更新 AWS 連線設定

將 Security Command Center 連線至 Amazon Web Services (AWS)，收集設定和資源資料後，即可修改連線設定。

事前準備

請先完成這些工作，再完成本頁面上的其餘工作。

在 Google Cloud中設定權限

如要取得使用 AWS 連接器所需的權限，請要求管理員授予您「Cloud Asset Owner」 (roles/cloudasset.owner) IAM 角色。如要進一步瞭解如何授予角色，請參閱「管理專案、資料夾和機構的存取權」。

您或許還可透過自訂角色或其他預先定義的角色取得必要權限。

建立 AWS 帳戶

確認您擁有下列 AWS 資源：

• 具有AWS IAM 存取權的 AWS IAM 使用者，可存取委派和收集器 AWS 帳戶主控台。

• 可做為委派帳戶的 AWS 帳戶的 AWS 帳戶 ID。委派帳戶必須符合下列規定：

  • 委派帳戶必須附加至 AWS 機構。如要將帳戶附加至 AWS 機構，請按照下列步驟操作：

    1. 建立或找出要附加委派帳戶的機構。
    2. 邀請委派帳戶加入機構。

  • 委派帳戶必須是下列其中一項：

    • AWS 管理帳戶。
    • AWS 委派管理員。
    • 具有「以資源為基礎的委派政策」的 AWS 帳戶，且該政策提供 organizations:ListAccounts 權限。如需政策範例，請參閱 AWS 說明文件中的「使用 AWS Organizations 建立以資源為準的委派政策」。

修改 AWS 連線

AWS 環境設定變更時，請修改現有的 AWS 連線。舉例來說，您想監控不同的 AWS 區域，或是變更 Security Command Center 使用的 AWS 帳戶清單。您無法修改委派角色和收集器角色的名稱。如要變更這些角色名稱，請刪除 AWS 連接器並設定新連線。

1. 前往 Google Cloud 控制台的 Security Command Center 頁面。

   前往 Security Command Center

2. 選取您啟用 Security Command Center Enterprise 的機構。

3. 按一下「設定」settings。

4. 按一下「連接器」分頁標籤。

5. 找出要更新的連結，然後按一下旁邊的「編輯」。

6. 在「編輯 Amazon Web Services 連接器」頁面中進行變更。下表說明這些選項。

   選項	說明
   新增 AWS 連接器帳戶	根據您的偏好設定選取選項： 自動新增帳戶 (建議)：選取這個選項，讓 Security Command Center 自動探索 AWS 帳戶。 個別新增帳戶：選取這個選項，即可手動新增 AWS 帳戶。
   排除 AWS 連接器帳戶	如果您在「新增 AWS 連接器帳戶」部分選取「自動新增帳戶」，請提供 Security Command Center 不應使用的 AWS 帳戶清單，以免系統在這些帳戶中尋找資源。
   輸入 AWS 連接器帳戶	如果您在「Add AWS connector accounts」(新增 AWS 連接器帳戶) 區段中選取「Add accounts individually」(個別新增帳戶)，請提供 Security Command Center 可用來尋找資源的 AWS 帳戶清單。
   選取要收集資料的區域	選取一或多個 AWS 區域，供 Security Command Center 收集資料。將「AWS 區域」欄位留空，即可從所有區域收集資料。
   AWS 服務的每秒查詢次數 (QPS) 上限	您可以變更 QPS，控管 Security Command Center 的配額限制。將覆寫值設為小於該服務預設值的值，且大於或等於 1。 預設值為最大值。如果變更 QPS，Security Command Center 可能會遇到擷取資料的問題。因此我們不建議變更這個值。
   AWS Security Token Service 的端點	您可以為 AWS Security Token Service 指定特定端點 (例如 https://sts.us-east-2.amazonaws.com)。如要使用預設全域端點 (https://sts.amazonaws.com)，請將「AWS Security Token Service」欄位留空。

7. 如果您變更了委派帳戶 ID，或是要納入或排除的 AWS 帳戶清單，就必須更新 AWS 環境。如果變更委派帳戶 ID，您必須重新設定 AWS。如要變更 AWS 帳戶清單，您必須新增或移除收集器角色。如要從排除清單中移除 AWS 帳戶 (因為您想納入這些帳戶)，請將收集器角色新增至這些帳戶。完成下列步驟：

   1. 按一下「繼續」。

   2. 在「Create connection with AWS」(建立與 AWS 的連線) 頁面中，完成下列其中一項操作：

      • 下載委派角色和收集器角色的 CloudFormation 範本。如需範本使用說明，請參閱「使用 CloudFormation 範本設定 AWS 環境」。

      • 如要手動變更 AWS 設定，請選取「使用 AWS 主控台」。複製服務代理 ID、委派角色名稱和收集器角色名稱。如需手動更新 AWS 的操作說明，請參閱手動設定 AWS 帳戶。

8. 如果您將 AWS 帳戶新增至要排除的 AWS 帳戶清單，建議您從該帳戶移除收集器角色。

9. 按一下「測試連接器」，確認 Security Command Center 可以連線至 AWS 環境。連線成功後， Google Cloud服務代理程式就能擔任委派的角色，且委派的角色具備擔任收集器角色所需的所有權限。如果連線失敗，請參閱排解測試連線時發生的錯誤。

10. 按一下 [儲存]。

後續步驟

• 如需疑難排解資訊，請參閱「將 Security Command Center 連線至 AWS」。