Cloud , acesse a página do Security Command Center.

   Acesse Security Command Center

2. Selecione a organização em que você ativou o Security Command Center Enterprise.

3. Clique em Configurações settings.

4. Clique na guia Conectores.

5. Clique em Editar ao lado da conexão que você quer atualizar.

6. Na página Editar conector do Amazon Web Services, faça as mudanças. A tabela a seguir descreve as opções.

   Opção	Descrição
   Adicionar contas de conector da AWS	Selecione uma opção, dependendo da sua preferência: Adicionar contas automaticamente (recomendado): selecione essa opção para permitir que o Security Command Center descubra as contas da AWS automaticamente. Adicionar contas individualmente: selecione essa opção para adicionar contas da AWS manualmente.
   Excluir contas do conector da AWS	Se você selecionou Adicionar contas automaticamente na seção Adicionar contas de conector da AWS, forneça uma lista de contas da AWS que o Security Command Center não deve usar para encontrar recursos.
   Inserir contas de conector da AWS	Se você selecionou Adicionar contas individualmente na seção Adicionar contas do conector da AWS, forneça uma lista de contas da AWS que o Security Command Center pode usar para encontrar recursos.
   Selecionar regiões para coletar dados	Selecione uma ou mais regiões da AWS para o Security Command Center coletar dados. Deixe o campo Regiões da AWS vazio para coletar dados de todas as regiões.
   Máximo de consultas por segundo (QPS) para serviços da AWS	É possível mudar o QPS para controlar o limite de cota do Security Command Center. Defina a substituição como um valor menor que o valor padrão para esse serviço e maior ou igual a 1. O valor padrão é o valor máximo. Se você mudar o QPS, o Security Command Center poderá ter problemas ao buscar dados. Portanto, não recomendamos mudar esse valor.
   Endpoint do serviço de token de segurança da AWS	É possível especificar um endpoint específico para o serviço de token de segurança da AWS (por exemplo, https://sts.us-east-2.amazonaws.com). Deixe o campo Serviço de token de segurança da AWS vazio para usar o endpoint global padrão (https://sts.amazonaws.com).

7. Se você mudou o ID da conta delegada ou a lista de contas da AWS para incluir ou excluir, atualize seu ambiente da AWS. Uma mudança no ID da conta delegada exige que você configure novamente a AWS. Uma mudança na lista de contas da AWS exige que você adicione ou remova funções de coletor. Para incluir contas da AWS que foram removidas da lista de exclusão, adicione as funções de coletor a elas. Preencha os campos:

   1. Clique em Continuar.

   2. Na página Criar conexão com a AWS, faça uma das seguintes ações:

      • Baixe os modelos do CloudFormation para a função delegada e a função de coletor. Para instruções sobre como usar os modelos, consulte Usar modelos do CloudFormation para configurar seu ambiente da AWS.

      • Se você quiser mudar a configuração da AWS manualmente, selecione Usar o console da AWS. Copie o ID do agente de serviço, o nome da função delegada e o nome da função do coletor. Para instruções sobre como atualizar a AWS manualmente, consulte Configurar contas da AWS manualmente.

8. Se você adicionou uma conta da AWS à lista de contas a serem excluídas, recomendamos que remova a função de coletor da conta.

9. Clique em Testar conector para verificar se o Security Command Center pode se conectar ao ambiente da AWS. Se a conexão for bem-sucedida, o agente de serviço Google Cloudpoderá assumir a função delegada, que tem todas as permissões necessárias para assumir a função de coletor. Se a conexão não funcionar, consulte Solução de problemas ao testar a conexão.

10. Clique em Salvar.

A seguir

• Para informações sobre solução de problemas, consulte Conectar o Security Command Center à AWS.