将 Security Command Center 与 Amazon Web Services (AWS) 相关联以进行漏洞管理后,您可以修改以下内容:
准备工作
请先完成这些任务,然后再完成本页面上的其余任务。
设置权限
如需获得使用 AWS 连接器所需的权限,请让管理员向您授予 Cloud Asset Owner (roles/cloudasset.owner) IAM 角色。
如需详细了解如何授予角色,请参阅管理对项目、文件夹和组织的访问权限。
创建 AWS 账号
确保您已创建以下 AWS 资源:
- 具有委托账号和收集器 AWS 账号控制台的 AWS IAM 访问权限的 AWS IAM 用户。
您可以用作委托账号的 AWS 账号的 AWS 账号 ID。如果您希望 Security Command Center 自动发现 AWS 账号以查找资源,则委托的账号必须附加到 AWS 组织,并且属于以下任一类型:
一个 AWS 管理账号。
具有基于资源的委托政策的 AWS 账号,该政策提供
organizations:ListAccounts权限。如需查看政策示例,请参阅 AWS 文档中的使用 AWS Organizations 创建基于资源的委托政策。
修改 AWS 连接
在 AWS 环境配置发生变化时修改现有 AWS 连接。例如,您想监控不同的 AWS 区域,或更改 Security Command Center 使用的 AWS 账号列表。您无法修改委托角色和收集器角色的名称。如果您需要更改这些角色名称,则必须删除 AWS 连接器并设置新的连接。
在 Google Cloud 控制台中,转到 Security Command Center 页面。
选择您已为其激活 Security Command Center Enterprise 的组织。
点击 设置。
点击连接器标签页。
点击要更新的关联旁边的修改。
在修改 Amazon Web Services 连接器页面中,进行更改。下表介绍了这些选项。
选项 说明 添加 AWS 连接器账号 选择 Automatically add accounts(推荐)字段,让 Security Command Center 自动发现 AWS 账号;或者选择 Individually add accounts,并提供 Security Command Center 可用于查找资源的 AWS 账号列表。 排除 AWS 连接器账号 如果您选择了添加 AWS 连接器账号部分下的单独添加账号字段,请提供 Security Command Center 不应用于查找资源的 AWS 账号列表。 选择要收集数据的区域 选择一个或多个 AWS 区域,以便 Security Command Center 从中收集数据。如需从所有区域收集数据,请将 AWS 区域字段留空。 AWS 服务的每秒查询次数 (QPS) 上限 您可以更改 QPS 来控制 Security Command Center 的配额限制。将此替换项设置为小于该服务的默认值且大于或等于 1的值。 默认值为最大值。如果您确实更改了 QPS,Security Command Center 可能会在提取数据时遇到问题。因此,我们不建议更改此值。AWS Security Token Service 的端点 您可以为 AWS Security Token Service 指定特定端点(例如 https://sts.us-east-2.amazonaws.com)。如要使用默认的全球端点 (https://sts.amazonaws.com),请将 AWS Security Token Service 字段留空。如果您更改了要包含或排除的委托账号 ID 或 AWS 账号列表,则必须更新您的 AWS 环境。更改委托账号 ID 后,您需要重新设置 AWS 配置。如需更改 AWS 账号列表,您需要添加或移除收集器角色。如果您想从排除列表中移除 AWS 账号,则需要向这些账号添加收集器角色。请完成以下操作:
点击继续。
在创建与 AWS 的连接页面中,完成以下任一操作:
下载委托角色和收集器角色的 CloudFormation 模板。如需了解如何使用这些模板,请参阅使用 CloudFormation 模板设置 AWS 环境。
如果您想手动更改 AWS 配置,请选择使用 AWS 控制台。复制服务代理 ID、委托的角色名称和收集器角色名称。如需了解如何手动更新 AWS,请参阅手动配置 AWS 账号。
如果您已将某个 AWS 账号添加到要排除的 AWS 账号列表中,我们建议您从该账号中移除收集器角色。
点击测试连接器,验证 Security Command Center 是否可以连接到您的 AWS 环境。如果连接成功, Google Cloud服务代理可以承担委托的角色,并且委托的角色具有承担收集器角色的所有必要权限。如果连接失败,请参阅排查测试连接时出现的错误。
点击保存。
修改现有的 AWS 漏洞评估扫描
以下部分介绍了如何修改 AWS 漏洞评估扫描的配置。
确保您拥有启用和使用 AWS 漏洞评估中定义的权限和角色。
前往 Security Command Center 中的设置页面:
选择您需要修改 AWS 漏洞评估的组织。 系统会打开设置页面的服务标签页。
选择设置。
在漏洞评估服务卡片中,点击管理设置。系统随即会打开漏洞评估页面。
选择 Amazon Web Services 标签页。
在 AWS 计算和存储的扫描设置部分下,点击修改扫描设置以修改要扫描的资源的范围。
您最多可以定义 50 个 AWS 标记和 Amazon EC2 实例 ID。对扫描设置所做的更改不会影响 AWS CloudFormation 模板。您无需重新部署模板。 如果标记或实例 ID 值不正确(例如,拼写有误),并且指定的资源不存在,则系统会在扫描期间忽略该值。选项 说明 扫描间隔 输入每次扫描之间的间隔时间(以小时为单位)。有效值的范围为 6 到 24。默认值为 6。扫描频率越高,资源使用量就越大,计费费用也可能会随之增加。 AWS 区域 选择要纳入漏洞评估扫描的部分区域。
系统只会扫描所选区域中的实例。选择一个或多个要包含在扫描中的 AWS 区域。
如果您在 Amazon Web Services (AWS) 连接器中配置了特定区域,请确保在此处选择的区域与您在 配置与 AWS 的连接时定义的区域相同或属于其子集。
AWS 代码 指定标记,用于标识要扫描的实例子集。系统只会扫描具有这些标记的实例。输入每个代码的键值对。如果指定的标记无效,系统会忽略该标记。您最多可以指定 50 个标记。如需详细了解标记,请参阅 为 Amazon EC2 资源添加标记和 为 Amazon EC2 资源添加和移除标记。 按实例 ID 排除 通过指定 EC2 实例 ID,从每次扫描中排除 EC2 实例。 您最多可以指定 50 个实例 ID。如果指定了无效值,系统会忽略这些值。如果您定义了多个实例 ID,系统会使用
AND运算符将它们组合在一起。- 如果您选择按 ID 排除实例,请点击添加 AWS EC2 实例,然后输入每个实例 ID 以手动输入。
-
如果您选择复制并粘贴一系列要排除的实例 ID(采用 JSON 格式),请执行以下任一操作:
-
输入实例 ID 的数组。例如:
[ "instance-id-1", "instance-id-2" ]
-
上传包含实例 ID 列表的文件。文件的内容应为实例 ID 的数组,例如:
[ "instance-id-1", "instance-id-2" ]
-
扫描 SC1 实例 选择扫描 SC1 实例以包含这些实例。默认情况下,系统会排除 SC1 实例。 详细了解 SC1 实例。 扫描 ST1 实例 选择扫描 ST1 实例以包含这些实例。默认情况下,ST1 实例会被排除。 详细了解 ST1 实例。 扫描 Elastic Container Registry (ECR) 选择扫描 Elastic Container Registry 实例,以扫描存储在 ECR 中的容器映像及其已安装的软件包。 详细了解 Elastic Container Registry。 点击保存。
停用 AWS 漏洞评估扫描
如需停用“适用于 AWS 的漏洞评估”服务,您需要在 Security Command Center 中停用该服务,然后在 AWS 中删除包含 CloudFormation 模板的堆栈。如果不删除该堆栈,系统将继续在 AWS 中产生费用。
如需停用 AWS 漏洞评估,请完成以下步骤:
前往 Security Command Center 中的设置页面:
选择您需要停用 AWS 漏洞评估的组织。 系统会打开设置页面的服务标签页。
在漏洞评估服务卡片中,点击管理设置。
选择 Amazon Web Services 标签页。
在服务启用下的状态字段中,选择停用。
前往 AWS Management Console 中的 AWS CloudFormation 模板页面。
删除包含 AWS 漏洞评估 CloudFormation 模板的堆栈。
如果您不删除模板,可能会产生不必要的费用。
后续步骤
- 如需了解问题排查信息,请参阅将 Security Command Center 连接到 AWS。