Puoi collegare il livello Security Command Center Enterprise al tuo ambiente Amazon Web Services (AWS) per eseguire le seguenti operazioni:
- Rileva ed elimina le vulnerabilità e le configurazioni errate del software nel tuo ambiente AWS
- Crea e gestisci una security posture per AWS
- Identifica i potenziali percorsi di attacco dalla rete internet pubblica alle tue risorse AWS di alto valore
- Mappa la conformità delle risorse AWS a vari standard e benchmark
La connessione di Security Command Center ad AWS consente al tuo team di operazioni di sicurezza di gestire e correggere minacce e vulnerabilità su Google Cloud e AWS in un unico posto.
Per consentire a Security Command Center di monitorare la tua organizzazione AWS, devi configurare una connessione utilizzando un agente di servizio Google Cloud e un account AWS che abbia accesso alle risorse che vuoi monitorare. Security Command Center utilizza questa connessione per raccogliere periodicamente i dati di tutti gli account e le regioni AWS che definisci.
Puoi creare una connessione AWS per ogni organizzazione Google Cloud. Il connettore utilizza le chiamate API per raccogliere i dati delle risorse AWS. Per queste chiamate API potrebbero essere applicati costi AWS.
Questo documento descrive come configurare la connessione con AWS. Quando configuri una connessione, devi configurare quanto segue:
- Una serie di account in AWS che hanno accesso diretto alle risorse AWS da monitorare. Nella console Google Cloud, questi account sono chiamati account collector.
- Un account AWS con i policy e i ruoli appropriati per consentire l'autenticazione agli account raccoglitore. Nella console Google Cloud, questo account è chiamato account delegato. Sia l'account delegato sia gli account collector devono trovarsi nella stessa organizzazione AWS.
- Un agente di servizio in Google Cloud che si connette all'account delegato per l'autenticazione.
- Una pipeline per raccogliere i dati delle risorse dalle risorse AWS.
- (Facoltativo) Autorizzazioni per consentire a Sensitive Data Protection di profilare i tuoi contenuti AWS.
Questa connessione non si applica alle funzionalità SIEM di Security Command Center che ti consentono di importare i log AWS per il rilevamento delle minacce.
Il seguente diagramma mostra questa configurazione. Il progetto tenant è un progetto che viene creato automaticamente e contiene l'istanza della pipeline di raccolta dei dati degli asset.
Prima di iniziare
Completa queste attività prima di completare le restanti attività in questa pagina.
Attiva il livello Security Command Center Enterprise
Completa il passaggio 1 e il passaggio 2 della guida alla configurazione per attivare il livello Security Command Center Enterprise.
Configurare le autorizzazioni
Per ottenere le autorizzazioni necessarie per utilizzare il connettore AWS,
chiedi all'amministratore di concederti il ruolo IAM Proprietario asset cloud (roles/cloudasset.owner
).
Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.
Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.
Creare account AWS
Assicurati di aver creato le seguenti risorse AWS:
- Un utente IAM di AWS con accesso IAM per le console degli account AWS del delegato e del raccoglitore.
L'ID account AWS per un account AWS che puoi utilizzare come account delegato. Se vuoi che Security Command Center rilevi automaticamente gli account AWS per trovare le risorse, l'account delegato deve essere collegato a un'organizzazione AWS e essere uno dei seguenti:
Un account AWS con un dispositivo di delega basato sulle risorse che fornisce le autorizzazioni
organization
elist
. Per un criterio di esempio, consulta Esempio: visualizzare l'organizzazione, le UO, gli account e i criteri.
Configura il connettore AWS
Nella console Google Cloud, vai alla pagina Guida alla configurazione di Security Command Center.
Seleziona l'organizzazione in cui hai attivato il livello Security Command Center Enterprise. Si apre la pagina Guida alla configurazione.
Fai clic su Passaggio 3: configura l'integrazione con Amazon Web Services (AWS). Viene visualizzata la pagina Connettori.
Seleziona Aggiungi connettore > Amazon Web Services. Si apre la pagina Configura connettore.
In ID account delegato, inserisci l'ID account AWS per l'account AWS che puoi utilizzare come account delegato.
Per consentire a Sensitive Data Protection di profilare i tuoi dati AWS, mantieni selezionata l'opzione Concedi le autorizzazioni per il rilevamento Sensitive Data Protection. Questa opzione aggiunge le autorizzazioni AWS IAM nel modello CloudFormation per il ruolo del raccoltore.
Autorizzazioni AWS IAM concesse da questa opzione
s3:GetBucketLocation
s3:ListAllMyBuckets
s3:GetBucketPolicyStatus
s3:ListBucket
s3:GetObject
s3:GetObjectVersion
s3:GetBucketPublicAccessBlock
s3:GetBucketOwnershipControls
s3:GetBucketTagging
iam:ListAttachedRolePolicies
iam:GetPolicy
iam:GetPolicyVersion
iam:ListRolePolicies
iam:GetRolePolicy
ce:GetCostAndUsage
dynamodb:DescribeTableReplicaAutoScaling
identitystore:ListGroupMemberships
identitystore:ListGroups
identitystore:ListUsers
lambda:GetFunction
lambda:GetFunctionConcurrency
logs:ListTagsForResource
s3express:CreateSession
s3express:GetBucketPolicy
s3express:ListAllMyDirectoryBuckets
wafv2:GetIPSet
Se vuoi, controlla e modifica le Opzioni avanzate. Per informazioni su opzioni aggiuntive, consulta Personalizzare la configurazione del connettore AWS.
Fai clic su Continua. Si apre la pagina Connettiti ad AWS.
Completa una delle seguenti operazioni:
- Scarica ed esamina i modelli CloudFormation per il ruolo delegato e per il ruolo del raccoglitore.
- Se hai configurato le opzioni avanzate o devi modificare i nomi dei ruoli AWS predefiniti (aws-delegated-role, aws-collector-role e aws-sensitive-data-protection-role), seleziona Configura manualmente gli account AWS. Copia l'ID agente di servizio, il nome del ruolo delegato, il nome del ruolo del raccoglitore e il nome del ruolo del raccoglitore Sensitive Data Protection.
Non puoi modificare i nomi dei ruoli dopo aver creato la connessione.
Non fare clic su Crea. Al contrario, configura il tuo ambiente AWS.
Configurare l'ambiente AWS
Puoi configurare il tuo ambiente AWS utilizzando uno dei seguenti metodi:
- Utilizza i modelli CloudFormation che hai scaricato in Configurare Security Command Center. Per istruzioni, consulta Utilizzare i modelli CloudFormation per configurare l'ambiente AWS.
- Se utilizzi impostazioni o nomi di ruolo personalizzati, configura manualmente gli account AWS. Per le istruzioni, consulta Configurare manualmente gli account AWS.
Utilizzare i modelli CloudFormation per configurare l'ambiente AWS
Se hai scaricato i modelli CloudFormation, segui questi passaggi per configurare il tuo ambiente AWS.
- Accedi alla console dell'account delegato AWS. Assicurati di aver eseguito l'accesso all'account delegato utilizzato per assumere altri account AWS collector (ovvero un account di gestione AWS o qualsiasi account membro registrato come amministratore delegato).
- Vai alla console Modello AWS CloudFormation.
Crea uno stack che esegue il provisioning del ruolo del delegato:
- Nella pagina Serie, fai clic su Crea serie > Con nuove risorse (standard).
- Quando specifichi un modello, carica il file del modello del ruolo delegato.
- Quando specifichi i dettagli dello stack, inserisci un nome dello stack.
Se hai modificato il nome del ruolo delegato, del ruolo del raccoglitore o del ruolo Sensitive Data Protection, aggiorna i parametri di conseguenza. I parametri inseriti devono corrispondere a quelli elencati nella pagina Connetti a AWS della console Google Cloud.
Aggiorna le opzioni dello stack in base alle esigenze della tua organizzazione.
Nella pagina Esamina e crea, seleziona Sono consapevole che AWS CloudFormation potrebbe creare risorse IAM con nomi personalizzati.
Fai clic su Invia per creare la serie.
Attendi la creazione dello stack. Se si verifica un problema, consulta la sezione Risoluzione dei problemi. Per saperne di più, consulta Creare uno stack nella console AWS CloudFormation nella documentazione di AWS.
Crea un set di stack che esegue il provisioning dei ruoli di raccoglitore.
- Nella pagina StackSet, fai clic su Crea StackSet.
Fai clic su Autorizzazioni gestite dal servizio.
Quando specifichi un modello, carica il file del modello del ruolo del raccoglitore.
Quando specifichi i dettagli di StackSet, inserisci un nome e una descrizione per lo stack set.
Inserisci l'ID account delegato.
Se hai modificato il nome del ruolo delegato, del ruolo del raccoglitore o del ruolo Sensitive Data Protection, aggiorna i parametri di conseguenza. I parametri inseriti devono corrispondere a quelli elencati nella pagina Connetti a AWS della console Google Cloud.
In base alle esigenze della tua organizzazione, configura le opzioni del set di stack.
Quando specifichi le opzioni di deployment, scegli le destinazioni di deployment. Puoi eseguire il deployment nell'intera organizzazione AWS o in un'unità organizzativa (UO) che includa tutti gli account AWS da cui vuoi raccogliere i dati.
Specifica le regioni AWS in cui creare i ruoli e i criteri. Poiché i ruoli sono risorse globali, non è necessario specificare più regioni.
Se necessario, modifica altre impostazioni.
Rivedi le modifiche e fai clic su Invia per creare l'insieme di stack. Se ricevi un messaggio di errore, consulta la sezione Risoluzione dei problemi. Per saperne di più, consulta Creare un set di stack con autorizzazioni gestite dal servizio nella documentazione di AWS.
Se devi raccogliere i dati dall'account di gestione, accedi all'account di gestione e esegui il deployment di uno stack separato per eseguire il provisioning dei ruoli del raccoglitore. Quando specifichi il modello, carica il file del modello del ruolo del raccoglitore.
Questo passaggio è necessario perché gli insiemi di stack AWS CloudFormation non creano istanze di stack negli account di gestione. Per ulteriori informazioni, consulta DeploymentTargets nella documentazione di AWS.
Per completare la procedura di integrazione, consulta Completare la procedura di integrazione.
Configura manualmente gli account AWS
Se non puoi utilizzare i modelli CloudFormation (ad esempio, utilizzi nomi di ruolo diversi o personalizzi l'integrazione), puoi creare manualmente i criteri e i ruoli IAM AWS richiesti.
Devi creare criteri e ruoli IAM AWS per l'account delegato e per gli account raccoglitore.
Crea il criterio AWS IAM per il ruolo delegato
Per creare un criterio AWS IAM per il ruolo delegato (un criterio delegato), segui questi passaggi:
Accedi alla console dell'account delegato AWS.
Fai clic su Criteri > Crea criterio.
Fai clic su JSON e incolla una delle seguenti stringhe, a seconda che tu abbia selezionato o meno la casella di controllo Concede autorizzazioni per il rilevamento di Sensitive Data Protection in Configura Security Command Center.
Concedi le autorizzazioni per il rilevamento di Sensitive Data Protection: selezionata
{ "Version": "2012-10-17", "Statement": [ { "Action": "sts:AssumeRole", "Resource": "arn:aws:iam::*:role/COLLECTOR_ROLE_NAME", "Effect": "Allow" }, { "Action": [ "organizations:List*", "organizations:Describe*" ], "Resource": "*", "Effect": "Allow" } ] }
Sostituisci
COLLECTOR_ROLE_NAME
con il nome del ruolo del raccoltore che hai copiato durante la configurazione di Security Command Center (il valore predefinito èaws-collector-role
).Concedi le autorizzazioni per il rilevamento di Sensitive Data Protection: selezionato
{ "Version": "2012-10-17", "Statement": [ { "Action": "sts:AssumeRole", "Resource": [ "arn:aws:iam::*:role/COLLECTOR_ROLE_NAME", "arn:aws:iam::*:role/SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME" ], "Effect": "Allow" }, { "Action": [ "organizations:List*", "organizations:Describe*" ], "Resource": "*", "Effect": "Allow" } ] }
Sostituisci quanto segue:
COLLECTOR_ROLE_NAME
: il nome del ruolo del raccoglie dati di configurazione che hai copiato durante la configurazione di Security Command Center (il valore predefinito èaws-collector-role
).SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME
: il nome del ruolo del raccoglitore Sensitive Data Protection che hai copiato durante la configurazione di Security Command Center (il valore predefinito èaws-sensitive-data-protection-role
).
Fai clic su Avanti.
Nella sezione Dettagli criterio, inserisci un nome e una descrizione per il criterio.
Fai clic su Crea criterio.
Crea un ruolo IAM AWS per la relazione di attendibilità tra AWS e Google Cloud
Crea un ruolo delegato che configuri una relazione attendibile tra AWS e Google Cloud. Questo ruolo utilizza il criterio delegato creato in Creare il criterio AWS IAM per il ruolo delegato.
Accedi alla console dell'account delegato AWS come utente AWS che può creare criteri e ruoli IAM.
Fai clic su Ruoli > Crea ruolo.
In Tipo di entità attendibile, fai clic su Identità web.
In Provider di identità, fai clic su Google.
In Pubblico, inserisci l'ID agente di servizio che hai copiato quando hai configurato Security Command Center. Fai clic su Avanti.
Per concedere al ruolo delegato l'accesso ai ruoli del raccoglitore, allega al ruolo le policy di autorizzazione. Cerca il criterio delegato creato in Creare il criterio AWS IAM per il ruolo delegato e selezionalo.
Nella sezione Dettagli ruolo, inserisci il nome del ruolo delegato che hai copiato quando hai configurato Security Command Center (il nome predefinito è
aws-delegated-role
).Fai clic su Crea ruolo.
Crea il criterio AWS IAM per la raccolta dei dati di configurazione degli asset
Per creare un criterio AWS IAM per la raccolta dei dati di configurazione delle risorse (un criterio di raccolta), svolgi i seguenti passaggi:
Accedi alla console dell'account del raccoglitore AWS.
Fai clic su Criteri > Crea criterio.
Fai clic su JSON e incolla quanto segue:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ce:GetCostAndUsage", "dynamodb:DescribeTableReplicaAutoScaling", "identitystore:ListGroupMemberships", "identitystore:ListGroups", "identitystore:ListUsers", "lambda:GetFunction", "lambda:GetFunctionConcurrency", "logs:ListTagsForResource", "s3express:GetBucketPolicy", "s3express:ListAllMyDirectoryBuckets", "wafv2:GetIPSet" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "apigateway:GET" ], "Resource": [ "arn:aws:apigateway:*::/usageplans", "arn:aws:apigateway:*::/usageplans/*/keys", "arn:aws:apigateway:*::/vpclinks/*" ] } ] }
Fai clic su Avanti.
Nella sezione Dettagli criterio, inserisci un nome e una descrizione per il criterio.
Fai clic su Crea criterio.
Ripeti questi passaggi per ogni account del raccoglitore.
Crea il ruolo AWS IAM per la raccolta dei dati di configurazione degli asset in ogni account
Crea il ruolo del raccoglitore che consente a Security Command Center di recuperare i dati di configurazione degli asset da AWS. Questo ruolo utilizza il criterio del raccoglitore creato in Creare il criterio AWS IAM per la raccolta dei dati di configurazione delle risorse.
Accedi alla console dell'account collector AWS come utente che può creare ruoli IAM per gli account collector.
Fai clic su Ruoli > Crea ruolo.
Per Tipo di entità attendibile, fai clic su Norma di attendibilità personalizzata.
Nella sezione Norme di attendibilità personalizzate, incolla quanto segue:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::DELEGATE_ACCOUNT_ID:role/DELEGATE_ACCOUNT_ROLE" }, "Action": "sts:AssumeRole" } ] }
Sostituisci quanto segue:
DELEGATE_ACCOUNT_ID
: l'ID account AWS per l'account delegatoDELEGATE_ACCOUNT_ROLE
: il nome del ruolo delegato che hai copiato quando hai configurato Security Command Center.
Per concedere a questo ruolo di raccoglitore l'accesso ai dati di configurazione delle risorse AWS, collega i criteri di autorizzazione al ruolo. Cerca il criterio del collector personalizzato creato in Creare il criterio IAM AWS per la raccolta dei dati di configurazione degli asset e selezionalo.
Cerca e seleziona i seguenti criteri gestiti:
- arn:aws:iam::aws:policy/job-function/ViewOnlyAccess
- arn:aws:iam::aws:policy/SecurityAudit
Nella sezione Dettagli del ruolo, inserisci il nome del ruolo del raccoglitore dei dati di configurazione che hai copiato quando hai configurato Security Command Center.
Fai clic su Crea ruolo.
Ripeti questi passaggi per ogni account del raccoglitore.
Se hai selezionato la casella di controllo Concedi le autorizzazioni per il rilevamento Sensitive Data Protection in Configura Security Command Center, vai alla sezione successiva.
Se non hai attivato la casella di controllo Concedi le autorizzazioni per il rilevamento Sensitive Data Protection, completa la procedura di integrazione.
Crea il criterio AWS IAM per Sensitive Data Protection
Completa questi passaggi se hai selezionato la casella di controllo Concedi le autorizzazioni per il rilevamento Sensitive Data Protection in Configura Security Command Center.
Per creare un criterio AWS IAM per la protezione dei dati sensibili (un criterio di raccolta), svolgi i seguenti passaggi:
Accedi alla console dell'account del raccoglitore AWS.
Fai clic su Criteri > Crea criterio.
Fai clic su JSON e incolla quanto segue:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:ListAllMyBuckets", "s3:GetBucketPolicyStatus", "s3:ListBucket", "s3:GetObject", "s3:GetObjectVersion", "s3:GetBucketPublicAccessBlock", "s3:GetBucketOwnershipControls", "s3:GetBucketTagging" ], "Resource": ["arn:aws:s3:::*"] }, { "Effect": "Allow", "Action": [ "iam:ListAttachedRolePolicies", "iam:GetPolicy", "iam:GetPolicyVersion", "iam:ListRolePolicies", "iam:GetRolePolicy", "ce:GetCostAndUsage", "dynamodb:DescribeTableReplicaAutoScaling", "identitystore:ListGroupMemberships", "identitystore:ListGroups", "identitystore:ListUsers", "lambda:GetFunction", "lambda:GetFunctionConcurrency", "logs:ListTagsForResource", "s3express:GetBucketPolicy", "s3express:ListAllMyDirectoryBuckets", "wafv2:GetIPSet" ], "Resource": ["*"] }, { "Effect": "Allow", "Action": [ "s3express:CreateSession" ], "Resource": ["arn:aws:s3express:*:*:bucket/*"] } ] }
Fai clic su Avanti.
Nella sezione Dettagli criterio, inserisci un nome e una descrizione per il criterio.
Fai clic su Crea criterio.
Ripeti questi passaggi per ogni account del raccoglitore.
Crea il ruolo AWS IAM per Sensitive Data Protection in ogni account
Completa questi passaggi se hai selezionato la casella di controllo Concedi le autorizzazioni per il rilevamento Sensitive Data Protection in Configura Security Command Center.
Crea il ruolo del raccoglitore che consente a Sensitive Data Protection di profilare i contenuti delle tue risorse AWS. Questo ruolo utilizza il criterio del raccoglitore creato in Creare il criterio AWS IAM per Sensitive Data Protection.
Accedi alla console dell'account collector AWS come utente che può creare ruoli IAM per gli account collector.
Fai clic su Ruoli > Crea ruolo.
Per Tipo di entità attendibile, fai clic su Norma di attendibilità personalizzata.
Nella sezione Norme di attendibilità personalizzate, incolla quanto segue:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::DELEGATE_ACCOUNT_ID:role/DELEGATE_ACCOUNT_ROLE" }, "Action": "sts:AssumeRole" } ] }
Sostituisci quanto segue:
DELEGATE_ACCOUNT_ID
: l'ID account AWS per l'account delegatoDELEGATE_ACCOUNT_ROLE
: il nome del ruolo delegato che hai copiato quando hai configurato Security Command Center
Per concedere a questo ruolo di raccoglitore l'accesso ai contenuti delle tue risorse AWS, collega i criteri di autorizzazione al ruolo. Cerca il criterio del raccoltore personalizzato creato in Creare il criterio IAM AWS per la protezione dei dati sensibili e selezionalo.
Nella sezione Dettagli ruolo, inserisci il nome del ruolo per Sensitive Data Protection che hai copiato quando hai configurato Security Command Center.
Fai clic su Crea ruolo.
Ripeti questi passaggi per ogni account del raccoglitore.
Per completare la procedura di integrazione, consulta Completare la procedura di integrazione.
Completa la procedura di integrazione
Nella console Google Cloud, nella pagina Test connettore, fai clic su Test connettore per verificare che Security Command Center possa connettersi al tuo ambiente AWS. Se la connessione viene stabilita, il test ha stabilito che il ruolo delegato dispone di tutte le autorizzazioni necessarie per assumere i ruoli del raccoglitore. Se la connessione non va a buon fine, consulta la sezione Risolvere i problemi relativi ai test di connessione.
Fai clic su Crea.
Personalizzare la configurazione del connettore AWS
Questa sezione descrive alcuni dei modi in cui puoi personalizzare la connessione tra Security Command Center e AWS. Queste opzioni sono disponibili nella sezione Opzioni avanzate (facoltative) della pagina Aggiungi connettore Amazon Web Services nella console Google Cloud.
Per impostazione predefinita, Security Command Center rileva automaticamente i tuoi account AWS in tutte le regioni AWS. La connessione utilizza l'endpoint globale predefinito per il servizio token di sicurezza AWS e il numero di query al secondo (QPS) predefinito per il servizio AWS che stai monitorando. Queste opzioni avanzate ti consentono di personalizzare le impostazioni predefinite.
Opzione | Descrizione |
---|---|
Aggiungi account connettore AWS | Seleziona il campo Aggiungi account automaticamente (opzione consigliata) per consentire a Security Command Center di rilevare automaticamente gli account AWS oppure seleziona Aggiungi account singolarmente e fornisci un elenco di account AWS che Security Command Center può utilizzare per trovare le risorse. |
Escludi account connettore AWS | Se hai selezionato il campo Aggiungi account singolarmente nella sezione Aggiungi account connettore AWS, fornisci un elenco di account AWS che Security Command Center non deve utilizzare per trovare le risorse. |
Seleziona le regioni in cui raccogliere i dati | Seleziona una o più regioni AWS da cui Security Command Center deve raccogliere i dati. Lascia vuoto il campo Regioni AWS per raccogliere i dati da tutte le regioni. |
Numero massimo di query al secondo (QPS) per i servizi AWS | Puoi modificare la QPS per controllare il limite di quota per Security Command Center. Imposta l'override su un valore inferiore al valore predefinito per il servizio e maggiore o uguale a 1 .
Il valore predefinito è il valore massimo. Se modifichi la QPS, Security Command Center potrebbe riscontrare problemi di recupero dei dati. Pertanto, sconsigliamo di modificare questo valore. |
Endpoint per il servizio token di sicurezza AWS | Puoi specificare un endpoint specifico per il servizio token di sicurezza AWS (ad esempio https://sts.us-east-2.amazonaws.com ). Lascia vuoto il campo Servizio token di sicurezza AWS per utilizzare l'endpoint globale predefinito (https://sts.amazonaws.com ). |
Concedi le autorizzazioni per il rilevamento dei dati sensibili a un connettore AWS esistente
Per eseguire il rilevamento dei dati sensibili nei tuoi contenuti AWS, devi disporre di un connettore AWS con le autorizzazioni IAM AWS obbligatorie.
Questa sezione descrive come concedere queste autorizzazioni a un connettore AWS esistente. I passaggi da seguire dipendono dal fatto che tu abbia configurato il tuo ambiente AWS utilizzando i modelli CloudFormation o manualmente.
Aggiornare un connettore esistente utilizzando i modelli CloudFormation
Se configuri il tuo ambiente AWS utilizzando i modelli CloudFormation, segui questi passaggi per concedere le autorizzazioni di rilevamento dei dati sensibili per il tuo connettore AWS esistente.
Nella console Google Cloud, vai alla pagina Guida alla configurazione di Security Command Center.
Seleziona l'organizzazione in cui hai attivato il livello Security Command Center Enterprise. Si apre la pagina Guida alla configurazione.
Fai clic su Passaggio 3: configura l'integrazione con Amazon Web Services (AWS). Viene visualizzata la pagina Connettori.
Per il connettore AWS, fai clic su > Modifica.
AltroNella sezione Esamina i tipi di dati, seleziona Concedi le autorizzazioni per il rilevamento Sensitive Data Protection.
Fai clic su Continua. Si apre la pagina Connettiti ad AWS.
Fai clic su Scarica modello del ruolo delegato. Il modello viene scaricato sul computer.
Fai clic su Scarica modello del ruolo raccoglitore. Il modello viene scaricato sul computer.
Fai clic su Continua. Si apre la pagina Testa connettore. Non testare ancora il connettore.
Nella console CloudFormation, aggiorna il modello di stack per il ruolo delegato:
- Accedi alla console dell'account delegato AWS. Assicurati di aver eseguito l'accesso all'account delegato utilizzato per assumere altri account AWS collector.
- Vai alla console AWS CloudFormation.
Sostituisci il modello di stack per il ruolo delegato con il modello di ruolo delegato aggiornato che hai scaricato.
Per ulteriori informazioni, consulta Aggiornare il modello di uno stack (console) nella documentazione di AWS.
Aggiorna l'insieme di stack per il ruolo del raccoglitore:
- Utilizzando un account di gestione AWS o qualsiasi account membro registrato come amministratore delegato, vai alla console AWS CloudFormation.
Sostituisci il modello di set di stack per il ruolo del raccoglitore con il modello di ruolo del raccoglitore aggiornato che hai scaricato.
Per ulteriori informazioni, consulta Aggiornare l'insieme di stack utilizzando la console AWS CloudFormation nella documentazione di AWS.
Se devi raccogliere i dati dall'account di gestione, accedi all'account di gestione e sostituisci il modello nello schema del raccoglitore con il modello di ruolo del raccoglitore aggiornato che hai scaricato.
Questo passaggio è necessario perché gli insiemi di stack AWS CloudFormation non creano istanze di stack negli account di gestione. Per ulteriori informazioni, consulta DeploymentTargets nella documentazione di AWS.
Nella console Google Cloud, nella pagina Test connettore, fai clic su Test connettore. Se la connessione viene stabilita, il test ha stabilito che il ruolo delegato dispone di tutte le autorizzazioni necessarie per assumere i ruoli di gatherer. Se la connessione non va a buon fine, consulta Risolvere i problemi di connessione durante il test.
Fai clic su Salva.
Aggiornare manualmente un connettore esistente
Se hai configurato manualmente i tuoi account AWS quando hai creato il connettore AWS, segui questi passaggi per concedere le autorizzazioni di rilevamento dei dati sensibili per il connettore AWS esistente.
Nella console Google Cloud, vai alla pagina Guida alla configurazione di Security Command Center.
Seleziona l'organizzazione in cui hai attivato il livello Security Command Center Enterprise. Si apre la pagina Guida alla configurazione.
Fai clic su Passaggio 3: configura l'integrazione con Amazon Web Services (AWS). Viene visualizzata la pagina Connettori.
Per il connettore AWS, fai clic su > Modifica.
AltroNella sezione Esamina i tipi di dati, seleziona Concedi le autorizzazioni per il rilevamento Sensitive Data Protection.
Fai clic su Continua. Si apre la pagina Connettiti ad AWS.
Fai clic su Configura manualmente gli account AWS (consigliato se utilizzi impostazioni avanzate o nomi ruolo personalizzati).
Copia i valori dei seguenti campi:
- Nome del ruolo delegato
- Nome del ruolo del raccoglitore
- Nome del ruolo del raccoglitore Sensitive Data Protection
Fai clic su Continua. Si apre la pagina Testa connettore. Non testare ancora il connettore.
Nella console dell'account delegato AWS, aggiorna il criterio AWS IAM per il ruolo delegato in modo da utilizzare il seguente JSON:
{ "Version": "2012-10-17", "Statement": [ { "Action": "sts:AssumeRole", "Resource": [ "arn:aws:iam::*:role/COLLECTOR_ROLE_NAME", "arn:aws:iam::*:role/SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME" ], "Effect": "Allow" }, { "Action": [ "organizations:List*", "organizations:Describe*" ], "Resource": "*", "Effect": "Allow" } ] }
Sostituisci quanto segue:
COLLECTOR_ROLE_NAME
: il nome del ruolo del raccoglie dati di configurazione che hai copiato (il valore predefinito èaws-collector-role
)SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME
: il nome del ruolo del raccoglitore Sensitive Data Protection che hai copiato (il valore predefinito èaws-sensitive-data-protection-role
)
Per ulteriori informazioni, consulta Modificare i criteri gestiti dal cliente (console) nella documentazione di AWS.
Per ogni account del raccoglitore, svolgi le seguenti procedure:
Nella console Google Cloud, nella pagina Test connettore, fai clic su Test connettore. Se la connessione viene stabilita, il test ha stabilito che il ruolo delegato dispone di tutte le autorizzazioni necessarie per assumere i ruoli di gatherer. Se la connessione non va a buon fine, consulta Risolvere i problemi di connessione durante il test.
Fai clic su Salva.
Risoluzione dei problemi
Questa sezione include alcuni problemi comuni che potresti riscontrare durante l'integrazione di Security Command Center con AWS.
Le risorse esistono già
Questo errore si verifica nell'ambiente AWS quando provi a creare i criteri IAM AWS e i ruoli IAM AWS. Questo problema si verifica quando il ruolo esiste già nel tuo account AWS e stai tentando di crearlo di nuovo.
Per risolvere il problema:
- Verifica se il ruolo o il criterio che stai creando esiste già e soddisfa i requisiti elencati in questa guida.
- Se necessario, modifica il nome del ruolo per evitare conflitti.
Principale non valido nel criterio
Questo errore può verificarsi nell'ambiente AWS quando crei i ruoli del collector, ma il ruolo del delegato non esiste ancora.
Per risolvere il problema, completa i passaggi descritti in Creare il criterio AWS IAM per il ruolo delegato e attendi che il ruolo delegato sia creato prima di continuare.
Limitazioni del throttling in AWS
AWS limita le richieste API per ogni account AWS su base account o regione. Per garantire che questi limiti non vengano superati quando Security Command Center raccoglie i dati di configurazione delle risorse da AWS, li raccoglie a una QPS massima fissa per ogni servizio AWS, come descritto nella documentazione dell'API per il servizio AWS.
Se si verifica il throttling delle richieste nel tuo ambiente AWS a causa del QPS consumato, puoi attenuare il problema completando quanto segue:
Nella pagina Impostazioni del connettore AWS, imposta un QPS personalizzato per il servizio AWS che presenta problemi di throttling delle richieste.
Limita le autorizzazioni del ruolo del raccoglitore AWS in modo che i dati di quel servizio specifico non vengano più raccolti. Questa tecnica di mitigazione impedisce il corretto funzionamento delle simulazioni dei percorsi di attacco per AWS.
La revoca di tutte le autorizzazioni in AWS interrompe immediatamente il processo del raccoglitore dei dati. L'eliminazione del connettore AWS non interrompe immediatamente il processo del raccoltore dei dati, ma non verrà riavviato al termine.
Risolvere gli errori durante il test della connessione
Questi errori possono verificarsi quando testi la connessione tra Security Command Center e AWS.
AWS_FAILED_TO_ASSUME_DELEGATED_ROLE
La connessione non è valida perché l'agente di servizio Google Cloud non può assumere il ruolo delegato.
Per risolvere il problema, tieni presente quanto segue:
Verifica che il ruolo delegato esista. Per crearlo, consulta Creare un ruolo IAM AWS per la relazione di attendibilità tra AWS e Google Cloud.
Il criterio in linea del ruolo delegato non è presente. In caso contrario, l'agente di servizio non può assumere il ruolo. Per verificare che il criterio in linea esista, consulta Creare un ruolo IAM AWS per la relazione di attendibilità tra AWS e Google Cloud.
AWS_FAILED_TO_LIST_ACCOUNTS
La connessione non è valida perché il rilevamento automatico è abilitato e il ruolo delegato non può recuperare tutti gli account AWS nelle organizzazioni.
Questo problema indica che il criterio per consentire l'azione organizations:ListAccounts
sul ruolo delegato non è presente in determinate risorse. Per risolvere il problema, verifica quali risorse mancano. Per verificare
le impostazioni per il criterio delegato, consulta
Creare il criterio AWS IAM per il ruolo delegato.
AWS_INVALID_COLLECTOR_ACCOUNTS
La connessione non è valida perché esistono account del raccoglitore non validi. Il messaggio di errore include ulteriori informazioni sulle possibili cause, tra cui:
AWS_FAILED_TO_ASSUME_COLLECTOR_ROLE
L'account del raccoglitore non è valido perché il ruolo delegato non può assumere il ruolo del raccoglitore nell'account del raccoglitore.
Per risolvere il problema, tieni presente quanto segue:
Verifica che il ruolo del raccoglitore esista.
- Per creare il ruolo del raccoglitore per i dati di configurazione degli asset, consulta Creare il ruolo IAM AWS per la raccolta dei dati di configurazione degli asset in ogni account.
- Per creare il ruolo del raccoglitore per Sensitive Data Protection, consulta Creare il ruolo IAM AWS per Sensitive Data Protection in ogni account.
Manca il criterio per consentire al ruolo delegato di assumere il ruolo del raccoglitore. Per verificare che il criterio esista, consulta Creare il criterio AWS IAM per il ruolo delegato.
AWS_COLLECTOR_ROLE_POLICY_MISSING_REQUIRED_PERMISSION
La connessione non è valida perché le norme del raccoglitore non contengono alcune delle impostazioni di autorizzazione richieste.
Per risolvere il problema, tieni presente le seguenti cause:
Alcuni dei criteri gestiti AWS richiesti potrebbero non essere associati al ruolo del raccoltore per i dati di configurazione delle risorse. Per verificare che tutti i criteri siano collegati, consulta il passaggio 6 di Creare il ruolo AWS IAM per la raccolta dei dati di configurazione degli asset in ogni account.
Potrebbe essere presente uno dei seguenti problemi con un criterio di raccolta:
- Il criterio del raccoglitore potrebbe non esistere.
- Il criterio del raccoglitore non è associato al ruolo del raccoglitore.
- Il criterio del raccoglitore non include tutte le autorizzazioni richieste.
Per risolvere i problemi relativi alle norme per i collezionisti, consulta quanto segue:
Passaggi successivi
- Se stai configurando Security Command Center Enterprise per la prima volta, continua con il passaggio 4 della guida alla configurazione nella console.
- Esamina e correggi i risultati relativi alle vulnerabilità di AWS.
- Crea e gestisci una postura di sicurezza per AWS.
- Crea simulazioni del percorso di attacco per le risorse AWS.
- Mappa la conformità delle risorse AWS a vari standard e benchmark.