Sie können die Security Command Center Enterprise-Stufe mit Ihrer Amazon Web Services-Umgebung (AWS) verbinden, um Folgendes zu tun:
- Softwarelücken und Fehlkonfigurationen in Ihrer AWS-Umgebung erkennen und beheben
- Sicherheitsstatus für AWS erstellen und verwalten
- Potenzielle Angriffspfade vom öffentlichen Internet zu Ihren wertvollen AWS-Assets identifizieren
- Compliance von AWS-Ressourcen mit verschiedenen Standards und Benchmarks abgleichen
Wenn Sie Security Command Center mit AWS verbinden, kann Ihr Team für die Sicherheit an einem zentralen Ort Bedrohungen und Sicherheitslücken in Google Cloud und AWS verwalten und beheben.
Damit Security Command Center Ihre AWS-Organisation überwachen kann, müssen Sie eine Verbindung mit einem Google Cloud-Dienst-Agenten und einem AWS-Konto konfigurieren, das Zugriff auf die Ressourcen hat, die Sie überwachen möchten. Über diese Verbindung werden in Security Command Center regelmäßig Daten aus allen von Ihnen definierten AWS-Konten und ‑Regionen erfasst.
Sie können für jede Google Cloud-Organisation eine AWS-Verbindung erstellen. Der Connector verwendet API-Aufrufe, um AWS-Asset-Daten zu erfassen. Für diese API-Aufrufe können AWS-Gebühren anfallen.
In diesem Dokument wird beschrieben, wie Sie die Verbindung mit AWS einrichten. Beim Einrichten einer Verbindung konfigurieren Sie Folgendes:
- Eine Reihe von Konten in AWS, die direkten Zugriff auf die AWS-Ressourcen haben, die Sie überwachen möchten. In der Google Cloud Console werden diese Konten als Aufnahmekonten bezeichnet.
- Ein Konto in AWS mit den entsprechenden Richtlinien und Rollen, um die Authentifizierung bei Collector-Konten zu ermöglichen. In der Google Cloud Console wird dieses Konto als delegiertes Konto bezeichnet. Sowohl das delegierte Konto als auch die Aufnehmerkonten müssen sich in derselben AWS-Organisation befinden.
- Ein Dienstagent in Google Cloud, der zur Authentifizierung eine Verbindung zum delegierten Konto herstellt.
- Eine Pipeline zum Erfassen von Asset-Daten aus AWS-Ressourcen.
- (Optional) Berechtigungen für Sensitive Data Protection zum Erstellen von Profilen für Ihre AWS-Inhalte.
Diese Verbindung gilt nicht für die SIEM-Funktionen von Security Command Center, mit denen Sie AWS-Protokolle zur Bedrohungserkennung aufnehmen können.
Das folgende Diagramm zeigt diese Konfiguration. Das Mandantenprojekt ist ein automatisch erstelltes Projekt, das die Instanz Ihrer Pipeline zur Erhebung von Asset-Daten enthält.
Hinweise
Führen Sie diese Aufgaben aus, bevor Sie mit den verbleibenden Aufgaben auf dieser Seite fortfahren.
Security Command Center Enterprise-Stufe aktivieren
Führen Sie Schritt 1 und Schritt 2 des Einrichtungsleitfadens aus, um die Security Command Center Enterprise-Stufe zu aktivieren.
Berechtigungen einrichten
Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Inhaber von Cloud-Assets (roles/cloudasset.owner
) zuzuweisen, um die Berechtigungen zu erhalten, die Sie für die Verwendung des AWS-Connectors benötigen.
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.
Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.
AWS-Konten erstellen
Es müssen die folgenden AWS-Ressourcen erstellt sein:
- Ein AWS IAM-Nutzer mit AWS IAM-Zugriff für die AWS-Konsolen des Bevollmächtigten und des Dienstleisters.
Die AWS-Konto-ID für ein AWS-Konto, das Sie als delegiertes Konto verwenden können. Wenn Sie möchten, dass Security Command Center automatisch AWS-Konten erkennt, um Ressourcen zu finden, muss das delegierte Konto mit einer AWS-Organisation verknüpft sein und eine der folgenden Rollen haben:
Ein AWS-Konto mit einer ressourcenbasierten Delegierungsrichtlinie, die die Berechtigungen
organization
undlist
umfasst. Eine Beispielrichtlinie finden Sie unter Beispiel: Organisation, OUs, Konten und Richtlinien ansehen.
AWS-Connector konfigurieren
Rufen Sie in der Google Cloud Console die Seite Einrichtungsleitfaden des Security Command Center auf.
Wählen Sie die Organisation aus, für die Sie die Security Command Center Enterprise-Stufe aktiviert haben. Die Seite Einrichtungsanleitung wird geöffnet.
Klicken Sie auf Schritt 3: Einbindung von Amazon Web Services (AWS) einrichten. Die Seite Connectors wird geöffnet.
Wählen Sie Connector hinzufügen > Amazon Web Services aus. Die Seite Connector konfigurieren wird geöffnet.
Geben Sie unter Konto-ID des bevollmächtigten Kontos die AWS-Konto-ID für das AWS-Konto ein, das Sie als bevollmächtigtes Konto verwenden können.
Wenn Sie mit Sensitive Data Protection Profile für Ihre AWS-Daten erstellen möchten, lassen Sie die Option Berechtigungen für die Sensitive Data Protection-Erkennung gewähren aktiviert. Mit dieser Option werden AWS-IAM-Berechtigungen in der CloudFormation-Vorlage für die Rolle „Collector“ hinzugefügt.
Von dieser Option gewährte AWS IAM-Berechtigungen
s3:GetBucketLocation
s3:ListAllMyBuckets
s3:GetBucketPolicyStatus
s3:ListBucket
s3:GetObject
s3:GetObjectVersion
s3:GetBucketPublicAccessBlock
s3:GetBucketOwnershipControls
s3:GetBucketTagging
iam:ListAttachedRolePolicies
iam:GetPolicy
iam:GetPolicyVersion
iam:ListRolePolicies
iam:GetRolePolicy
ce:GetCostAndUsage
dynamodb:DescribeTableReplicaAutoScaling
identitystore:ListGroupMemberships
identitystore:ListGroups
identitystore:ListUsers
lambda:GetFunction
lambda:GetFunctionConcurrency
logs:ListTagsForResource
s3express:CreateSession
s3express:GetBucketPolicy
s3express:ListAllMyDirectoryBuckets
wafv2:GetIPSet
Optional: Überprüfen und bearbeiten Sie die Erweiterten Optionen. Weitere Informationen zu zusätzlichen Optionen finden Sie unter AWS-Connector-Konfiguration anpassen.
Klicken Sie auf Weiter. Die Seite Verbindung zu AWS herstellen wird geöffnet.
Führen Sie einen dieser Schritte aus:
- Laden Sie die CloudFormation-Vorlagen für die delegierte Rolle und die Rolle des Datensammlers herunter und prüfen Sie sie.
- Wenn Sie die erweiterten Optionen konfiguriert haben oder die Standardrollennamen von AWS (aws-delegated-role, aws-collector-role und aws-sensitive-data-protection-role) ändern möchten, wählen Sie AWS-Konten manuell konfigurieren aus. Kopieren Sie die ID des Dienst-Agents, den Namen der delegierten Rolle, den Namen der Collector-Rolle und den Namen der Collector-Rolle für den Schutz sensibler Daten.
Die Rollennamen können nach dem Erstellen der Verbindung nicht mehr geändert werden.
Klicken Sie noch nicht auf Erstellen. Konfigurieren Sie stattdessen Ihre AWS-Umgebung.
AWS-Umgebung konfigurieren
Sie können Ihre AWS-Umgebung mit einer der folgenden Methoden einrichten:
- Verwenden Sie die CloudFormation-Vorlagen, die Sie unter Security Command Center konfigurieren heruntergeladen haben. Eine Anleitung finden Sie unter AWS-Umgebung mit CloudFormation-Vorlagen einrichten.
- Wenn Sie benutzerdefinierte Einstellungen oder Rollennamen verwenden, konfigurieren Sie die AWS-Konten manuell. Eine Anleitung finden Sie unter AWS-Konten manuell konfigurieren.
AWS-Umgebung mit CloudFormation-Vorlagen einrichten
Wenn Sie CloudFormation-Vorlagen heruntergeladen haben, können Sie Ihre AWS-Umgebung so einrichten:
- Melden Sie sich in der Konsole des delegierten AWS-Kontos an. Sie müssen in dem delegierten Konto angemeldet sein, mit dem andere AWS-Konten des Dienstleisters übernommen werden. Das kann entweder ein AWS-Verwaltungskonto oder ein Mitgliedskonto sein, das als delegierter Administrator registriert ist.
- Rufen Sie die AWS CloudFormation-Vorlage-Konsole auf.
Erstellen Sie einen Stack, der die delegierte Rolle bereitstellt:
- Klicken Sie auf der Seite Stacks auf Stack erstellen > Mit neuen Ressourcen (Standard).
- Wenn Sie eine Vorlage angeben, laden Sie die Datei der Vorlage für die delegierte Rolle hoch.
- Geben Sie bei der Angabe der Stapeldetails einen Stapelnamen ein.
Wenn Sie den Rollennamen für die delegierte Rolle, die Rolle des Datensammlers oder die Rolle für den Schutz sensibler Daten geändert haben, aktualisieren Sie die Parameter entsprechend. Die von Ihnen eingegebenen Parameter müssen mit denjenigen übereinstimmen, die auf der Seite Mit AWS verbinden in der Google Cloud Console aufgeführt sind.
Aktualisieren Sie die Stack-Optionen gemäß den Anforderungen Ihrer Organisation.
Wählen Sie auf der Seite Überprüfen und erstellen die Option Ich bestätige, dass AWS CloudFormation IAM-Ressourcen mit benutzerdefinierten Namen erstellen kann aus.
Klicken Sie auf Senden, um den Stack zu erstellen.
Warten Sie, bis der Stack erstellt wurde. Wenn ein Problem auftritt, lesen Sie den Abschnitt Fehlerbehebung. Weitere Informationen finden Sie in der AWS-Dokumentation unter Stack in der AWS CloudFormation-Konsole erstellen.
Erstellen Sie ein Stack-Set, das Rollen für Datensammler bereitstellt.
- Klicken Sie auf der Seite StackSets auf StackSet erstellen.
Klicken Sie auf Vom Dienst verwaltete Berechtigungen.
Wenn Sie eine Vorlage angeben, laden Sie die Datei der Collector-Rollenvorlage hoch.
Geben Sie bei der Angabe der Stack-Set-Details einen Namen und eine Beschreibung für das Stack-Set ein.
Geben Sie die ID des delegierten Kontos ein.
Wenn Sie den Rollennamen für die delegierte Rolle, die Rolle des Datensammlers oder die Rolle für den Schutz sensibler Daten geändert haben, aktualisieren Sie die Parameter entsprechend. Die von Ihnen eingegebenen Parameter müssen mit denjenigen übereinstimmen, die auf der Seite Mit AWS verbinden in der Google Cloud Console aufgeführt sind.
Konfigurieren Sie die Stack-Set-Optionen gemäß den Anforderungen Ihres Unternehmens.
Wählen Sie bei der Angabe der Bereitstellungsoptionen die Bereitstellungsziele aus. Sie können die Bereitstellung auf die gesamte AWS-Organisation oder auf eine Organisationseinheit (OE) ausweiten, die alle AWS-Konten enthält, aus denen Sie Daten erheben möchten.
Geben Sie die AWS-Regionen an, in denen die Rollen und Richtlinien erstellt werden sollen. Da Rollen globale Ressourcen sind, müssen Sie keine Regionen angeben.
Ändern Sie bei Bedarf andere Einstellungen.
Prüfen Sie die Änderungen und klicken Sie auf Senden, um das Stack-Set zu erstellen. Wenn Sie eine Fehlermeldung erhalten, lesen Sie den Hilfeartikel Fehlerbehebung. Weitere Informationen finden Sie in der AWS-Dokumentation unter Stack-Set mit diensteverwalteten Berechtigungen erstellen.
Wenn Sie Daten aus dem Verwaltungskonto erfassen müssen, melden Sie sich in diesem an und stellen Sie einen separaten Stack bereit, um die Rollen für die Datensammler zu provisionieren. Laden Sie beim Angeben der Vorlage die Datei mit der Collector-Rollenvorlage hoch.
Dieser Schritt ist erforderlich, da mit AWS CloudFormation-Stack-Sets keine Stack-Instanzen in Verwaltungskonten erstellt werden. Weitere Informationen finden Sie in der AWS-Dokumentation unter DeploymentTargets.
Wie Sie die Integration abschließen, erfahren Sie unter Integration abschließen.
AWS-Konten manuell konfigurieren
Wenn Sie die CloudFormation-Vorlagen nicht verwenden können (z. B. weil Sie unterschiedliche Rollennamen verwenden oder die Integration anpassen), können Sie die erforderlichen AWS IAM-Richtlinien und AWS IAM-Rollen manuell erstellen.
Sie müssen AWS-IAM-Richtlinien und AWS-IAM-Rollen für das delegierte Konto und die Collector-Konten erstellen.
AWS IAM-Richtlinie für die delegierte Rolle erstellen
So erstellen Sie eine AWS IAM-Richtlinie für die delegierte Rolle (eine delegierte Richtlinie):
Melden Sie sich in der Konsole für das delegierte AWS-Konto an.
Klicken Sie auf Richtlinien > Richtlinie erstellen.
Klicken Sie auf JSON und fügen Sie einen der folgenden Codeausschnitte ein, je nachdem, ob Sie unter Security Command Center konfigurieren das Kästchen Berechtigungen für die Suche nach sensiblen Daten gewähren angeklickt haben.
Berechtigungen für die Sensitive Data Protection-Erkennung gewähren: deaktiviert
{ "Version": "2012-10-17", "Statement": [ { "Action": "sts:AssumeRole", "Resource": "arn:aws:iam::*:role/COLLECTOR_ROLE_NAME", "Effect": "Allow" }, { "Action": [ "organizations:List*", "organizations:Describe*" ], "Resource": "*", "Effect": "Allow" } ] }
Ersetzen Sie
COLLECTOR_ROLE_NAME
durch den Namen der Rolle des Datensammlers, die Sie beim Konfigurieren von Security Command Center kopiert haben. Standardmäßig ist dasaws-collector-role
.Berechtigungen für die Sensitive Data Protection-Erkennung gewähren: ausgewählt
{ "Version": "2012-10-17", "Statement": [ { "Action": "sts:AssumeRole", "Resource": [ "arn:aws:iam::*:role/COLLECTOR_ROLE_NAME", "arn:aws:iam::*:role/SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME" ], "Effect": "Allow" }, { "Action": [ "organizations:List*", "organizations:Describe*" ], "Resource": "*", "Effect": "Allow" } ] }
Ersetzen Sie Folgendes:
COLLECTOR_ROLE_NAME
: der Name der Rolle für den Konfigurationsdaten-Sammler, die Sie beim Konfigurieren von Security Command Center kopiert haben (Standard:aws-collector-role
)SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME
: der Name der Rolle für den Sensitive Data Protection-Datensammler, die Sie beim Konfigurieren von Security Command Center kopiert haben (Standard:aws-sensitive-data-protection-role
)
Klicken Sie auf Weiter.
Geben Sie im Abschnitt Richtliniendetails einen Namen und eine Beschreibung für die Richtlinie ein.
Klicken Sie auf Richtlinie erstellen.
AWS IAM-Rolle für die Vertrauensstellung zwischen AWS und Google Cloud erstellen
Erstellen Sie eine delegierte Rolle, die eine vertrauenswürdige Beziehung zwischen AWS und Google Cloud herstellt. Für diese Rolle wird die delegierte Richtlinie verwendet, die unter AWS IAM-Richtlinie für die delegierte Rolle erstellen erstellt wurde.
Melden Sie sich in der Konsole des delegierten AWS-Kontos als AWS-Nutzer an, der IAM-Rollen und ‑Richtlinien erstellen kann.
Klicken Sie auf Rollen > Rolle erstellen.
Klicken Sie unter Typ der vertrauenswürdigen Entität auf Web Identity.
Klicken Sie unter Identity Provider auf Google.
Geben Sie unter Zielgruppe die Servicemitarbeiter-ID ein, die Sie beim Konfigurieren von Security Command Center kopiert haben. Klicken Sie auf Weiter.
Wenn Sie der delegierten Rolle Zugriff auf die Rollen der Datensammler gewähren möchten, hängen Sie die Berechtigungsrichtlinien an die Rolle an. Suchen Sie nach der delegierten Richtlinie, die Sie unter AWS IAM-Richtlinie für die delegierte Rolle erstellen erstellt haben, und wählen Sie sie aus.
Geben Sie im Abschnitt Rollendetails den Namen der delegierten Rolle ein, den Sie beim Konfigurieren von Security Command Center kopiert haben. Der Standardname ist
aws-delegated-role
.Klicken Sie auf Rolle erstellen.
AWS IAM-Richtlinie für die Erhebung von Asset-Konfigurationsdaten erstellen
So erstellen Sie eine AWS-IAM-Richtlinie für die Erhebung von Asset-Konfigurationsdaten (eine Richtliniensammlung):
Melden Sie sich in der Konsole des AWS-Aufnahmekontos an.
Klicken Sie auf Richtlinien > Richtlinie erstellen.
Klicken Sie auf JSON und fügen Sie Folgendes ein:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ce:GetCostAndUsage", "dynamodb:DescribeTableReplicaAutoScaling", "identitystore:ListGroupMemberships", "identitystore:ListGroups", "identitystore:ListUsers", "lambda:GetFunction", "lambda:GetFunctionConcurrency", "logs:ListTagsForResource", "s3express:GetBucketPolicy", "s3express:ListAllMyDirectoryBuckets", "wafv2:GetIPSet" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "apigateway:GET" ], "Resource": [ "arn:aws:apigateway:*::/usageplans", "arn:aws:apigateway:*::/usageplans/*/keys", "arn:aws:apigateway:*::/vpclinks/*" ] } ] }
Klicken Sie auf Weiter.
Geben Sie im Abschnitt Richtliniendetails einen Namen und eine Beschreibung für die Richtlinie ein.
Klicken Sie auf Richtlinie erstellen.
Wiederholen Sie diese Schritte für jedes Konto des Dienstleisters.
AWS-IAM-Rolle für die Erhebung von Asset-Konfigurationsdaten in jedem Konto erstellen
Erstellen Sie die Rolle „Collector“, mit der Security Command Center Asset-Konfigurationsdaten von AWS abrufen kann. Für diese Rolle wird die Richtliniensammlung verwendet, die unter AWS IAM-Richtlinie für die Erhebung von Asset-Konfigurationsdaten erstellen erstellt wurde.
Melden Sie sich in der AWS-Konsole für das Konto des Datensammlers als Nutzer an, der IAM-Rollen für die Datensammlerkonten erstellen kann.
Klicken Sie auf Rollen > Rolle erstellen.
Klicken Sie unter Typ der vertrauenswürdigen Entität auf Benutzerdefinierte Vertrauensrichtlinie.
Fügen Sie im Abschnitt Benutzerdefinierte Vertrauensrichtlinie Folgendes ein:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::DELEGATE_ACCOUNT_ID:role/DELEGATE_ACCOUNT_ROLE" }, "Action": "sts:AssumeRole" } ] }
Ersetzen Sie Folgendes:
DELEGATE_ACCOUNT_ID
: die AWS-Konto-ID des delegierten KontosDELEGATE_ACCOUNT_ROLE
: Der Name der delegierten Rolle, den Sie beim Konfigurieren von Security Command Center kopiert haben.
Wenn Sie dieser Collector-Rolle Zugriff auf Ihre AWS-Asset-Konfigurationsdaten gewähren möchten, hängen Sie die Berechtigungsrichtlinien an die Rolle an. Suchen Sie nach der benutzerdefinierten Richtlinie für den Datensammler, die Sie unter AWS IAM-Richtlinie für die Erhebung von Asset-Konfigurationsdaten erstellen erstellt haben, und wählen Sie sie aus.
Suchen Sie nach den folgenden verwalteten Richtlinien und wählen Sie sie aus:
- arn:aws:iam::aws:policy/job-function/ViewOnlyAccess
- arn:aws:iam::aws:policy/SecurityAudit
Geben Sie im Abschnitt Rollendetails den Namen der Rolle für den Konfigurationsdaten-Sammler ein, die Sie beim Konfigurieren von Security Command Center kopiert haben.
Klicken Sie auf Rolle erstellen.
Wiederholen Sie diese Schritte für jedes Konto des Dienstleisters.
Wenn Sie unter Security Command Center konfigurieren das Kästchen Berechtigungen für die Suche nach sensiblen Daten gewähren ausgewählt haben, fahren Sie mit dem nächsten Abschnitt fort.
Wenn Sie das Kästchen Berechtigungen für die Sensitive Data Protection-Erkennung gewähren nicht aktiviert haben, schließen Sie den Integrationsprozess ab.
AWS IAM-Richtlinie für den Schutz sensibler Daten erstellen
Führen Sie diese Schritte aus, wenn Sie unter Security Command Center konfigurieren das Kästchen Berechtigungen für die Sensitive Data Protection-Erkennung gewähren angeklickt haben.
So erstellen Sie eine AWS IAM-Richtlinie für den Schutz sensibler Daten (eine Richtlinie für Collector):
Melden Sie sich in der Konsole des AWS-Aufnahmekontos an.
Klicken Sie auf Richtlinien > Richtlinie erstellen.
Klicken Sie auf JSON und fügen Sie Folgendes ein:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:ListAllMyBuckets", "s3:GetBucketPolicyStatus", "s3:ListBucket", "s3:GetObject", "s3:GetObjectVersion", "s3:GetBucketPublicAccessBlock", "s3:GetBucketOwnershipControls", "s3:GetBucketTagging" ], "Resource": ["arn:aws:s3:::*"] }, { "Effect": "Allow", "Action": [ "iam:ListAttachedRolePolicies", "iam:GetPolicy", "iam:GetPolicyVersion", "iam:ListRolePolicies", "iam:GetRolePolicy", "ce:GetCostAndUsage", "dynamodb:DescribeTableReplicaAutoScaling", "identitystore:ListGroupMemberships", "identitystore:ListGroups", "identitystore:ListUsers", "lambda:GetFunction", "lambda:GetFunctionConcurrency", "logs:ListTagsForResource", "s3express:GetBucketPolicy", "s3express:ListAllMyDirectoryBuckets", "wafv2:GetIPSet" ], "Resource": ["*"] }, { "Effect": "Allow", "Action": [ "s3express:CreateSession" ], "Resource": ["arn:aws:s3express:*:*:bucket/*"] } ] }
Klicken Sie auf Weiter.
Geben Sie im Abschnitt Richtliniendetails einen Namen und eine Beschreibung für die Richtlinie ein.
Klicken Sie auf Richtlinie erstellen.
Wiederholen Sie diese Schritte für jedes Konto des Dienstleisters.
AWS-IAM-Rolle für den Schutz sensibler Daten in jedem Konto erstellen
Führen Sie diese Schritte aus, wenn Sie unter Security Command Center konfigurieren das Kästchen Berechtigungen für die Sensitive Data Protection-Erkennung gewähren angeklickt haben.
Erstellen Sie die Collector-Rolle, mit der Sensitive Data Protection Profile für den Inhalt Ihrer AWS-Ressourcen erstellen kann. Für diese Rolle wird die Richtlinie für Datensammler verwendet, die unter AWS IAM-Richtlinie zum Schutz sensibler Daten erstellen erstellt wurde.
Melden Sie sich in der AWS-Konsole für das Konto des Datensammlers als Nutzer an, der IAM-Rollen für das Konto des Datensammlers erstellen kann.
Klicken Sie auf Rollen > Rolle erstellen.
Klicken Sie unter Typ der vertrauenswürdigen Entität auf Benutzerdefinierte Vertrauensrichtlinie.
Fügen Sie im Abschnitt Benutzerdefinierte Vertrauensrichtlinie Folgendes ein:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::DELEGATE_ACCOUNT_ID:role/DELEGATE_ACCOUNT_ROLE" }, "Action": "sts:AssumeRole" } ] }
Ersetzen Sie Folgendes:
DELEGATE_ACCOUNT_ID
: die AWS-Konto-ID des delegierten KontosDELEGATE_ACCOUNT_ROLE
: der Name der delegierten Rolle, den Sie beim Konfigurieren von Security Command Center kopiert haben
Wenn Sie dieser Rolle Zugriff auf den Inhalt Ihrer AWS-Ressourcen gewähren möchten, hängen Sie die Berechtigungsrichtlinien an die Rolle an. Suchen Sie nach der benutzerdefinierten Richtlinie für Datensammler, die Sie unter AWS IAM-Richtlinie zum Schutz sensibler Daten erstellen erstellt haben, und wählen Sie sie aus.
Geben Sie im Abschnitt Rollendetails den Namen der Rolle für den Schutz sensibler Daten ein, die Sie beim Konfigurieren von Security Command Center kopiert haben.
Klicken Sie auf Rolle erstellen.
Wiederholen Sie diese Schritte für jedes Konto des Dienstleisters.
Wie Sie die Integration abschließen, erfahren Sie unter Integration abschließen.
Integrationsprozess abschließen
Klicken Sie in der Google Cloud Console auf der Seite Connector testen auf Connector testen, um zu prüfen, ob Security Command Center eine Verbindung zu Ihrer AWS-Umgebung herstellen kann. Wenn die Verbindung erfolgreich hergestellt wurde, hat der Test ergeben, dass die delegierte Rolle alle erforderlichen Berechtigungen hat, um die Rollen des Datensammlers zu übernehmen. Wenn die Verbindung nicht erfolgreich ist, lesen Sie den Hilfeartikel Fehlerbehebung bei Verbindungstests.
Klicken Sie auf Erstellen.
Konfiguration des AWS-Connectors anpassen
In diesem Abschnitt werden einige Möglichkeiten beschrieben, wie Sie die Verbindung zwischen Security Command Center und AWS anpassen können. Diese Optionen sind in der Google Cloud Console auf der Seite Amazon Web Services-Connector hinzufügen im Bereich Erweiterte Optionen (optional) verfügbar.
Standardmäßig erkennt Security Command Center Ihre AWS-Konten automatisch in allen AWS-Regionen. Für die Verbindung wird der globale Standardendpunkt für den AWS Security Token Service und die Standardanzahl von Abfragen pro Sekunde (Queries per Second, QPS) für den AWS-Dienst verwendet, den Sie überwachen. Mit diesen erweiterten Optionen können Sie die Standardeinstellungen anpassen.
Option | Beschreibung |
---|---|
AWS-Connector-Konten hinzufügen | Wählen Sie das Feld Konten automatisch hinzufügen (empfohlen) aus, damit Security Command Center die AWS-Konten automatisch erkennt, oder wählen Sie Konten einzeln hinzufügen aus und geben Sie eine Liste der AWS-Konten an, die Security Command Center zum Finden von Ressourcen verwenden kann. |
AWS-Connector-Konten ausschließen | Wenn Sie im Abschnitt AWS-Connector-Konten hinzufügen das Feld Konten einzeln hinzufügen ausgewählt haben, geben Sie eine Liste der AWS-Konten an, die Security Command Center nicht zum Suchen nach Ressourcen verwenden soll. |
Regionen für die Datenerhebung auswählen | Wählen Sie eine oder mehrere AWS-Regionen aus, in denen Security Command Center Daten erfassen soll. Lassen Sie das Feld AWS-Regionen leer, um Daten aus allen Regionen zu erheben. |
Maximale Anzahl von Abfragen pro Sekunde (QPS) für AWS-Dienste | Sie können die QPS ändern, um das Kontingentlimit für Security Command Center zu steuern. Legen Sie für die Überschreibung einen Wert fest, der kleiner als der Standardwert für diesen Dienst und größer oder gleich 1 ist.
Der Standardwert ist der Höchstwert. Wenn Sie den QPS ändern, kann es in Security Command Center zu Problemen beim Abrufen von Daten kommen. Wir empfehlen daher, diesen Wert nicht zu ändern. |
Endpunkt für AWS Security Token Service | Sie können einen bestimmten Endpunkt für den AWS Security Token Service angeben, z. B. https://sts.us-east-2.amazonaws.com . Lassen Sie das Feld AWS Security Token Service leer, um den standardmäßigen globalen Endpunkt (https://sts.amazonaws.com ) zu verwenden. |
Einem vorhandenen AWS-Connector Berechtigungen für die Erkennung sensibler Daten gewähren
Wenn Sie die Erkennung sensibler Daten in Ihren AWS-Inhalten ausführen möchten, benötigen Sie einen AWS-Connector mit den erforderlichen AWS IAM-Berechtigungen.
In diesem Abschnitt wird beschrieben, wie Sie diese Berechtigungen einem vorhandenen AWS-Connector gewähren. Welche Schritte Sie ausführen müssen, hängt davon ab, ob Sie Ihre AWS-Umgebung mit CloudFormation-Vorlagen oder manuell konfiguriert haben.
Vorhandenen Connector mit CloudFormation-Vorlagen aktualisieren
Wenn Sie Ihre AWS-Umgebung mit CloudFormation-Vorlagen eingerichtet haben, folgen Sie dieser Anleitung, um Ihrem vorhandenen AWS-Connector Berechtigungen für die Erkennung sensibler Daten zu gewähren.
Rufen Sie in der Google Cloud Console die Seite Einrichtungsleitfaden des Security Command Center auf.
Wählen Sie die Organisation aus, für die Sie die Security Command Center Enterprise-Stufe aktiviert haben. Die Seite Einrichtungsanleitung wird geöffnet.
Klicken Sie auf Schritt 3: Einbindung von Amazon Web Services (AWS) einrichten. Die Seite Connectors wird geöffnet.
Klicken Sie für den AWS-Connector auf > Bearbeiten.
Dreipunkt-MenüWählen Sie im Bereich Datentypen überprüfen die Option Berechtigungen für die Erkennung sensibler Daten gewähren aus.
Klicken Sie auf Weiter. Die Seite Verbindung zu AWS herstellen wird geöffnet.
Klicken Sie auf Delegierte Rollenvorlage herunterladen. Die Vorlage wird auf Ihren Computer heruntergeladen.
Klicken Sie auf Collector-Rollenvorlage herunterladen. Die Vorlage wird auf Ihren Computer heruntergeladen.
Klicken Sie auf Weiter. Die Seite Anschluss testen wird geöffnet. Testen Sie den Anschluss noch nicht.
Aktualisieren Sie in der CloudFormation-Konsole die Stack-Vorlage für die delegierte Rolle:
- Melden Sie sich in der Konsole des delegierten AWS-Kontos an. Sie müssen in dem delegierten Konto angemeldet sein, mit dem andere AWS-Konten von Dienstleistern übernommen werden.
- Rufen Sie die AWS CloudFormation-Konsole auf.
Ersetzen Sie die Stapelvorlage für die delegierte Rolle durch die aktualisierte delegierte Rollenvorlage, die Sie heruntergeladen haben.
Weitere Informationen finden Sie in der AWS-Dokumentation unter Template eines Stacks aktualisieren (Konsole).
Aktualisieren Sie den Stacksatz für die Rolle „Collector“:
- Rufen Sie mit einem AWS-Verwaltungskonto oder einem Mitgliedskonto, das als delegierter Administrator registriert ist, die AWS CloudFormation Console auf.
Ersetzen Sie die Stack-Set-Vorlage für die Collector-Rolle durch die aktualisierte Collector-Rollenvorlage, die Sie heruntergeladen haben.
Weitere Informationen finden Sie in der AWS-Dokumentation unter Stack-Set mit der AWS CloudFormation-Konsole aktualisieren.
Wenn Sie Daten aus dem Verwaltungskonto erfassen möchten, melden Sie sich im Verwaltungskonto an und ersetzen Sie die Vorlage im Collector-Stack durch die aktualisierte Vorlage für die Collector-Rolle, die Sie heruntergeladen haben.
Dieser Schritt ist erforderlich, da mit AWS CloudFormation-Stack-Sets keine Stack-Instanzen in Verwaltungskonten erstellt werden. Weitere Informationen finden Sie in der AWS-Dokumentation unter DeploymentTargets.
Klicken Sie in der Google Cloud Console auf der Seite Test-Connector auf Test-Connector. Wenn die Verbindung erfolgreich ist, wurde im Test festgestellt, dass die delegierte Rolle alle erforderlichen Berechtigungen hat, um die Rollen des Datensammlers zu übernehmen. Wenn die Verbindung nicht erfolgreich hergestellt werden kann, lesen Sie den Hilfeartikel Fehlerbehebung bei Verbindungstests.
Klicken Sie auf Speichern.
Vorhandenen Connector manuell aktualisieren
Wenn Sie beim Erstellen des AWS-Connectors Ihre AWS-Konten manuell konfiguriert haben, folgen Sie dieser Anleitung, um Ihrem vorhandenen AWS-Connector Berechtigungen zum Entdecken vertraulicher Daten zu gewähren.
Rufen Sie in der Google Cloud Console die Seite Einrichtungsleitfaden des Security Command Center auf.
Wählen Sie die Organisation aus, für die Sie die Security Command Center Enterprise-Stufe aktiviert haben. Die Seite Einrichtungsanleitung wird geöffnet.
Klicken Sie auf Schritt 3: Einbindung von Amazon Web Services (AWS) einrichten. Die Seite Connectors wird geöffnet.
Klicken Sie für den AWS-Connector auf > Bearbeiten.
Dreipunkt-MenüWählen Sie im Bereich Datentypen überprüfen die Option Berechtigungen für die Erkennung sensibler Daten gewähren aus.
Klicken Sie auf Weiter. Die Seite Verbindung zu AWS herstellen wird geöffnet.
Klicken Sie auf AWS-Konten manuell konfigurieren (empfohlen, wenn Sie erweiterte Einstellungen oder benutzerdefinierte Rollennamen verwenden).
Kopieren Sie die Werte der folgenden Felder:
- Delegierter Rollenname
- Collector-Rollenname
- Name der Rolle „Sensitive Data Protection-Collector“
Klicken Sie auf Weiter. Die Seite Anschluss testen wird geöffnet. Testen Sie den Anschluss noch nicht.
Aktualisieren Sie in der Konsole für delegierte AWS-Konten die AWS-IAM-Richtlinie für die delegierte Rolle, um die folgende JSON zu verwenden:
{ "Version": "2012-10-17", "Statement": [ { "Action": "sts:AssumeRole", "Resource": [ "arn:aws:iam::*:role/COLLECTOR_ROLE_NAME", "arn:aws:iam::*:role/SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME" ], "Effect": "Allow" }, { "Action": [ "organizations:List*", "organizations:Describe*" ], "Resource": "*", "Effect": "Allow" } ] }
Ersetzen Sie Folgendes:
COLLECTOR_ROLE_NAME
: Name der kopierten Rolle für den Datensammler der Konfiguration (Standardwert:aws-collector-role
)SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME
: der Name der kopierten Rolle „Sensitive Data Protection-Collector“ (Standard:aws-sensitive-data-protection-role
)
Weitere Informationen finden Sie in der AWS-Dokumentation unter Benutzerverwaltete Richtlinien bearbeiten (Konsole).
Führen Sie für jedes Konto des Dienstleisters die folgenden Schritte aus:
Klicken Sie in der Google Cloud Console auf der Seite Test-Connector auf Test-Connector. Wenn die Verbindung erfolgreich ist, wurde im Test festgestellt, dass die delegierte Rolle alle erforderlichen Berechtigungen hat, um die Rollen des Datensammlers zu übernehmen. Wenn die Verbindung nicht erfolgreich hergestellt werden kann, lesen Sie den Hilfeartikel Fehlerbehebung bei Verbindungstests.
Klicken Sie auf Speichern.
Fehlerbehebung
In diesem Abschnitt werden einige häufige Probleme beschrieben, die bei der Einbindung von Security Command Center in AWS auftreten können.
Ressourcen sind bereits vorhanden
Dieser Fehler tritt in der AWS-Umgebung auf, wenn Sie versuchen, die AWS-IAM-Richtlinien und AWS-IAM-Rollen zu erstellen. Dieses Problem tritt auf, wenn die Rolle bereits in Ihrem AWS-Konto vorhanden ist und Sie versuchen, sie noch einmal zu erstellen.
So beheben Sie das Problem:
- Prüfen Sie, ob die Rolle oder Richtlinie, die Sie erstellen, bereits vorhanden ist und die in diesem Leitfaden aufgeführten Anforderungen erfüllt.
- Ändern Sie bei Bedarf den Rollennamen, um Konflikte zu vermeiden.
Ungültiges Hauptkonto in der Richtlinie
Dieser Fehler kann in der AWS-Umgebung auftreten, wenn Sie die Rollen für die Datensammler erstellen, die delegierte Rolle aber noch nicht vorhanden ist.
Führen Sie zum Beheben dieses Problems die Schritte unter AWS IAM-Richtlinie für die delegierte Rolle erstellen aus und warten Sie, bis die delegierte Rolle erstellt wurde, bevor Sie fortfahren.
Drosselungseinschränkungen in AWS
AWS drosselt API-Anfragen für jedes AWS-Konto auf Konto- oder Regionsebene. Damit diese Limits nicht überschritten werden, wenn Security Command Center Asset-Konfigurationsdaten von AWS erhebt, werden die Daten mit einer festen maximalen QPS für jeden AWS-Dienst erfasst, wie in der API-Dokumentation für den AWS-Dienst beschrieben.
Wenn in Ihrer AWS-Umgebung aufgrund des verbrauchten QPS eine Anfragendrosselung auftritt, können Sie das Problem so beheben:
Legen Sie auf der Seite AWS-Connector-Einstellungen eine benutzerdefinierte QPS für den AWS-Dienst fest, bei dem Probleme mit der Anfragendrosselung auftreten.
Beschränken Sie die Berechtigungen der AWS-Aufnehmerrolle, damit die Daten dieses bestimmten Dienstes nicht mehr erfasst werden. Diese Minderungstechnik verhindert, dass Simulationen von Angriffspfaden für AWS ordnungsgemäß funktionieren.
Wenn Sie alle Berechtigungen in AWS widerrufen, wird der Datenerhebungsprozess sofort beendet. Wenn Sie den AWS-Connector löschen, wird der Datenerfassungsprozess nicht sofort beendet. Er wird aber nach Abschluss nicht wieder gestartet.
Fehler beim Testen der Verbindung beheben
Diese Fehler können beim Testen der Verbindung zwischen Security Command Center und AWS auftreten.
AWS_FAILED_TO_ASSUME_DELEGATED_ROLE
Diese Verbindung ist ungültig, da der Google Cloud-Dienst-Agent die delegierte Rolle nicht übernehmen kann.
Beachten Sie Folgendes, um das Problem zu beheben:
Prüfen Sie, ob die delegierte Rolle vorhanden ist. Weitere Informationen zum Erstellen finden Sie unter AWS-IAM-Rolle für die Vertrauensstellung zwischen AWS und Google Cloud erstellen.
Die Inline-Richtlinie der delegierten Rolle fehlt. Andernfalls kann der Dienst-Agent die Rolle nicht übernehmen. Informationen dazu, ob die Inline-Richtlinie vorhanden ist, finden Sie unter AWS IAM-Rolle für die Vertrauensstellung zwischen AWS und Google Cloud erstellen.
AWS_FAILED_TO_LIST_ACCOUNTS
Diese Verbindung ist ungültig, da die automatische Erkennung aktiviert ist und die delegierte Rolle nicht alle AWS-Konten in den Organisationen abrufen kann.
Dieses Problem weist darauf hin, dass die Richtlinie, die die Aktion organizations:ListAccounts
für die delegierte Rolle zulässt, für bestimmte Ressourcen fehlt. Prüfen Sie, welche Ressourcen fehlen, um das Problem zu beheben. Informationen zum Überprüfen der Einstellungen für die delegierte Richtlinie finden Sie unter AWS IAM-Richtlinie für die delegierte Rolle erstellen.
AWS_INVALID_COLLECTOR_ACCOUNTS
Diese Verbindung ist ungültig, da ungültige Collector-Konten vorhanden sind. Die Fehlermeldung enthält weitere Informationen zu den möglichen Ursachen, darunter:
AWS_FAILED_TO_ASSUME_COLLECTOR_ROLE
Das Collector-Konto ist ungültig, da die delegierte Rolle die Rolle „Collector“ im Collector-Konto nicht übernehmen kann.
Beachten Sie Folgendes, um das Problem zu beheben:
Prüfen Sie, ob die Rolle „Collector“ vorhanden ist.
- Informationen zum Erstellen der Rolle für den Daten-Collector für Asset-Konfigurationsdaten finden Sie unter AWS IAM-Rolle für die Erhebung von Asset-Konfigurationsdaten in jedem Konto erstellen.
- Informationen zum Erstellen der Rolle „Datenkollektor“ für den Schutz sensibler Daten finden Sie unter AWS-IAM-Rolle für den Schutz sensibler Daten in jedem Konto erstellen.
Die Richtlinie, die es der delegierten Rolle erlaubt, die Rolle „Abholer“ zu übernehmen, fehlt. Informationen dazu, ob die Richtlinie vorhanden ist, finden Sie unter AWS-IAM-Richtlinie für die delegierte Rolle erstellen.
AWS_COLLECTOR_ROLE_POLICY_MISSING_REQUIRED_PERMISSION
Die Verbindung ist ungültig, da in der Richtlinie für die Datenerhebung einige der erforderlichen Berechtigungseinstellungen fehlen.
Beachten Sie die folgenden Ursachen, um dieses Problem zu beheben:
Einige der erforderlichen von AWS verwalteten Richtlinien sind möglicherweise nicht mit der Rolle „Collector“ für Asset-Konfigurationsdaten verknüpft. Ob alle Richtlinien angehängt sind, können Sie in Schritt 6 unter AWS-IAM-Rolle für die Datenerhebung der Asset-Konfiguration in jedem Konto erstellen prüfen.
Möglicherweise liegt eines der folgenden Probleme mit einer Richtliniensammlung vor:
- Die Richtlinie für die Datenerhebung ist möglicherweise nicht vorhanden.
- Die Richtlinie für die Datenerhebung ist nicht mit der Rolle für die Datenerhebung verknüpft.
- Die Richtlinie für die Datenerhebung enthält nicht alle erforderlichen Berechtigungen.
Weitere Informationen zur Behebung von Problemen mit einer Richtlinie für Datensammler finden Sie unter den folgenden Links:
Nächste Schritte
- Wenn Sie Security Command Center Enterprise zum ersten Mal einrichten, fahren Sie mit Schritt 4 der Einrichtungsanleitung in der Konsole fort.
- Prüfen und beheben Sie Sicherheitslücken von AWS.
- Sicherheitsstatus für AWS erstellen und verwalten
- Angriffspfadsimulationen für AWS-Ressourcen erstellen
- Einhaltung von AWS-Ressourcen anhand verschiedener Standards und Benchmarks abgleichen.