連線至 AWS 收集設定和資源資料

您可以將 Security Command Center Enterprise 級連線至 Amazon Web Services (AWS) 環境,以便執行下列操作:

  • 偵測及修正 AWS 環境中的軟體安全漏洞和設定錯誤
  • 建立及管理 AWS 的安全防護機制
  • 找出從公開網際網路到高價值 AWS 資產的潛在攻擊路徑
  • 將 AWS 資源的法規遵循情形對應至各種標準和基準

將 Security Command Center 連線至 AWS 後,安全營運團隊就能在單一位置管理及修正Google Cloud 和 AWS 的威脅和安全漏洞。

如要讓 Security Command Center 監控 AWS 組織,您必須使用Google Cloud 服務代理程式和有權存取要監控資源的 AWS 帳戶,設定連線。Security Command Center 會使用這個連線,定期收集您定義的所有 AWS 帳戶和區域的資料。我們會依據《Google Cloud 隱私權聲明》,以處理服務資料的方式處理這類資料。

每個 Google Cloud 機構只能建立一個 AWS 連線。 連接器會使用 API 呼叫來收集 AWS 資產資料。這些 API 呼叫可能會產生 AWS 費用。

本文說明如何設定與 AWS 的連線。設定連線時,請設定下列項目:

  • AWS 中的一系列帳戶,可直接存取您要監控的 AWS 資源。在 Google Cloud 控制台中,這些帳戶稱為「收集器帳戶」
  • AWS 帳戶,具備適當的政策和角色,可驗證收集器帳戶。在 Google Cloud 控制台中,這個帳戶稱為「委派帳戶」委派帳戶收集器帳戶必須位於同一個 AWS 機構。
  • Google Cloud 中的服務代理程式,可連線至委派帳戶進行驗證。
  • 這個管道會從 AWS 資源收集資產資料。
  • (選用) 授予 Sensitive Data Protection 剖析 AWS 內容的權限。

連接器不會擷取 Security Command Center Enterprise 中 SIEM 策劃偵測功能所需的 AWS 記錄。如要瞭解如何擷取這項資料,請參閱「連線至 AWS 以擷取記錄」。

這項連線不適用於 Security Command Center 的 SIEM 功能,該功能可讓您擷取 AWS 記錄以偵測威脅。

下圖顯示這項設定。租戶專案是自動建立的專案,內含資產資料收集管道執行個體。

AWS 和 Security Command Center 設定。

事前準備

請先完成這些工作,再完成本頁面上的其餘工作。

啟用 Security Command Center Enterprise 級別

完成設定指南的步驟 1 和步驟 2,啟用 Security Command Center Enterprise 方案。

在 Google Cloud中設定權限

如要取得使用 AWS 連接器所需的權限,請要求管理員授予您「Cloud Asset Owner」 (roles/cloudasset.owner) IAM 角色。如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和機構的存取權」。

您或許還可透過自訂角色或其他預先定義的角色取得必要權限。

建立 AWS 帳戶

確認您擁有下列 AWS 資源:

設定 AWS 連接器

  1. 開啟「設定」頁面的「連結器」分頁。

    前往「連線器」

    前往 Enterprise 層級的「發現項目」

  2. 選取啟用 Security Command Center Enterprise 的機構。

  3. 依序選取「連接器」>「新增連接器」>「Amazon Web Services」

  4. 在「委派帳戶 ID」中,輸入可做為委派帳戶的 AWS 帳戶 ID。

  5. 如要讓 Sensitive Data Protection 剖析 AWS 資料,請保持選取「將權限授予 Sensitive Data Protection 探索服務」。這個選項會在收集器角色的 CloudFormation 範本中新增 AWS IAM 權限。

    這個選項授予的 AWS IAM 權限

    • s3:GetBucketLocation
    • s3:ListAllMyBuckets
    • s3:GetBucketPolicyStatus
    • s3:ListBucket
    • s3:GetObject
    • s3:GetObjectVersion
    • s3:GetBucketPublicAccessBlock
    • s3:GetBucketOwnershipControls
    • s3:GetBucketTagging
    • iam:ListAttachedRolePolicies
    • iam:GetPolicy
    • iam:GetPolicyVersion
    • iam:ListRolePolicies
    • iam:GetRolePolicy
    • ce:GetCostAndUsage
    • dynamodb:DescribeTableReplicaAutoScaling
    • identitystore:ListGroupMemberships
    • identitystore:ListGroups
    • identitystore:ListUsers
    • lambda:GetFunction
    • lambda:GetFunctionConcurrency
    • logs:ListTagsForResource
    • s3express:CreateSession
    • s3express:GetBucketPolicy
    • s3express:ListAllMyDirectoryBuckets
    • wafv2:GetIPSet

  6. 視需要查看及編輯「進階選項」。 如要瞭解其他選項,請參閱「自訂 AWS 連接器設定」。

  7. 按一下「繼續」。「Connect to AWS」(連線至 AWS) 頁面隨即開啟。

  8. 請選取下列其中一個選項:

    • 使用 AWS CloudFormation 範本,然後下載並檢查委派角色和收集器角色的 CloudFormation 範本。

    • 手動設定 AWS 帳戶:如果您已設定進階選項,或需要變更預設的 AWS 角色名稱 (aws-delegated-roleaws-collector-roleaws-sensitive-data-protection-role),請選取這個選項。複製服務代理 ID、委派角色名稱、收集器角色名稱和 Sensitive Data Protection 收集器角色名稱。

    連線建立後,您就無法變更角色名稱。

請勿點選「儲存」或「繼續」。請改為設定 AWS 環境

設定 AWS 環境

您可以透過下列任一方法設定 AWS 環境:

使用 CloudFormation 範本設定 AWS 環境

如果您已下載 CloudFormation 範本,請按照下列步驟設定 AWS 環境。

  1. 登入 AWS 委派帳戶控制台。請確認您已登入用來接管其他收集器 AWS 帳戶的委派帳戶 (即 AWS 管理帳戶,或註冊為委派管理員的任何成員帳戶)。
  2. 前往 AWS CloudFormation 範本控制台。

  3. 建立佈建委派角色的堆疊:

    1. 在「Stacks」(堆疊) 頁面上,依序點選「Create stack」(建立堆疊) >「With new resources (standard)」(使用新資源 (標準))
    2. 指定範本時,請上傳委派角色範本檔案。
    3. 指定堆疊詳細資料時,請輸入堆疊名稱。

    4. 如果您變更了委派角色、收集器角色或 Sensitive Data Protection 角色的名稱,請相應更新參數。輸入的參數必須與 Google Cloud 控制台「Connect to AWS」(連線至 AWS) 頁面中列出的參數一致。

    5. 視貴機構需求更新堆疊選項。

    6. 在「Review and create」(檢閱並建立) 頁面中,選取「I acknowledge that AWS CloudFormation might create IAM resources with custom names」(我瞭解 AWS CloudFormation 可能會建立具有自訂名稱的 IAM 資源)

    7. 按一下「提交」即可建立堆疊。

    等待堆疊建立完成。如果發生錯誤,請參閱疑難排解。詳情請參閱 AWS 說明文件中的「在 AWS CloudFormation 控制台上建立堆疊」。

  4. 建立佈建收集器角色的堆疊集。

    1. 使用 AWS 管理帳戶或註冊為委派管理員的任何成員帳戶,前往 AWS CloudFormation 主控台。

    2. 在「StackSets」頁面中,按一下「Create StackSet」

    3. 按一下「服務管理權限」

    4. 指定範本時,請上傳收集器角色範本檔案。

    5. 指定 StackSet 詳細資料時,請輸入堆疊集名稱和說明。

    6. 輸入委派帳戶 ID。

    7. 如果您變更了委派角色、收集器角色或 Sensitive Data Protection 角色的名稱,請相應更新參數。輸入的參數必須與 Google Cloud 控制台「Connect to AWS」(連線至 AWS) 頁面中列出的參數一致。

    8. 視貴機構的需求,設定堆疊集選項。

    9. 指定部署選項時,請選擇部署目標。 您可以部署至整個 AWS 機構,也可以部署至包含所有要收集資料的 AWS 帳戶的機構單位 (OU)。

    10. 指定要建立角色和政策的 AWS 區域。由於角色是全域資源,因此您不必指定多個區域。

    11. 視需要變更其他設定。

    12. 檢查變更,然後按一下「提交」建立堆疊集。如果收到錯誤訊息,請參閱「疑難排解」。詳情請參閱 AWS 說明文件中的「Create CloudFormation StackSets with service-managed permissions」。

  5. 如要從管理帳戶收集資料,請登入管理帳戶,並部署個別堆疊來佈建收集器角色。指定範本時,請上傳收集器角色範本檔案。

    由於 AWS CloudFormation 堆疊集不會在管理帳戶中建立堆疊執行個體,因此需要執行這個步驟。詳情請參閱 AWS 說明文件中的「DeploymentTargets」。

如要完成整合程序,請參閱「完成整合程序」。

手動設定 AWS 帳戶

如果無法使用 CloudFormation 範本 (例如使用不同的角色名稱或自訂整合),可以手動建立必要的 AWS IAM 政策和 AWS IAM 角色。

您必須為委派帳戶和收集器帳戶建立 AWS IAM 政策和 AWS IAM 角色。

為委派角色建立 AWS IAM 政策

如要為委派角色建立 AWS IAM 政策 (委派政策),請完成下列步驟:

  1. 登入 AWS 委派帳戶控制台

  2. 依序點選「政策」>「建立政策」

  3. 按一下「JSON」JSON,然後根據您是否在「設定 Security Command Center」中選取「授予 Sensitive Data Protection 探索作業的權限」核取方塊,貼上下列其中一個 JSON 檔案。

    將權限授予 Sensitive Data Protection 探索服務:已清除

    {
  "Version": "2012-10-17",
  "Statement": [
      {
          "Action": "sts:AssumeRole",
          "Resource": "arn:aws:iam::*:role/COLLECTOR_ROLE_NAME",
          "Effect": "Allow"
      },
      {
          "Action": [
              "organizations:List*",
              "organizations:Describe*"
          ],
          "Resource": "*",
          "Effect": "Allow"
      }
  ]
}

    COLLECTOR_ROLE_NAME 替換為您在設定 Security Command Center 時複製的收集器角色名稱 (預設為 aws-collector-role)。

    將權限授予 Sensitive Data Protection 探索服務:已選取

        {
      "Version": "2012-10-17",
      "Statement": [
        {
          "Action": "sts:AssumeRole",
          "Resource": [
            "arn:aws:iam::*:role/COLLECTOR_ROLE_NAME",
            "arn:aws:iam::*:role/SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME"
          ],
          "Effect": "Allow"
        },
        {
          "Action": [
            "organizations:List*",
            "organizations:Describe*"
          ],
          "Resource": "*",
          "Effect": "Allow"
        }
      ]
    }

    更改下列內容:

    • COLLECTOR_ROLE_NAME:您在設定 Security Command Center 時複製的設定資料收集器角色名稱 (預設為 aws-collector-role)
    • SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME:您在設定 Security Command Center 時複製的 Sensitive Data Protection 收集器角色名稱 (預設為 aws-sensitive-data-protection-role)

  4. 點選「下一步」

  5. 在「政策詳細資料」部分,輸入政策的名稱和說明。

  6. 按一下「建立政策」

為 AWS 與 Google Cloud之間的信任關係建立 AWS IAM 角色

建立委派角色,在 AWS 和Google Cloud之間建立信任關係。這個角色會使用在「建立委派角色的 AWS IAM 政策」中建立的委派政策。

  1. 以可建立 IAM 角色和政策的 AWS 使用者身分,登入 AWS 委派帳戶主控台

  2. 按一下「角色」>「建立角色」

  3. 在「Trusted entity type」(信任的實體類型) 部分,按一下「Web Identity」(網路身分)

  4. 在「識別資訊提供者」部分,點選「Google」

  5. 在「Audience」部分,輸入您設定 Security Command Center 時複製的服務代理程式 ID。按一下 [Next] (下一步)

  6. 如要授予委派角色存取收集器角色的權限,請將權限政策附加至該角色。搜尋在「為委派角色建立 AWS IAM 政策」中建立的委派政策,然後選取該政策。

  7. 在「Role details」部分,輸入您在設定 Security Command Center 時複製的「Delegated role name」(預設名稱為 aws-delegated-role)。

  8. 按一下「建立角色」

建立 AWS IAM 政策,用於收集資產設定資料

如要建立資產設定資料收集的 AWS IAM 政策 (收集器政策),請完成下列步驟:

  1. 登入 AWS 收集器帳戶控制台

  2. 依序點選「政策」>「建立政策」

  3. 按一下「JSON」JSON,然後貼上下列內容:

    {
  "Version": "2012-10-17",
  "Statement": [
      {
          "Effect": "Allow",
          "Action": [
              "ce:GetCostAndUsage",
              "dynamodb:DescribeTableReplicaAutoScaling",
              "identitystore:ListGroupMemberships",
              "identitystore:ListGroups",
              "identitystore:ListUsers",
              "lambda:GetFunction",
              "lambda:GetFunctionConcurrency",
              "logs:ListTagsForResource",
              "s3express:GetBucketPolicy",
              "s3express:ListAllMyDirectoryBuckets",
              "wafv2:GetIPSet"
          ],
          "Resource": [
              "*"
          ]
      },
      {
          "Effect": "Allow",
          "Action": [
              "apigateway:GET"
          ],
          "Resource": [
              "arn:aws:apigateway:*::/usageplans",
              "arn:aws:apigateway:*::/usageplans/*/keys",
              "arn:aws:apigateway:*::/vpclinks/*"
          ]
      }
  ]

}

  4. 點選「下一步」

  5. 在「政策詳細資料」部分,輸入政策的名稱和說明。

  6. 按一下「建立政策」

  7. 針對每個收款人帳戶重複執行這些步驟。

在每個帳戶中,建立用於收集資產設定資料的 AWS IAM 角色

建立收集器角色,讓 Security Command Center 從 AWS 取得資產設定資料。這個角色會使用在「建立 AWS IAM 政策,收集資產設定資料」中建立的收集器政策。

  1. 以可為收集器帳戶建立 IAM 角色的使用者身分,登入 AWS 收集器帳戶控制台

  2. 按一下「角色」>「建立角色」

  3. 在「信任的實體類型」部分,按一下「自訂信任政策」

  4. 在「Custom trust policy」(自訂信任政策) 部分,貼上下列內容:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::DELEGATE_ACCOUNT_ID:role/DELEGATE_ACCOUNT_ROLE"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

    更改下列內容:

  5. 如要授予這個收集器角色存取 AWS 資產設定資料的權限,請將權限政策附加至該角色。搜尋在「建立資產設定資料收集的 AWS IAM 政策」中建立的自訂收集器政策,然後選取該政策。

  6. 搜尋並選取下列受管理政策:

    • arn:aws:iam::aws:policy/job-function/ViewOnlyAccess
    • arn:aws:iam::aws:policy/SecurityAudit

  7. 在「Role details」部分,輸入您設定 Security Command Center 時複製的設定資料收集器角色名稱。

  8. 按一下「建立角色」

  9. 針對每個收款人帳戶重複執行這些步驟。

如果您在「設定 Security Command Center」中選取「將權限授予 Sensitive Data Protection 探索服務」核取方塊,請繼續下一個章節。

如果未勾選「將權限授予 Sensitive Data Protection 探索服務」核取方塊,請完成整合程序

為 Sensitive Data Protection 建立 AWS IAM 政策

如果您在「設定 Security Command Center」中選取「將權限授予 Sensitive Data Protection 探索服務」核取方塊,請完成下列步驟。

如要為 Sensitive Data Protection 建立 AWS IAM 政策 (收集器政策),請完成下列步驟:

  1. 登入 AWS 收集器帳戶控制台

  2. 依序點選「政策」>「建立政策」

  3. 按一下「JSON」JSON,然後貼上下列內容:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:GetBucketLocation",
        "s3:ListAllMyBuckets",
        "s3:GetBucketPolicyStatus",
        "s3:ListBucket",
        "s3:GetObject",
        "s3:GetObjectVersion",
        "s3:GetBucketPublicAccessBlock",
        "s3:GetBucketOwnershipControls",
        "s3:GetBucketTagging"
      ],
      "Resource": ["arn:aws:s3:::*"]
    },
    {
      "Effect": "Allow",
      "Action": [
        "iam:ListAttachedRolePolicies",
        "iam:GetPolicy",
        "iam:GetPolicyVersion",
        "iam:ListRolePolicies",
        "iam:GetRolePolicy",
        "ce:GetCostAndUsage",
        "dynamodb:DescribeTableReplicaAutoScaling",
        "identitystore:ListGroupMemberships",
        "identitystore:ListGroups",
        "identitystore:ListUsers",
        "lambda:GetFunction",
        "lambda:GetFunctionConcurrency",
        "logs:ListTagsForResource",
        "s3express:GetBucketPolicy",
        "s3express:ListAllMyDirectoryBuckets",
        "wafv2:GetIPSet"
      ],
      "Resource": ["*"]
    },
    {
      "Effect": "Allow",
      "Action": [
          "s3express:CreateSession"
      ],
      "Resource": ["arn:aws:s3express:*:*:bucket/*"]
    }
  ]
}

  4. 點選「下一步」

  5. 在「政策詳細資料」部分,輸入政策的名稱和說明。

  6. 按一下「建立政策」

  7. 針對每個收款人帳戶重複執行這些步驟。

在每個帳戶中,為 Sensitive Data Protection 建立 AWS IAM 角色

如果您在「設定 Security Command Center」中選取「將權限授予 Sensitive Data Protection 探索服務」核取方塊,請完成下列步驟。

建立收集器角色,讓 Sensitive Data Protection 剖析 AWS 資源的內容。這個角色會使用在「為 Sensitive Data Protection 建立 AWS IAM 政策」中建立的收集器政策。

  1. 以可為收集器帳戶建立 IAM 角色的使用者身分,登入 AWS 收集器帳戶控制台

  2. 按一下「角色」>「建立角色」

  3. 在「信任的實體類型」部分,按一下「自訂信任政策」

  4. 在「Custom trust policy」(自訂信任政策) 部分,貼上下列內容:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::DELEGATE_ACCOUNT_ID:role/DELEGATE_ACCOUNT_ROLE"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

    更改下列內容:

  5. 如要授予這個收集器角色存取 AWS 資源內容的權限,請將權限政策附加至該角色。搜尋在「為 Sensitive Data Protection 建立 AWS IAM 政策」中建立的自訂收集器政策,然後選取該政策。

  6. 在「Role details」部分,輸入您在設定 Security Command Center 時複製的 Sensitive Data Protection 角色名稱。

  7. 按一下「建立角色」

  8. 針對每個收款人帳戶重複執行這些步驟。

如要完成整合程序,請參閱「完成整合程序」。

完成整合程序

  1. 在 Google Cloud 控制台的「測試連接器」頁面中,按一下「測試連接器」,確認 Security Command Center 可以連線至 AWS 環境。如果連線成功,表示測試結果判定委派角色具備所有必要權限,可擔任收集器角色。如果連線失敗,請參閱排解測試連線時發生的錯誤

  2. 點選「建立」

連接器會開始掃描並收集您指定的 AWS 帳戶和位置資料。調查結果最多可能需要 24 小時才會顯示。

自訂 AWS 連接器設定

本節說明幾種自訂 Security Command Center 與 AWS 連線的方式。這些選項位於 Google Cloud 控制台的「Add Amazon Web Services connector」(新增 Amazon Web Services 連接器) 頁面,您可以在「Advanced options (optional)」(進階選項 (選用)) 部分中找到。

根據預設,Security Command Center 會自動探索所有 AWS 區域的 AWS 帳戶。連線會使用 AWS Security Token Service 的預設全域端點,以及您監控的 AWS 服務的預設每秒查詢次數 (QPS)。您可以透過這些進階選項自訂預設值。

選項 說明
新增 AWS 連接器帳戶

根據您的偏好設定選取選項:

  • 自動新增帳戶 (建議):選取這個選項,讓 Security Command Center 自動探索 AWS 帳戶。
  • 個別新增帳戶:選取這個選項,即可手動新增 AWS 帳戶。
排除 AWS 連接器帳戶 如果您在「新增 AWS 連接器帳戶」部分選取「自動新增帳戶」,請提供 Security Command Center 不應使用的 AWS 帳戶清單,以免系統在這些帳戶中尋找資源。
輸入 AWS 連接器帳戶 如果您在「Add AWS connector accounts」(新增 AWS 連接器帳戶) 區段中選取「Add accounts individually」(個別新增帳戶),請提供 Security Command Center 可用來尋找資源的 AWS 帳戶清單。
選取要收集資料的區域 選取一或多個 AWS 區域,供 Security Command Center 收集資料。將「AWS 區域」欄位留空,即可從所有區域收集資料。
AWS 服務的每秒查詢次數 (QPS) 上限 您可以變更 QPS,控管 Security Command Center 的配額限制。將覆寫值設為小於該服務預設值的值,且大於或等於 1。 預設值為最大值。如果變更 QPS,Security Command Center 可能會遇到擷取資料的問題。因此我們不建議變更這個值。
AWS Security Token Service 的端點 您可以為 AWS Security Token Service 指定特定端點 (例如 https://sts.us-east-2.amazonaws.com)。如要使用預設全域端點 (https://sts.amazonaws.com),請將「AWS Security Token Service」欄位留空。

將機密資料探索權限授予現有的 AWS 連接器

如要在 AWS 內容中執行私密資料探索作業,您需要具備必要 AWS IAM 權限的 AWS 連接器。

本節說明如何將這些權限授予現有的 AWS 連接器。您需要採取的步驟,取決於您是使用 CloudFormation 範本設定 AWS 環境,還是手動設定。

使用 CloudFormation 範本更新現有連接器

如果使用 CloudFormation 範本設定 AWS 環境,請按照下列步驟,為現有的 AWS 連接器授予機密資料探索權限。

  1. 在 Google Cloud 控制台中,依序前往「Settings」(設定)>「SCC settings」(SCC 設定)

    前往「設定」

  2. 選取啟用 Security Command Center Enterprise 的機構。

  3. 選取「連接器」。「設定連接器」頁面隨即開啟。

  4. 如果是 AWS 連接器,請依序點選 「更多選項」>「編輯」

  5. 在「查看資料類型」部分,選取「將權限授予 Sensitive Data Protection 探索服務」

  6. 按一下「繼續」。「Connect to AWS」(連線至 AWS) 頁面隨即開啟。

  7. 按一下「下載委派角色範本」。範本會下載到電腦。

  8. 按一下「下載收集器角色範本」。範本會下載到電腦。

  9. 按一下「繼續」。「測試連接器」頁面隨即開啟。請先不要測試連結器。

  10. 在 CloudFormation 控制台中,更新委派角色的堆疊範本:

    1. 登入 AWS 委派帳戶控制台。請確認您已登入用來接管其他收集器 AWS 帳戶的委派帳戶。
    2. 前往 AWS CloudFormation 控制台。

    3. 將委派角色的堆疊範本,換成您下載的更新版委派角色範本。

      詳情請參閱 AWS 說明文件中的「更新堆疊的範本 (控制台)」。

  11. 更新收集器角色的堆疊集:

    1. 使用 AWS 管理帳戶或註冊為委派管理員的任何成員帳戶,前往 AWS CloudFormation 主控台。

    2. 將收集器角色的堆疊集範本,替換為您下載的更新版收集器角色範本。

      詳情請參閱 AWS 說明文件中的「使用 AWS CloudFormation 控制台更新堆疊集」。

  12. 如要從管理帳戶收集資料,請登入管理帳戶,然後將收集器堆疊中的範本,換成您下載的更新版收集器角色範本。

    由於 AWS CloudFormation 堆疊集不會在管理帳戶中建立堆疊執行個體,因此需要執行這個步驟。詳情請參閱 AWS 說明文件中的「DeploymentTargets」。

  13. 在 Google Cloud 控制台的「測試連接器」頁面中,按一下「測試連接器」。如果連線成功,表示測試結果判定委派角色具備所有必要權限,可擔任收集器角色。如果連線失敗,請參閱排解測試連線時發生的錯誤

  14. 按一下 [儲存]

手動更新現有連結器

如果您在建立 AWS 連接器時手動設定 AWS 帳戶,請按照下列步驟,為現有 AWS 連接器授予機密資料探索權限。

  1. 開啟「設定」頁面的「連結器」分頁。

    前往「連線器」

  2. 選取啟用 Security Command Center Enterprise 的機構。

  3. 如果是 AWS 連接器,請依序點選 「更多選項」>「編輯」

  4. 在「查看資料類型」部分,選取「將權限授予 Sensitive Data Protection 探索服務」

  5. 按一下「繼續」。「Connect to AWS」(連線至 AWS) 頁面隨即開啟。

  6. 按一下「Configure AWS accounts manually (recommended if you use advanced settings or customized role names)」(手動設定 AWS 帳戶,如果您使用進階設定或自訂角色名稱,建議採用這個選項)

  7. 複製下列欄位的值:

    • 委派角色名稱
    • 收集器角色名稱
    • Sensitive Data Protection 收集器角色名稱

  8. 按一下「繼續」。「測試連接器」頁面隨即開啟。請先不要測試連結器。

  9. AWS 委派帳戶控制台中,更新委派角色的 AWS IAM 政策,使用下列 JSON:

        {
      "Version": "2012-10-17",
      "Statement": [
        {
          "Action": "sts:AssumeRole",
          "Resource": [
            "arn:aws:iam::*:role/COLLECTOR_ROLE_NAME",
            "arn:aws:iam::*:role/SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME"
          ],
          "Effect": "Allow"
        },
        {
          "Action": [
            "organizations:List*",
            "organizations:Describe*"
          ],
          "Resource": "*",
          "Effect": "Allow"
        }
      ]
    }

    更改下列內容:

    • COLLECTOR_ROLE_NAME:您複製的設定資料收集器角色名稱 (預設為 aws-collector-role)
    • SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME:您複製的 Sensitive Data Protection 收集器角色名稱 (預設為 aws-sensitive-data-protection-role)

    詳情請參閱 AWS 說明文件中的「編輯客戶管理政策 (主控台)」。

  10. 針對每個收集器帳戶執行下列程序:

    1. 為 Sensitive Data Protection 建立 AWS IAM 政策

    2. 在每個帳戶中,為 Sensitive Data Protection 建立 AWS IAM 角色

  11. 在 Google Cloud 控制台的「測試連接器」頁面中,按一下「測試連接器」。如果連線成功,表示測試結果判定委派角色具備所有必要權限,可擔任收集器角色。如果連線失敗,請參閱排解測試連線時發生的錯誤

  12. 按一下 [儲存]

疑難排解

本節列出將 Security Command Center 與 AWS 整合時,可能會遇到的一些常見問題。

資源已存在

嘗試建立 AWS IAM 政策和 AWS IAM 角色時,如果角色已存在於 AWS 帳戶中,就會在 AWS 環境中發生這個錯誤。

如要解決這項錯誤,請完成下列步驟:

  • 檢查您要建立的角色或政策是否已存在,並符合本指南列出的規定。
  • 如有需要,請變更角色名稱,以免發生衝突。

政策中的主體無效

在 AWS 環境中建立收集器角色時,如果委派角色尚不存在,就可能發生這個錯誤。

如要解決這個錯誤,請完成「為委派角色建立 AWS IAM 政策」中的步驟,並等待委派角色建立完成後再繼續操作。

AWS 中的節流限制

AWS 會根據每個帳戶或每個區域,限制每個 AWS 帳戶的 API 請求。為確保 Security Command Center 從 AWS 收集資產設定資料時不會超出這些限制,Security Command Center 會針對每項 AWS 服務,以固定的最大 QPS 收集資料,詳情請參閱 AWS 服務的 API 說明文件。

如果 AWS 環境中因耗用的 QPS 而發生要求節流,請完成下列步驟來解決問題:

  • AWS 連接器設定頁面中,為發生要求節流的 AWS 服務設定自訂 QPS。

  • 限制 AWS 收集器角色的權限,這樣系統就不會再收集特定服務的資料。這項緩解技術會導致 AWS 的攻擊路徑模擬無法正常運作。

在 AWS 中撤銷所有權限後,資料收集程序會立即停止。刪除 AWS 連接器不會立即停止資料收集器程序,但程序完成後不會再次啟動。

系統會針對已刪除的 AWS 資源傳回發現項目

刪除 AWS 資源後,最多可能需要 40 小時,該資源才會從 Security Command Center 資產清查系統中移除。如果您選擇刪除資源來解決發現項目,可能會在這段時間內看到系統回報該發現項目,因為資產尚未從 Security Command Center 資產清查系統中移除。

排解測試連線時發生的錯誤

測試 Security Command Center 與 AWS 之間的連線時,可能會發生這些錯誤。

AWS_FAILED_TO_ASSUME_DELEGATED_ROLE

服務代理無法擔任委派的角色,因此連線無效。 Google Cloud

如要解決這個問題,請考慮下列事項:

  • 確認委派角色是否存在。如要建立此角色,請參閱「為 AWS 與 Google Cloud之間的信任關係建立 AWS IAM 角色」。

  • 缺少委派角色的內嵌政策。如果沒有這個角色,服務代理就無法擔任該角色。如要確認內嵌政策是否存在,請參閱「為 AWS 與 Google Cloud之間的信任關係建立 AWS IAM 角色」。

  • 如果錯誤詳細資料包含 InvalidIdentityToken: Incorrect token audience 訊息,可能是因為 AWS 環境中 accounts.google.com 有個別的 OIDC 身分識別提供者。如要解決這個錯誤,請按照「建立及管理 OIDC 供應商」一文中的操作說明,移除 AWS 環境中 accounts.google.com 的 OIDC 身分識別提供者。

AWS_FAILED_TO_LIST_ACCOUNTS

自動探索功能已啟用,而委派的角色無法取得機構中的所有 AWS 帳戶,因此連線無效。

這項錯誤表示特定資源缺少政策,無法對委派角色執行 organizations:ListAccounts 動作。如要解決這項錯誤,請確認缺少哪些資源。如要驗證委派政策的設定,請參閱為委派角色建立 AWS IAM 政策

確認您已按照「建立 AWS 帳戶」一節所述,建立及設定 AWS 帳戶。

AWS_ACTIVE_COLLECTOR_ACCOUNTS_NOT_FOUND

找不到狀態為 ACTIVE 的 AWS 收集器帳戶,因此連線無效。

如果您在「新增 AWS 連接器帳戶」欄位中選取「自動新增帳戶」,則系統未找到狀態為 ACTIVE 的 AWS 帳戶,但「排除 AWS 連接器帳戶」欄位中指定的帳戶除外。

如果選取「個別新增帳戶」,請在「新增 AWS 連接器帳戶」欄位中,確認您提供的帳戶狀態為 ACTIVE

AWS_INVALID_COLLECTOR_ACCOUNTS

某些收集器帳戶無效,因此連線無效。錯誤訊息會提供可能原因的詳細資訊,包括:

AWS_FAILED_TO_ASSUME_COLLECTOR_ROLE

委派的角色無法在收集器帳戶中擔任收集器角色,因此收集器帳戶無效。

如要解決這項錯誤,請注意以下事項:

AWS_COLLECTOR_ROLE_POLICY_MISSING_REQUIRED_PERMISSION

收集器政策缺少部分必要權限設定,因此連線無效。

如要解決這項錯誤,請考慮下列原因:

後續步驟