É possível conectar o nível Security Command Center Enterprise ao seu ambiente da Amazon Web Services (AWS) para fazer o seguinte:
- Detecte e corrija vulnerabilidades de software e configurações incorretas no seu ambiente da AWS
- Criar e gerenciar uma postura de segurança para a AWS
- Identificar possíveis caminhos de ataque da Internet pública para seus recursos de alto valor da AWS
- Mapear a conformidade dos recursos da AWS com vários padrões e comparativos de mercado
Ao conectar o Security Command Center à AWS, você cria um local único para sua equipe de operações de segurança gerenciar e corrigir ameaças e vulnerabilidades noGoogle Cloud e na AWS.
Para permitir que o Security Command Center monitore sua organização da AWS, configure uma conexão usando um agente de serviço doGoogle Cloud e uma conta da AWS com acesso aos recursos que você quer monitorar. O Security Command Center usa essa conexão para coletar dados periodicamente em todas as contas e regiões da AWS definidas. Esses dados são tratados da mesma forma que os dados de serviço, de acordo com o Aviso de privacidade do Google Cloud.
É possível criar uma conexão da AWS para cada Google Cloud organização. O conector usa chamadas de API para coletar dados de recursos da AWS. Essas chamadas de API podem gerar cobranças da AWS.
Neste documento, descrevemos como configurar a conexão com a AWS. Ao configurar uma conexão, você define o seguinte:
- Uma série de contas na AWS com acesso direto aos recursos da AWS que você quer monitorar. No console Google Cloud , essas contas são chamadas de contas de coleta.
- Uma conta na AWS com as políticas e funções adequadas para permitir a autenticação em contas de coletor. No console do Google Cloud , essa conta é chamada de conta delegada. A conta delegada e as contas de coleta precisam estar na mesma organização da AWS.
- Um agente de serviço em Google Cloud que se conecta à conta delegada para autenticação.
- Um pipeline para coletar dados de recursos da AWS.
- (Opcional) Permissões para a Proteção de Dados Sensíveis criar um perfil do seu conteúdo da AWS.
O conector não ingere os registros da AWS necessários para os recursos de detecção selecionados do SIEM no Security Command Center Enterprise. Para informações sobre como ingerir esses dados, consulte Conectar-se à AWS para ingestão de registros.
Essa conexão não se aplica aos recursos de SIEM do Security Command Center que permitem ingerir registros da AWS para detecção de ameaças.
O diagrama a seguir mostra essa configuração. O projeto de locatário é criado automaticamente e contém sua instância do pipeline de coleta de dados de recursos.
Antes de começar
Conclua essas tarefas antes de concluir as restantes nesta página.
Ativar o nível Enterprise do Security Command Center
Conclua as etapas 1 e 2 do guia de configuração para ativar o nível Enterprise do Security Command Center.
Configurar permissões no Google Cloud
Para receber as permissões necessárias para usar o conector da AWS,
peça ao administrador para conceder a você o papel do IAM de
Proprietário de recursos do Cloud (roles/cloudasset.owner).
Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.
Também é possível conseguir as permissões necessárias por meio de papéis personalizados ou de outros papéis predefinidos.
Criar contas da AWS
Confira se você tem os seguintes recursos da AWS:
Um usuário do IAM da AWS com acesso ao IAM da AWS para os consoles de conta da AWS delegada e do coletor.
O ID da conta da AWS de uma conta que pode ser usada como delegada. A conta delegada precisa atender aos seguintes requisitos:
A conta delegada precisa estar vinculada a uma organização da AWS. Para anexar uma conta a uma organização da AWS, faça o seguinte:
- Crie ou identifique uma organização em que você vai anexar a conta delegada.
- Convide a conta delegada para participar da organização.
A conta delegada precisa ser uma das seguintes:
- Uma conta de gerenciamento da AWS.
- Um administrador delegado da AWS.
- Uma conta da AWS com uma política de delegação baseada em recursos
que forneça a permissão
organizations:ListAccounts. Para um exemplo de política, consulte Criar uma política de delegação baseada em recursos com o AWS Organizations na documentação da AWS.
Configurar o conector da AWS
Abra a guia Conectores na página Configurações.
Selecione a organização em que você ativou o Security Command Center Enterprise.
Selecione Conectores > Adicionar conector > Amazon Web Services.
Em ID da conta delegada, insira o ID da conta da AWS que você pode usar como conta delegada.
Para permitir que a Proteção de Dados Sensíveis crie um perfil dos seus dados da AWS, mantenha a opção Conceder permissões para o serviço de descoberta da Proteção de Dados Sensíveis selecionada. Essa opção adiciona permissões do IAM da AWS no modelo do CloudFormation para a função de coletor.
Permissões do IAM da AWS concedidas por esta opção
s3:GetBucketLocations3:ListAllMyBucketss3:GetBucketPolicyStatuss3:ListBuckets3:GetObjects3:GetObjectVersions3:GetBucketPublicAccessBlocks3:GetBucketOwnershipControlss3:GetBucketTaggingiam:ListAttachedRolePoliciesiam:GetPolicyiam:GetPolicyVersioniam:ListRolePoliciesiam:GetRolePolicyce:GetCostAndUsagedynamodb:DescribeTableReplicaAutoScalingidentitystore:ListGroupMembershipsidentitystore:ListGroupsidentitystore:ListUserslambda:GetFunctionlambda:GetFunctionConcurrencylogs:ListTagsForResources3express:CreateSessions3express:GetBucketPolicys3express:ListAllMyDirectoryBucketswafv2:GetIPSet
Se quiser, revise e edite as Opções avançadas. Consulte Personalizar a configuração do conector da AWS para informações sobre outras opções.
Clique em Continuar. A página Conectar à AWS é aberta.
Selecione uma destas opções:
Use os modelos do AWS CloudFormation e faça o download e a análise dos modelos para a função delegada e a função de coletor.
Configurar contas da AWS manualmente: selecione essa opção se você configurou as opções avançadas ou precisa mudar os nomes de função padrão da AWS (aws-delegated-role, aws-collector-role e aws-sensitive-data-protection-role). Copie o ID do agente de serviço, o nome da função delegada, o nome da função de coletor e o nome da função de coletor da Proteção de Dados Sensíveis.
Não é possível mudar os nomes das funções depois de criar a conexão.
Não clique em Salvar ou Continuar. Em vez disso, configure seu ambiente da AWS.
Configurar o ambiente da AWS
É possível configurar seu ambiente da AWS usando um dos seguintes métodos:
- Use os modelos do CloudFormation que você baixou em Configurar o Security Command Center. Para instruções, consulte Usar modelos do CloudFormation para configurar seu ambiente da AWS.
- Se você estiver usando configurações ou nomes de funções personalizados, configure as contas da AWS manualmente. Para instruções, consulte Configurar contas da AWS manualmente.
Usar modelos do CloudFormation para configurar seu ambiente da AWS
Se você baixou modelos do CloudFormation, siga estas etapas para configurar seu ambiente da AWS.
- Faça login no console da conta delegada da AWS. Confirme se você fez login na conta delegada usada para assumir outras contas da AWS do coletor (ou seja, uma conta de gerenciamento da AWS ou qualquer conta de membro registrada como administrador delegado).
- Acesse o console do modelo do AWS CloudFormation.
Crie uma pilha que provisione a função de delegado:
- Na página Stacks, clique em Create stack > With new resources (standard).
- Ao especificar um modelo, faça upload do arquivo de modelo de função delegada.
- Ao especificar os detalhes da pilha, insira um nome.
Se você mudou o nome da função delegada, da função de coletor ou da função da Proteção de Dados Sensíveis, atualize os parâmetros de acordo. Os parâmetros inseridos precisam corresponder aos listados na página Conectar à AWS no console do Google Cloud .
Atualize as opções de pilha conforme exigido pela sua organização.
Na página Revisar e criar, selecione Confirmo que o AWS CloudFormation pode criar recursos do IAM com nomes personalizados.
Clique em Enviar para criar a pilha.
Aguarde a criação da pilha. Se ocorrer um erro, consulte Solução de problemas. Para mais informações, consulte Como criar uma pilha no console do AWS CloudFormation na documentação da AWS.
Crie um conjunto de pilhas que provisione funções de coletor.
Usando uma conta de gerenciamento da AWS ou qualquer conta de membro registrada como administrador delegado, acesse o console do AWS CloudFormation.
Na página StackSets, clique em Criar StackSet.
Clique em Permissões gerenciadas pelo serviço.
Ao especificar um modelo, faça upload do arquivo de modelo de função do coletor.
Ao especificar os detalhes do StackSet, insira um nome e uma descrição.
Insira o ID da conta delegada.
Se você mudou o nome da função delegada, da função de coletor ou da função da Proteção de Dados Sensíveis, atualize os parâmetros de acordo. Os parâmetros inseridos precisam corresponder aos listados na página Conectar à AWS no console do Google Cloud .
Configure as opções de conjunto de pilhas conforme exigido pela sua organização.
Ao especificar as opções de implantação, escolha os destinos de implantação. Você pode fazer a implantação em toda a organização da AWS ou em uma unidade organizacional (UO) que inclua todas as contas da AWS de que você quer coletar dados.
Especifique as regiões da AWS em que os papéis e as políticas serão criados. Como as funções são recursos globais, não é necessário especificar várias regiões.
Mude outras configurações, se necessário.
Revise as mudanças e clique em Enviar para criar o conjunto de stacks. Se você receber um erro, consulte Solução de problemas. Para mais informações, consulte Criar conjuntos de pilhas do CloudFormation com permissões gerenciadas pelo serviço na documentação da AWS.
Se você precisar coletar dados da conta de gerenciamento, faça login nela e implante uma pilha separada para provisionar as funções do coletor. Ao especificar o modelo, faça upload do arquivo de modelo de função do coletor.
Essa etapa é necessária porque os conjuntos de pilhas do AWS CloudFormation não criam instâncias de pilha em contas de gerenciamento. Para mais informações, consulte DeploymentTargets na documentação da AWS.
Para concluir o processo de integração, consulte Concluir o processo de integração.
Configurar contas da AWS manualmente
Se não for possível usar os modelos do CloudFormation (por exemplo, se você estiver usando nomes de papéis diferentes ou personalizando a integração), crie as políticas e os papéis necessários do IAM da AWS manualmente.
É necessário criar políticas e papéis do IAM da AWS para a conta delegada e as contas de coletor.
Criar a política do AWS IAM para o papel delegado
Para criar uma política do IAM da AWS para a função delegada (uma política delegada), faça o seguinte:
Faça login no console da conta delegada da AWS.
Clique em Políticas > Criar política.
Clique em JSON e cole uma das opções a seguir, dependendo se você marcou a caixa de seleção Conceder permissões para descoberta de proteção de dados sensíveis em Configurar o Security Command Center.
Atribuir permissões para o serviço de descoberta de Proteção de Dados Sensíveis: desmarcada
{ "Version": "2012-10-17", "Statement": [ { "Action": "sts:AssumeRole", "Resource": "arn:aws:iam::*:role/COLLECTOR_ROLE_NAME", "Effect": "Allow" }, { "Action": [ "organizations:List*", "organizations:Describe*" ], "Resource": "*", "Effect": "Allow" } ] }Substitua
COLLECTOR_ROLE_NAMEpelo nome da função de coletor que você copiou ao configurar o Security Command Center. O padrão éaws-collector-role.Atribuir permissões para o serviço de descoberta de Proteção de Dados Sensíveis: selecionado
{ "Version": "2012-10-17", "Statement": [ { "Action": "sts:AssumeRole", "Resource": [ "arn:aws:iam::*:role/COLLECTOR_ROLE_NAME", "arn:aws:iam::*:role/SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME" ], "Effect": "Allow" }, { "Action": [ "organizations:List*", "organizations:Describe*" ], "Resource": "*", "Effect": "Allow" } ] }Substitua:
COLLECTOR_ROLE_NAME: o nome da função de coletor de dados de configuração que você copiou ao configurar o Security Command Center (o padrão éaws-collector-role).SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME: o nome da função de coletor da Proteção de Dados Sensíveis que você copiou ao configurar o Security Command Center (o padrão éaws-sensitive-data-protection-role)
Clique em Próxima.
Na seção Detalhes da política, insira um nome e uma descrição para a política.
Clique em Criar política.
Criar um papel do IAM da AWS para a relação de confiança entre a AWS e o Google Cloud
Crie uma função delegada que estabeleça uma relação de confiança entre a AWS e Google Cloud. Esse papel usa a política delegada criada em Criar a política do IAM da AWS para o papel delegado.
Faça login no console da conta delegada da AWS como um usuário da AWS que pode criar papéis e políticas do IAM.
Clique em Funções > Criar função.
Em Tipo de entidade confiável, clique em Identidade da Web.
Em Provedor de identidade, clique em Google.
Em Público-alvo, insira o ID do agente de serviço que você copiou ao configurar o Security Command Center. Clique em Next.
Para conceder ao papel delegado acesso aos papéis do coletor, anexe as políticas de permissão ao papel. Pesquise e selecione a política delegada criada em Criar a política do IAM da AWS para a função delegada.
Na seção Detalhes da função, insira o Nome da função delegada que você copiou ao configurar o Security Command Center (o nome padrão é
aws-delegated-role).Clique em Criar papel.
Criar a política do IAM da AWS para coleta de dados de configuração de recursos
Para criar uma política do IAM da AWS para coleta de dados de configuração de recursos (uma política de coleta), faça o seguinte:
Faça login no console da conta de coleta da AWS.
Clique em Políticas > Criar política.
Clique em JSON e cole o seguinte:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ce:GetCostAndUsage", "dynamodb:DescribeTableReplicaAutoScaling", "identitystore:ListGroupMemberships", "identitystore:ListGroups", "identitystore:ListUsers", "lambda:GetFunction", "lambda:GetFunctionConcurrency", "logs:ListTagsForResource", "s3express:GetBucketPolicy", "s3express:ListAllMyDirectoryBuckets", "wafv2:GetIPSet" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "apigateway:GET" ], "Resource": [ "arn:aws:apigateway:*::/usageplans", "arn:aws:apigateway:*::/usageplans/*/keys", "arn:aws:apigateway:*::/vpclinks/*" ] } ] }Clique em Próxima.
Na seção Detalhes da política, insira um nome e uma descrição para a política.
Clique em Criar política.
Repita essas etapas para cada conta de coleta.
Crie o papel do IAM da AWS para coleta de dados de configuração de recursos em cada conta
Crie a função de coletor que permite ao Security Command Center receber dados de configuração de recursos da AWS. Esse papel usa a política do coletor criada em Criar a política do IAM da AWS para coleta de dados de configuração de recursos.
Faça login no console da conta do coletor da AWS como um usuário que pode criar papéis do IAM para as contas do coletor.
Clique em Funções > Criar função.
Em Tipo de entidade confiável, clique em Política de confiança personalizada.
Na seção Política de confiança personalizada, cole o seguinte:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::DELEGATE_ACCOUNT_ID:role/DELEGATE_ACCOUNT_ROLE" }, "Action": "sts:AssumeRole" } ] }Substitua:
DELEGATE_ACCOUNT_ID: o ID da conta da AWS para a conta delegadaDELEGATE_ACCOUNT_ROLE: o nome do papel delegado que você copiou ao configurar o Security Command Center.
Para conceder a esse papel de coletor acesso aos dados de configuração de recursos da AWS, anexe as políticas de permissão ao papel. Pesquise e selecione a política personalizada de coleta criada em Criar a política do IAM da AWS para coleta de dados de configuração de recursos.
Pesquise e selecione as seguintes políticas gerenciadas:
- arn:aws:iam::aws:policy/job-function/ViewOnlyAccess
- arn:aws:iam::aws:policy/SecurityAudit
Na seção Detalhes da função, insira o nome da função de coletor de dados de configuração que você copiou ao configurar o Security Command Center.
Clique em Criar papel.
Repita essas etapas para cada conta de coleta.
Se você marcou a caixa de seleção Conceder permissões para descoberta da Proteção de dados sensíveis em Configurar o Security Command Center, avance para a próxima seção.
Se você não marcou a caixa de seleção Conceder permissões para a descoberta da Proteção de Dados Sensíveis, conclua o processo de integração.
Criar a política do IAM da AWS para a proteção de dados sensíveis
Conclua estas etapas se você tiver marcado a caixa de seleção Conceder permissões para descoberta de proteção de dados sensíveis em Configurar o Security Command Center.
Para criar uma política do IAM da AWS para a Proteção de dados sensíveis (uma política de coleta), faça o seguinte:
Faça login no console da conta de coleta da AWS.
Clique em Políticas > Criar política.
Clique em JSON e cole o seguinte:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:ListAllMyBuckets", "s3:GetBucketPolicyStatus", "s3:ListBucket", "s3:GetObject", "s3:GetObjectVersion", "s3:GetBucketPublicAccessBlock", "s3:GetBucketOwnershipControls", "s3:GetBucketTagging" ], "Resource": ["arn:aws:s3:::*"] }, { "Effect": "Allow", "Action": [ "iam:ListAttachedRolePolicies", "iam:GetPolicy", "iam:GetPolicyVersion", "iam:ListRolePolicies", "iam:GetRolePolicy", "ce:GetCostAndUsage", "dynamodb:DescribeTableReplicaAutoScaling", "identitystore:ListGroupMemberships", "identitystore:ListGroups", "identitystore:ListUsers", "lambda:GetFunction", "lambda:GetFunctionConcurrency", "logs:ListTagsForResource", "s3express:GetBucketPolicy", "s3express:ListAllMyDirectoryBuckets", "wafv2:GetIPSet" ], "Resource": ["*"] }, { "Effect": "Allow", "Action": [ "s3express:CreateSession" ], "Resource": ["arn:aws:s3express:*:*:bucket/*"] } ] }Clique em Próxima.
Na seção Detalhes da política, insira um nome e uma descrição para a política.
Clique em Criar política.
Repita essas etapas para cada conta de coleta.
Crie o papel do IAM da AWS para a Proteção de Dados Sensíveis em cada conta
Conclua estas etapas se você tiver marcado a caixa de seleção Conceder permissões para descoberta de proteção de dados sensíveis em Configurar o Security Command Center.
Crie a função de coletor que permite que a Proteção de Dados Sensíveis crie um perfil dos conteúdos dos seus recursos da AWS. Essa função usa a política do coletor criada em Criar a política do IAM da AWS para a proteção de dados sensíveis.
Faça login no console da conta do coletor da AWS como um usuário que pode criar papéis do IAM para contas de coleta.
Clique em Funções > Criar função.
Em Tipo de entidade confiável, clique em Política de confiança personalizada.
Na seção Política de confiança personalizada, cole o seguinte:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::DELEGATE_ACCOUNT_ID:role/DELEGATE_ACCOUNT_ROLE" }, "Action": "sts:AssumeRole" } ] }Substitua:
DELEGATE_ACCOUNT_ID: o ID da conta da AWS para a conta delegadaDELEGATE_ACCOUNT_ROLE: o nome do papel delegado que você copiou ao configurar o Security Command Center.
Para conceder a esse papel de coletor acesso ao conteúdo dos seus recursos da AWS, anexe as políticas de permissão ao papel. Pesquise e selecione a política personalizada de coleta criada em Criar a política do IAM da AWS para a Proteção de dados sensíveis.
Na seção Detalhes da função, insira o nome da função da Proteção de Dados Sensíveis que você copiou ao configurar o Security Command Center.
Clique em Criar papel.
Repita essas etapas para cada conta de coleta.
Para concluir o processo de integração, consulte Concluir o processo de integração.
Concluir o processo de integração
No console do Google Cloud , na página Testar conector, clique em Testar conector para verificar se o Security Command Center pode se conectar ao ambiente da AWS. Se a conexão for estabelecida, o teste vai determinar que a função delegada tem todas as permissões necessárias para assumir as funções de coletor. Se a conexão não funcionar, consulte Solução de problemas de erros ao testar a conexão.
Clique em Criar.
O conector vai começar a verificar e coletar dados das contas e locais da AWS especificados. Pode levar até 24 horas para que os resultados apareçam.
Personalizar a configuração do conector da AWS
Nesta seção, descrevemos algumas maneiras de personalizar a conexão entre o Security Command Center e a AWS. Essas opções estão disponíveis na seção Opções avançadas (opcional) da página Adicionar conector do Amazon Web Services no console Google Cloud .
Por padrão, o Security Command Center descobre automaticamente suas contas da AWS em todas as regiões da AWS. A conexão usa o endpoint global padrão do serviço de token de segurança da AWS e as consultas por segundo (QPS) padrão do serviço da AWS que você está monitorando. Com essas opções avançadas, é possível personalizar os padrões.
| Opção | Descrição |
|---|---|
| Adicionar contas de conector da AWS | Selecione uma opção, dependendo da sua preferência:
|
| Excluir contas do conector da AWS | Se você selecionou Adicionar contas automaticamente na seção Adicionar contas de conector da AWS, forneça uma lista de contas da AWS que o Security Command Center não deve usar para encontrar recursos. |
| Inserir contas de conector da AWS | Se você selecionou Adicionar contas individualmente na seção Adicionar contas do conector da AWS, forneça uma lista de contas da AWS que o Security Command Center pode usar para encontrar recursos. |
| Selecionar regiões para coletar dados | Selecione uma ou mais regiões da AWS para o Security Command Center coletar dados. Deixe o campo Regiões da AWS vazio para coletar dados de todas as regiões. |
| Máximo de consultas por segundo (QPS) para serviços da AWS | É possível mudar o QPS para controlar o limite de cota do Security Command Center. Defina a substituição como um valor menor que o valor padrão para esse serviço e maior ou igual a 1.
O valor padrão é o valor máximo. Se você mudar o QPS, o Security Command Center poderá ter problemas
ao buscar dados. Portanto, não recomendamos mudar esse valor. |
| Endpoint do serviço de token de segurança da AWS | É possível especificar um endpoint específico para o serviço de token de segurança da AWS (por exemplo, https://sts.us-east-2.amazonaws.com). Deixe o campo Serviço de token de segurança da AWS vazio para usar o endpoint global padrão (https://sts.amazonaws.com). |
Conceder permissões de descoberta de dados sensíveis a um conector da AWS
Para realizar a descoberta de dados sensíveis no conteúdo da AWS, você precisa de um conector da AWS com as permissões necessárias do IAM da AWS.
Nesta seção, descrevemos como conceder essas permissões a um conector da AWS existente. As etapas necessárias dependem de você ter configurado o ambiente da AWS usando modelos do CloudFormation ou manualmente.
Atualizar um conector usando modelos do CloudFormation
Se você configurou seu ambiente da AWS usando modelos do CloudFormation, siga estas etapas para conceder permissões de descoberta de dados sensíveis ao conector da AWS atual.
No console do Google Cloud , acesse Configurações > Configurações do SCC.
Selecione a organização em que você ativou o Security Command Center Enterprise.
Selecione Conectores. A página Configurar conector é aberta.
Para o conector AWS, clique em Mais opções > Editar.
Na seção Analisar tipos de dados, selecione Conceder permissões para a descoberta da Proteção de dados confidenciais.
Clique em Continuar. A página Conectar à AWS é aberta.
Clique em Baixar o modelo de função delegada. O modelo é baixado no seu computador.
Clique em Baixar o modelo de função do coletor. O modelo é baixado no seu computador.
Clique em Continuar. A página Testar conector é aberta. Não teste o conector ainda.
No console do CloudFormation, atualize o modelo de pilha para a função delegada:
- Faça login no console da conta delegada da AWS. Verifique se você fez login na conta delegada usada para assumir outras contas de coletor da AWS.
- Acesse o console do AWS CloudFormation.
Substitua o modelo de pilha da função delegada pelo modelo atualizado que você baixou.
Para mais informações, consulte Atualizar o modelo de uma pilha (console) na documentação da AWS.
Atualize o conjunto de pilhas para a função de coletor:
- Usando uma conta de gerenciamento da AWS ou qualquer conta de membro registrada como administrador delegado, acesse o console do AWS CloudFormation.
Substitua o modelo de conjunto de pilhas da função de coletor pelo modelo atualizado que você baixou.
Para mais informações, consulte Atualizar o conjunto de pilhas usando o console do AWS CloudFormation na documentação da AWS.
Se você precisar coletar dados da conta de gerenciamento, faça login nela e substitua o modelo na pilha do coletor pelo modelo de função de coletor atualizado que você baixou.
Essa etapa é necessária porque os conjuntos de pilhas do AWS CloudFormation não criam instâncias de pilha em contas de gerenciamento. Para mais informações, consulte DeploymentTargets na documentação da AWS.
No console Google Cloud , na página Testar conector, clique em Testar conector. Se a conexão for bem-sucedida, o teste vai determinar que a função delegada tem todas as permissões necessárias para assumir as funções do coletor. Se a conexão não funcionar, consulte Como solucionar problemas ao testar a conexão.
Clique em Salvar.
Atualizar um conector manualmente
Se você configurou suas contas da AWS manualmente ao criar o conector da AWS, siga estas etapas para conceder permissões de descoberta de dados sensíveis ao conector da AWS atual.
Abra a guia Conectores na página Configurações.
Selecione a organização em que você ativou o Security Command Center Enterprise.
Para o conector AWS, clique em Mais opções > Editar.
Na seção Analisar tipos de dados, selecione Conceder permissões para a descoberta da Proteção de dados confidenciais.
Clique em Continuar. A página Conectar à AWS é aberta.
Clique em Configurar as contas da AWS manualmente (recomendado se você usar configurações avançadas ou nomes de funções personalizados).
Copie os valores dos seguintes campos:
- Nome da função delegada
- Nome da função do coletor
- Nome da função de coletor da Proteção de Dados Sensíveis
Clique em Continuar. A página Testar conector é aberta. Não teste o conector ainda.
No console da conta delegada da AWS, atualize a política do IAM da AWS para a função delegada usando o seguinte JSON:
{ "Version": "2012-10-17", "Statement": [ { "Action": "sts:AssumeRole", "Resource": [ "arn:aws:iam::*:role/COLLECTOR_ROLE_NAME", "arn:aws:iam::*:role/SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME" ], "Effect": "Allow" }, { "Action": [ "organizations:List*", "organizations:Describe*" ], "Resource": "*", "Effect": "Allow" } ] }Substitua:
COLLECTOR_ROLE_NAME: o nome da função de coletor de dados de configuração que você copiou. O padrão éaws-collector-role.SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME: o nome da função de coletor da Proteção de Dados Sensíveis que você copiou (o padrão éaws-sensitive-data-protection-role)
Para mais informações, consulte Como editar políticas gerenciadas pelo cliente (console) na documentação da AWS.
Para cada conta de coletor, faça o seguinte:
No console Google Cloud , na página Testar conector, clique em Testar conector. Se a conexão for bem-sucedida, o teste vai determinar que a função delegada tem todas as permissões necessárias para assumir as funções do coletor. Se a conexão não funcionar, consulte Como solucionar problemas ao testar a conexão.
Clique em Salvar.
Solução de problemas
Esta seção inclui alguns problemas comuns que podem ocorrer ao integrar o Security Command Center com a AWS.
Os recursos já existem
Esse erro ocorre no ambiente da AWS quando você tenta criar as políticas e os papéis do IAM da AWS, e o papel já existe na sua conta da AWS.
Para resolver esse erro, faça o seguinte:
- Verifique se a função ou política que você está criando já existe e atende aos requisitos listados neste guia.
- Se necessário, mude o nome da função para evitar conflitos.
Principal inválido na política
Esse erro pode ocorrer no ambiente da AWS ao criar as funções do coletor, mas a função de delegado ainda não existe.
Para resolver esse erro, siga as etapas em Criar a política do IAM da AWS para a função delegada e aguarde a criação da função delegada antes de continuar.
Limitações de redução de velocidade na AWS
A AWS limita as solicitações de API para cada conta da AWS por conta ou por região. Para garantir que esses limites não sejam excedidos quando o Security Command Center coleta dados de configuração de recursos da AWS, ele coleta os dados em um QPS máximo fixo para cada serviço da AWS, conforme descrito na documentação da API do serviço da AWS.
Se você tiver limitação de solicitações no ambiente da AWS devido ao QPS consumido, conclua o seguinte para resolver o problema:
Na página de configurações do conector da AWS, defina um QPS personalizado para o serviço da AWS que está sofrendo limitação de solicitações.
Restrinja as permissões da função de coletor da AWS para que os dados desse serviço específico não sejam mais coletados. Essa técnica de mitigação impede que as simulações de caminho de ataque funcionem corretamente para a AWS.
A revogação de todas as permissões na AWS interrompe o processo de coleta de dados imediatamente. A exclusão do conector da AWS não interrompe imediatamente o processo de coleta de dados, mas ele não será iniciado novamente após a conclusão.
Uma descoberta é retornada para um recurso da AWS excluído
Depois que um recurso da AWS é excluído, pode levar até 40 horas para que ele seja removido do sistema de inventário de ativos do Security Command Center. Se você optar por resolver uma descoberta excluindo o recurso, ela poderá ser informada dentro desse período porque o recurso ainda não foi removido do sistema de inventário de recursos do Security Command Center.
Como resolver erros ao testar a conexão
Esses erros podem ocorrer quando você testa a conexão entre o Security Command Center e a AWS.
AWS_FAILED_TO_ASSUME_DELEGATED_ROLE
A conexão é inválida porque o agente de serviço Google Cloud não pode assumir a função delegada.
Para resolver essa situação, considere o seguinte:
Verifique se a função delegada existe. Para criar uma, consulte Criar um papel do IAM da AWS para a relação de confiança entre a AWS e Google Cloud.
A política inline da função delegada está ausente. Sem ele, o agente de serviço não pode assumir a função. Para verificar se a política inline existe, consulte Criar um papel do IAM da AWS para a relação de confiança entre a AWS e Google Cloud.
Se o detalhe do erro contiver a mensagem
InvalidIdentityToken: Incorrect token audience, isso pode ser causado por um provedor de identidade OIDC separado paraaccounts.google.comno ambiente da AWS. Para resolver esse erro, remova o provedor de identidade OIDC paraaccounts.google.comno ambiente da AWS seguindo as instruções em Como criar e gerenciar um provedor OIDC.
AWS_FAILED_TO_LIST_ACCOUNTS
A conexão é inválida porque a descoberta automática está ativada, e a função delegada não pode coletar todas as contas da AWS nas organizações.
Esse erro indica que a política para permitir a
ação organizations:ListAccounts na função delegada está faltando em determinados
recursos. Para resolver esse erro, verifique quais recursos estão faltando. Para verificar
as configurações da política delegada, consulte
Criar a política do IAM da AWS para a função delegada.
Verifique se você criou e configurou as contas da AWS conforme descrito na seção Criar contas da AWS.
AWS_ACTIVE_COLLECTOR_ACCOUNTS_NOT_FOUND
A conexão é inválida porque não foram encontradas contas de coletor da AWS com o status ACTIVE.
Se você selecionou Adicionar contas automaticamente no campo Adicionar contas do conector da AWS, nenhuma conta da AWS foi encontrada com o status ACTIVE, exceto as especificadas no campo Excluir contas do conector da AWS.
Se você selecionou Adicionar contas individualmente, verifique se as contas fornecidas têm o status ACTIVE no campo Adicionar contas do conector da AWS.
AWS_INVALID_COLLECTOR_ACCOUNTS
A conexão é inválida porque há contas de coletor não permitidas. A mensagem de erro inclui mais informações sobre as possíveis causas, que incluem o seguinte:
AWS_FAILED_TO_ASSUME_COLLECTOR_ROLE
A conta do coletor é inválida porque a função delegada não pode assumir a função de coletor na conta do coletor.
Para resolver esse erro, considere o seguinte:
Verifique se a função de coletor existe.
- Para criar a função de coletor de dados de configuração de recursos, consulte Criar a função do IAM da AWS para coleta de dados de configuração de recursos em cada conta.
- Para criar a função de coletor da Proteção de dados confidenciais, consulte Criar a função do IAM da AWS para a Proteção de dados confidenciais em cada conta.
A política para permitir que a função delegada assuma a função de coletor está ausente. Para verificar se a política existe, consulte Criar a política do IAM da AWS para a função delegada.
AWS_COLLECTOR_ROLE_POLICY_MISSING_REQUIRED_PERMISSION
A conexão é inválida porque a política do coletor não tem algumas das configurações de permissão necessárias.
Para resolver esse erro, considere as seguintes causas:
Algumas das políticas gerenciadas obrigatórias da AWS podem não estar anexadas à função de coletor para dados de configuração de recursos. Para verificar se todas as políticas estão anexadas, consulte a etapa 6 em Criar o papel do IAM da AWS para coleta de dados de configuração de recursos em cada conta.
Um dos seguintes problemas pode estar presente em uma política de coleta:
- A política do coletor pode não existir.
- A política do coletor não está anexada à função do coletor.
- A política do coletor não inclui todas as permissões necessárias.
Para resolver problemas com uma política de coleta, consulte o seguinte:
A seguir
- Se você estiver configurando o Security Command Center Enterprise pela primeira vez, continue com a etapa 4 do guia de configuração no console.
Além disso, você também pode conferir os tópicos a seguir:
- Ative e use a avaliação de vulnerabilidades da AWS.
- Crie e gerencie uma postura de segurança para a AWS.
- Crie simulações de caminho de ataque para recursos da AWS.
- Mapear a conformidade dos recursos da AWS com vários padrões e comparativos de mercado.