更新 AWS 设置以进行漏洞管理

将 Security Command Center 连接到 Amazon Web Services (AWS) 以进行漏洞管理后，除了委派角色和收集器角色的名称之外，您可以修改 AWS 连接设置。如果您需要更改角色名称，则必须删除 AWS 连接器并设置新连接。

准备工作

请先完成这些任务，然后再完成此页面中的其余任务。

如需获取使用 AWS 连接器所需的权限，请让管理员为您授予 Cloud Asset Owner (roles/cloudasset.owner) IAM 角色。如需详细了解如何授予角色，请参阅管理访问权限。

您也可以通过自定义角色或其他预定义角色来获取所需的权限。

确保您已创建以下 AWS 资源：

对代理和收集器 AWS 帐号控制台具有 AWS IAM 访问权限的 AWS IAM 用户。
可用作委托帐号的 AWS 帐号的 AWS 帐号 ID。如果您希望 Security Command Center 自动发现 AWS 帐号以查找资源，则委托帐号必须关联到 AWS 组织并属于以下类型之一：
- AWS 管理帐号。
- AWS 委派管理员。
- 具有基于资源的委托政策的 AWS 帐号，该政策提供 organization 和 list 权限。如需查看示例政策，请参阅示例：查看组织、组织部门、帐号和政策。

在 AWS 环境配置发生更改时修改现有 AWS 连接。例如，您希望监控不同的 AWS 区域，或更改 Security Command Center 使用的 AWS 帐号列表。

在修改 Amazon Web Services 连接器页面中，进行更改。下表介绍了这些选项。

选项	说明
指定要使用的 AWS 账号	您可以让 Security Command Center 自动发现 AWS 帐号，也可以提供 AWS 帐号列表，供 Security Command Center 用于查找资源。
指定要排除的 AWS 账号	如果您让 Security Command Center 自动发现账号，则可以提供 Security Command Center 无法用于查找资源的 AWS 账号列表。
指定要监控的 AWS 区域	您可以选择一个或多个 AWS 区域供 Security Command Center 进行监控。将 AWS 区域字段留空可监控所有区域。
替换 AWS 服务的默认每秒查询次数 (QPS)	您可以更改 QPS 以控制 Security Command Center 的配额限制。请将替换值设置为小于该服务的默认值且大于或等于 `1`。默认值为最大值。如果您更改了 QPS，Security Command Center 可能会在提取数据时遇到问题。因此，我们不建议您更改此值。
更改 AWS Security Token Service 的端点	您可以为 AWS Security Token Service 指定特定端点（例如 `https://sts.us-east-2.amazonaws.com`）。将 AWS Security Token Service (AWS STS)（可选）字段留空以使用默认的全球端点 (`https://sts.amazonaws.com`)。

如果您更改了委托帐号 ID 或要包含或排除的 AWS 帐号列表，则必须更新 AWS 环境。如果更改委托帐号 ID，您需要重新设置 AWS 配置。AWS 帐号列表的更改需要您添加或移除收集器角色。从排除列表中移除 AWS 帐号（因为要包含这些帐号）需要向这些帐号添加收集器角色。请完成以下操作：
1. 点击继续。
2. 在 Create connection with AWS 页面中，完成以下其中一项：
  - 下载适用于委派角色和收集器角色的 CloudFormation 模板。如需了解如何使用模板，请参阅使用 CloudFormation 模板设置 AWS 环境。
  - 如果您想手动更改 AWS 配置，请选择 Use the AWS console。复制服务代理 ID、委派角色名称和收集器角色名称。如需了解如何手动更新 AWS，请参阅手动配置 AWS 帐号。
如果您将 AWS 帐号添加到了要排除的 AWS 帐号列表中，我们建议您从该帐号中移除收集器角色。
点击测试连接器，验证 Security Command Center 是否可以连接到您的 AWS 环境。如果连接成功，Google Cloud 服务代理可承担委派角色，且委派角色具有承担收集器角色所需的所有权限。如果连接不成功，请参阅排查测试连接时出现的错误。
点击保存。