将 Security Command Center 连接到 Amazon Web Services 后 (AWS) 您可以修改以下内容:
准备工作
请先完成这些任务,然后再完成此页面上的其余任务。
设置权限
如需获取使用 AWS 连接器所需的权限,
请让管理员授予您
Cloud Asset Owner (roles/cloudasset.owner) IAM 角色。
如需详细了解如何授予角色,请参阅管理对项目、文件夹和组织的访问权限。
创建 AWS 账号
确保您已创建以下 AWS 资源:
- AWS IAM 用户 AWS IAM 访问权限 代理和收集器 AWS 账号控制台的权限。
您可以用作委托账号的 AWS 账号的 AWS 账号 ID。如果您希望 Security Command Center 自动发现 AWS 账号以查找资源,则委托的账号必须附加到 AWS 组织,并且属于以下任一类型:
一个 AWS 管理账号。
具有基于资源的委托政策的 AWS 账号,该政策可提供
organization和list权限。如需查看政策示例,请参阅示例:查看组织、OU、账号和政策。
修改 AWS 连接
在 AWS 环境配置发生变化时修改现有 AWS 连接。例如,您想监控不同的 AWS 区域,或更改 Security Command Center 使用的 AWS 账号列表。您无法修改委托角色和收集器角色的名称。如果您需要更改这些角色名称 您必须删除 AWS 连接器并设置新的连接。
在 Google Cloud 控制台中,转到 Security Command Center 页面。
选择您已为其激活 Security Command Center Enterprise 的组织。
点击 设置。
点击连接器标签页。
点击要更新的连接旁边的修改。
在修改 Amazon Web Services 连接器页面中,进行更改。下表介绍了这些选项。
选项 说明 添加 AWS 连接器账号 选择自动添加账号(推荐)字段,以允许 Security Command Center 自动发现 AWS 账号,或选择逐个添加账号 并提供 Security Command Center 可用于查找资源的 AWS 账号列表。 排除 AWS 连接器账号 如果您选择了添加 AWS 连接器账号部分下的单独添加账号字段,请提供 Security Command Center 不应用于查找资源的 AWS 账号列表。 选择要收集数据的区域 选择一个或多个 AWS 区域,以供 Security Command Center 从中收集数据。退出 AWS 区域字段留空可收集所有区域的数据。 AWS 服务的每秒查询次数 (QPS) 上限 您可以更改 QPS 来控制 Security Command Center。将替换项设置为小于该服务的默认值且大于或等于 1的值。 默认值为最大值。如果您更改了 QPS,Security Command Center 可能会遇到问题 提取数据。因此,我们不建议您更改此值。AWS Security Token Service 的端点 您可以为 AWS 指定特定端点 Security Token Service(例如 https://sts.us-east-2.amazonaws.com)。 将 AWS Security Token Service(AWS 安全令牌服务)字段留空以使用 默认全球端点 (https://sts.amazonaws.com)。如果您将委派的账号 ID 或 AWS 账号列表更改为 必须更新 AWS 环境。对 委派账号 ID 要求您重新设置 AWS 配置。如需更改 AWS 账号列表,您需要添加或移除收集器角色。如果您想从排除列表中移除 AWS 账号,则需要向这些账号添加收集器角色。请完成以下操作:
点击继续。
在创建与 AWS 的连接页面中,完成以下操作之一:
下载委托角色和收集器角色的 CloudFormation 模板。有关模板的使用说明,请参阅使用 用于设置 AWS 的 CloudFormation 模板 环境。
如果要手动更改 AWS 配置,请选择使用 AWS 控制台。复制服务代理 ID、委托的角色名称和收集器角色名称。如需了解如何手动更新 AWS,请参阅手动配置 AWS 账号。
如果您在要排除的 AWS 账号列表中添加了 AWS 账号, 建议您从账号中移除收集器角色。
点击测试连接器,验证 Security Command Center 是否可以连接到 AWS 环境如果连接成功,Google Cloud 服务代理可以承担委派的角色,并且委派的角色具有承担收集器角色的所有必要权限。如果连接失败,请参阅排查测试连接时出现的错误。
点击保存。
修改 AWS 扫描的现有漏洞评估
以下部分介绍了如何修改 AWS 漏洞评估扫描的配置。
请确保您拥有 为 AWS 启用和使用漏洞评估。
前往 Security Command Center 中的设置页面:
选择您需要修改 AWS 漏洞评估的组织。 系统会打开设置页面的服务标签页。
选择设置。
在漏洞评估服务卡片中,点击管理设置。系统随即会打开漏洞评估页面。
选择 Amazon Web Services 标签页。
在 Scan settings for AWS compute and storage 部分下,点击 修改扫描设置以修改扫描的资源范围。
您最多可以定义 50 个 AWS 代码和 Amazon EC2 实例 ID。对扫描设置所做的更改不会影响 AWS CloudFormation 模板。您无需重新部署模板。 如果标记或实例 ID 值不正确(例如该值拼写有误)和资源 指定的值不存在,则系统会在扫描过程中忽略该值。选项 说明 扫描间隔 定义每次扫描的间隔小时数。输入一个介于 6 到 24 之间的值。 默认值为 6。最大值为 24。 扫描频率越高,资源使用量就越大,账单费用也可能会随之增加。 AWS 区域 选择要纳入漏洞评估扫描的部分区域。仅限实例
所选区域的多个副本。选择一个或多个要纳入扫描范围的 AWS 区域。
如果您在 Amazon Web Services (AWS) 连接器中配置了特定区域,请确保在此处选择的区域与您在配置与 AWS 的连接时定义的区域相同或属于其子集。AWS 代码 指定用于标识扫描的那部分实例的标记。仅具有 代码。 输入每个代码的键值对。如果指定了无效的标记,该标记将被忽略。 您最多可以指定 50 个标记。 如需详细了解标记,请参阅为 Amazon EC2 资源添加标记和为 Amazon EC2 资源添加和移除标记。 按实例 ID 排除 通过指定 EC2 实例 ID,从每次扫描中排除 EC2 实例。 您最多可以指定 50 个实例 ID。如果指定的值无效,系统会忽略这些值。 如果您定义了多个实例 ID,系统会使用 AND运算符将这些 ID 组合起来。
-
如果您选择按 ID 排除实例,请点击添加 AWS EC2 实例,然后输入每个实例 ID 以手动输入。
- 如果您选择以 JSON 格式复制和粘贴要排除的一系列实例 ID,
请执行以下某项操作:
- 输入实例 ID 数组。例如:
[ "instance-id-1", "instance-id-2" ] - 上传包含实例 ID 列表的文件。文件的内容应为实例 ID 的数组,例如:
[ "instance-id-1", "instance-id-2" ]
- 输入实例 ID 数组。例如:
扫描 SC1 实例 选择扫描 SC1 实例以包含这些实例。 默认情况下,系统会排除 SC1 实例。
详细了解 SC1 实例。扫描 ST1 实例 选择扫描 ST1 实例以包含这些实例。 ST1 实例默认被排除。
详细了解 ST1 实例。-
如果您选择按 ID 排除实例,请点击添加 AWS EC2 实例,然后输入每个实例 ID 以手动输入。
点击保存。
停用 AWS 漏洞评估扫描
要为 AWS 服务停用漏洞评估,您需要在以下位置将其停用: Security Command Center,然后删除包含 AWS 中的 CloudFormation 模板。如果不删除堆栈 AWS 将继续产生费用。
如需停用 AWS 漏洞评估,请完成以下步骤:
前往 Security Command Center 中的设置页面:
选择您需要停用 AWS 漏洞评估的组织。 系统会打开设置页面的服务标签页。
在漏洞评估服务卡片中,点击管理设置。
选择 Amazon Web Services 标签页。
在服务启用下的状态字段中,选择停用。
前往 AWS Management Console 中的 AWS CloudFormation 模板页面。
删除包含 AWS 漏洞评估 CloudFormation 模板的堆栈。
如果您不删除模板,可能会产生不必要的费用。
后续步骤
- 有关问题排查信息,请参阅 将 Security Command Center 连接到 AWS。