Halaman ini diterjemahkan oleh Cloud Translation API.

Menghubungkan ke AWS untuk pengumpulan data konfigurasi dan resource

Anda dapat menghubungkan paket Enterprise Security Command Center ke lingkungan Amazon Web Services (AWS) Anda sehingga Anda dapat melakukan hal berikut:

Mendeteksi dan memperbaiki kerentanan serta kesalahan konfigurasi software di lingkungan AWS Anda
Membuat dan mengelola postur keamanan untuk AWS
Mengidentifikasi potensi jalur serangan dari internet publik ke aset AWS bernilai tinggi Anda
Memetakan kepatuhan resource AWS dengan berbagai standar dan tolok ukur

Menghubungkan Security Command Center ke AWS akan menciptakan satu tempat bagi tim operasi keamanan Anda untuk mengelola dan memulihkan ancaman serta kerentanan di seluruhGoogle Cloud dan AWS.

Untuk mengizinkan Security Command Center memantau organisasi AWS Anda, Anda harus mengonfigurasi koneksi menggunakan Google Cloud agen layanan dan akun AWS yang memiliki akses ke resource yang ingin Anda pantau. Security Command Center menggunakan koneksi ini untuk mengumpulkan data secara berkala di semua akun dan region AWS yang Anda tentukan. Data ini ditangani dengan cara yang sama seperti Data Layanan sesuai dengan Pemberitahuan Privasi Google Cloud.

Anda dapat membuat satu koneksi AWS untuk setiap Google Cloud organisasi. Konektor menggunakan panggilan API untuk mengumpulkan data aset AWS. Panggilan API ini dapat menimbulkan biaya AWS.

Dokumen ini menjelaskan cara menyiapkan koneksi dengan AWS. Saat menyiapkan koneksi, Anda mengonfigurasi hal berikut:

Serangkaian akun di AWS yang memiliki akses langsung ke resource AWS yang ingin Anda pantau. Di konsol Google Cloud , akun ini disebut akun pengumpul.
Akun di AWS yang memiliki kebijakan dan peran yang sesuai untuk mengizinkan autentikasi ke akun pengumpul. Di konsol Google Cloud , akun ini disebut akun yang didelegasikan. Akun yang didelegasikan dan akun pengumpul harus berada di organisasi AWS yang sama.
Agen layanan di Google Cloud yang terhubung ke akun yang didelegasikan untuk autentikasi.
Pipeline untuk mengumpulkan data aset dari resource AWS.
(Opsional) Izin untuk Sensitive Data Protection dalam membuat profil konten AWS Anda.

Konektor tidak menyerap log AWS yang diperlukan untuk kemampuan deteksi yang dikurasi SIEM di Security Command Center Enterprise. Untuk mengetahui informasi tentang cara menyerap data ini, lihat Menghubungkan ke AWS untuk penyerapan log.

Koneksi ini tidak berlaku untuk kemampuan SIEM Security Command Center yang memungkinkan Anda memasukkan log AWS untuk deteksi ancaman.

Diagram berikut menunjukkan konfigurasi ini. Project tenant adalah project yang dibuat secara otomatis dan berisi instance pipeline pengumpulan data aset Anda.

Konfigurasi AWS dan Security Command Center.

Sebelum memulai

Selesaikan tugas ini sebelum Anda menyelesaikan tugas lainnya di halaman ini.

Mengaktifkan paket Security Command Center Enterprise

Selesaikan langkah 1 dan langkah 2 panduan penyiapan untuk mengaktifkan paket Security Command Center Enterprise.

Menyiapkan izin di Google Cloud

Untuk mendapatkan izin yang diperlukan untuk menggunakan konektor AWS, minta administrator Anda untuk memberi Anda peran IAM Cloud Asset Owner (roles/cloudasset.owner). Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.

Membuat akun AWS

Pastikan Anda memiliki resource AWS berikut:

Pengguna AWS IAM dengan akses AWS IAM untuk konsol akun AWS yang didelegasikan dan pengumpul.
ID akun AWS untuk akun AWS yang dapat Anda gunakan sebagai akun yang didelegasikan. Akun yang didelegasikan harus memenuhi persyaratan berikut:
- Akun yang didelegasikan harus dilampirkan ke organisasi AWS. Untuk melampirkan akun ke organisasi AWS, lakukan hal berikut:
  1. Buat atau identifikasi organisasi tempat Anda akan melampirkan akun yang didelegasikan.
  2. Undang akun yang didelegasikan untuk bergabung dengan organisasi.
- Akun yang didelegasikan harus berupa salah satu dari berikut:
  - Akun pengelolaan AWS.
  - Administrator yang didelegasikan AWS.
  - Akun AWS dengan kebijakan delegasi berbasis resource yang memberikan izin organizations:ListAccounts. Untuk contoh kebijakan, lihat Membuat kebijakan delegasi berbasis resource dengan AWS Organizations dalam dokumentasi AWS.

Mengonfigurasi konektor AWS

Buka tab Konektor di halaman Setelan.

Buka Konektor
Buka Temuan di tingkat Enterprise
Pilih organisasi tempat Anda mengaktifkan Security Command Center Enterprise.
Pilih Konektor > Tambahkan konektor > Amazon Web Services.
Di Delegated account ID, masukkan ID akun AWS untuk akun AWS yang dapat Anda gunakan sebagai akun yang didelegasikan.
Agar Sensitive Data Protection dapat membuat profil data AWS Anda, biarkan opsi Beri izin untuk penemuan Sensitive Data Protection tetap dipilih. Opsi ini menambahkan izin IAM AWS di template CloudFormation untuk peran pengumpul.
Izin AWS IAM yang diberikan oleh opsi ini
- s3:GetBucketLocation
- s3:ListAllMyBuckets
- s3:GetBucketPolicyStatus
- s3:ListBucket
- s3:GetObject
- s3:GetObjectVersion
- s3:GetBucketPublicAccessBlock
- s3:GetBucketOwnershipControls
- s3:GetBucketTagging
- iam:ListAttachedRolePolicies
- iam:GetPolicy
- iam:GetPolicyVersion
- iam:ListRolePolicies
- iam:GetRolePolicy
- ce:GetCostAndUsage
- dynamodb:DescribeTableReplicaAutoScaling
- identitystore:ListGroupMemberships
- identitystore:ListGroups
- identitystore:ListUsers
- lambda:GetFunction
- lambda:GetFunctionConcurrency
- logs:ListTagsForResource
- s3express:CreateSession
- s3express:GetBucketPolicy
- s3express:ListAllMyDirectoryBuckets
- wafv2:GetIPSet
Catatan: Opsi ini hanya memberikan izin AWS yang diperlukan ke peran pengumpul. Untuk membuat profil data AWS, aktifkan penemuan data sensitif setelah membuat konektor AWS ini.
Secara opsional, tinjau dan edit Opsi lanjutan. Lihat Menyesuaikan konfigurasi konektor AWS untuk mengetahui informasi tentang opsi tambahan.
Klik Lanjutkan. Halaman Connect to AWS akan terbuka.
Pilih salah satu opsi berikut:
- Gunakan template AWS CloudFormation, lalu download dan tinjau template CloudFormation untuk peran yang didelegasikan dan peran pengumpul.
- Konfigurasi akun AWS secara manual: Pilih opsi ini jika Anda mengonfigurasi opsi lanjutan atau perlu mengubah nama peran AWS default (aws-delegated-role, aws-collector-role, dan aws-sensitive-data-protection-role). Salin ID agen layanan, nama peran yang didelegasikan, nama peran pengumpul, dan nama peran pengumpul Sensitive Data Protection.
Anda tidak dapat mengubah nama peran setelah membuat koneksi.

Jangan klik Simpan atau Lanjutkan. Sebagai gantinya, konfigurasi lingkungan AWS Anda.

Mengonfigurasi lingkungan AWS Anda

Anda dapat menyiapkan lingkungan AWS menggunakan salah satu metode berikut:

Gunakan template CloudFormation yang Anda download di Mengonfigurasi Security Command Center. Untuk mendapatkan petunjuk, lihat Menggunakan template CloudFormation untuk menyiapkan lingkungan AWS Anda.
Jika Anda menggunakan setelan atau nama peran yang disesuaikan, konfigurasi akun AWS secara manual. Untuk mengetahui petunjuknya, lihat Mengonfigurasi akun AWS secara manual.

Menggunakan template CloudFormation untuk menyiapkan lingkungan AWS Anda

Jika Anda mendownload template CloudFormation, gunakan langkah-langkah berikut untuk menyiapkan lingkungan AWS Anda.

Login ke konsol akun yang didelegasikan AWS. Pastikan Anda login ke akun penerima tugas yang digunakan untuk mengambil alih akun AWS pengumpul lainnya (yaitu, akun pengelolaan AWS atau akun anggota yang terdaftar sebagai administrator yang didelegasikan).
Buka konsol AWS CloudFormation Template.
Buat stack yang menyediakan peran delegasi:
1. Di halaman Stacks, klik Create stack > With new resources (standard).
2. Saat menentukan template, upload file template peran yang didelegasikan.
3. Saat menentukan detail stack, masukkan nama stack.
4. Jika Anda mengubah nama peran yang didelegasikan, peran pengumpul, atau peran Perlindungan Data Sensitif, perbarui parameter yang sesuai. Parameter yang Anda masukkan harus cocok dengan parameter yang tercantum di halaman Connect to AWS di konsol Google Cloud .
5. Sesuai kebutuhan organisasi Anda, perbarui opsi susunan.
6. Di halaman Review and create, pilih I acknowledge that AWS CloudFormation might create IAM resources with custom names.
7. Klik Submit untuk membuat stack.
Tunggu hingga stack selesai dibuat. Jika terjadi error, lihat Pemecahan masalah. Untuk mengetahui informasi selengkapnya, lihat Membuat stack di konsol AWS CloudFormation dalam dokumentasi AWS.
Buat set tumpukan yang menyediakan peran pengumpul.

Catatan: Jika Anda memilih untuk menambahkan akun AWS satu per satu (dengan memilih Tambahkan akun satu per satu saat mengonfigurasi konektor di Google Cloud console), Anda juga dapat membuat stack terpisah untuk setiap akun AWS daripada membuat satu set stack.
1. Dengan menggunakan akun pengelolaan AWS atau akun anggota yang terdaftar sebagai administrator yang didelegasikan, buka konsol AWS CloudFormation.
2. Di halaman StackSets, klik Create StackSet.
3. Klik Izin yang dikelola layanan.
  
  Catatan: Anda dapat memilih untuk menggunakan izin yang dikelola sendiri, tetapi kemudian Anda harus memberikan izin secara manual.
4. Saat menentukan template, upload file template peran pengumpul.
5. Saat menentukan detail StackSet, masukkan nama dan deskripsi set stack.
6. Masukkan ID akun penerima tugas.
7. Jika Anda mengubah nama peran yang didelegasikan, peran pengumpul, atau peran Perlindungan Data Sensitif, perbarui parameter yang sesuai. Parameter yang Anda masukkan harus cocok dengan parameter yang tercantum di halaman Connect to AWS di konsol Google Cloud .
8. Sesuai yang diperlukan oleh organisasi Anda, konfigurasi opsi set tumpukan Anda.
9. Saat menentukan opsi deployment, pilih target deployment Anda. Anda dapat men-deploy ke seluruh organisasi AWS atau men-deploy ke unit organisasi (OU) yang mencakup semua akun AWS yang datanya ingin Anda kumpulkan.
  
  Catatan: Jika memilih izin yang dikelola sendiri, Anda dapat memilih akun AWS yang ingin digunakan untuk men-deploy. Template CloudFormation tidak mendukung daftar akun AWS yang akan disertakan atau dikecualikan, seperti yang dijelaskan dalam Konfigurasi kustom. Jika Anda ingin membuat daftar akun AWS yang akan disertakan atau dikecualikan, set tumpukan dapat membuat beberapa tumpukan yang tidak diperlukan. Anda dapat mengabaikan atau menghapus tumpukan tersebut.
10. Tentukan region AWS untuk membuat peran dan kebijakan. Karena peran adalah resource global, Anda tidak perlu menentukan beberapa region.
11. Ubah setelan lainnya jika diperlukan.
12. Tinjau perubahan, lalu klik Submit untuk membuat set tumpukan. Jika Anda menerima error, lihat Pemecahan masalah. Untuk mengetahui informasi selengkapnya, lihat Membuat StackSet CloudFormation dengan izin yang dikelola layanan dalam dokumentasi AWS.
Jika Anda perlu mengumpulkan data dari akun pengelolaan, login ke akun pengelolaan dan deploy stack terpisah untuk menyediakan peran pengumpul. Saat menentukan template, upload file template peran pengumpul.

Langkah ini diperlukan karena set stack AWS CloudFormation tidak membuat instance stack di akun pengelolaan. Untuk mengetahui informasi selengkapnya, lihat DeploymentTargets dalam dokumentasi AWS.

Untuk menyelesaikan proses integrasi, lihat Menyelesaikan proses integrasi.

Mengonfigurasi akun AWS secara manual

Jika Anda tidak dapat menggunakan template CloudFormation (misalnya, Anda menggunakan nama peran yang berbeda atau menyesuaikan integrasi), Anda dapat membuat kebijakan AWS IAM dan peran AWS IAM yang diperlukan secara manual.

Anda harus membuat kebijakan IAM AWS dan peran IAM AWS untuk akun yang didelegasikan dan akun pengumpul.

Membuat kebijakan AWS IAM untuk peran yang didelegasikan

Untuk membuat kebijakan AWS IAM bagi peran yang didelegasikan (kebijakan yang didelegasikan), selesaikan langkah-langkah berikut:

Login ke konsol akun yang didelegasikan AWS.
Klik Policies > Create policy.

Klik JSON dan tempel salah satu kode berikut, bergantung pada apakah Anda mencentang kotak Berikan izin untuk penemuan Sensitive Data Protection di Konfigurasi Security Command Center.

Memberikan izin untuk penemuan Sensitive Data Protection: dibersihkan

{
  "Version": "2012-10-17",
  "Statement": [
      {
          "Action": "sts:AssumeRole",
          "Resource": "arn:aws:iam::*:role/COLLECTOR_ROLE_NAME",
          "Effect": "Allow"
      },
      {
          "Action": [
              "organizations:List*",
              "organizations:Describe*"
          ],
          "Resource": "*",
          "Effect": "Allow"
      }
  ]
}

Ganti COLLECTOR_ROLE_NAME dengan nama peran pengumpul yang Anda salin saat mengonfigurasi Security Command Center (defaultnya adalah aws-collector-role).

Memberikan izin untuk penemuan Sensitive Data Protection: dipilih

    {
      "Version": "2012-10-17",
      "Statement": [
        {
          "Action": "sts:AssumeRole",
          "Resource": [
            "arn:aws:iam::*:role/COLLECTOR_ROLE_NAME",
            "arn:aws:iam::*:role/SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME"
          ],
          "Effect": "Allow"
        },
        {
          "Action": [
            "organizations:List*",
            "organizations:Describe*"
          ],
          "Resource": "*",
          "Effect": "Allow"
        }
      ]
    }

Ganti kode berikut:

COLLECTOR_ROLE_NAME: nama peran pengumpul data konfigurasi yang Anda salin saat mengonfigurasi Security Command Center (defaultnya adalah aws-collector-role)
SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME: nama peran pengumpul Sensitive Data Protection yang Anda salin saat mengonfigurasi Security Command Center (defaultnya adalah aws-sensitive-data-protection-role)

Klik Berikutnya.
Di bagian Detail kebijakan, masukkan nama dan deskripsi untuk kebijakan.
Klik Create policy.

Membuat peran AWS IAM untuk hubungan tepercaya antara AWS dan Google Cloud

Buat peran yang didelegasikan yang menyiapkan hubungan tepercaya antara AWS dan Google Cloud. Peran ini menggunakan kebijakan yang didelegasikan yang dibuat di Buat kebijakan AWS IAM untuk peran yang didelegasikan.

Login ke konsol akun yang didelegasikan AWS sebagai pengguna AWS yang dapat membuat peran dan kebijakan IAM.
Klik Peran > Buat peran.
Untuk Jenis entitas tepercaya, klik Identitas Web.
Untuk Identity Provider, klik Google.
Untuk Audience, masukkan ID agen layanan yang Anda salin saat mengonfigurasi Security Command Center. Klik Berikutnya.
Untuk memberikan akses peran yang didelegasikan ke peran pengumpul, lampirkan kebijakan izin ke peran tersebut. Telusuri kebijakan yang didelegasikan yang dibuat di Buat kebijakan AWS IAM untuk peran yang didelegasikan dan pilih kebijakan tersebut.
Di bagian Role details, masukkan Delegated role name yang Anda salin saat Anda mengonfigurasi Security Command Center (nama defaultnya adalah aws-delegated-role).
Klik Buat peran.

Buat kebijakan AWS IAM untuk pengumpulan data konfigurasi aset

Untuk membuat kebijakan AWS IAM untuk pengumpulan data konfigurasi aset (kebijakan pengumpul), selesaikan langkah-langkah berikut:

Login ke konsol akun pengumpul AWS.
Klik Kebijakan > Buat kebijakan.

Klik JSON dan tempelkan kode berikut:

{
  "Version": "2012-10-17",
  "Statement": [
      {
          "Effect": "Allow",
          "Action": [
              "ce:GetCostAndUsage",
              "dynamodb:DescribeTableReplicaAutoScaling",
              "identitystore:ListGroupMemberships",
              "identitystore:ListGroups",
              "identitystore:ListUsers",
              "lambda:GetFunction",
              "lambda:GetFunctionConcurrency",
              "logs:ListTagsForResource",
              "s3express:GetBucketPolicy",
              "s3express:ListAllMyDirectoryBuckets",
              "wafv2:GetIPSet"
          ],
          "Resource": [
              "*"
          ]
      },
      {
          "Effect": "Allow",
          "Action": [
              "apigateway:GET"
          ],
          "Resource": [
              "arn:aws:apigateway:*::/usageplans",
              "arn:aws:apigateway:*::/usageplans/*/keys",
              "arn:aws:apigateway:*::/vpclinks/*"
          ]
      }
  ]

}

Klik Berikutnya.
Di bagian Detail kebijakan, masukkan nama dan deskripsi untuk kebijakan.
Klik Create policy.
Ulangi langkah-langkah ini untuk setiap akun pengumpul.

Buat peran AWS IAM untuk pengumpulan data konfigurasi aset di setiap akun

Buat peran pengumpul yang memungkinkan Security Command Center mendapatkan data konfigurasi aset dari AWS. Peran ini menggunakan kebijakan pengumpul yang dibuat di Buat kebijakan IAM AWS untuk pengumpulan data konfigurasi aset.

Login ke konsol akun pengumpul AWS sebagai pengguna yang dapat membuat peran IAM untuk akun pengumpul.
Klik Peran > Buat peran.
Untuk Trusted entity type, klik Custom trust policy.
Di bagian Custom trust policy, tempelkan kode berikut:
```
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::DELEGATE_ACCOUNT_ID:role/DELEGATE_ACCOUNT_ROLE"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}
```
Ganti kode berikut:
- DELEGATE_ACCOUNT_ID: ID akun AWS untuk akun yang didelegasikan
- DELEGATE_ACCOUNT_ROLE: Nama peran yang didelegasikan yang Anda salin saat Anda mengonfigurasi Security Command Center.
Untuk memberikan akses peran pengumpul ini ke data konfigurasi aset AWS Anda, lampirkan kebijakan izin ke peran tersebut. Cari kebijakan pengumpul kustom yang dibuat di Buat kebijakan AWS IAM untuk pengumpulan data konfigurasi aset, lalu pilih kebijakan tersebut.
Cari dan pilih kebijakan terkelola berikut:
- arn:aws:iam::aws:policy/job-function/ViewOnlyAccess
- arn:aws:iam::aws:policy/SecurityAudit
Di bagian Role details, masukkan nama peran pengumpul data konfigurasi yang Anda salin saat mengonfigurasi Security Command Center.
Klik Buat peran.
Ulangi langkah-langkah ini untuk setiap akun pengumpul.

Jika Anda mencentang kotak Berikan izin untuk penemuan Perlindungan Data Sensitif di Konfigurasi Security Command Center, lanjutkan ke bagian berikutnya.

Jika Anda tidak mencentang kotak Berikan izin untuk penemuan Sensitive Data Protection, selesaikan proses integrasi.

Membuat kebijakan AWS IAM untuk Sensitive Data Protection

Selesaikan langkah-langkah ini jika Anda mencentang kotak Beri izin untuk penemuan Sensitive Data Protection di Konfigurasi Security Command Center.

Untuk membuat kebijakan AWS IAM untuk Sensitive Data Protection (kebijakan pengumpul), selesaikan langkah-langkah berikut:

Login ke konsol akun pengumpul AWS.
Klik Kebijakan > Buat kebijakan.

Klik JSON dan tempelkan kode berikut:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:GetBucketLocation",
        "s3:ListAllMyBuckets",
        "s3:GetBucketPolicyStatus",
        "s3:ListBucket",
        "s3:GetObject",
        "s3:GetObjectVersion",
        "s3:GetBucketPublicAccessBlock",
        "s3:GetBucketOwnershipControls",
        "s3:GetBucketTagging"
      ],
      "Resource": ["arn:aws:s3:::*"]
    },
    {
      "Effect": "Allow",
      "Action": [
        "iam:ListAttachedRolePolicies",
        "iam:GetPolicy",
        "iam:GetPolicyVersion",
        "iam:ListRolePolicies",
        "iam:GetRolePolicy",
        "ce:GetCostAndUsage",
        "dynamodb:DescribeTableReplicaAutoScaling",
        "identitystore:ListGroupMemberships",
        "identitystore:ListGroups",
        "identitystore:ListUsers",
        "lambda:GetFunction",
        "lambda:GetFunctionConcurrency",
        "logs:ListTagsForResource",
        "s3express:GetBucketPolicy",
        "s3express:ListAllMyDirectoryBuckets",
        "wafv2:GetIPSet"
      ],
      "Resource": ["*"]
    },
    {
      "Effect": "Allow",
      "Action": [
          "s3express:CreateSession"
      ],
      "Resource": ["arn:aws:s3express:*:*:bucket/*"]
    }
  ]
}

Klik Berikutnya.
Di bagian Detail kebijakan, masukkan nama dan deskripsi untuk kebijakan.
Klik Create policy.
Ulangi langkah-langkah ini untuk setiap akun pengumpul.

Buat peran AWS IAM untuk Sensitive Data Protection di setiap akun

Selesaikan langkah-langkah ini jika Anda mencentang kotak Beri izin untuk penemuan Sensitive Data Protection di Konfigurasi Security Command Center.

Buat peran pengumpul yang memungkinkan Sensitive Data Protection memprofilkan konten resource AWS Anda. Peran ini menggunakan kebijakan pengumpul yang dibuat di Buat kebijakan AWS IAM untuk Perlindungan Data Sensitif.

Login ke konsol akun pengumpul AWS sebagai pengguna yang dapat membuat peran IAM untuk akun pengumpul.
Klik Peran > Buat peran.
Untuk Trusted entity type, klik Custom trust policy.
Di bagian Custom trust policy, tempelkan kode berikut:
```
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::DELEGATE_ACCOUNT_ID:role/DELEGATE_ACCOUNT_ROLE"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}
```
Ganti kode berikut:
- DELEGATE_ACCOUNT_ID: ID akun AWS untuk akun yang didelegasikan
- DELEGATE_ACCOUNT_ROLE: nama peran yang Didelegasikan yang Anda salin saat mengonfigurasi Security Command Center
Untuk memberikan akses peran pengumpul ini ke konten resource AWS Anda, lampirkan kebijakan izin ke peran tersebut. Cari kebijakan pengumpul kustom yang dibuat di Buat kebijakan IAM AWS untuk Sensitive Data Protection, lalu pilih kebijakan tersebut.
Di bagian Role details, masukkan nama peran untuk Sensitive Data Protection yang Anda salin saat mengonfigurasi Security Command Center.
Klik Buat peran.
Ulangi langkah-langkah ini untuk setiap akun pengumpul.

Untuk menyelesaikan proses integrasi, lihat Menyelesaikan proses integrasi.

Menyelesaikan proses integrasi

Di konsol Google Cloud , di halaman Test connector, klik Test connector untuk memverifikasi bahwa Security Command Center dapat terhubung ke lingkungan AWS Anda. Jika koneksi berhasil, pengujian akan menentukan bahwa peran yang didelegasikan memiliki semua izin yang diperlukan untuk mengambil alih peran pengumpul. Jika koneksi tidak berhasil, lihat Memecahkan masalah error saat menguji koneksi.
Klik Buat.

Konektor akan mulai memindai dan mengumpulkan data dari akun dan lokasi AWS yang Anda tentukan. Mungkin diperlukan waktu hingga 24 jam agar temuan muncul.

Menyesuaikan konfigurasi konektor AWS

Bagian ini menjelaskan beberapa cara Anda dapat menyesuaikan koneksi antara Security Command Center dan AWS. Opsi ini tersedia di bagian Opsi lanjutan (opsional) di halaman Tambahkan konektor Amazon Web Services di konsol Google Cloud .

Secara default, Security Command Center otomatis menemukan akun AWS Anda di semua region AWS. Koneksi menggunakan endpoint global default untuk AWS Security Token Service dan kueri per detik (QPS) default untuk layanan AWS yang Anda pantau. Opsi lanjutan ini memungkinkan Anda menyesuaikan setelan default.

Opsi	Deskripsi
Menambahkan akun konektor AWS	Pilih opsi, bergantung pada preferensi Anda: Tambahkan akun secara otomatis (direkomendasikan): Pilih opsi ini agar Security Command Center dapat menemukan akun AWS secara otomatis. Tambahkan akun satu per satu: Pilih opsi ini untuk menambahkan akun AWS secara manual sendiri.
Mengecualikan akun konektor AWS	Jika Anda memilih Tambahkan akun secara otomatis di bagian Tambahkan akun konektor AWS, berikan daftar akun AWS yang tidak boleh digunakan Security Command Center untuk menemukan resource.
Masukkan akun konektor AWS	Jika Anda memilih Tambahkan akun satu per satu di bagian Tambahkan akun konektor AWS, berikan daftar akun AWS yang dapat digunakan Security Command Center untuk menemukan resource.
Pilih wilayah untuk mengumpulkan data	Pilih satu atau beberapa region AWS agar Security Command Center mengumpulkan data dari region tersebut. Kosongkan kolom AWS regions untuk mengumpulkan data dari semua wilayah.
Kueri per detik (QPS) maksimum untuk layanan AWS	Anda dapat mengubah QPS untuk mengontrol batas kuota untuk Security Command Center. Tetapkan penggantian ke nilai yang kurang dari nilai default untuk layanan tersebut, dan lebih besar dari atau sama dengan `1`. Nilai default adalah nilai maksimum. Jika Anda mengubah QPS, Security Command Center mungkin mengalami masalah saat mengambil data. Oleh karena itu, sebaiknya jangan ubah nilai ini.
Endpoint untuk AWS Security Token Service	Anda dapat menentukan endpoint tertentu untuk AWS Security Token Service (misalnya, `https://sts.us-east-2.amazonaws.com`). Biarkan kolom AWS Security Token Service kosong untuk menggunakan endpoint global default (`https://sts.amazonaws.com`).

Memberikan izin penemuan data sensitif ke konektor AWS yang ada

Untuk melakukan penemuan data sensitif pada konten AWS Anda, Anda memerlukan konektor AWS yang memiliki izin IAM AWS yang diperlukan.

Bagian ini menjelaskan cara memberikan izin tersebut ke konektor AWS yang ada. Langkah-langkah yang perlu Anda lakukan bergantung pada apakah Anda mengonfigurasi lingkungan AWS menggunakan template CloudFormation atau secara manual.

Memperbarui konektor yang ada menggunakan template CloudFormation

Jika Anda menyiapkan lingkungan AWS menggunakan template CloudFormation, ikuti langkah-langkah berikut untuk memberikan izin penemuan data sensitif untuk konektor AWS yang ada.

Di konsol Google Cloud , buka Settings > SCC settings

Buka Setelan
Pilih organisasi tempat Anda mengaktifkan Security Command Center Enterprise.
Pilih Konektor. Halaman Configure connector akan terbuka.
Untuk konektor AWS, klik Opsi lainnya > Edit.
Di bagian Tinjau jenis data, pilih Beri izin untuk penemuan Perlindungan Data Sensitif.
Klik Lanjutkan. Halaman Connect to AWS akan terbuka.
Klik Download template peran yang didelegasikan. Template akan didownload ke komputer Anda.
Klik Download template peran pengumpul. Template akan didownload ke komputer Anda.
Klik Lanjutkan. Halaman Test connector akan terbuka. Jangan uji konektornya dulu.
Di konsol CloudFormation, perbarui template stack untuk peran yang didelegasikan:
1. Login ke konsol akun yang didelegasikan AWS. Pastikan Anda login ke akun penerima tugas yang digunakan untuk mengambil alih akun AWS pengumpul lainnya.
2. Buka konsol AWS CloudFormation.
3. Ganti template stack untuk peran yang didelegasikan dengan template peran yang didelegasikan yang telah diperbarui dan Anda download.
  
  Untuk mengetahui informasi selengkapnya, lihat Memperbarui template stack (konsol) dalam dokumentasi AWS.
Perbarui set stack untuk peran pengumpul:
1. Dengan menggunakan akun pengelolaan AWS atau akun anggota yang terdaftar sebagai administrator yang didelegasikan, buka konsol AWS CloudFormation.
2. Ganti template set stack untuk peran pengumpul dengan template peran pengumpul yang telah diupdate dan Anda download.
  
  Untuk mengetahui informasi selengkapnya, lihat Memperbarui set tumpukan menggunakan konsol AWS CloudFormation dalam dokumentasi AWS.
Jika Anda perlu mengumpulkan data dari akun pengelolaan, login ke akun pengelolaan dan ganti template di stack pengumpul dengan template peran pengumpul yang diperbarui yang Anda download.

Langkah ini diperlukan karena set stack AWS CloudFormation tidak membuat instance stack di akun pengelolaan. Untuk mengetahui informasi selengkapnya, lihat DeploymentTargets dalam dokumentasi AWS.
Di konsol Google Cloud , pada halaman Test connector, klik Test connector. Jika koneksi berhasil, pengujian menentukan bahwa peran yang didelegasikan memiliki semua izin yang diperlukan untuk mengambil peran pengumpul. Jika koneksi tidak berhasil, lihat Memecahkan masalah error saat menguji koneksi.
Klik Simpan.

Memperbarui konektor yang ada secara manual

Jika Anda mengonfigurasi akun AWS secara manual saat membuat konektor AWS, ikuti langkah-langkah berikut untuk memberikan izin penemuan data sensitif bagi konektor AWS yang ada.

Buka tab Konektor di halaman Setelan.

Buka Konektor
Pilih organisasi tempat Anda mengaktifkan Security Command Center Enterprise.
Untuk konektor AWS, klik Opsi lainnya > Edit.
Di bagian Tinjau jenis data, pilih Beri izin untuk penemuan Perlindungan Data Sensitif.
Klik Lanjutkan. Halaman Connect to AWS akan terbuka.
Klik Konfigurasi akun AWS secara manual (direkomendasikan jika Anda menggunakan setelan lanjutan atau nama peran yang disesuaikan).
Salin nilai kolom berikut:
- Nama peran yang didelegasikan
- Nama peran pengumpul
- Nama peran pengumpul Sensitive Data Protection
Klik Lanjutkan. Halaman Test connector akan terbuka. Jangan uji konektornya dulu.
Di konsol akun yang didelegasikan AWS, perbarui kebijakan AWS IAM untuk peran yang didelegasikan agar menggunakan JSON berikut:
```
    {
      "Version": "2012-10-17",
      "Statement": [
        {
          "Action": "sts:AssumeRole",
          "Resource": [
            "arn:aws:iam::*:role/COLLECTOR_ROLE_NAME",
            "arn:aws:iam::*:role/SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME"
          ],
          "Effect": "Allow"
        },
        {
          "Action": [
            "organizations:List*",
            "organizations:Describe*"
          ],
          "Resource": "*",
          "Effect": "Allow"
        }
      ]
    }
    
```
Ganti kode berikut:
- COLLECTOR_ROLE_NAME: nama peran pengumpul data konfigurasi yang Anda salin (defaultnya adalah aws-collector-role)
- SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME: nama peran pengumpul Sensitive Data Protection yang Anda salin (defaultnya adalah aws-sensitive-data-protection-role)
Untuk mengetahui informasi selengkapnya, lihat Mengedit kebijakan yang dikelola pelanggan (konsol) dalam dokumentasi AWS.
Untuk setiap akun pengumpul, lakukan prosedur berikut:
1. Buat kebijakan AWS IAM untuk Sensitive Data Protection.
2. Buat peran AWS IAM untuk Sensitive Data Protection di setiap akun.
Di konsol Google Cloud , pada halaman Test connector, klik Test connector. Jika koneksi berhasil, pengujian menentukan bahwa peran yang didelegasikan memiliki semua izin yang diperlukan untuk mengambil peran pengumpul. Jika koneksi tidak berhasil, lihat Memecahkan masalah error saat menguji koneksi.
Klik Simpan.

Pemecahan masalah

Bagian ini mencakup beberapa masalah umum yang mungkin Anda alami saat mengintegrasikan Security Command Center dengan AWS.

Resource sudah ada

Error ini terjadi di lingkungan AWS saat Anda mencoba membuat kebijakan IAM AWS dan peran IAM AWS, dan peran tersebut sudah ada di akun AWS Anda.

Untuk mengatasi error ini, lakukan hal berikut:

Periksa apakah peran atau kebijakan yang Anda buat sudah ada dan memenuhi persyaratan yang tercantum dalam panduan ini.
Jika perlu, ubah nama peran untuk menghindari konflik.

Principal tidak valid dalam kebijakan

Error ini dapat terjadi di lingkungan AWS saat Anda membuat peran pengumpul, tetapi peran yang didelegasikan belum ada.

Untuk mengatasi error ini, selesaikan langkah-langkah di bagian Buat kebijakan IAM AWS untuk peran yang didelegasikan dan tunggu hingga peran yang didelegasikan dibuat sebelum melanjutkan.

Batasan throttling di AWS

AWS membatasi permintaan API untuk setiap akun AWS berdasarkan per akun atau per region. Untuk memastikan bahwa batas ini tidak terlampaui saat Security Command Center mengumpulkan data konfigurasi aset dari AWS, Security Command Center mengumpulkan data pada QPS maksimum tetap untuk setiap layanan AWS, seperti yang dijelaskan dalam dokumentasi API untuk layanan AWS.

Jika Anda mengalami pembatasan permintaan di lingkungan AWS karena QPS yang digunakan, Anda dapat mengurangi masalah ini dengan menyelesaikan langkah-langkah berikut:

Di halaman setelan konektor AWS, tetapkan QPS kustom untuk layanan AWS yang mengalami pembatasan permintaan.
Batasi izin peran pengumpul AWS agar data dari layanan tertentu tersebut tidak dikumpulkan lagi. Teknik mitigasi ini mencegah simulasi jalur serangan berfungsi dengan benar untuk AWS.

Mencabut semua izin di AWS akan menghentikan proses pengumpul data secara langsung. Menghapus konektor AWS tidak akan langsung menghentikan proses pengumpul data, tetapi proses tersebut tidak akan dimulai lagi setelah selesai.

Temuan ditampilkan untuk resource AWS yang dihapus

Setelah resource AWS dihapus, perlu waktu hingga 40 jam agar resource tersebut dihapus dari sistem inventaris aset Security Command Center. Jika Anda memilih untuk menyelesaikan temuan dengan menghapus resource, Anda mungkin melihat temuan dilaporkan dalam jangka waktu ini karena aset belum dihapus dari sistem inventaris aset Security Command Center.

Memecahkan masalah error saat menguji koneksi

Error ini dapat terjadi saat Anda menguji koneksi antara Security Command Center dan AWS.

AWS_FAILED_TO_ASSUME_DELEGATED_ROLE

Koneksi tidak valid karena agen layanan Google Cloud tidak dapat mengasumsikan peran yang didelegasikan.

Untuk mengatasi situasi ini, pertimbangkan hal berikut:

Pastikan peran yang didelegasikan ada. Untuk membuatnya, lihat Membuat peran IAM AWS untuk hubungan tepercaya antara AWS dan Google Cloud.
Kebijakan inline peran yang didelegasikan tidak ada. Tanpa itu, agen layanan tidak dapat mengambil peran. Untuk memverifikasi bahwa kebijakan inline ada, lihat Membuat peran IAM AWS untuk hubungan tepercaya antara AWS dan Google Cloud.
Jika detail error berisi pesan InvalidIdentityToken: Incorrect token audience, hal ini mungkin disebabkan oleh penyedia identitas OIDC terpisah untuk accounts.google.com di lingkungan AWS. Untuk mengatasi error ini, hapus penyedia identitas OIDC untuk accounts.google.com di lingkungan AWS dengan mengikuti petunjuk di Membuat dan mengelola penyedia OIDC.

AWS_FAILED_TO_LIST_ACCOUNTS

Koneksi tidak valid karena penemuan otomatis diaktifkan dan peran yang didelegasikan tidak dapat memperoleh semua akun AWS dalam organisasi.

Error ini menunjukkan bahwa kebijakan untuk mengizinkan tindakan organizations:ListAccounts pada peran yang didelegasikan tidak ada di resource tertentu. Untuk mengatasi error ini, pastikan resource mana yang tidak ada. Untuk memverifikasi setelan kebijakan yang didelegasikan, lihat Membuat kebijakan IAM AWS untuk peran yang didelegasikan.

Pastikan Anda telah membuat dan mengonfigurasi akun AWS seperti yang dijelaskan di bagian Buat akun AWS.

AWS_ACTIVE_COLLECTOR_ACCOUNTS_NOT_FOUND

Koneksi tidak valid karena tidak ada akun pengumpul AWS yang ditemukan dengan status ACTIVE.

Jika Anda memilih Tambahkan akun secara otomatis di kolom Tambahkan akun konektor AWS, tidak ada akun AWS yang ditemukan dengan status ACTIVE, kecuali akun yang ditentukan di kolom Kecualikan akun konektor AWS.

Jika Anda memilih Tambahkan akun satu per satu, di kolom Tambahkan akun konektor AWS, periksa apakah akun yang Anda berikan memiliki status ACTIVE.

AWS_INVALID_COLLECTOR_ACCOUNTS

Koneksi tidak valid karena ada akun pengumpul yang tidak valid. Pesan error mencakup informasi lebih lanjut tentang kemungkinan penyebabnya, yang meliputi hal-hal berikut:

AWS_FAILED_TO_ASSUME_COLLECTOR_ROLE
AWS_COLLECTOR_ROLE_POLICY_MISSING_REQUIRED_PERMISSION

AWS_FAILED_TO_ASSUME_COLLECTOR_ROLE

Akun pengumpul tidak valid karena peran yang didelegasikan tidak dapat mengambil peran pengumpul di akun pengumpul.

Untuk mengatasi error ini, pertimbangkan hal berikut:

Pastikan peran pengumpul ada.
- Untuk membuat peran pengumpul data konfigurasi aset, lihat Membuat peran IAM AWS untuk pengumpulan data konfigurasi aset di setiap akun.
- Untuk membuat peran pengumpul bagi Perlindungan Data Sensitif, lihat Membuat peran IAM AWS untuk Perlindungan Data Sensitif di setiap akun.
Kebijakan untuk mengizinkan peran yang didelegasikan mengambil peran pengumpul tidak ada. Untuk memverifikasi bahwa kebijakan ada, lihat Buat kebijakan AWS IAM untuk peran yang didelegasikan.

AWS_COLLECTOR_ROLE_POLICY_MISSING_REQUIRED_PERMISSION

Koneksi tidak valid karena kebijakan pengumpul tidak memiliki beberapa setelan izin yang diperlukan.

Untuk mengatasi error ini, pertimbangkan penyebab berikut:

Beberapa kebijakan terkelola AWS yang diperlukan mungkin tidak dilampirkan ke peran pengumpul untuk data konfigurasi aset. Untuk memverifikasi bahwa semua kebijakan telah dilampirkan, lihat langkah 6 di Membuat peran IAM AWS untuk pengumpulan data konfigurasi aset di setiap akun.
Salah satu masalah berikut terkait kebijakan pengumpul mungkin terjadi:
- Kebijakan pengumpul mungkin tidak ada.
- Kebijakan pengumpul tidak dilampirkan ke peran pengumpul.
- Kebijakan pengumpul tidak mencakup semua izin yang diperlukan.
Untuk mengatasi masalah terkait kebijakan pengumpul, lihat hal berikut:
- Buat kebijakan AWS IAM untuk pengumpulan data konfigurasi aset
- Membuat kebijakan AWS IAM untuk Sensitive Data Protection

Langkah berikutnya

Jika Anda menyiapkan Security Command Center Enterprise untuk pertama kalinya, lanjutkan dengan langkah 4 panduan penyiapan di konsol.
Anda juga dapat melakukan hal-hal berikut:
- Aktifkan dan gunakan Vulnerability Assessment for AWS.
- Buat dan kelola postur keamanan untuk AWS.
- Buat simulasi jalur serangan untuk resource AWS.
- Memetakan kepatuhan resource AWS terhadap berbagai standar dan tolok ukur.