Sie können die Enterprise-Stufe von Security Command Center mit Ihrer Amazon Web Services-Umgebung (AWS) verbinden, um Folgendes zu tun:
- Softwarelücken und Fehlkonfigurationen in Ihrer AWS-Umgebung erkennen und beheben
- Sicherheitsstatus für AWS erstellen und verwalten
- Potenzielle Angriffspfade vom öffentlichen Internet zu Ihren hochwertigen AWS-Assets identifizieren
- Compliance von AWS-Ressourcen mit verschiedenen Standards und Benchmarks abbilden
Wenn Sie Security Command Center mit AWS verbinden, haben Sie einen zentralen Ort, an dem Ihr Sicherheitsteam Bedrohungen und Sicherheitslücken inGoogle Cloud und AWS verwalten und beheben kann.
Damit Security Command Center Ihre AWS-Organisation überwachen kann, müssen Sie eine Verbindung mit einem Google Cloud -Dienst-Agent und einem AWS-Konto konfigurieren, das Zugriff auf die Ressourcen hat, die Sie überwachen möchten. Security Command Center verwendet diese Verbindung, um regelmäßig Daten aus allen von Ihnen definierten AWS-Konten und ‑Regionen zu erfassen. Diese Daten werden gemäß den Datenschutzhinweisen für Google Cloud genauso behandelt wie Dienstdaten.
Sie können eine AWS-Verbindung für jede Google Cloud Organisation erstellen. Der Connector verwendet API-Aufrufe, um AWS-Asset-Daten zu erfassen. Für diese API-Aufrufe können AWS-Gebühren anfallen.
In diesem Dokument wird beschrieben, wie Sie die Verbindung zu AWS einrichten. Beim Einrichten einer Verbindung konfigurieren Sie Folgendes:
- Eine Reihe von Konten in AWS, die direkten Zugriff auf die AWS-Ressourcen haben, die Sie überwachen möchten. In der Google Cloud -Konsole werden diese Konten als Collector-Konten bezeichnet.
- Ein Konto in AWS mit den entsprechenden Richtlinien und Rollen, die die Authentifizierung bei Collector-Konten ermöglichen. In der Google Cloud -Konsole wird dieses Konto als delegiertes Konto bezeichnet. Sowohl das delegierte Konto als auch die Sammlerkonten müssen sich in derselben AWS-Organisation befinden.
- Ein Dienst-Agent in Google Cloud , der zur Authentifizierung eine Verbindung zum delegierten Konto herstellt.
- Eine Pipeline zum Erfassen von Asset-Daten aus AWS-Ressourcen.
- (Optional) Berechtigungen für Sensitive Data Protection zum Erstellen von Profilen für Ihre AWS-Inhalte.
Der Connector erfasst keine AWS-Logs, die für die SIEM-basierten Erkennungsfunktionen in Security Command Center Enterprise erforderlich sind. Informationen zum Erfassen dieser Daten finden Sie unter Verbindung zu AWS für die Logaufnahme herstellen.
Diese Verbindung gilt nicht für die SIEM-Funktionen von Security Command Center, mit denen Sie AWS-Logs zur Bedrohungserkennung aufnehmen können.
Das folgende Diagramm zeigt diese Konfiguration. Das Mandantenprojekt ist ein Projekt, das automatisch erstellt wird und Ihre Pipeline-Instanz für die Erhebung von Asset-Daten enthält.
Hinweise
Führen Sie diese Aufgaben aus, bevor Sie die verbleibenden Aufgaben auf dieser Seite erledigen.
Security Command Center Enterprise-Stufe aktivieren
Führen Sie Schritt 1 und Schritt 2 des Einrichtungsleitfadens aus, um Security Command Center Enterprise zu aktivieren.
Berechtigungen in Google Cloudeinrichten
Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Cloud Asset Owner (roles/cloudasset.owner) zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Verwenden des AWS-Connectors benötigen.
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.
Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.
AWS-Konten erstellen
Es müssen die folgenden AWS-Ressourcen vorhanden sein:
Ein AWS IAM-Nutzer mit AWS IAM-Zugriff für die Konsolen der delegierten und Collector-AWS-Konten.
Die AWS-Konto-ID für ein AWS-Konto, das Sie als delegiertes Konto verwenden können. Das delegierte Konto muss die folgenden Anforderungen erfüllen:
Das delegierte Konto muss mit einer AWS-Organisation verknüpft sein. So hängen Sie ein Konto an eine AWS-Organisation an:
- Erstellen Sie eine Organisation oder suchen Sie eine Organisation, der Sie das delegierte Konto zuweisen möchten.
- Laden Sie das delegierte Konto ein, der Organisation beizutreten.
Das delegierte Konto muss eines der folgenden sein:
- Ein AWS-Verwaltungskonto.
- Ein delegierter AWS-Administrator
- Ein AWS-Konto mit einer ressourcenbasierten Delegierungsrichtlinie, die die Berechtigung
organizations:ListAccountsbietet. Ein Beispiel für eine Richtlinie finden Sie in der AWS-Dokumentation unter Create a resource-based delegation policy with AWS Organizations (Eine ressourcenbasierte Delegierungsrichtlinie mit AWS Organizations erstellen).
AWS-Connector konfigurieren
Öffnen Sie auf der Seite Einstellungen den Tab Connectors (Connectors).
Wählen Sie die Organisation aus, in der Sie Security Command Center Enterprise aktiviert haben.
Wählen Sie Connectors (Connectors) > Add connector (Connector hinzufügen) > Amazon Web Services aus.
Geben Sie unter Konto-ID des Bevollmächtigten die AWS-Konto-ID für das AWS-Konto ein, das Sie als Bevollmächtigtes Konto verwenden können.
Wenn Sie möchten, dass Sensitive Data Protection Profile für Ihre AWS-Daten erstellt, lassen Sie Berechtigungen für die Sensitive Data Protection-Erkennung gewähren ausgewählt. Mit dieser Option werden AWS IAM-Berechtigungen in der CloudFormation-Vorlage für die Collector-Rolle hinzugefügt.
Von dieser Option gewährte AWS IAM-Berechtigungen
s3:GetBucketLocations3:ListAllMyBucketss3:GetBucketPolicyStatuss3:ListBuckets3:GetObjects3:GetObjectVersions3:GetBucketPublicAccessBlocks3:GetBucketOwnershipControlss3:GetBucketTaggingiam:ListAttachedRolePoliciesiam:GetPolicyiam:GetPolicyVersioniam:ListRolePoliciesiam:GetRolePolicyce:GetCostAndUsagedynamodb:DescribeTableReplicaAutoScalingidentitystore:ListGroupMembershipsidentitystore:ListGroupsidentitystore:ListUserslambda:GetFunctionlambda:GetFunctionConcurrencylogs:ListTagsForResources3express:CreateSessions3express:GetBucketPolicys3express:ListAllMyDirectoryBucketswafv2:GetIPSet
Optional: Überprüfen und bearbeiten Sie die Erweiterten Optionen. Informationen zu zusätzlichen Optionen finden Sie unter AWS-Connector-Konfiguration anpassen.
Klicken Sie auf Weiter. Die Seite Verbindung zu AWS wird geöffnet.
Entscheiden Sie sich für eine der folgenden Möglichkeiten:
AWS CloudFormation-Vorlagen verwenden. Laden Sie dann die CloudFormation-Vorlagen für die delegierte Rolle und die Collector-Rolle herunter und prüfen Sie sie.
AWS-Konten manuell konfigurieren: Wählen Sie diese Option aus, wenn Sie die erweiterten Optionen konfiguriert haben oder die standardmäßigen AWS-Rollennamen (aws-delegated-role, aws-collector-role und aws-sensitive-data-protection-role) ändern müssen. Kopieren Sie die Dienst-Agent-ID, den Namen der delegierten Rolle, den Namen der Collector-Rolle und den Namen der Sensitive Data Protection-Collector-Rolle.
Sie können die Rollennamen nach dem Erstellen der Verbindung nicht mehr ändern.
Klicken Sie nicht auf Speichern oder Weiter. Stattdessen konfigurieren Sie Ihre AWS-Umgebung.
AWS-Umgebung konfigurieren
Sie können Ihre AWS-Umgebung mit einer der folgenden Methoden einrichten:
- Verwenden Sie die CloudFormation-Vorlagen, die Sie unter Security Command Center konfigurieren heruntergeladen haben. Eine Anleitung finden Sie unter CloudFormation-Vorlagen zum Einrichten der AWS-Umgebung verwenden.
- Wenn Sie benutzerdefinierte Einstellungen oder Rollennamen verwenden, konfigurieren Sie die AWS-Konten manuell. Eine Anleitung finden Sie unter AWS-Konten manuell konfigurieren.
CloudFormation-Vorlagen zum Einrichten der AWS-Umgebung verwenden
Wenn Sie CloudFormation-Vorlagen heruntergeladen haben, folgen Sie dieser Anleitung, um Ihre AWS-Umgebung einzurichten.
- Melden Sie sich in der AWS-Konsolenseite für das delegierte Konto an. Sie müssen mit dem Delegatenkonto angemeldet sein, das zum Übernehmen anderer AWS-Konten für die Erfassung verwendet wird. Das ist entweder ein AWS-Verwaltungskonto oder ein beliebiges Mitgliedskonto, das als delegierter Administrator registriert ist.
- Rufen Sie die AWS CloudFormation-Vorlage-Konsole auf.
Erstellen Sie einen Stack, der die Delegiertenrolle bereitstellt:
- Klicken Sie auf der Seite Stacks auf Stack erstellen > Mit neuen Ressourcen (Standard).
- Wenn Sie eine Vorlage angeben, laden Sie die Datei der delegierten Rollenvorlage hoch.
- Geben Sie beim Angeben der Stackdetails einen Stacknamen ein.
Wenn Sie den Rollennamen für die delegierte Rolle, die Collector-Rolle oder die Sensitive Data Protection-Rolle geändert haben, aktualisieren Sie die Parameter entsprechend. Die von Ihnen eingegebenen Parameter müssen mit den Parametern übereinstimmen, die auf der Seite Mit AWS verbinden in der Google Cloud -Konsole aufgeführt sind.
Aktualisieren Sie die Stack-Optionen nach Bedarf.
Wählen Sie auf der Seite Überprüfen und erstellen die Option Ich bestätige, dass AWS CloudFormation möglicherweise IAM-Ressourcen mit benutzerdefinierten Namen erstellt. aus.
Klicken Sie auf Senden, um den Stack zu erstellen.
Warten Sie, bis der Stack erstellt wurde. Wenn ein Fehler auftritt, finden Sie weitere Informationen unter Fehlerbehebung. Weitere Informationen finden Sie in der AWS-Dokumentation unter Stack in der AWS CloudFormation-Konsole erstellen.
Erstellen Sie ein Stack-Set, das Collector-Rollen bereitstellt.
Rufen Sie mit einem AWS-Verwaltungskonto oder einem beliebigen Mitgliedskonto, das als delegierter Administrator registriert ist, die AWS CloudFormation-Konsole auf.
Klicken Sie auf der Seite StackSets auf Create StackSet (StackSet erstellen).
Klicken Sie auf Von Diensten verwaltete Berechtigungen.
Wenn Sie eine Vorlage angeben, laden Sie die Datei der Collector-Rollenvorlage hoch.
Geben Sie beim Festlegen der StackSet-Details einen Namen und eine Beschreibung für das StackSet ein.
Geben Sie die delegierte Konto-ID ein.
Wenn Sie den Rollennamen für die delegierte Rolle, die Collector-Rolle oder die Sensitive Data Protection-Rolle geändert haben, aktualisieren Sie die Parameter entsprechend. Die von Ihnen eingegebenen Parameter müssen mit den Parametern übereinstimmen, die auf der Seite Mit AWS verbinden in der Google Cloud -Konsole aufgeführt sind.
Konfigurieren Sie die Optionen für den Stacksatz nach Bedarf Ihres Unternehmens.
Wählen Sie beim Festlegen der Bereitstellungsoptionen Ihre Bereitstellungsziele aus. Sie können die Bereitstellung für die gesamte AWS-Organisation oder für eine Organisationseinheit vornehmen, die alle AWS-Konten enthält, aus denen Sie Daten erfassen möchten.
Geben Sie die AWS-Regionen an, in denen die Rollen und Richtlinien erstellt werden sollen. Da Rollen globale Ressourcen sind, müssen Sie nicht mehrere Regionen angeben.
Ändern Sie bei Bedarf weitere Einstellungen.
Prüfen Sie die Änderungen und klicken Sie auf Senden, um das Stackset zu erstellen. Wenn Sie eine Fehlermeldung erhalten, finden Sie weitere Informationen unter Fehlerbehebung. Weitere Informationen finden Sie in der AWS-Dokumentation unter Create CloudFormation StackSets with service-managed permissions.
Wenn Sie Daten aus dem Verwaltungskonto erfassen müssen, melden Sie sich im Verwaltungskonto an und stellen Sie einen separaten Stack bereit, um die Collector-Rollen bereitzustellen. Laden Sie beim Angeben der Vorlage die Datei der Collector-Rollenvorlage hoch.
Dieser Schritt ist erforderlich, da mit AWS CloudFormation-Stapelsets keine Stapelinstanzen in Verwaltungskonten erstellt werden. Weitere Informationen finden Sie in der AWS-Dokumentation unter DeploymentTargets.
Informationen zum Abschließen des Integrationsprozesses finden Sie unter Integrationsprozess abschließen.
AWS-Konten manuell konfigurieren
Wenn Sie die CloudFormation-Vorlagen nicht verwenden können (z. B. weil Sie andere Rollennamen verwenden oder die Integration anpassen), können Sie die erforderlichen AWS IAM-Richtlinien und AWS IAM-Rollen manuell erstellen.
Sie müssen AWS-IAM-Richtlinien und AWS-IAM-Rollen für das delegierte Konto und die Collector-Konten erstellen.
AWS-IAM-Richtlinie für die delegierte Rolle erstellen
So erstellen Sie eine AWS IAM-Richtlinie für die delegierte Rolle (eine delegierte Richtlinie):
Melden Sie sich in der AWS-Konsolen für delegierte Konten an.
Klicken Sie auf Richtlinien > Richtlinie erstellen.
Klicken Sie auf JSON und fügen Sie einen der folgenden Codes ein, je nachdem, ob Sie das Kästchen Berechtigungen für die Erkennung sensibler Daten gewähren in Security Command Center konfigurieren ausgewählt haben.
Berechtigungen für die Sensitive Data Protection-Erkennung gewähren: deaktiviert
{ "Version": "2012-10-17", "Statement": [ { "Action": "sts:AssumeRole", "Resource": "arn:aws:iam::*:role/COLLECTOR_ROLE_NAME", "Effect": "Allow" }, { "Action": [ "organizations:List*", "organizations:Describe*" ], "Resource": "*", "Effect": "Allow" } ] }Ersetzen Sie
COLLECTOR_ROLE_NAMEdurch den Namen der Collector-Rolle, die Sie beim Konfigurieren von Security Command Center kopiert haben (der Standardwert istaws-collector-role).Berechtigungen für die Sensitive Data Protection-Erkennung gewähren: ausgewählt
{ "Version": "2012-10-17", "Statement": [ { "Action": "sts:AssumeRole", "Resource": [ "arn:aws:iam::*:role/COLLECTOR_ROLE_NAME", "arn:aws:iam::*:role/SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME" ], "Effect": "Allow" }, { "Action": [ "organizations:List*", "organizations:Describe*" ], "Resource": "*", "Effect": "Allow" } ] }Ersetzen Sie Folgendes:
COLLECTOR_ROLE_NAME: Der Name der Rolle des Konfigurationsdatencollectors, die Sie beim Konfigurieren von Security Command Center kopiert haben (der Standardwert istaws-collector-role).SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME: der Name der Sensitive Data Protection-Collector-Rolle, die Sie beim Konfigurieren von Security Command Center kopiert haben (der Standardwert istaws-sensitive-data-protection-role)
Klicken Sie auf Weiter.
Geben Sie im Abschnitt Richtliniendetails einen Namen und eine Beschreibung für die Richtlinie ein.
Klicken Sie auf Richtlinie erstellen.
AWS-IAM-Rolle für die Vertrauensstellung zwischen AWS und Google Clouderstellen
Erstellen Sie eine delegierte Rolle, mit der eine Vertrauensstellung zwischen AWS undGoogle Cloudeingerichtet wird. Diese Rolle verwendet die delegierte Richtlinie, die in AWS-IAM-Richtlinie für die delegierte Rolle erstellen erstellt wurde.
Melden Sie sich in der AWS-Delegatkonto-Konsole als AWS-Nutzer an, der IAM-Rollen und -Richtlinien erstellen kann.
Klicken Sie auf Rollen > Rolle erstellen.
Klicken Sie unter Typ der vertrauenswürdigen Entität auf Web Identity.
Klicken Sie für Identity Provider (Identitätsanbieter) auf Google.
Geben Sie unter Zielgruppe die Dienst-Agent-ID ein, die Sie beim Konfigurieren von Security Command Center kopiert haben. Klicken Sie auf Weiter.
Um der delegierten Rolle Zugriff auf die Collector-Rollen zu gewähren, hängen Sie die Berechtigungsrichtlinien an die Rolle an. Suchen Sie nach der delegierten Richtlinie, die in AWS-IAM-Richtlinie für die delegierte Rolle erstellen erstellt wurde, und wählen Sie sie aus.
Geben Sie im Abschnitt Rolle details den Delegated role name (Delegierter Rollenname) ein, den Sie beim Konfigurieren von Security Command Center kopiert haben (der Standardname ist
aws-delegated-role).Klicken Sie auf Rolle erstellen.
AWS IAM-Richtlinie für die Erfassung von Daten zur Asset-Konfiguration erstellen
So erstellen Sie eine AWS-IAM-Richtlinie für die Erfassung von Asset-Konfigurationsdaten (eine Collector-Richtlinie):
Melden Sie sich in der AWS-Collector-Konto-Konsole an.
Klicken Sie auf Richtlinien > Richtlinie erstellen.
Klicken Sie auf JSON und fügen Sie Folgendes ein:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ce:GetCostAndUsage", "dynamodb:DescribeTableReplicaAutoScaling", "identitystore:ListGroupMemberships", "identitystore:ListGroups", "identitystore:ListUsers", "lambda:GetFunction", "lambda:GetFunctionConcurrency", "logs:ListTagsForResource", "s3express:GetBucketPolicy", "s3express:ListAllMyDirectoryBuckets", "wafv2:GetIPSet" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "apigateway:GET" ], "Resource": [ "arn:aws:apigateway:*::/usageplans", "arn:aws:apigateway:*::/usageplans/*/keys", "arn:aws:apigateway:*::/vpclinks/*" ] } ] }Klicken Sie auf Weiter.
Geben Sie im Abschnitt Richtliniendetails einen Namen und eine Beschreibung für die Richtlinie ein.
Klicken Sie auf Richtlinie erstellen.
Wiederholen Sie diese Schritte für jedes Collector-Konto.
AWS-IAM-Rolle für die Erfassung von Asset-Konfigurationsdaten in jedem Konto erstellen
Erstellen Sie die Collector-Rolle, mit der Security Command Center Asset-Konfigurationsdaten von AWS abrufen kann. Für diese Rolle wird die Collector-Richtlinie verwendet, die in AWS IAM-Richtlinie für die Erfassung von Asset-Konfigurationsdaten erstellen erstellt wurde.
Melden Sie sich in der AWS-Collector-Konto-Konsole als Nutzer an, der IAM-Rollen für die Collector-Konten erstellen kann.
Klicken Sie auf Rollen > Rolle erstellen.
Klicken Sie unter Typ der vertrauenswürdigen Entität auf Benutzerdefinierte Vertrauensrichtlinie.
Fügen Sie im Abschnitt Benutzerdefinierte Vertrauensrichtlinie Folgendes ein:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::DELEGATE_ACCOUNT_ID:role/DELEGATE_ACCOUNT_ROLE" }, "Action": "sts:AssumeRole" } ] }Ersetzen Sie Folgendes:
DELEGATE_ACCOUNT_ID: die AWS-Konto-ID für das BevollmächtigtenkontoDELEGATE_ACCOUNT_ROLE: Der Name der delegierten Rolle, den Sie beim Konfigurieren von Security Command Center kopiert haben.
Um dieser Collector-Rolle Zugriff auf Ihre AWS-Asset-Konfigurationsdaten zu gewähren, hängen Sie die Berechtigungsrichtlinien an die Rolle an. Suchen Sie nach der benutzerdefinierten Collector-Richtlinie, die in AWS IAM-Richtlinie für die Erfassung von Asset-Konfigurationsdaten erstellen erstellt wurde, und wählen Sie sie aus.
Suchen Sie nach den folgenden verwalteten Richtlinien und wählen Sie sie aus:
- arn:aws:iam::aws:policy/job-function/ViewOnlyAccess
- arn:aws:iam::aws:policy/SecurityAudit
Geben Sie im Abschnitt Rolleninformationen den Namen der Rolle des Konfigurationsdatenerfassers ein, die Sie beim Konfigurieren von Security Command Center kopiert haben.
Klicken Sie auf Rolle erstellen.
Wiederholen Sie diese Schritte für jedes Collector-Konto.
Wenn Sie im Bereich Security Command Center konfigurieren das Kästchen Berechtigungen für die Erkennung sensibler Daten gewähren ausgewählt haben, fahren Sie mit dem nächsten Abschnitt fort.
Wenn Sie das Kästchen Berechtigungen für die Sensitive Data Protection-Erkennung gewähren nicht aktiviert haben, führen Sie den Integrationsprozess durch.
AWS IAM-Richtlinie für Schutz sensibler Daten erstellen
Führen Sie diese Schritte aus, wenn Sie das Kästchen Berechtigungen für die Erkennung von Ergebnissen zum Schutz sensibler Daten gewähren in Security Command Center konfigurieren angekreuzt haben.
So erstellen Sie eine AWS IAM-Richtlinie für den Schutz sensibler Daten (eine Collector-Richtlinie):
Melden Sie sich in der AWS-Collector-Konto-Konsole an.
Klicken Sie auf Richtlinien > Richtlinie erstellen.
Klicken Sie auf JSON und fügen Sie Folgendes ein:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:ListAllMyBuckets", "s3:GetBucketPolicyStatus", "s3:ListBucket", "s3:GetObject", "s3:GetObjectVersion", "s3:GetBucketPublicAccessBlock", "s3:GetBucketOwnershipControls", "s3:GetBucketTagging" ], "Resource": ["arn:aws:s3:::*"] }, { "Effect": "Allow", "Action": [ "iam:ListAttachedRolePolicies", "iam:GetPolicy", "iam:GetPolicyVersion", "iam:ListRolePolicies", "iam:GetRolePolicy", "ce:GetCostAndUsage", "dynamodb:DescribeTableReplicaAutoScaling", "identitystore:ListGroupMemberships", "identitystore:ListGroups", "identitystore:ListUsers", "lambda:GetFunction", "lambda:GetFunctionConcurrency", "logs:ListTagsForResource", "s3express:GetBucketPolicy", "s3express:ListAllMyDirectoryBuckets", "wafv2:GetIPSet" ], "Resource": ["*"] }, { "Effect": "Allow", "Action": [ "s3express:CreateSession" ], "Resource": ["arn:aws:s3express:*:*:bucket/*"] } ] }Klicken Sie auf Weiter.
Geben Sie im Abschnitt Richtliniendetails einen Namen und eine Beschreibung für die Richtlinie ein.
Klicken Sie auf Richtlinie erstellen.
Wiederholen Sie diese Schritte für jedes Collector-Konto.
AWS-IAM-Rolle für Sensitive Data Protection in jedem Konto erstellen
Führen Sie diese Schritte aus, wenn Sie das Kästchen Berechtigungen für die Erkennung von Ergebnissen zum Schutz sensibler Daten gewähren in Security Command Center konfigurieren angekreuzt haben.
Erstellen Sie die Collector-Rolle, mit der Sensitive Data Protection Profile für den Inhalt Ihrer AWS-Ressourcen erstellen kann. Diese Rolle verwendet die Collector-Richtlinie, die in AWS IAM-Richtlinie für den Schutz sensibler Daten erstellen erstellt wurde.
Melden Sie sich in der AWS Collector-Kontokonsole als Nutzer an, der IAM-Rollen für Collector-Konten erstellen kann.
Klicken Sie auf Rollen > Rolle erstellen.
Klicken Sie unter Typ der vertrauenswürdigen Entität auf Benutzerdefinierte Vertrauensrichtlinie.
Fügen Sie im Abschnitt Benutzerdefinierte Vertrauensrichtlinie Folgendes ein:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::DELEGATE_ACCOUNT_ID:role/DELEGATE_ACCOUNT_ROLE" }, "Action": "sts:AssumeRole" } ] }Ersetzen Sie Folgendes:
DELEGATE_ACCOUNT_ID: die AWS-Konto-ID für das DelegatenkontoDELEGATE_ACCOUNT_ROLE: der Name der delegierten Rolle, den Sie beim Konfigurieren von Security Command Center kopiert haben.
Um dieser Collector-Rolle Zugriff auf den Inhalt Ihrer AWS-Ressourcen zu gewähren, hängen Sie die Berechtigungsrichtlinien an die Rolle an. Suchen Sie nach der benutzerdefinierten Collector-Richtlinie, die unter AWS IAM-Richtlinie für Sensitive Data Protection erstellen erstellt wurde, und wählen Sie sie aus.
Geben Sie im Abschnitt Roldetails den Namen der Rolle für Sensitive Data Protection ein, die Sie beim Konfigurieren von Security Command Center kopiert haben.
Klicken Sie auf Rolle erstellen.
Wiederholen Sie diese Schritte für jedes Collector-Konto.
Informationen zum Abschließen des Integrationsprozesses finden Sie unter Integrationsprozess abschließen.
Integrationsprozess abschließen
Klicken Sie in der Google Cloud -Konsole auf der Seite Connector testen auf Connector testen, um zu prüfen, ob Security Command Center eine Verbindung zu Ihrer AWS-Umgebung herstellen kann. Wenn die Verbindung erfolgreich ist, hat der Test ergeben, dass die delegierte Rolle alle erforderlichen Berechtigungen hat, um die Collector-Rollen zu übernehmen. Wenn die Verbindung nicht erfolgreich ist, lesen Sie den Abschnitt Fehlerbehebung bei Verbindungstests.
Klicken Sie auf Erstellen.
Der Connector beginnt mit dem Scannen und Erfassen von Daten aus den von Ihnen angegebenen AWS-Konten und ‑Standorten. Es kann bis zu 24 Stunden dauern, bis Ergebnisse angezeigt werden.
AWS-Connector-Konfiguration anpassen
In diesem Abschnitt werden einige Möglichkeiten beschrieben, wie Sie die Verbindung zwischen Security Command Center und AWS anpassen können. Diese Optionen sind in der Google Cloud Console auf der Seite Amazon Web Services-Connector hinzufügen im Abschnitt Erweiterte Optionen (optional) verfügbar.
Standardmäßig erkennt Security Command Center Ihre AWS-Konten automatisch in allen AWS-Regionen. Für die Verbindung wird der globale Standardendpunkt für den AWS Security Token Service und die standardmäßigen Anfragen pro Sekunde (Queries per Second, QPS) für den AWS-Dienst verwendet, den Sie überwachen. Mit diesen erweiterten Optionen können Sie die Standardeinstellungen anpassen.
| Option | Beschreibung |
|---|---|
| AWS-Connector-Konten hinzufügen | Wählen Sie je nach Bedarf eine Option aus:
|
| AWS-Connector-Konten ausschließen | Wenn Sie im Abschnitt AWS-Verbindungskonten hinzufügen die Option Konten automatisch hinzufügen ausgewählt haben, geben Sie eine Liste der AWS-Konten an, die Security Command Center nicht zum Suchen nach Ressourcen verwenden soll. |
| AWS-Connector-Konten eingeben | Wenn Sie im Bereich AWS-Connector-Konten hinzufügen die Option Konten einzeln hinzufügen ausgewählt haben, geben Sie eine Liste der AWS-Konten an, die Security Command Center zum Suchen nach Ressourcen verwenden kann. |
| Regionen für die Datenerfassung auswählen | Wählen Sie eine oder mehrere AWS-Regionen aus, aus denen Security Command Center Daten erfassen soll. Lassen Sie das Feld AWS-Regionen leer, um Daten aus allen Regionen zu erfassen. |
| Maximale Anzahl von Abfragen pro Sekunde für AWS-Dienste | Sie können die QPS ändern, um das Kontingentlimit für Security Command Center zu steuern. Legen Sie den Überschreibungswert auf einen Wert fest, der kleiner als der Standardwert für diesen Dienst und größer oder gleich 1 ist.
Der Standardwert ist der Höchstwert. Wenn Sie den QPS-Wert ändern, können beim Abrufen von Daten in Security Command Center Probleme auftreten. Wir empfehlen daher, diesen Wert nicht zu ändern. |
| Endpunkt für AWS Security Token Service | Sie können einen bestimmten Endpunkt für den AWS Security Token Service angeben, z. B. https://sts.us-east-2.amazonaws.com. Lassen Sie das Feld AWS Security Token Service leer, um den globalen Standardendpunkt (https://sts.amazonaws.com) zu verwenden. |
Berechtigungen für die Erkennung vertraulicher Daten für einen vorhandenen AWS-Connector gewähren
Wenn Sie die Erkennung vertraulicher Daten für Ihre AWS-Inhalte durchführen möchten, benötigen Sie einen AWS-Connector mit den erforderlichen AWS IAM-Berechtigungen.
In diesem Abschnitt wird beschrieben, wie Sie einem vorhandenen AWS-Connector diese Berechtigungen erteilen. Die erforderlichen Schritte hängen davon ab, ob Sie Ihre AWS-Umgebung mit CloudFormation-Vorlagen oder manuell konfiguriert haben.
Vorhandenen Connector mit CloudFormation-Vorlagen aktualisieren
Wenn Sie Ihre AWS-Umgebung mit CloudFormation-Vorlagen eingerichtet haben, folgen Sie dieser Anleitung, um Berechtigungen für die Erkennung vertraulicher Daten für Ihren vorhandenen AWS-Connector zu erteilen.
Rufen Sie in der Google Cloud Console die Einstellungen > SCC-Einstellungen auf.
Wählen Sie die Organisation aus, in der Sie Security Command Center Enterprise aktiviert haben.
Wählen Sie Connectors aus. Die Seite Connector konfigurieren wird geöffnet.
Klicken Sie für den AWS-Connector auf Weitere Optionen > Bearbeiten.
Wählen Sie im Abschnitt Datentypen überprüfen die Option Berechtigungen für die Erkennung durch den Schutz sensibler Daten erteilen aus.
Klicken Sie auf Weiter. Die Seite Verbindung zu AWS wird geöffnet.
Klicken Sie auf Delegierte Rollenvorlage herunterladen. Die Vorlage wird auf Ihren Computer heruntergeladen.
Klicken Sie auf Collector-Rollenvorlage herunterladen. Die Vorlage wird auf Ihren Computer heruntergeladen.
Klicken Sie auf Weiter. Die Seite Connector testen wird geöffnet. Testen Sie den Connector noch nicht.
Aktualisieren Sie in der CloudFormation-Konsole die Stapelvorlage für die delegierte Rolle:
- Melden Sie sich in der AWS-Konsolenseite für das delegierte Konto an. Sie müssen mit dem Stellvertreterkonto angemeldet sein, das zum Übernehmen anderer AWS-Konten für die Erhebung verwendet wird.
- Rufen Sie die AWS CloudFormation-Konsole auf.
Ersetzen Sie die Stapelvorlage für die delegierte Rolle durch die aktualisierte Vorlage für die delegierte Rolle, die Sie heruntergeladen haben.
Weitere Informationen finden Sie in der AWS-Dokumentation unter Update a stack's template (console).
Aktualisieren Sie das Stackset für die Collector-Rolle:
- Rufen Sie mit einem AWS-Verwaltungskonto oder einem beliebigen Mitgliedskonto, das als delegierter Administrator registriert ist, die AWS CloudFormation-Konsole auf.
Ersetzen Sie die Stackset-Vorlage für die Collector-Rolle durch die aktualisierte Collector-Rollenvorlage, die Sie heruntergeladen haben.
Weitere Informationen finden Sie in der AWS-Dokumentation unter Update your stack set using the AWS CloudFormation console.
Wenn Sie Daten aus dem Verwaltungskonto erfassen müssen, melden Sie sich im Verwaltungskonto an und ersetzen Sie die Vorlage im Collector-Stack durch die aktualisierte Collector-Rollen-Vorlage, die Sie heruntergeladen haben.
Dieser Schritt ist erforderlich, da mit AWS CloudFormation-Stacksets keine Stack-Instanzen in Verwaltungskonten erstellt werden. Weitere Informationen finden Sie in der AWS-Dokumentation unter DeploymentTargets.
Klicken Sie in der Google Cloud -Konsole auf der Seite Connector testen auf Connector testen. Wenn die Verbindung erfolgreich ist, hat der Test ergeben, dass die delegierte Rolle alle erforderlichen Berechtigungen hat, um die Collector-Rollen zu übernehmen. Wenn die Verbindung nicht erfolgreich ist, lesen Sie den Abschnitt Fehlerbehebung bei Fehlern beim Testen der Verbindung.
Klicken Sie auf Speichern.
Vorhandenen Connector manuell aktualisieren
Wenn Sie Ihre AWS-Konten beim Erstellen des AWS-Connectors manuell konfiguriert haben, folgen Sie dieser Anleitung, um Berechtigungen für die Erkennung vertraulicher Daten für Ihren vorhandenen AWS-Connector zu erteilen.
Öffnen Sie auf der Seite Einstellungen den Tab Connectors (Connectors).
Wählen Sie die Organisation aus, in der Sie Security Command Center Enterprise aktiviert haben.
Klicken Sie für den AWS-Connector auf Weitere Optionen > Bearbeiten.
Wählen Sie im Abschnitt Datentypen überprüfen die Option Berechtigungen für die Erkennung durch den Schutz sensibler Daten erteilen aus.
Klicken Sie auf Weiter. Die Seite Verbindung zu AWS wird geöffnet.
Klicken Sie auf AWS-Konten manuell konfigurieren (empfohlen, wenn Sie erweiterte Einstellungen oder benutzerdefinierte Rollennamen verwenden).
Kopieren Sie die Werte der folgenden Felder:
- Delegierter Rollenname
- Collector-Rollenname
- Name der Sensitive Data Protection-Collector-Rolle
Klicken Sie auf Weiter. Die Seite Connector testen wird geöffnet. Testen Sie den Connector noch nicht.
Aktualisieren Sie in der AWS-Delegatkonto-Konsole die AWS IAM-Richtlinie für die delegierte Rolle mit dem folgenden JSON-Code:
{ "Version": "2012-10-17", "Statement": [ { "Action": "sts:AssumeRole", "Resource": [ "arn:aws:iam::*:role/COLLECTOR_ROLE_NAME", "arn:aws:iam::*:role/SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME" ], "Effect": "Allow" }, { "Action": [ "organizations:List*", "organizations:Describe*" ], "Resource": "*", "Effect": "Allow" } ] }Ersetzen Sie Folgendes:
COLLECTOR_ROLE_NAME: Der Name der Rolle des Konfigurationsdatencollectors, die Sie kopiert haben (der Standardwert istaws-collector-role).SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME: der Name der kopierten Sensitive Data Protection-Collector-Rolle (Standard istaws-sensitive-data-protection-role)
Weitere Informationen finden Sie in der AWS-Dokumentation unter Von Kunden verwaltete Richtlinien bearbeiten (Konsole).
Führen Sie für jedes Sammlerkonto die folgenden Schritte aus:
Klicken Sie in der Google Cloud -Konsole auf der Seite Connector testen auf Connector testen. Wenn die Verbindung erfolgreich ist, hat der Test ergeben, dass die delegierte Rolle alle erforderlichen Berechtigungen hat, um die Collector-Rollen zu übernehmen. Wenn die Verbindung nicht erfolgreich ist, lesen Sie den Abschnitt Fehlerbehebung bei Fehlern beim Testen der Verbindung.
Klicken Sie auf Speichern.
Fehlerbehebung
Dieser Abschnitt enthält einige häufige Probleme, die bei der Integration von Security Command Center in AWS auftreten können.
Ressourcen sind bereits vorhanden
Dieser Fehler tritt in der AWS-Umgebung auf, wenn Sie versuchen, die AWS-IAM-Richtlinien und AWS-IAM-Rollen zu erstellen, die Rolle jedoch bereits in Ihrem AWS-Konto vorhanden ist.
So beheben Sie diesen Fehler:
- Prüfen Sie, ob die Rolle oder Richtlinie, die Sie erstellen, bereits vorhanden ist und die in dieser Anleitung aufgeführten Anforderungen erfüllt.
- Ändern Sie bei Bedarf den Rollennamen, um Konflikte zu vermeiden.
Ungültiges Hauptkonto in der Richtlinie
Dieser Fehler kann in der AWS-Umgebung auftreten, wenn Sie die Collector-Rollen erstellen, die Delegiertenrolle aber noch nicht vorhanden ist.
Um diesen Fehler zu beheben, führen Sie die Schritte unter AWS IAM-Richtlinie für die delegierte Rolle erstellen aus und warten Sie, bis die delegierte Rolle erstellt wurde, bevor Sie fortfahren.
Drosselungseinschränkungen in AWS
AWS drosselt API-Anfragen für jedes AWS-Konto auf Konto- oder Regionsbasis. Damit diese Grenzwerte nicht überschritten werden, wenn Security Command Center Daten zur Asset-Konfiguration von AWS erfasst, werden die Daten mit einer festen maximalen QPS für jeden AWS-Dienst erfasst, wie in der API-Dokumentation für den AWS-Dienst beschrieben.
Wenn in Ihrer AWS-Umgebung aufgrund der verbrauchten QPS eine Anforderungsdrosselung auftritt, können Sie das Problem beheben, indem Sie Folgendes ausführen:
Legen Sie auf der Seite AWS-Connector-Einstellungen einen benutzerdefinierten QPS für den AWS-Dienst fest, bei dem die Anfragen gedrosselt werden.
Schränken Sie die Berechtigungen der AWS-Collector-Rolle ein, damit die Daten des jeweiligen Dienstes nicht mehr erfasst werden. Diese Methode verhindert, dass Angriffspfadsimulationen für AWS richtig funktionieren.
Wenn Sie alle Berechtigungen in AWS widerrufen, wird der Datenerfassungsprozess sofort beendet. Wenn Sie den AWS-Connector löschen, wird der Datenerfassungsprozess nicht sofort beendet, aber nach Abschluss nicht mehr neu gestartet.
Ergebnis wird für eine gelöschte AWS-Ressource zurückgegeben
Nachdem eine AWS-Ressource gelöscht wurde, kann es bis zu 40 Stunden dauern, bis sie aus dem Asset-Inventarsystem von Security Command Center entfernt wird. Wenn Sie ein Ergebnis beheben möchten, indem Sie die Ressource löschen, wird das Ergebnis möglicherweise in diesem Zeitraum gemeldet, da das Asset noch nicht aus dem Asset-Inventarsystem von Security Command Center entfernt wurde.
Fehler beim Testen der Verbindung beheben
Diese Fehler können auftreten, wenn Sie die Verbindung zwischen Security Command Center und AWS testen.
AWS_FAILED_TO_ASSUME_DELEGATED_ROLE
Diese Verbindung ist ungültig, da der Google Cloud Dienst-Agent die delegierte Rolle nicht übernehmen kann.
Beachten Sie Folgendes, um dieses Problem zu beheben:
Prüfen Sie, ob die delegierte Rolle vorhanden ist. Informationen zum Erstellen der Rolle finden Sie unter AWS-IAM-Rolle für die Vertrauensstellung zwischen AWS und Google Cloud erstellen.
Die Inline-Richtlinie der delegierten Rolle fehlt. Andernfalls kann der Dienst-Agent die Rolle nicht übernehmen. Informationen zum Prüfen, ob die Inline-Richtlinie vorhanden ist, finden Sie unter AWS-IAM-Rolle für die Vertrauensstellung zwischen AWS und Google Cloud erstellen.
Wenn die Fehlerdetails die Meldung
InvalidIdentityToken: Incorrect token audienceenthalten, kann dies durch einen separaten OIDC-Identitätsanbieter füraccounts.google.comin der AWS-Umgebung verursacht werden. Um diesen Fehler zu beheben, entfernen Sie den OIDC-Identitätsanbieter füraccounts.google.comin der AWS-Umgebung. Folgen Sie dazu der Anleitung unter OIDC-Anbieter erstellen und verwalten.
AWS_FAILED_TO_LIST_ACCOUNTS
Diese Verbindung ist ungültig, da die automatische Erkennung aktiviert ist und die delegierte Rolle nicht alle AWS-Konten in den Organisationen abrufen kann.
Dieser Fehler weist darauf hin, dass die Richtlinie zum Zulassen der organizations:ListAccounts-Aktion für die delegierte Rolle für bestimmte Ressourcen fehlt. Um diesen Fehler zu beheben, müssen Sie herausfinden, welche Ressourcen fehlen. Informationen zum Prüfen der Einstellungen für die delegierte Richtlinie finden Sie unter AWS IAM-Richtlinie für die delegierte Rolle erstellen.
Prüfen Sie, ob Sie die AWS-Konten wie im Abschnitt AWS-Konten erstellen beschrieben erstellt und konfiguriert haben.
AWS_ACTIVE_COLLECTOR_ACCOUNTS_NOT_FOUND
Diese Verbindung ist ungültig, da keine AWS-Collector-Konten mit dem Status ACTIVE gefunden wurden.
Wenn Sie im Feld AWS-Connector-Konten hinzufügen die Option Konten automatisch hinzufügen ausgewählt haben, wurden keine AWS-Konten mit dem Status ACTIVE gefunden. Ausgenommen sind die Konten, die im Feld AWS-Connector-Konten ausschließen angegeben sind.
Wenn Sie Konten einzeln hinzufügen ausgewählt haben, prüfen Sie im Feld AWS-Verbindungskonten hinzufügen, ob die von Ihnen angegebenen Konten den Status ACTIVE haben.
AWS_INVALID_COLLECTOR_ACCOUNTS
Diese Verbindung ist ungültig, da ungültige Collector-Konten vorhanden sind. Die Fehlermeldung enthält weitere Informationen zu den möglichen Ursachen, darunter:
AWS_FAILED_TO_ASSUME_COLLECTOR_ROLE
Das Collector-Konto ist ungültig, da die delegierte Rolle die Collector-Rolle im Collector-Konto nicht übernehmen kann.
So beheben Sie diesen Fehler:
Prüfen Sie, ob die Collector-Rolle vorhanden ist.
- Informationen zum Erstellen der Collector-Rolle für Asset-Konfigurationsdaten finden Sie unter AWS-IAM-Rolle für die Erfassung von Asset-Konfigurationsdaten in jedem Konto erstellen.
- Informationen zum Erstellen der Collector-Rolle für Sensitive Data Protection finden Sie unter AWS-IAM-Rolle für Sensitive Data Protection in jedem Konto erstellen.
Die Richtlinie, mit der die delegierte Rolle die Collector-Rolle übernehmen darf, fehlt. Informationen zum Prüfen, ob die Richtlinie vorhanden ist, finden Sie unter AWS-IAM-Richtlinie für die delegierte Rolle erstellen.
AWS_COLLECTOR_ROLE_POLICY_MISSING_REQUIRED_PERMISSION
Die Verbindung ist ungültig, da in der Collector-Richtlinie einige der erforderlichen Berechtigungseinstellungen fehlen.
Berücksichtigen Sie die folgenden möglichen Ursachen, um diesen Fehler zu beheben:
Einige der erforderlichen von AWS verwalteten Richtlinien sind möglicherweise nicht an die Collector-Rolle für Asset-Konfigurationsdaten angehängt. Informationen dazu, wie Sie überprüfen, ob alle Richtlinien angehängt sind, finden Sie in Schritt 6 unter AWS-IAM-Rolle für die Erfassung von Daten zur Asset-Konfiguration in jedem Konto erstellen.
Möglicherweise liegt eines der folgenden Probleme mit einer Collector-Richtlinie vor:
- Die Collector-Richtlinie ist möglicherweise nicht vorhanden.
- Die Collector-Richtlinie ist nicht mit der Collector-Rolle verknüpft.
- Die Collector-Richtlinie enthält nicht alle erforderlichen Berechtigungen.
Informationen zum Beheben von Problemen mit einer Collector-Richtlinie finden Sie in den folgenden Artikeln:
Nächste Schritte
- Wenn Sie Security Command Center Enterprise zum ersten Mal einrichten, fahren Sie mit Schritt 4 des Einrichtungsleitfadens in der Konsole fort.
Darüber hinaus können Sie Folgendes tun:
- Aktivieren und verwenden Sie die Sicherheitslückenbewertung für AWS.
- Sicherheitsstatus für AWS erstellen und verwalten
- Angriffspfadsimulationen für AWS-Ressourcen erstellen
- Compliance von AWS-Ressourcen verschiedenen Standards und Benchmarks zuordnen