Connettiti ad AWS per la raccolta dei dati di configurazione e delle risorse

Puoi connettere il livello Security Command Center Enterprise al tuo ambiente Amazon Web Services (AWS) per poter:

  • Rileva e correggi vulnerabilità del software e configurazioni errate nel tuo ambiente AWS
  • Crea e gestisci una postura di sicurezza per AWS
  • Identifica i potenziali percorsi di attacco da internet pubblico alle tue risorse AWS di alto valore
  • Mappare la conformità delle risorse AWS con vari standard e benchmark

Il collegamento di Security Command Center ad AWS crea un'unica posizione in cui il tuo team di operazioni di sicurezza può gestire e correggere minacce e vulnerabilità inGoogle Cloud e AWS.

Per consentire a Security Command Center di monitorare la tua organizzazione AWS, devi configurare una connessione utilizzando un agente di servizio e un account AWS che abbia accesso alle risorse che vuoi monitorare.Google Cloud Security Command Center utilizza questa connessione per raccogliere periodicamente i dati in tutti gli account e le regioni AWS che definisci. Questi dati vengono gestiti allo stesso modo dei Dati di servizio, come indicato nell'Informativa sulla privacy di Google Cloud.

Puoi creare una connessione AWS per ogni Google Cloud organizzazione. Il connettore utilizza chiamate API per raccogliere i dati degli asset AWS. Queste chiamate API potrebbero comportare addebiti AWS.

Questo documento descrive come configurare la connessione con AWS. Quando configuri una connessione, configuri quanto segue:

  • Una serie di account in AWS che hanno accesso diretto alle risorse AWS che vuoi monitorare. Nella Google Cloud console, questi account sono chiamati account raccoglitore.
  • Un account in AWS con policy e ruoli appropriati per consentire l'autenticazione agli account raccoglitore. Nella console Google Cloud , questo account è chiamato account delegato. Sia l'account delegato sia gli account di raccolta devono trovarsi nella stessa organizzazione AWS.
  • Un agente di servizio in Google Cloud che si connette all'account delegato per l'autenticazione.
  • Una pipeline per raccogliere i dati degli asset dalle risorse AWS.
  • (Facoltativo) Autorizzazioni per Sensitive Data Protection per profilare i tuoi contenuti AWS.

Il connettore non importa i log AWS necessari per le funzionalità di rilevamento curate SIEM in Security Command Center Enterprise. Per informazioni sull'importazione di questi dati, vedi Connettersi ad AWS per l'importazione dei log.

Questa connessione non si applica alle funzionalità SIEM di Security Command Center che consentono di importare i log AWS per il rilevamento delle minacce.

Il seguente diagramma mostra questa configurazione. Il progetto tenant è un progetto che viene creato automaticamente e contiene l'istanza della pipeline di raccolta dei dati degli asset.

Configurazione di AWS e Security Command Center.

Prima di iniziare

Completa queste attività prima di completare le attività rimanenti in questa pagina.

Attiva il livello Security Command Center Enterprise

Completa i passaggi 1 e 2 della guida alla configurazione per attivare il livello Security Command Center Enterprise.

Configurare le autorizzazioni in Google Cloud

Per ottenere le autorizzazioni necessarie per utilizzare il connettore AWS, chiedi all'amministratore di concederti il ruolo IAM Proprietario asset Cloud (roles/cloudasset.owner). Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

Crea account AWS

Assicurati di disporre delle seguenti risorse AWS:

Configura il connettore AWS

  1. Apri la scheda Connettori nella pagina Impostazioni.

    Vai a Connettori

    Vai a Risultati nel livello Enterprise

  2. Seleziona l'organizzazione in cui hai attivato Security Command Center Enterprise.

  3. Seleziona Connettori > Aggiungi connettore > Amazon Web Services.

  4. In ID account delegato, inserisci l'ID account AWS per l'account AWS che puoi utilizzare come account delegato.

  5. Per consentire a Sensitive Data Protection di profilare i tuoi dati AWS, mantieni selezionata l'opzione Concedi le autorizzazioni per il rilevamento Sensitive Data Protection. Questa opzione aggiunge le autorizzazioni AWS IAM nel modello CloudFormation per il ruolo del raccoglitore.

    Autorizzazioni AWS IAM concesse da questa opzione

    • s3:GetBucketLocation
    • s3:ListAllMyBuckets
    • s3:GetBucketPolicyStatus
    • s3:ListBucket
    • s3:GetObject
    • s3:GetObjectVersion
    • s3:GetBucketPublicAccessBlock
    • s3:GetBucketOwnershipControls
    • s3:GetBucketTagging
    • iam:ListAttachedRolePolicies
    • iam:GetPolicy
    • iam:GetPolicyVersion
    • iam:ListRolePolicies
    • iam:GetRolePolicy
    • ce:GetCostAndUsage
    • dynamodb:DescribeTableReplicaAutoScaling
    • identitystore:ListGroupMemberships
    • identitystore:ListGroups
    • identitystore:ListUsers
    • lambda:GetFunction
    • lambda:GetFunctionConcurrency
    • logs:ListTagsForResource
    • s3express:CreateSession
    • s3express:GetBucketPolicy
    • s3express:ListAllMyDirectoryBuckets
    • wafv2:GetIPSet

  6. (Facoltativo) Controlla e modifica le Opzioni avanzate. Consulta Personalizzare la configurazione del connettore AWS per informazioni sulle opzioni aggiuntive.

  7. Fai clic su Continua. Si apre la pagina Connettiti ad AWS.

  8. Seleziona una delle seguenti opzioni:

    • Utilizza i modelli AWS CloudFormation, quindi scarica ed esamina i modelli CloudFormation per il ruolo delegato e il ruolo raccoglitore.

    • Configura manualmente gli account AWS: seleziona questa opzione se hai configurato le opzioni avanzate o devi modificare i nomi dei ruoli AWS predefiniti (aws-delegated-role, aws-collector-role e aws-sensitive-data-protection-role). Copia l'ID agente di servizio, il nome del ruolo delegato, il nome del ruolo raccoglitore e il nome del ruolo raccoglitore Sensitive Data Protection.

    Non puoi modificare i nomi dei ruoli dopo aver creato la connessione.

Non fare clic su Salva o Continua. In alternativa, configura l'ambiente AWS.

Configurare l'ambiente AWS

Puoi configurare l'ambiente AWS utilizzando uno dei seguenti metodi:

Utilizza i modelli CloudFormation per configurare l'ambiente AWS

Se hai scaricato i modelli CloudFormation, segui questi passaggi per configurare l'ambiente AWS.

  1. Accedi alla console dell'account delegato AWS. Assicurati di aver eseguito l'accesso all'account delegato utilizzato per assumere altri account AWS di raccolta (ovvero un account di gestione AWS o qualsiasi account membro registrato come amministratore delegato).
  2. Vai alla console AWS CloudFormation Template.

  3. Crea uno stack che esegua il provisioning del ruolo di delegato:

    1. Nella pagina Stack, fai clic su Crea stack > Con nuove risorse (standard).
    2. Quando specifichi un modello, carica il file del modello del ruolo delegato.
    3. Quando specifichi i dettagli dello stack, inserisci un nome.

    4. Se hai modificato il nome del ruolo delegato, del ruolo raccoglitore o del ruolo Sensitive Data Protection, aggiorna i parametri di conseguenza. I parametri che inserisci devono corrispondere a quelli elencati nella pagina Connetti ad AWS nella Google Cloud console.

    5. Aggiorna le opzioni dello stack come richiesto dalla tua organizzazione.

    6. Nella pagina Rivedi e crea, seleziona Sono consapevole che AWS CloudFormation potrebbe creare risorse IAM con nomi personalizzati.

    7. Fai clic su Invia per creare lo stack.

    Attendi la creazione dello stack. Se si verifica un errore, consulta la sezione Risoluzione dei problemi. Per saperne di più, consulta Creazione di uno stack nella console AWS CloudFormation nella documentazione di AWS.

  4. Crea un set di stack che esegue il provisioning dei ruoli di raccolta.

    1. Utilizzando un account di gestione AWS o qualsiasi account membro registrato come amministratore delegato, vai alla console AWS CloudFormation.

    2. Nella pagina StackSets, fai clic su Crea StackSet.

    3. Fai clic su Autorizzazioni gestite dal servizio.

    4. Quando specifichi un modello, carica il file del modello del ruolo raccoglitore.

    5. Quando specifichi i dettagli di StackSet, inserisci un nome e una descrizione per lo stack set.

    6. Inserisci l'ID account delegato.

    7. Se hai modificato il nome del ruolo delegato, del ruolo raccoglitore o del ruolo Sensitive Data Protection, aggiorna i parametri di conseguenza. I parametri che inserisci devono corrispondere a quelli elencati nella pagina Connetti ad AWS nella Google Cloud console.

    8. Configura le opzioni del set di stack in base ai requisiti della tua organizzazione.

    9. Quando specifichi le opzioni di deployment, scegli le destinazioni di deployment. Puoi eseguire il deployment nell'intera organizzazione AWS o in un'unità organizzativa (UO) che include tutti gli account AWS da cui vuoi raccogliere i dati.

    10. Specifica le regioni AWS in cui creare i ruoli e i criteri. Poiché i ruoli sono risorse globali, non devi specificare più regioni.

    11. Se necessario, modifica altre impostazioni.

    12. Rivedi le modifiche e fai clic su Invia per creare il set di stack. Se ricevi un errore, consulta la sezione Risoluzione dei problemi. Per saperne di più, consulta la sezione Creare StackSet CloudFormation con autorizzazioni gestite dal servizio nella documentazione di AWS.

  5. Se devi raccogliere dati dall'account amministratore, accedi all'account amministratore e implementa uno stack separato per eseguire il provisioning dei ruoli del raccoglitore. Quando specifichi il modello, carica il file del modello del ruolo raccoglitore.

    Questo passaggio è necessario perché i set di stack AWS CloudFormation non creano istanze di stack negli account di gestione. Per saperne di più, consulta la sezione DeploymentTargets nella documentazione di AWS.

Per completare la procedura di integrazione, consulta Completa la procedura di integrazione.

Configura manualmente gli account AWS

Se non puoi utilizzare i modelli CloudFormation (ad esempio, se utilizzi nomi ruolo diversi o personalizzi l'integrazione), puoi creare manualmente i ruoli IAM AWS e le policy IAM AWS richiesti.

Devi creare policy IAM AWS e ruoli IAM AWS per l'account delegato e gli account raccoglitore.

Crea il criterio AWS IAM per il ruolo delegato

Per creare un criterio AWS IAM per il ruolo delegato (un criterio delegato), completa i seguenti passaggi:

  1. Accedi alla console dell'account delegato AWS.

  2. Fai clic su Criteri > Crea criterio.

  3. Fai clic su JSON e incolla uno dei seguenti codici, a seconda che tu abbia selezionato la casella di controllo Concedi autorizzazioni per l'individuazione di Sensitive Data Protection in Configura Security Command Center.

    Concedi le autorizzazioni per il rilevamento di Sensitive Data Protection: deselezionata

    {
  "Version": "2012-10-17",
  "Statement": [
      {
          "Action": "sts:AssumeRole",
          "Resource": "arn:aws:iam::*:role/COLLECTOR_ROLE_NAME",
          "Effect": "Allow"
      },
      {
          "Action": [
              "organizations:List*",
              "organizations:Describe*"
          ],
          "Resource": "*",
          "Effect": "Allow"
      }
  ]
}

    Sostituisci COLLECTOR_ROLE_NAME con il nome del ruolo del raccoglitore che hai copiato durante la configurazione di Security Command Center (il valore predefinito è aws-collector-role).

    Concedi le autorizzazioni per il rilevamento di Sensitive Data Protection: selezionato

        {
      "Version": "2012-10-17",
      "Statement": [
        {
          "Action": "sts:AssumeRole",
          "Resource": [
            "arn:aws:iam::*:role/COLLECTOR_ROLE_NAME",
            "arn:aws:iam::*:role/SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME"
          ],
          "Effect": "Allow"
        },
        {
          "Action": [
            "organizations:List*",
            "organizations:Describe*"
          ],
          "Resource": "*",
          "Effect": "Allow"
        }
      ]
    }

    Sostituisci quanto segue:

    • COLLECTOR_ROLE_NAME: il nome del ruolo di raccolta dei dati di configurazione che hai copiato durante la configurazione di Security Command Center (il valore predefinito è aws-collector-role)
    • SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME: il nome del ruolo raccoglitore Sensitive Data Protection che hai copiato durante la configurazione di Security Command Center (il valore predefinito è aws-sensitive-data-protection-role)

  4. Fai clic su Avanti.

  5. Nella sezione Dettagli norma, inserisci un nome e una descrizione per la norma.

  6. Fai clic su Crea criterio.

Crea un ruolo AWS IAM per la relazione di trust tra AWS e Google Cloud

Crea un ruolo delegato che configuri una relazione di trust tra AWS e Google Cloud. Questo ruolo utilizza il criterio delegato creato in Creare il criterio AWS IAM per il ruolo delegato.

  1. Accedi alla console dell'account delegato AWS come utente AWS che può creare ruoli e policy IAM.

  2. Fai clic su Ruoli > Crea ruolo.

  3. Per Tipo di entità attendibile, fai clic su Identità web.

  4. In Provider di identità, fai clic su Google.

  5. In Pubblico, inserisci l'ID agente di servizio che hai copiato quando hai configurato Security Command Center. Fai clic su Avanti.

  6. Per concedere al ruolo delegato l'accesso ai ruoli di raccolta, collega le policy di autorizzazione al ruolo. Cerca la norma delegata creata in Crea la norma AWS IAM per il ruolo delegato e selezionala.

  7. Nella sezione Dettagli ruolo, inserisci il nome del ruolo delegato che hai copiato quando hai configurato Security Command Center (il nome predefinito è aws-delegated-role).

  8. Fai clic su Crea ruolo.

Creare il criterio AWS IAM per la raccolta dei dati di configurazione degli asset

Per creare un criterio AWS IAM per la raccolta dei dati di configurazione degli asset (un criterio del raccoglitore), completa i seguenti passaggi:

  1. Accedi alla console dell'account collector AWS.

  2. Fai clic su Criteri > Crea criterio.

  3. Fai clic su JSON e incolla quanto segue:

    {
  "Version": "2012-10-17",
  "Statement": [
      {
          "Effect": "Allow",
          "Action": [
              "ce:GetCostAndUsage",
              "dynamodb:DescribeTableReplicaAutoScaling",
              "identitystore:ListGroupMemberships",
              "identitystore:ListGroups",
              "identitystore:ListUsers",
              "lambda:GetFunction",
              "lambda:GetFunctionConcurrency",
              "logs:ListTagsForResource",
              "s3express:GetBucketPolicy",
              "s3express:ListAllMyDirectoryBuckets",
              "wafv2:GetIPSet"
          ],
          "Resource": [
              "*"
          ]
      },
      {
          "Effect": "Allow",
          "Action": [
              "apigateway:GET"
          ],
          "Resource": [
              "arn:aws:apigateway:*::/usageplans",
              "arn:aws:apigateway:*::/usageplans/*/keys",
              "arn:aws:apigateway:*::/vpclinks/*"
          ]
      }
  ]

}

  4. Fai clic su Avanti.

  5. Nella sezione Dettagli norma, inserisci un nome e una descrizione per la norma.

  6. Fai clic su Crea criterio.

  7. Ripeti questi passaggi per ogni account raccoglitore.

Crea il ruolo IAM AWS per la raccolta dei dati di configurazione degli asset in ogni account

Crea il ruolo di raccolta che consente a Security Command Center di ottenere i dati di configurazione degli asset da AWS. Questo ruolo utilizza il criterio del raccoglitore creato in Crea il criterio AWS IAM per la raccolta dei dati di configurazione degli asset.

  1. Accedi alla console dell'account collector AWS come utente che può creare ruoli IAM per gli account collector.

  2. Fai clic su Ruoli > Crea ruolo.

  3. Per Tipo di entità attendibile, fai clic su Norme di attendibilità personalizzate.

  4. Nella sezione Policy di attendibilità personalizzata, incolla quanto segue:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::DELEGATE_ACCOUNT_ID:role/DELEGATE_ACCOUNT_ROLE"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

    Sostituisci quanto segue:

    • DELEGATE_ACCOUNT_ID: l'ID account AWS per l'account delegato
    • DELEGATE_ACCOUNT_ROLE: il nome del ruolo delegato che hai copiato quando hai configurato Security Command Center.

  5. Per concedere a questo ruolo di raccoglitore l'accesso ai dati di configurazione delle risorse AWS, collega le policy di autorizzazione al ruolo. Cerca la norma del raccoglitore personalizzato che è stata creata in Crea la norma AWS IAM per la raccolta dei dati di configurazione degli asset e selezionala.

  6. Cerca e seleziona i seguenti criteri gestiti:

    • arn:aws:iam::aws:policy/job-function/ViewOnlyAccess
    • arn:aws:iam::aws:policy/SecurityAudit

  7. Nella sezione Dettagli ruolo, inserisci il nome del ruolo di raccolta dei dati di configurazione che hai copiato quando hai configurato Security Command Center.

  8. Fai clic su Crea ruolo.

  9. Ripeti questi passaggi per ogni account raccoglitore.

Se hai selezionato la casella di controllo Concedi le autorizzazioni per il rilevamento Sensitive Data Protection in Configura Security Command Center, procedi alla sezione successiva.

Se non hai selezionato la casella di controllo Concedi le autorizzazioni per il rilevamento Sensitive Data Protection, completa la procedura di integrazione.

Crea il criterio AWS IAM per Sensitive Data Protection

Completa questi passaggi se hai selezionato la casella di controllo Concedi le autorizzazioni per il rilevamento di Sensitive Data Protection in Configura Security Command Center.

Per creare un criterio AWS IAM per Sensitive Data Protection (un criterio di raccolta), completa i seguenti passaggi:

  1. Accedi alla console dell'account collector AWS.

  2. Fai clic su Criteri > Crea criterio.

  3. Fai clic su JSON e incolla quanto segue:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:GetBucketLocation",
        "s3:ListAllMyBuckets",
        "s3:GetBucketPolicyStatus",
        "s3:ListBucket",
        "s3:GetObject",
        "s3:GetObjectVersion",
        "s3:GetBucketPublicAccessBlock",
        "s3:GetBucketOwnershipControls",
        "s3:GetBucketTagging"
      ],
      "Resource": ["arn:aws:s3:::*"]
    },
    {
      "Effect": "Allow",
      "Action": [
        "iam:ListAttachedRolePolicies",
        "iam:GetPolicy",
        "iam:GetPolicyVersion",
        "iam:ListRolePolicies",
        "iam:GetRolePolicy",
        "ce:GetCostAndUsage",
        "dynamodb:DescribeTableReplicaAutoScaling",
        "identitystore:ListGroupMemberships",
        "identitystore:ListGroups",
        "identitystore:ListUsers",
        "lambda:GetFunction",
        "lambda:GetFunctionConcurrency",
        "logs:ListTagsForResource",
        "s3express:GetBucketPolicy",
        "s3express:ListAllMyDirectoryBuckets",
        "wafv2:GetIPSet"
      ],
      "Resource": ["*"]
    },
    {
      "Effect": "Allow",
      "Action": [
          "s3express:CreateSession"
      ],
      "Resource": ["arn:aws:s3express:*:*:bucket/*"]
    }
  ]
}

  4. Fai clic su Avanti.

  5. Nella sezione Dettagli norma, inserisci un nome e una descrizione per la norma.

  6. Fai clic su Crea criterio.

  7. Ripeti questi passaggi per ogni account raccoglitore.

Crea il ruolo AWS IAM per Sensitive Data Protection in ogni account

Completa questi passaggi se hai selezionato la casella di controllo Concedi le autorizzazioni per il rilevamento di Sensitive Data Protection in Configura Security Command Center.

Crea il ruolo raccoglitore che consente a Sensitive Data Protection di profilare i contenuti delle tue risorse AWS. Questo ruolo utilizza il criterio del raccoglitore creato in Crea il criterio AWS IAM per Sensitive Data Protection.

  1. Accedi alla console dell'account collector AWS come utente che può creare ruoli IAM per gli account collector.

  2. Fai clic su Ruoli > Crea ruolo.

  3. Per Tipo di entità attendibile, fai clic su Norme di attendibilità personalizzate.

  4. Nella sezione Policy di attendibilità personalizzata, incolla quanto segue:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::DELEGATE_ACCOUNT_ID:role/DELEGATE_ACCOUNT_ROLE"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

    Sostituisci quanto segue:

    • DELEGATE_ACCOUNT_ID: l'ID account AWS per l'account delegato
    • DELEGATE_ACCOUNT_ROLE: il nome del ruolo delegato che hai copiato quando hai configurato Security Command Center

  5. Per concedere a questo ruolo di raccoglitore l'accesso ai contenuti delle tue risorse AWS, collega le policy di autorizzazione al ruolo. Cerca la norma personalizzata di raccolta che è stata creata in Crea la norma AWS IAM per Sensitive Data Protection e selezionala.

  6. Nella sezione Dettagli ruolo, inserisci il nome del ruolo per Sensitive Data Protection che hai copiato quando hai configurato Security Command Center.

  7. Fai clic su Crea ruolo.

  8. Ripeti questi passaggi per ogni account raccoglitore.

Per completare la procedura di integrazione, consulta Completa la procedura di integrazione.

Completa la procedura di integrazione

  1. Nella console Google Cloud , nella pagina Test connector (Prova connettore), fai clic su Test connector (Prova connettore) per verificare che Security Command Center possa connettersi al tuo ambiente AWS. Se la connessione ha esito positivo, il test ha stabilito che il ruolo delegato dispone di tutte le autorizzazioni necessarie per assumere i ruoli di raccolta. Se la connessione non va a buon fine, vedi Risoluzione dei problemi relativi agli errori durante il test della connessione.

  2. Fai clic su Crea.

Il connettore inizierà a eseguire la scansione e a raccogliere i dati dagli account e dalle posizioni AWS che hai specificato. Potrebbero essere necessarie fino a 24 ore prima che i risultati vengano visualizzati.

Personalizzare la configurazione del connettore AWS

Questa sezione descrive alcuni modi in cui puoi personalizzare la connessione tra Security Command Center e AWS. Queste opzioni sono disponibili nella sezione Opzioni avanzate (facoltative) della pagina Aggiungi connettore Amazon Web Services nella console Google Cloud .

Per impostazione predefinita, Security Command Center rileva automaticamente i tuoi account AWS in tutte le regioni AWS. La connessione utilizza l'endpoint globale predefinito per il servizio token di sicurezza AWS e il numero di query al secondo (QPS) predefinito per il servizio AWS che stai monitorando. Queste opzioni avanzate ti consentono di personalizzare le impostazioni predefinite.

Opzione Descrizione
Aggiungi account connettore AWS

Seleziona un'opzione in base alle tue preferenze:

  • Aggiungi account automaticamente (opzione consigliata): seleziona questa opzione per consentire a Security Command Center di rilevare automaticamente gli account AWS.
  • Aggiungi account singolarmente: seleziona questa opzione per aggiungere manualmente gli account AWS.
Escludi account connettore AWS Se hai selezionato Aggiungi account automaticamente nella sezione Aggiungi account connettore AWS, fornisci un elenco di account AWS che Security Command Center non deve utilizzare per trovare risorse.
Inserisci gli account connettore AWS Se hai selezionato Aggiungi account singolarmente nella sezione Aggiungi account connettore AWS, fornisci un elenco di account AWS che Security Command Center può utilizzare per trovare risorse.
Seleziona le regioni per la raccolta dei dati Seleziona una o più regioni AWS da cui Security Command Center deve raccogliere i dati. Lascia vuoto il campo Regioni AWS per raccogliere i dati da tutte le regioni.
Numero massimo di query al secondo (QPS) per i servizi AWS Puoi modificare le QPS per controllare il limite di quota per Security Command Center. Imposta l'override su un valore inferiore al valore predefinito per quel servizio e maggiore o uguale a 1. Il valore predefinito è il valore massimo. Se modifichi il QPS, Security Command Center potrebbe riscontrare problemi durante il recupero dei dati. Pertanto, ti sconsigliamo di modificare questo valore.
Endpoint per il servizio token di sicurezza AWS Puoi specificare un endpoint specifico per il servizio token di sicurezza AWS (ad esempio, https://sts.us-east-2.amazonaws.com). Lascia vuoto il campo Servizio token di sicurezza AWS per utilizzare l'endpoint globale predefinito (https://sts.amazonaws.com).

Concedi le autorizzazioni di rilevamento dei dati sensibili a un connettore AWS esistente

Per eseguire il rilevamento dei dati sensibili sui tuoi contenuti AWS, devi disporre di un connettore AWS con le autorizzazioni AWS IAM richieste.

Questa sezione descrive come concedere queste autorizzazioni a un connettore AWS esistente. I passaggi da seguire variano a seconda che tu abbia configurato l'ambiente AWS utilizzando i modelli CloudFormation o manualmente.

Aggiornare un connettore esistente utilizzando i modelli CloudFormation

Se hai configurato l'ambiente AWS utilizzando i modelli CloudFormation, segui questi passaggi per concedere le autorizzazioni di rilevamento dei dati sensibili per il connettore AWS esistente.

  1. Nella console Google Cloud , vai a Impostazioni > Impostazioni SCC.

    Vai alle impostazioni

  2. Seleziona l'organizzazione in cui hai attivato Security Command Center Enterprise.

  3. Seleziona Connettori. Si apre la pagina Configura connettore.

  4. Per il connettore AWS, fai clic su Altre opzioni > Modifica.

  5. Nella sezione Esamina i tipi di dati, seleziona Concedi le autorizzazioni per il rilevamento Sensitive Data Protection.

  6. Fai clic su Continua. Si apre la pagina Connettiti ad AWS.

  7. Fai clic su Scarica modello del ruolo delegato. Il modello viene scaricato sul tuo computer.

  8. Fai clic su Scarica modello del ruolo raccoglitore. Il modello viene scaricato sul tuo computer.

  9. Fai clic su Continua. Si apre la pagina Test connettore. Non testare ancora il connettore.

  10. Nella console CloudFormation, aggiorna il modello di stack per il ruolo delegato:

    1. Accedi alla console dell'account delegato AWS. Assicurati di aver eseguito l'accesso all'account delegato utilizzato per assumere altri account AWS del raccoglitore.
    2. Vai alla console AWS CloudFormation.

    3. Sostituisci il modello di stack per il ruolo delegato con il modello di ruolo delegato aggiornato che hai scaricato.

      Per saperne di più, consulta Aggiornare il modello di uno stack (console) nella documentazione di AWS.

  11. Aggiorna il set di stack per il ruolo di raccoglitore:

    1. Utilizzando un account di gestione AWS o qualsiasi account membro registrato come amministratore delegato, vai alla console AWS CloudFormation.

    2. Sostituisci il modello di set di stack per il ruolo raccoglitore con il modello di ruolo raccoglitore aggiornato che hai scaricato.

      Per ulteriori informazioni, consulta la sezione Aggiornare lo stack set utilizzando la console AWS CloudFormation nella documentazione di AWS.

  12. Se devi raccogliere dati dall'account amministratore, accedi all'account amministratore e sostituisci il modello nello stack del raccoglitore con il modello di ruolo del raccoglitore aggiornato che hai scaricato.

    Questo passaggio è necessario perché i set di stack AWS CloudFormation non creano istanze di stack negli account di gestione. Per saperne di più, consulta la sezione DeploymentTargets nella documentazione di AWS.

  13. Nella Google Cloud console, nella pagina Test connector (Prova connettore), fai clic su Test connector (Prova connettore). Se la connessione ha esito positivo, il test ha stabilito che il ruolo delegato dispone di tutte le autorizzazioni necessarie per assumere i ruoli del raccoglitore. Se la connessione non va a buon fine, consulta Risoluzione dei problemi relativi agli errori durante il test della connessione.

  14. Fai clic su Salva.

Aggiornare manualmente un connettore esistente

Se hai configurato manualmente i tuoi account AWS quando hai creato il connettore AWS, segui questi passaggi per concedere le autorizzazioni di rilevamento dei dati sensibili per il connettore AWS esistente.

  1. Apri la scheda Connettori nella pagina Impostazioni.

    Vai a Connettori

  2. Seleziona l'organizzazione in cui hai attivato Security Command Center Enterprise.

  3. Per il connettore AWS, fai clic su Altre opzioni > Modifica.

  4. Nella sezione Esamina i tipi di dati, seleziona Concedi le autorizzazioni per il rilevamento Sensitive Data Protection.

  5. Fai clic su Continua. Si apre la pagina Connettiti ad AWS.

  6. Fai clic su Configura manualmente gli account AWS (consigliato se utilizzi impostazioni avanzate o nomi ruolo personalizzati).

  7. Copia i valori dei seguenti campi:

    • Nome ruolo delegato
    • Nome ruolo raccoglitore
    • Nome ruolo raccoglitore Sensitive Data Protection

  8. Fai clic su Continua. Si apre la pagina Test connettore. Non testare ancora il connettore.

  9. Nella console dell'account delegato AWS, aggiorna il criterio AWS IAM per il ruolo delegato in modo che utilizzi il seguente JSON:

        {
      "Version": "2012-10-17",
      "Statement": [
        {
          "Action": "sts:AssumeRole",
          "Resource": [
            "arn:aws:iam::*:role/COLLECTOR_ROLE_NAME",
            "arn:aws:iam::*:role/SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME"
          ],
          "Effect": "Allow"
        },
        {
          "Action": [
            "organizations:List*",
            "organizations:Describe*"
          ],
          "Resource": "*",
          "Effect": "Allow"
        }
      ]
    }

    Sostituisci quanto segue:

    • COLLECTOR_ROLE_NAME: il nome del ruolo di raccolta dei dati di configurazione che hai copiato (il valore predefinito è aws-collector-role)
    • SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME: il nome del ruolo raccoglitore Sensitive Data Protection che hai copiato (il valore predefinito è aws-sensitive-data-protection-role)

    Per saperne di più, consulta Modifica delle policy gestite dal cliente (console) nella documentazione di AWS.

  10. Per ogni account di raccolta, esegui queste procedure:

    1. Crea il criterio AWS IAM per Sensitive Data Protection.

    2. Crea il ruolo AWS IAM per Sensitive Data Protection in ogni account.

  11. Nella Google Cloud console, nella pagina Test connector (Prova connettore), fai clic su Test connector (Prova connettore). Se la connessione ha esito positivo, il test ha stabilito che il ruolo delegato dispone di tutte le autorizzazioni necessarie per assumere i ruoli del raccoglitore. Se la connessione non va a buon fine, consulta Risoluzione dei problemi relativi agli errori durante il test della connessione.

  12. Fai clic su Salva.

Risoluzione dei problemi

Questa sezione include alcuni problemi comuni che potresti riscontrare quando integri Security Command Center con AWS.

Le risorse esistono già

Questo errore si verifica nell'ambiente AWS quando provi a creare i criteri AWS IAM e i ruoli AWS IAM e il ruolo esiste già nel tuo account AWS.

Per risolvere questo errore, completa le seguenti operazioni:

  • Verifica se il ruolo o il criterio che stai creando esiste già e soddisfa i requisiti elencati in questa guida.
  • Se necessario, modifica il nome del ruolo per evitare conflitti.

Entità non valida nella policy

Questo errore può verificarsi nell'ambiente AWS quando crei i ruoli del raccoglitore, ma il ruolo delegato non esiste ancora.

Per risolvere questo errore, completa i passaggi descritti in Crea il criterio AWS IAM per il ruolo delegato e attendi la creazione del ruolo delegato prima di continuare.

Limitazioni della limitazione della frequenza in AWS

AWS limita le richieste API per ogni account AWS in base all'account o alla regione. Per garantire che questi limiti non vengano superati quando Security Command Center raccoglie i dati di configurazione degli asset da AWS, Security Command Center raccoglie i dati a un QPS massimo fisso per ogni servizio AWS, come descritto nella documentazione API per il servizio AWS.

Se riscontri la limitazione delle richieste nel tuo ambiente AWS a causa del QPS consumato, puoi risolvere il problema completando le seguenti operazioni:

  • Nella pagina delle impostazioni del connettore AWS, imposta un QPS personalizzato per il servizio AWS che sta riscontrando la limitazione delle richieste.

  • Limita le autorizzazioni del ruolo raccoglitore AWS in modo che i dati di questo servizio specifico non vengano più raccolti. Questa tecnica di mitigazione impedisce alle simulazioni del percorso di attacco di funzionare correttamente per AWS.

La revoca di tutte le autorizzazioni in AWS interrompe immediatamente il processo di raccolta dei dati. L'eliminazione del connettore AWS non interrompe immediatamente il processo di raccolta dei dati, ma non verrà riavviato al termine.

Il risultato viene restituito per una risorsa AWS eliminata

Dopo l'eliminazione di una risorsa AWS, possono essere necessarie fino a 40 ore prima che venga rimossa dal sistema di inventario degli asset di Security Command Center. Se scegli di risolvere un problema eliminando la risorsa, potresti visualizzare il problema segnalato entro questo periodo di tempo perché l'asset non è ancora stato rimosso dal sistema di inventario degli asset di Security Command Center.

Risoluzione degli errori durante il test della connessione

Questi errori possono verificarsi quando testi la connessione tra Security Command Center e AWS.

AWS_FAILED_TO_ASSUME_DELEGATED_ROLE

La connessione non è valida perché l'agente di servizio Google Cloud non può assumere il ruolo delegato.

Per risolvere il problema, tieni presente quanto segue:

AWS_FAILED_TO_LIST_ACCOUNTS

La connessione non è valida perché il rilevamento automatico è abilitato e il ruolo delegato non può recuperare tutti gli account AWS nelle organizzazioni.

Questo errore indica che la policy per consentire l'azione organizations:ListAccounts sul ruolo delegato non è presente su alcune risorse. Per risolvere l'errore, verifica quali risorse mancano. Per verificare le impostazioni del criterio delegato, vedi Creare il criterio AWS IAM per il ruolo delegato.

Verifica di aver creato e configurato gli account AWS come descritto nella sezione Crea account AWS.

AWS_ACTIVE_COLLECTOR_ACCOUNTS_NOT_FOUND

La connessione non è valida perché non sono stati trovati account raccoglitore AWS con lo stato ACTIVE.

Se hai selezionato Aggiungi account automaticamente nel campo Aggiungi account connettore AWS, non sono stati trovati account AWS con lo stato ACTIVE, esclusi quelli specificati nel campo Escludi account connettore AWS.

Se hai selezionato Aggiungi account singolarmente, nel campo Aggiungi account connettore AWS verifica che gli account che hai fornito abbiano lo stato ACTIVE.

AWS_INVALID_COLLECTOR_ACCOUNTS

La connessione non è valida perché esistono account non validi del raccoglitore. Il messaggio di errore include maggiori informazioni sulle possibili cause, tra cui le seguenti:

AWS_FAILED_TO_ASSUME_COLLECTOR_ROLE

L'account raccoglitore non è valido perché il ruolo delegato non può assumere il ruolo raccoglitore nell'account raccoglitore.

Per risolvere questo errore, tieni presente quanto segue:

AWS_COLLECTOR_ROLE_POLICY_MISSING_REQUIRED_PERMISSION

La connessione non è valida perché nella policy del raccoglitore mancano alcune delle impostazioni delle autorizzazioni richieste.

Per risolvere questo errore, considera le seguenti cause:

Passaggi successivi