将 Security Command Center 连接到 Amazon Web Services (AWS) 以收集配置和资源数据后,您可以修改连接设置。
准备工作
请先完成以下任务,然后再完成本页面上的其余任务。
在 Google Cloud中设置权限
如需获得使用 AWS 连接器所需的权限,请让您的管理员为您授予 Cloud Asset Owner (roles/cloudasset.owner) IAM 角色。如需详细了解如何授予角色,请参阅管理对项目、文件夹和组织的访问权限。
创建 AWS 账号
确保您拥有以下 AWS 资源:
具有AWS IAM 访问权限的 AWS IAM 用户,可用于委托和收集器 AWS 账号控制台。
您可作为委托账号使用的 AWS 账号的 AWS 账号 ID。 委托账号必须满足以下要求:
修改 AWS 连接
当 AWS 环境配置发生变化时,修改现有的 AWS 连接。例如,您想监控不同的 AWS 区域,或者更改 Security Command Center 使用的 AWS 账号列表。您无法修改委派的角色和收集器角色的名称。如果您需要更改这些角色名称,则必须删除 AWS 连接器并设置新的连接。
在 Google Cloud 控制台中,前往 Security Command Center 页面。
选择您已为其激活 Security Command Center Enterprise 的组织。
点击 设置。
点击连接器标签页。
点击要更新的连接旁边的修改。
在修改 Amazon Web Services 连接器页面中,进行更改。下表介绍了这些选项。
选项 说明 添加 AWS 连接器账号 根据您的偏好选择相应选项:
- 自动添加账号(推荐):选择此选项可让 Security Command Center 自动发现 AWS 账号。
- 逐个添加账号:选择此选项可自行手动添加 AWS 账号。
排除 AWS 连接器账号 如果您在添加 AWS 连接器账号部分下选择了自动添加账号,请提供一份 AWS 账号列表,Security Command Center 不应使用这些账号来查找资源。 输入 AWS 连接器账号 如果您在添加 AWS 连接器账号部分下选择了单独添加账号,请提供一份 AWS 账号列表,供 Security Command Center 用于查找资源。 选择要收集数据的区域 选择一个或多个 AWS 区域,以便 Security Command Center 从中收集数据。将 AWS 区域字段留空,以从所有区域收集数据。 AWS 服务的每秒查询次数 (QPS) 上限 您可以更改 QPS 来控制 Security Command Center 的配额限制。将替换值设置为小于相应服务的默认值且大于或等于 1的值。 默认值为最大值。如果您确实更改了 QPS,Security Command Center 在提取数据时可能会遇到问题。因此,我们不建议更改此值。AWS Security Token Service 的端点 您可以为 AWS Security Token Service 指定特定端点(例如 https://sts.us-east-2.amazonaws.com)。将 AWS Security Token Service 字段留空即可使用默认的全局端点 (https://sts.amazonaws.com)。如果您更改了委托账号 ID 或要包含/排除的 AWS 账号列表,则必须更新 AWS 环境。如果委托账号 ID 发生更改,您需要重新设置 AWS 配置。如果 AWS 账号列表发生变化,您需要添加或移除收集器角色。如果您想纳入某些 AWS 账号,需要从排除列表中移除这些账号,并向这些账号添加收集器角色。请完成以下操作:
- 点击继续。
在创建与 AWS 的连接页面中,完成以下操作之一:
下载委派角色和收集器角色的 CloudFormation 模板。如需查看有关如何使用模板的说明,请参阅使用 CloudFormation 模板设置 AWS 环境。
如果您想手动更改 AWS 配置,请选择使用 AWS 控制台。复制服务代理 ID、委托角色名称和收集器角色名称。如需了解如何手动更新 AWS,请参阅手动配置 AWS 账号。
如果您已将某个 AWS 账号添加到要排除的 AWS 账号列表中,建议您从该账号中移除收集器角色。
点击测试连接器,验证 Security Command Center 是否可以连接到您的 AWS 环境。如果连接成功, Google Cloud服务代理可以代入委托角色,并且委托角色具有代入收集器角色所需的所有权限。如果连接失败,请参阅测试连接时排查错误。
点击保存。
后续步骤
- 如需了解问题排查信息,请参阅将 Security Command Center 连接到 AWS。