Conéctate a AWS para la configuración y la recopilación de datos de recursos

Puedes conectar el nivel Security Command Center Enterprise a tu entorno de Amazon Web Services (AWS) para realizar las siguientes acciones:

  • Detecta y corrige vulnerabilidades y parámetros de configuración incorrectos del software en tu entorno de AWS
  • Crea y administra una postura de seguridad para AWS
  • Identifica posibles rutas de ataque desde Internet pública a tus activos de AWS valiosos
  • Mapear el cumplimiento de los recursos de AWS con diversos estándares y comparativas

Conectar Security Command Center a AWS crea un solo lugar para que tu equipo de operaciones de seguridad administre y corrija amenazas y vulnerabilidades enGoogle Cloud y AWS.

Para permitir que Security Command Center supervise tu organización de AWS, debes configurar una conexión con un agente de servicio deGoogle Cloud y una cuenta de AWS que tenga acceso a los recursos que deseas supervisar. Security Command Center usa esta conexión para recopilar datos periódicamente en todas las cuentas y regiones de AWS que definas. Estos datos se manejan de la misma manera que los Datos del Servicio, según el Aviso de Privacidad de Google Cloud.

Puedes crear una conexión de AWS para cada Google Cloud organización. El conector usa llamadas a la API para recopilar datos de activos de AWS. Estas llamadas a la API pueden generar cargos de AWS.

En este documento, se describe cómo configurar la conexión con AWS. Cuando configuras una conexión, debes configurar lo siguiente:

  • Es una serie de cuentas en AWS que tienen acceso directo a los recursos de AWS que deseas supervisar. En la consola de Google Cloud , estas cuentas se denominan cuentas de recopilador.
  • Es una cuenta de AWS que tiene las políticas y los roles adecuados para permitir la autenticación en las cuentas de recopilador. En la consola de Google Cloud , esta cuenta se denomina cuenta delegada. Tanto la cuenta delegada como las cuentas de recopilador deben estar en la misma organización de AWS.
  • Es un agente de servicio en Google Cloud que se conecta a la cuenta delegada para la autenticación.
  • Es una canalización para recopilar datos de recursos de los recursos de AWS.
  • Permisos (opcionales) para que Sensitive Data Protection genere perfiles de tu contenido de AWS

El conector no ingiere los registros de AWS necesarios para las capacidades de detección seleccionadas del SIEM en Security Command Center Enterprise. Para obtener información sobre cómo transferir estos datos, consulta Conéctate a AWS para la transferencia de registros.

Esta conexión no se aplica a las capacidades de SIEM de Security Command Center que te permiten transferir registros de AWS para la detección de amenazas.

En el siguiente diagrama, se muestra esta configuración. El proyecto de usuario es un proyecto que se crea automáticamente y contiene la instancia de la canalización de recopilación de datos de activos.

Configuración de AWS y Security Command Center

Antes de comenzar

Completa estas tareas antes de completar las tareas restantes de esta página.

Activa el nivel de Security Command Center Enterprise

Completa los pasos 1 y 2 de la guía de configuración para activar el nivel de Security Command Center Enterprise.

Configura permisos en Google Cloud

Para obtener los permisos que necesitas para usar el conector de AWS, pídele a tu administrador que te otorgue el rol de IAM de propietario de Cloud Assets (roles/cloudasset.owner). Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

También puedes obtener los permisos necesarios mediante roles personalizados o cualquier otro rol predefinido.

Crear cuentas de AWS

Asegúrate de tener los siguientes recursos de AWS:

Configura el conector de AWS

  1. Abre la pestaña Connectors en la página Settings.

    Ir a Conectores

    Ir a Hallazgos en el nivel Enterprise

  2. Selecciona la organización en la que activaste Security Command Center Enterprise.

  3. Selecciona Connectors > Add connector > Amazon Web Services.

  4. En ID de cuenta delegada, ingresa el ID de la cuenta de AWS que puedes usar como cuenta delegada.

  5. Para permitir que Sensitive Data Protection genere perfiles de tus datos de AWS, mantén seleccionada la opción Otorgar permisos para el descubrimiento de Sensitive Data Protection. Esta opción agrega permisos de IAM de AWS en la plantilla de CloudFormation para el rol de recopilador.

    Permisos de IAM de AWS que otorga esta opción

    • s3:GetBucketLocation
    • s3:ListAllMyBuckets
    • s3:GetBucketPolicyStatus
    • s3:ListBucket
    • s3:GetObject
    • s3:GetObjectVersion
    • s3:GetBucketPublicAccessBlock
    • s3:GetBucketOwnershipControls
    • s3:GetBucketTagging
    • iam:ListAttachedRolePolicies
    • iam:GetPolicy
    • iam:GetPolicyVersion
    • iam:ListRolePolicies
    • iam:GetRolePolicy
    • ce:GetCostAndUsage
    • dynamodb:DescribeTableReplicaAutoScaling
    • identitystore:ListGroupMemberships
    • identitystore:ListGroups
    • identitystore:ListUsers
    • lambda:GetFunction
    • lambda:GetFunctionConcurrency
    • logs:ListTagsForResource
    • s3express:CreateSession
    • s3express:GetBucketPolicy
    • s3express:ListAllMyDirectoryBuckets
    • wafv2:GetIPSet

  6. De manera opcional, revisa y edita las Opciones avanzadas. Consulta Cómo personalizar la configuración del conector de AWS para obtener información sobre opciones adicionales.

  7. Haz clic en Continuar. Se abrirá la página Conéctate a AWS.

  8. Selecciona una de las siguientes opciones:

    • Usa plantillas de AWS CloudFormation y, luego, descarga y revisa las plantillas de CloudFormation para el rol delegado y el rol de recopilador.

    • Configura cuentas de AWS manualmente: Selecciona esta opción si configuraste las opciones avanzadas o necesitas cambiar los nombres de rol predeterminados de AWS (aws-delegated-role, aws-collector-role y aws-sensitive-data-protection-role). Copia el ID del agente de servicio, el nombre del rol delegado, el nombre del rol de recopilador y el nombre del rol de recopilador de Sensitive Data Protection.

    No puedes cambiar los nombres de los roles después de crear la conexión.

No hagas clic en Guardar ni en Continuar. En su lugar, configura tu entorno de AWS.

Configura tu entorno de AWS

Puedes configurar tu entorno de AWS con uno de los siguientes métodos:

Usa plantillas de CloudFormation para configurar tu entorno de AWS

Si descargaste plantillas de CloudFormation, sigue estos pasos para configurar tu entorno de AWS.

  1. Accede a la consola de la cuenta delegada de AWS. Asegúrate de haber accedido a la cuenta de delegado que se usa para asumir otras cuentas de AWS del recopilador (es decir, una cuenta de administración de AWS o cualquier cuenta de miembro registrada como administrador delegado).
  2. Ve a la consola de plantillas de AWS CloudFormation.

  3. Crea una pila que aprovisione el rol de delegado:

    1. En la página Stacks, haz clic en Create stack > With new resources (standard).
    2. Cuando especifiques una plantilla, sube el archivo de plantilla de rol delegado.
    3. Cuando especifiques los detalles de la pila, ingresa un nombre.

    4. Si cambiaste el nombre del rol delegado, el rol de recopilador o el rol de Sensitive Data Protection, actualiza los parámetros según corresponda. Los parámetros que ingreses deben coincidir con los que se indican en la página Conectar a AWS de la consola de Google Cloud .

    5. Actualiza las opciones de la pila según lo requiera tu organización.

    6. En la página Revisar y crear, selecciona Confirmo que AWS CloudFormation podría crear recursos de IAM con nombres personalizados.

    7. Haz clic en Enviar para crear la pila.

    Espera a que se cree la pila. Si se produce un error, consulta Solución de problemas. Para obtener más información, consulta Cómo crear una pila en la consola de AWS CloudFormation en la documentación de AWS.

  4. Crea un conjunto de pilas que aprovisione roles de recopilador.

    1. Con una cuenta de administración de AWS o cualquier cuenta de miembro registrada como administrador delegado, ve a la consola de AWS CloudFormation.

    2. En la página StackSets, haz clic en Create StackSet.

    3. Haz clic en Permisos administrados por el servicio.

    4. Cuando especifiques una plantilla, sube el archivo de plantilla del rol de recopilador.

    5. Cuando especifiques los detalles de StackSet, ingresa un nombre y una descripción para el conjunto de pilas.

    6. Ingresa el ID de la cuenta delegada.

    7. Si cambiaste el nombre del rol delegado, el rol de recopilador o el rol de Sensitive Data Protection, actualiza los parámetros según corresponda. Los parámetros que ingreses deben coincidir con los que se indican en la página Conectar a AWS de la consola de Google Cloud .

    8. Según lo requiera tu organización, configura las opciones del conjunto de la pila.

    9. Cuando especifiques las opciones de implementación, elige los destinos de implementación. Puedes realizar la implementación en toda la organización de AWS o en una unidad organizativa (UO) que incluya todas las cuentas de AWS de las que deseas recopilar datos.

    10. Especifica las regiones de AWS en las que se crearán los roles y las políticas. Dado que los roles son recursos globales, no es necesario que especifiques varias regiones.

    11. Cambia otros parámetros de configuración si es necesario.

    12. Revisa los cambios y haz clic en Enviar para crear el conjunto de pilas. Si recibes un error, consulta Solución de problemas. Para obtener más información, consulta Crea StackSets de CloudFormation con permisos administrados por el servicio en la documentación de AWS.

  5. Si necesitas recopilar datos de la cuenta de administración, accede a ella y, luego, implementa una pila separada para aprovisionar los roles del recopilador. Cuando especifiques la plantilla, sube el archivo de plantilla del rol de recopilador.

    Este paso es necesario porque los conjuntos de pilas de AWS CloudFormation no crean instancias de pila en las cuentas de administración. Para obtener más información, consulta DeploymentTargets en la documentación de AWS.

Para completar el proceso de integración, consulta Cómo completar el proceso de integración.

Configura cuentas de AWS de forma manual

Si no puedes usar las plantillas de CloudFormation (por ejemplo, si usas nombres de roles diferentes o personalizas la integración), puedes crear las políticas y los roles de IAM de AWS necesarios de forma manual.

Debes crear políticas y roles de IAM de AWS para la cuenta delegada y las cuentas de recopilador.

Crea la política de IAM de AWS para el rol delegado

Para crear una política de IAM de AWS para el rol delegado (una política delegada), completa los siguientes pasos:

  1. Accede a la consola de la cuenta delegada de AWS.

  2. Haz clic en Políticas > Crear política.

  3. Haz clic en JSON y pega uno de los siguientes códigos, según si seleccionaste la casilla de verificación Grant permissions for Sensitive Data Protection discovery en Configure Security Command Center.

    Otorgar permisos para el descubrimiento de Sensitive Data Protection: Borrado

    {
  "Version": "2012-10-17",
  "Statement": [
      {
          "Action": "sts:AssumeRole",
          "Resource": "arn:aws:iam::*:role/COLLECTOR_ROLE_NAME",
          "Effect": "Allow"
      },
      {
          "Action": [
              "organizations:List*",
              "organizations:Describe*"
          ],
          "Resource": "*",
          "Effect": "Allow"
      }
  ]
}

    Reemplaza COLLECTOR_ROLE_NAME por el nombre del rol de recopilador que copiaste cuando configuraste Security Command Center (el valor predeterminado es aws-collector-role).

    Otorgar permisos para el descubrimiento de Sensitive Data Protection: Seleccionado

        {
      "Version": "2012-10-17",
      "Statement": [
        {
          "Action": "sts:AssumeRole",
          "Resource": [
            "arn:aws:iam::*:role/COLLECTOR_ROLE_NAME",
            "arn:aws:iam::*:role/SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME"
          ],
          "Effect": "Allow"
        },
        {
          "Action": [
            "organizations:List*",
            "organizations:Describe*"
          ],
          "Resource": "*",
          "Effect": "Allow"
        }
      ]
    }

    Reemplaza lo siguiente:

    • COLLECTOR_ROLE_NAME: Es el nombre del rol de recopilador de datos de configuración que copiaste cuando configuraste Security Command Center (el valor predeterminado es aws-collector-role).
    • SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME: Es el nombre del rol de recopilador de Sensitive Data Protection que copiaste cuando configuraste Security Command Center (el valor predeterminado es aws-sensitive-data-protection-role).

  4. Haz clic en Siguiente.

  5. En la sección Detalles de la política, ingresa un nombre y una descripción para la política.

  6. Haz clic en Crear política.

Crea un rol de IAM de AWS para la relación de confianza entre AWS y Google Cloud

Crea un rol delegado que establezca una relación de confianza entre AWS yGoogle Cloud. Este rol usa la política delegada que se creó en Crea la política de IAM de AWS para el rol delegado.

  1. Accede a la consola de la cuenta delegada de AWS como un usuario de AWS que pueda crear roles y políticas de IAM.

  2. Haz clic en Roles > Create role.

  3. En Tipo de entidad de confianza, haz clic en Identidad web.

  4. En Proveedor de identidad, haz clic en Google.

  5. En Público, ingresa el ID del agente de servicio que copiaste cuando configuraste Security Command Center. Haz clic en Siguiente.

  6. Para otorgar al rol delegado acceso a los roles del recopilador, adjunta las políticas de permisos al rol. Busca la política delegada que se creó en Crea la política de IAM de AWS para el rol delegado y selecciónala.

  7. En la sección Detalles del rol, ingresa el Nombre del rol delegado que copiaste cuando configuraste Security Command Center (el nombre predeterminado es aws-delegated-role).

  8. Haz clic en Crear rol.

Crea la política de IAM de AWS para la recopilación de datos de configuración de activos

Para crear una política de IAM de AWS para la recopilación de datos de configuración de activos (una política de recopilador), completa los siguientes pasos:

  1. Accede a la consola de la cuenta del recopilador de AWS.

  2. Haz clic en Políticas > Crear política.

  3. Haz clic en JSON y pega lo siguiente:

    {
  "Version": "2012-10-17",
  "Statement": [
      {
          "Effect": "Allow",
          "Action": [
              "ce:GetCostAndUsage",
              "dynamodb:DescribeTableReplicaAutoScaling",
              "identitystore:ListGroupMemberships",
              "identitystore:ListGroups",
              "identitystore:ListUsers",
              "lambda:GetFunction",
              "lambda:GetFunctionConcurrency",
              "logs:ListTagsForResource",
              "s3express:GetBucketPolicy",
              "s3express:ListAllMyDirectoryBuckets",
              "wafv2:GetIPSet"
          ],
          "Resource": [
              "*"
          ]
      },
      {
          "Effect": "Allow",
          "Action": [
              "apigateway:GET"
          ],
          "Resource": [
              "arn:aws:apigateway:*::/usageplans",
              "arn:aws:apigateway:*::/usageplans/*/keys",
              "arn:aws:apigateway:*::/vpclinks/*"
          ]
      }
  ]

}

  4. Haz clic en Siguiente.

  5. En la sección Detalles de la política, ingresa un nombre y una descripción para la política.

  6. Haz clic en Crear política.

  7. Repite estos pasos para cada cuenta de recopilador.

Crea el rol de IAM de AWS para la recopilación de datos de configuración de activos en cada cuenta

Crea el rol de recopilador que permite que Security Command Center obtenga datos de configuración de activos de AWS. Este rol usa la política del recopilador que se creó en Crea la política de IAM de AWS para la recopilación de datos de configuración de activos.

  1. Accede a la consola de la cuenta del recopilador de AWS como un usuario que pueda crear roles de IAM para las cuentas del recopilador.

  2. Haz clic en Roles > Create role.

  3. En Tipo de entidad de confianza, haz clic en Política de confianza personalizada.

  4. En la sección Política de confianza personalizada, pega lo siguiente:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::DELEGATE_ACCOUNT_ID:role/DELEGATE_ACCOUNT_ROLE"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

    Reemplaza lo siguiente:

  5. Para otorgar a este rol de recopilador acceso a los datos de configuración de tus activos de AWS, adjunta las políticas de permisos al rol. Busca la política de recopilador personalizada que se creó en Crea la política de IAM de AWS para la recopilación de datos de configuración de activos y selecciónala.

  6. Busca y selecciona las siguientes políticas administradas:

    • arn:aws:iam::aws:policy/job-function/ViewOnlyAccess
    • arn:aws:iam::aws:policy/SecurityAudit

  7. En la sección Detalles del rol, ingresa el nombre del rol de recopilador de datos de configuración que copiaste cuando configuraste Security Command Center.

  8. Haz clic en Crear rol.

  9. Repite estos pasos para cada cuenta de recopilador.

Si seleccionaste la casilla de verificación Otorga permisos para el descubrimiento de la Protección de datos sensibles en Configurar Security Command Center, continúa con la siguiente sección.

Si no habilitaste la casilla de verificación Grant permissions for Sensitive Data Protection discovery, completa el proceso de integración.

Crea la política de IAM de AWS para Sensitive Data Protection

Completa estos pasos si seleccionaste la casilla de verificación Grant permissions for Sensitive Data Protection discovery en Configure Security Command Center.

Para crear una política de IAM de AWS para Sensitive Data Protection (una política de recopilador), completa los siguientes pasos:

  1. Accede a la consola de la cuenta del recopilador de AWS.

  2. Haz clic en Políticas > Crear política.

  3. Haz clic en JSON y pega lo siguiente:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:GetBucketLocation",
        "s3:ListAllMyBuckets",
        "s3:GetBucketPolicyStatus",
        "s3:ListBucket",
        "s3:GetObject",
        "s3:GetObjectVersion",
        "s3:GetBucketPublicAccessBlock",
        "s3:GetBucketOwnershipControls",
        "s3:GetBucketTagging"
      ],
      "Resource": ["arn:aws:s3:::*"]
    },
    {
      "Effect": "Allow",
      "Action": [
        "iam:ListAttachedRolePolicies",
        "iam:GetPolicy",
        "iam:GetPolicyVersion",
        "iam:ListRolePolicies",
        "iam:GetRolePolicy",
        "ce:GetCostAndUsage",
        "dynamodb:DescribeTableReplicaAutoScaling",
        "identitystore:ListGroupMemberships",
        "identitystore:ListGroups",
        "identitystore:ListUsers",
        "lambda:GetFunction",
        "lambda:GetFunctionConcurrency",
        "logs:ListTagsForResource",
        "s3express:GetBucketPolicy",
        "s3express:ListAllMyDirectoryBuckets",
        "wafv2:GetIPSet"
      ],
      "Resource": ["*"]
    },
    {
      "Effect": "Allow",
      "Action": [
          "s3express:CreateSession"
      ],
      "Resource": ["arn:aws:s3express:*:*:bucket/*"]
    }
  ]
}

  4. Haz clic en Siguiente.

  5. En la sección Detalles de la política, ingresa un nombre y una descripción para la política.

  6. Haz clic en Crear política.

  7. Repite estos pasos para cada cuenta de recopilador.

Crea el rol de IAM de AWS para Sensitive Data Protection en cada cuenta

Completa estos pasos si seleccionaste la casilla de verificación Grant permissions for Sensitive Data Protection discovery en Configure Security Command Center.

Crea el rol de recopilador que permite que Sensitive Data Protection genere perfiles del contenido de tus recursos de AWS. Este rol usa la política del recopilador que se creó en Crea la política de IAM de AWS para Sensitive Data Protection.

  1. Accede a la consola de la cuenta del recopilador de AWS como un usuario que puede crear roles de IAM para las cuentas del recopilador.

  2. Haz clic en Roles > Create role.

  3. En Tipo de entidad de confianza, haz clic en Política de confianza personalizada.

  4. En la sección Política de confianza personalizada, pega lo siguiente:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::DELEGATE_ACCOUNT_ID:role/DELEGATE_ACCOUNT_ROLE"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

    Reemplaza lo siguiente:

  5. Para otorgar a este rol de recopilador acceso al contenido de tus recursos de AWS, adjunta las políticas de permisos al rol. Busca la política personalizada de recopilador que se creó en Crea la política de IAM de AWS para la Protección de datos sensibles y selecciónala.

  6. En la sección Detalles del rol, ingresa el nombre del rol de la protección de datos sensibles que copiaste cuando configuraste Security Command Center.

  7. Haz clic en Crear rol.

  8. Repite estos pasos para cada cuenta de recopilador.

Para completar el proceso de integración, consulta Cómo completar el proceso de integración.

Completa el proceso de integración

  1. En la consola de Google Cloud , en la página Probar conector, haz clic en Probar conector para verificar que Security Command Center pueda conectarse a tu entorno de AWS. Si la conexión se realiza correctamente, la prueba determina que el rol delegado tiene todos los permisos necesarios para asumir los roles de recopilador. Si la conexión no se realiza correctamente, consulta Cómo solucionar errores al probar la conexión.

  2. Haz clic en Crear.

El conector comenzará a analizar y recopilar datos de las cuentas y ubicaciones de AWS que especificaste. Los resultados pueden tardar hasta 24 horas en aparecer.

Personaliza la configuración del conector de AWS

En esta sección, se describen algunas formas en las que puedes personalizar la conexión entre Security Command Center y AWS. Estas opciones están disponibles en la sección Opciones avanzadas (opcional) de la página Agregar conector de Amazon Web Services en la consola de Google Cloud .

De forma predeterminada, Security Command Center descubre automáticamente tus cuentas de AWS en todas las regiones de AWS. La conexión usa el extremo global predeterminado para el servicio de token de seguridad de AWS y las consultas por segundo (QPS) predeterminadas para el servicio de AWS que supervisas. Estas opciones avanzadas te permiten personalizar los valores predeterminados.

Opción Descripción
Agrega cuentas de conectores de AWS

Selecciona una opción según tu preferencia:

  • Agregar cuentas automáticamente (recomendado): Selecciona esta opción para permitir que Security Command Center descubra las cuentas de AWS automáticamente.
  • Agregar cuentas individualmente: Selecciona esta opción para agregar cuentas de AWS de forma manual.
Excluye cuentas de conectores de AWS Si seleccionaste Agregar cuentas automáticamente en la sección Agregar cuentas de conector de AWS, proporciona una lista de las cuentas de AWS que Security Command Center no debe usar para encontrar recursos.
Ingresa cuentas de conectores de AWS Si seleccionaste Agregar cuentas de forma individual en la sección Agregar cuentas de conector de AWS, proporciona una lista de las cuentas de AWS que Security Command Center puede usar para encontrar recursos.
Selecciona regiones para recopilar datos Selecciona una o más regiones de AWS para que Security Command Center recopile datos. Deja el campo Regiones de AWS vacío para recopilar datos de todas las regiones.
Consultas por segundo (QPS) máximas para los servicios de AWS Puedes cambiar las QPS para controlar el límite de cuota de Security Command Center. Establece la anulación en un valor inferior al valor predeterminado de ese servicio y mayor o igual que 1. El valor predeterminado es el valor máximo. Si cambias el QPS, es posible que Security Command Center tenga problemas para recuperar datos. Por lo tanto, no recomendamos cambiar este valor.
Extremo del Servicio de tokens de seguridad de AWS Puedes especificar un extremo específico para el servicio de tokens de seguridad (STS) de AWS (por ejemplo, https://sts.us-east-2.amazonaws.com). Deja el campo Servicio de tokens de seguridad de AWS vacío para usar el extremo global predeterminado (https://sts.amazonaws.com).

Cómo otorgar permisos de descubrimiento de datos sensibles a un conector de AWS existente

Para realizar el descubrimiento de datos sensibles en tu contenido de AWS, necesitas un conector de AWS que tenga los permisos de IAM de AWS requeridos.

En esta sección, se describe cómo otorgar esos permisos a un conector de AWS existente. Los pasos que debes seguir dependen de si configuraste tu entorno de AWS con plantillas de CloudFormation o de forma manual.

Actualiza un conector existente con plantillas de CloudFormation

Si configuraste tu entorno de AWS con plantillas de CloudFormation, sigue estos pasos para otorgar permisos de detección de datos sensibles a tu conector de AWS existente.

  1. En la consola de Google Cloud , ve a Configuración > Configuración de SCC.

    Ir a la configuración

  2. Selecciona la organización en la que activaste Security Command Center Enterprise.

  3. Selecciona Conectores. Se abrirá la página Configurar conector.

  4. En el conector de AWS, haz clic en Más opciones > Editar.

  5. En la sección Revisa los tipos de datos, selecciona Otorga permisos para el descubrimiento de Sensitive Data Protection.

  6. Haz clic en Continuar. Se abrirá la página Conéctate a AWS.

  7. Haz clic en Descargar plantilla de rol delegado. La plantilla se descargará en tu computadora.

  8. Haz clic en Descargar plantilla de rol recopilador. La plantilla se descargará en tu computadora.

  9. Haz clic en Continuar. Se abrirá la página Probar conector. No pruebes el conector todavía.

  10. En la consola de CloudFormation, actualiza la plantilla de la pila para el rol delegado:

    1. Accede a la consola de la cuenta delegada de AWS. Asegúrate de haber accedido a la cuenta de delegado que se usa para asumir otras cuentas de AWS del recopilador.
    2. Ve a la consola de AWS CloudFormation.

    3. Reemplaza la plantilla de la pila del rol delegado por la plantilla actualizada del rol delegado que descargaste.

      Para obtener más información, consulta Actualiza la plantilla de una pila (consola) en la documentación de AWS.

  11. Actualiza el conjunto de pilas para el rol de recopilador:

    1. Con una cuenta de administración de AWS o cualquier cuenta de miembro registrada como administrador delegado, ve a la consola de AWS CloudFormation.

    2. Reemplaza la plantilla del conjunto de pilas para el rol de recopilador por la plantilla actualizada del rol de recopilador que descargaste.

      Para obtener más información, consulta Actualiza tu conjunto de pilas con la consola de AWS CloudFormation en la documentación de AWS.

  12. Si necesitas recopilar datos de la cuenta de administrador, accede a ella y reemplaza la plantilla de la pila del recopilador por la plantilla de rol del recopilador actualizada que descargaste.

    Este paso es necesario porque los conjuntos de pilas de AWS CloudFormation no crean instancias de pila en las cuentas de administración. Para obtener más información, consulta DeploymentTargets en la documentación de AWS.

  13. En la Google Cloud consola, en la página Probar conector, haz clic en Probar conector. Si la conexión se realiza correctamente, la prueba determina que el rol delegado tiene todos los permisos necesarios para asumir los roles del recopilador. Si la conexión no se realiza correctamente, consulta Cómo solucionar errores al probar la conexión.

  14. Haz clic en Guardar.

Actualiza un conector existente de forma manual

Si configuraste tus cuentas de AWS de forma manual cuando creaste el conector de AWS, sigue estos pasos para otorgar permisos de detección de datos sensibles a tu conector de AWS existente.

  1. Abre la pestaña Connectors en la página Settings.

    Ir a Conectores

  2. Selecciona la organización en la que activaste Security Command Center Enterprise.

  3. En el conector de AWS, haz clic en Más opciones > Editar.

  4. En la sección Revisa los tipos de datos, selecciona Otorga permisos para el descubrimiento de Sensitive Data Protection.

  5. Haz clic en Continuar. Se abrirá la página Conéctate a AWS.

  6. Haz clic en Configurar cuentas de AWS manualmente (recomendado si usas parámetros de configuración avanzados o nombres de rol personalizados).

  7. Copia los valores de los siguientes campos:

    • Nombre de rol delegado
    • Nombre del rol del recopilador
    • Nombre del rol de recopilador de Sensitive Data Protection

  8. Haz clic en Continuar. Se abrirá la página Probar conector. No pruebes el conector todavía.

  9. En la consola de la cuenta delegada de AWS, actualiza la política de IAM de AWS para el rol delegado de modo que use el siguiente código JSON:

        {
      "Version": "2012-10-17",
      "Statement": [
        {
          "Action": "sts:AssumeRole",
          "Resource": [
            "arn:aws:iam::*:role/COLLECTOR_ROLE_NAME",
            "arn:aws:iam::*:role/SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME"
          ],
          "Effect": "Allow"
        },
        {
          "Action": [
            "organizations:List*",
            "organizations:Describe*"
          ],
          "Resource": "*",
          "Effect": "Allow"
        }
      ]
    }

    Reemplaza lo siguiente:

    • COLLECTOR_ROLE_NAME: El nombre del rol de recopilador de datos de configuración que copiaste (el valor predeterminado es aws-collector-role)
    • SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME: Es el nombre del rol de recopilador de Sensitive Data Protection que copiaste (el valor predeterminado es aws-sensitive-data-protection-role).

    Para obtener más información, consulta Cómo editar políticas administradas por el cliente (consola) en la documentación de AWS.

  10. Para cada cuenta de recopilador, realiza los siguientes procedimientos:

    1. Crea la política de IAM de AWS para la Protección de datos sensibles.

    2. Crea el rol de IAM de AWS para Sensitive Data Protection en cada cuenta.

  11. En la Google Cloud consola, en la página Probar conector, haz clic en Probar conector. Si la conexión se realiza correctamente, la prueba determina que el rol delegado tiene todos los permisos necesarios para asumir los roles del recopilador. Si la conexión no se realiza correctamente, consulta Cómo solucionar errores al probar la conexión.

  12. Haz clic en Guardar.

Soluciona problemas

En esta sección, se incluyen algunos problemas comunes que puedes encontrar cuando integras Security Command Center con AWS.

Los recursos ya existen

Este error se produce en el entorno de AWS cuando intentas crear las políticas y los roles de IAM de AWS, y el rol ya existe en tu cuenta de AWS.

Para resolver este error, completa los siguientes pasos:

  • Verifica si el rol o la política que estás creando ya existen y cumplen con los requisitos que se indican en esta guía.
  • Si es necesario, cambia el nombre del rol para evitar conflictos.

Principal no válida en la política

Este error puede ocurrir en el entorno de AWS cuando creas los roles del recopilador, pero el rol de delegado aún no existe.

Para resolver este error, completa los pasos que se indican en Crea la política de IAM de AWS para el rol delegado y espera a que se cree el rol delegado antes de continuar.

Limitaciones de regulación en AWS

AWS limita las solicitudes de API para cada cuenta de AWS por cuenta o por región. Para garantizar que no se excedan estos límites cuando Security Command Center recopila datos de configuración de activos de AWS, Security Command Center recopila los datos a un QPS máximo fijo para cada servicio de AWS, como se describe en la documentación de la API del servicio de AWS.

Si experimentas una limitación de solicitudes en tu entorno de AWS debido a las QPS consumidas, puedes mitigar el problema completando los siguientes pasos:

  • En la página de configuración del conector de AWS, establece un QPS personalizado para el servicio de AWS que experimenta la limitación de solicitudes.

  • Restringe los permisos del rol de recopilador de AWS para que ya no se recopilen los datos de ese servicio específico. Esta técnica de mitigación impide que las simulaciones de rutas de ataque funcionen correctamente para AWS.

Si revocas todos los permisos en AWS, se detendrá el proceso de recopilación de datos de inmediato. Si borras el conector de AWS, no se detendrá de inmediato el proceso de recopilación de datos, pero no se volverá a iniciar después de que finalice.

Se devuelve un hallazgo para un recurso de AWS borrado

Después de que se borra un recurso de AWS, pueden pasar hasta 40 horas para que se quite del sistema de inventario de recursos de Security Command Center. Si decides resolver un hallazgo borrando el recurso, es posible que veas el hallazgo informado durante este período, ya que el recurso aún no se quitó del sistema de inventario de recursos de Security Command Center.

Soluciona errores cuando pruebas la conexión

Estos errores pueden ocurrir cuando pruebas la conexión entre Security Command Center y AWS.

AWS_FAILED_TO_ASSUME_DELEGATED_ROLE

La conexión no es válida porque el agente de servicio de Google Cloud no puede asumir el rol delegado.

Para resolver esta situación, considera lo siguiente:

AWS_FAILED_TO_LIST_ACCOUNTS

La conexión no es válida porque el descubrimiento automático está habilitado y el rol delegado no puede recuperar todas las cuentas de AWS de las organizaciones.

Este error indica que falta la política para permitir la acción organizations:ListAccounts en el rol delegado en ciertos recursos. Para resolver este error, verifica qué recursos faltan. Para verificar la configuración de la política delegada, consulta Crea la política de IAM de AWS para el rol delegado.

Verifica que hayas creado y configurado las cuentas de AWS como se describe en la sección Crea cuentas de AWS.

AWS_ACTIVE_COLLECTOR_ACCOUNTS_NOT_FOUND

La conexión no es válida porque no se encontraron cuentas de recopilador de AWS con el estado ACTIVE.

Si seleccionaste Agregar cuentas automáticamente en el campo Agregar cuentas de conector de AWS, no se encontraron cuentas de AWS con el estado ACTIVE, excepto las que se especificaron en el campo Excluir cuentas de conector de AWS.

Si seleccionaste Agregar cuentas de forma individual, en el campo Agregar cuentas de conector de AWS, verifica que las cuentas que proporcionaste tengan el estado ACTIVE.

AWS_INVALID_COLLECTOR_ACCOUNTS

La conexión no es válida porque hay cuentas de recopilador no válidas. El mensaje de error incluye más información sobre las posibles causas, entre las que se incluyen las siguientes:

AWS_FAILED_TO_ASSUME_COLLECTOR_ROLE

La cuenta del recopilador no es válida porque el rol delegado no puede asumir el rol de recopilador en la cuenta del recopilador.

Para resolver este error, considera lo siguiente:

AWS_COLLECTOR_ROLE_POLICY_MISSING_REQUIRED_PERMISSION

La conexión no es válida porque a la política del recopilador le falta parte de la configuración de permisos requerida.

Para resolver este error, considera las siguientes causas:

¿Qué sigue?