Se connecter à AWS pour la configuration et la collecte des données sur les ressources

Connectez le niveau Enterprise de Security Command Center à votre environnement Amazon Web Services (AWS) pour pouvoir effectuer les opérations suivantes :

  • Détecter et corriger les failles logicielles et les erreurs de configuration dans votre environnement AWS
  • Créer et gérer une posture de sécurité pour AWS
  • Identifier les chemins d'attaque potentiels depuis l'Internet public vers vos ressources AWS de forte valeur
  • Mappez la conformité des ressources AWS avec différentes normes et différents benchmarks.

Lorsque vous connectez Security Command Center à AWS, un emplacement unique est créé pour votre équipe chargée des opérations de sécurité. Elle peut ainsi gérer et corriger les menaces et les failles surGoogle Cloud et AWS.

Pour permettre à Security Command Center de surveiller votre organisation AWS, vous devez configurer une connexion à l'aide d'un agent de serviceGoogle Cloud et d'un compte AWS ayant accès aux ressources que vous souhaitez surveiller. Security Command Center utilise cette connexion pour collecter régulièrement des données dans tous les comptes et régions AWS que vous définissez. Ces données sont traitées de la même manière que les Données de service, conformément à l'Avis de confidentialité de Google Cloud.

Vous pouvez créer une connexion AWS pour chaque organisation Google Cloud . Le connecteur utilise des appels d'API pour collecter les données des composants AWS. Ces appels d'API peuvent entraîner des frais AWS.

Ce document explique comment configurer la connexion à AWS. Lorsque vous configurez une connexion, vous définissez les éléments suivants :

  • Il s'agit d'une série de comptes AWS ayant un accès direct aux ressources AWS que vous souhaitez surveiller. Dans la console Google Cloud , ces comptes sont appelés comptes de collecteur.
  • Compte AWS disposant des stratégies et des rôles appropriés pour permettre l'authentification auprès des comptes de collecteur. Dans la console Google Cloud , ce compte est appelé compte délégué. Le compte délégué et les comptes collecteurs doivent appartenir à la même organisation AWS.
  • Un agent de service dans Google Cloud qui se connecte au compte délégué pour l'authentification.
  • Pipeline permettant de collecter des données d'éléments à partir de ressources AWS.
  • (Facultatif) Autorisations permettant à Sensitive Data Protection de profiler votre contenu AWS.

Le connecteur n'ingère pas les journaux AWS nécessaires aux fonctionnalités de détection organisées du SIEM dans Security Command Center Enterprise. Pour savoir comment ingérer ces données, consultez Se connecter à AWS pour l'ingestion de journaux.

Cette connexion ne s'applique pas aux fonctionnalités SIEM de Security Command Center qui vous permettent d'ingérer des journaux AWS pour la détection des menaces.

Le schéma suivant présente cette configuration. Le projet locataire est un projet créé automatiquement et qui contient l'instance de votre pipeline de collecte de données sur les composants.

Configuration d'AWS et de Security Command Center.

Présentation générale des étapes de configuration

Après avoir suivi les étapes de la section Avant de commencer, suivez celles de chaque section pour connecter le niveau Security Command Center Enterprise à votre environnement Amazon Web Services (AWS) :

  1. Configurer le connecteur AWS
  2. Configurez votre environnement AWS en utilisant l'une des méthodes suivantes :
    • Automatiquement avec les modèles CloudFormation
    • Manuellement, en saisissant des comptes AWS
  3. Effectuez la procédure d'intégration du connecteur AWS.

Avant de commencer

Effectuez ces tâches avant de passer aux autres tâches de cette page.

Configurer les autorisations dans Google Cloud

Pour obtenir les autorisations nécessaires pour utiliser le connecteur AWS, demandez à votre administrateur de vous accorder le rôle IAM Propriétaire des éléments Cloud (roles/cloudasset.owner). Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.

Vous pouvez également obtenir les autorisations requises avec des rôles personnalisés ou d'autres rôles prédéfinis.

Créer des comptes AWS

Assurez-vous de disposer des ressources AWS suivantes :

Configurer le connecteur AWS

  1. Ouvrez l'onglet Connecteurs sur la page Paramètres.

    Accéder à "Connecteurs"

  2. Sélectionnez l'organisation dans laquelle vous avez activé Security Command Center Enterprise.

  3. Sélectionnez Connecteurs > Ajouter un connecteur > Amazon Web Services.

  4. Dans ID du compte délégué, saisissez l'ID du compte AWS que vous pouvez utiliser comme compte délégué.

  5. Pour permettre à Sensitive Data Protection de profiler vos données AWS, laissez l'option Accorder des autorisations pour la découverte Sensitive Data Protection sélectionnée. Cette option ajoute des autorisations AWS Identity and Access Management (IAM) dans le modèle CloudFormation pour le rôle de collecteur.

    Autorisations AWS IAM accordées par cette option

    • s3:GetBucketLocation
    • s3:ListAllMyBuckets
    • s3:GetBucketPolicyStatus
    • s3:ListBucket
    • s3:GetObject
    • s3:GetObjectVersion
    • s3:GetBucketPublicAccessBlock
    • s3:GetBucketOwnershipControls
    • s3:GetBucketTagging
    • iam:ListAttachedRolePolicies
    • iam:GetPolicy
    • iam:GetPolicyVersion
    • iam:ListRolePolicies
    • iam:GetRolePolicy
    • ce:GetCostAndUsage
    • dynamodb:DescribeTableReplicaAutoScaling
    • identitystore:ListGroupMemberships
    • identitystore:ListGroups
    • identitystore:ListUsers
    • lambda:GetFunction
    • lambda:GetFunctionConcurrency
    • logs:ListTagsForResource
    • s3express:CreateSession
    • s3express:GetBucketPolicy
    • s3express:ListAllMyDirectoryBuckets
    • wafv2:GetIPSet

  6. Vous pouvez également examiner et modifier les options avancées. Pour en savoir plus sur les options supplémentaires, consultez Personnaliser la configuration du connecteur AWS.

  7. Cliquez sur Continuer. La page Se connecter à AWS s'ouvre.

  8. Sélectionnez l'une des options suivantes :

    • Utilisez les modèles AWS CloudFormation, puis téléchargez et examinez les modèles CloudFormation pour le rôle délégué et le rôle de collecteur.

    • Configurer des comptes AWS manuellement : sélectionnez cette option si vous avez configuré les options avancées ou si vous devez modifier les noms de rôles AWS par défaut (aws-delegated-role, aws-collector-role et aws-sensitive-data-protection-role). Copiez l'ID de l'agent de service, le nom du rôle délégué, le nom du rôle de collecteur et le nom du rôle de collecteur Sensitive Data Protection.

    Vous ne pouvez pas modifier les noms de rôles après avoir créé la connexion.

Ne cliquez pas sur Enregistrer ni sur Continuer. À la place, configurez votre environnement AWS.

Configurer votre environnement AWS

Vous pouvez configurer votre environnement AWS à l'aide de l'une des méthodes suivantes :

Utiliser des modèles CloudFormation pour configurer votre environnement AWS

Si vous avez téléchargé des modèles CloudFormation, suivez ces étapes générales pour configurer votre environnement AWS :

  1. Connectez-vous à la console du compte délégué AWS. Assurez-vous d'être connecté au compte délégué utilisé pour assumer d'autres comptes AWS de collecte (c'est-à-dire un compte de gestion AWS ou tout compte membre enregistré en tant qu'administrateur délégué).

  2. Créez une pile qui provisionne le rôle de délégué. Pour en savoir plus, consultez Créer un stack.

    Tenez bien compte des éléments suivants :

    • Si vous avez modifié le nom du rôle délégué, du rôle de collecteur ou du rôle Sensitive Data Protection, mettez à jour les paramètres en conséquence. Les paramètres que vous saisissez doivent correspondre à ceux listés sur la page Se connecter à AWS de la console Google Cloud .
    • Attendez que la pile soit créée. Si une erreur se produit, consultez la section Dépannage. Pour en savoir plus, consultez Créer une pile dans la console AWS CloudFormation dans la documentation AWS.

  3. Créez une pile qui provisionne les rôles de collecteur. Pour en savoir plus, consultez Créer des StackSets CloudFormation avec des autorisations gérées par le service.

    Tenez bien compte des éléments suivants :

  • Si vous avez choisi d'ajouter des comptes AWS individuellement (en sélectionnant Ajouter des comptes individuellement lors de la configuration du connecteur dans la consoleGoogle Cloud ), vous pouvez également créer des piles distinctes pour chaque compte AWS au lieu de créer un seul ensemble de piles.

    • Le paramètre recommandé est "Autorisations gérées par le service". Vous pouvez choisir d'utiliser des autorisations autogérées, mais vous devrez alors les accorder manuellement. Remarque : Si vous choisissez des autorisations autogérées, vous pouvez sélectionner les comptes AWS sur lesquels vous souhaitez déployer le modèle. Le modèle CloudFormation ne permet pas d'inclure ni d'exclure une liste de comptes AWS, comme décrit dans Configuration personnalisée. Si vous souhaitez créer une liste de comptes AWS à inclure ou à exclure, l'ensemble de piles peut créer des piles qui ne sont pas nécessaires. Vous pouvez ignorer ou supprimer ces piles.

      • Si vous avez modifié le nom du rôle délégué, du rôle de collecteur ou du rôle Sensitive Data Protection, mettez à jour les paramètres en conséquence. Les paramètres que vous saisissez doivent correspondre à ceux listés sur la page Se connecter à AWS de la console Google Cloud .

      • Configurez les options de votre ensemble de piles selon les exigences de votre organisation.

      • Lorsque vous spécifiez les options de déploiement, choisissez vos cibles de déploiement. Vous pouvez déployer l'agent dans l'ensemble de l'organisation AWS ou dans une unité organisationnelle (UO) qui inclut tous les comptes AWS à partir desquels vous souhaitez collecter des données.

      • Spécifiez les régions AWS dans lesquelles créer les rôles et les stratégies. Comme les rôles sont des ressources globales, vous n'avez pas besoin de spécifier plusieurs régions.

      • Si vous recevez un message d'erreur, consultez la section Dépannage. Pour en savoir plus, consultez Créer des StackSets CloudFormation avec des autorisations gérées par le service dans la documentation AWS.

    1. Si vous devez collecter des données à partir du compte administrateur, connectez-vous à ce compte et déployez une pile distincte pour provisionner les rôles de collecteur. Lorsque vous spécifiez le modèle, importez le fichier du modèle de rôle de collecteur.

    Cette étape est nécessaire, car les ensembles de piles AWS CloudFormation ne créent pas d'instances de pile dans les comptes de gestion. Pour en savoir plus, consultez DeploymentTargets dans la documentation AWS.

Suivez les étapes décrites dans Finaliser le processus d'intégration.

Configurer manuellement des comptes AWS

Si vous ne pouvez pas utiliser les modèles CloudFormation (par exemple, si vous utilisez des noms de rôles différents ou si vous personnalisez l'intégration), vous pouvez créer manuellement les rôles et les règles AWS IAM requis.

Consultez et remplissez les sections suivantes dans l'ordre :

  1. Créer la stratégie AWS IAM pour le rôle délégué
  2. Créer un rôle AWS IAM pour la relation d'approbation entre AWS et Google Cloud
  3. Créer la stratégie AWS IAM pour la collecte des données de configuration des composants
  4. Créez le rôle AWS IAM pour la collecte des données de configuration des composants dans chaque compte.
  5. Créer la stratégie AWS IAM pour Sensitive Data Protection

Vous devez créer des stratégies et des rôles AWS IAM pour le compte délégué et les comptes de collecteur.

Créer la stratégie AWS IAM pour le rôle délégué

Pour créer une stratégie AWS IAM pour le rôle délégué (une stratégie déléguée), suivez les étapes décrites dans Créer une stratégie de la documentation AWS.

Lorsque vous créez la règle, collez l'un des éléments suivants pour l'étape JSON, selon que vous avez coché la case Accorder des autorisations pour la découverte Sensitive Data Protection dans Configurer Security Command Center.

Accorder des autorisations pour la découverte Sensitive Data Protection : effacé

    {
      "Version": "2012-10-17",
      "Statement": [
          {
              "Action": "sts:AssumeRole",
              "Resource": "arn:aws:iam:::role/COLLECTOR_ROLE_NAME",
              "Effect": "Allow"
          },
          {
              "Action": [
                  "organizations:List",
                  "organizations:Describe"
              ],
              "Resource": "",
              "Effect": "Allow"
          }
      ]
    }

Remplacez COLLECTOR_ROLE_NAME par le nom du rôle de collecteur que vous avez copié lors de la configuration de Security Command Center (la valeur par défaut est aws-collector-role).

Accorder des autorisations pour la découverte Sensitive Data Protection : sélectionné

    {
      "Version": "2012-10-17",
      "Statement": [
        {
          "Action": "sts:AssumeRole",
          "Resource": [
            "arn:aws:iam::*:role/COLLECTOR_ROLE_NAME",
            "arn:aws:iam::*:role/SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME"
          ],
          "Effect": "Allow"
        },
        {
          "Action": [
            "organizations:List*",
            "organizations:Describe*"
          ],
          "Resource": "*",
          "Effect": "Allow"
        }
      ]
    }

Remplacez les éléments suivants :

  • COLLECTOR_ROLE_NAME : nom du rôle de collecteur de données de configuration que vous avez copié lors de la configuration de Security Command Center (la valeur par défaut est aws-collector-role).
  • SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME : nom du rôle de collecteur Sensitive Data Protection que vous avez copié lors de la configuration de Security Command Center (la valeur par défaut est aws-sensitive-data-protection-role).

Créer un rôle AWS IAM pour la relation d'approbation entre AWS et Google Cloud

Créez un rôle délégué qui établit une relation de confiance entre AWS etGoogle Cloud. Ce rôle utilise la stratégie déléguée créée dans Créer la stratégie AWS IAM pour le rôle délégué.

Suivez les instructions de la section Créer un rôle pour OIDC dans la documentation AWS.

Lorsque vous créez le rôle, spécifiez les éléments suivants :

  • Type d'entité de confiance : sélectionnez Identité Web.

  • Fournisseur d'identité : sélectionnez Google.

  • Audience : saisissez l'ID de l'agent de service que vous avez copié lorsque vous avez configuré Security Command Center.

  • Pour accorder au rôle délégué l'accès aux rôles de collecteur, associez les règles d'autorisation au rôle. Recherchez la stratégie déléguée créée dans Créer la stratégie AWS IAM pour le rôle délégué, puis sélectionnez-la.

  • Détails du rôle : saisissez le nom du rôle délégué que vous avez copié lorsque vous avez configuré Security Command Center (le nom par défaut est aws-delegated-role).

Créer la stratégie AWS IAM pour la collecte des données de configuration des composants

Pour créer une stratégie AWS IAM pour la collecte de données de configuration des composants (une stratégie de collecte), procédez comme suit :

  • Suivez les étapes de la section Créer une stratégie de la documentation AWS et répétez-les, si nécessaire, pour chaque compte collecteur.

    Lorsque vous créez le rôle, spécifiez les éléments suivants pour l'étape JSON :

    {
  "Version": "2012-10-17",
  "Statement": [
      {
          "Effect": "Allow",
          "Action": [
              "ce:GetCostAndUsage",
              "dynamodb:DescribeTableReplicaAutoScaling",
              "identitystore:ListGroupMemberships",
              "identitystore:ListGroups",
              "identitystore:ListUsers",
              "lambda:GetFunction",
              "lambda:GetFunctionConcurrency",
              "logs:ListTagsForResource",
              "s3express:GetBucketPolicy",
              "s3express:ListAllMyDirectoryBuckets",
              "wafv2:GetIPSet"
          ],
          "Resource": [
              "*"
          ]
      },
      {
          "Effect": "Allow",
          "Action": [
              "apigateway:GET"
          ],
          "Resource": [
              "arn:aws:apigateway:*::/usageplans",
              "arn:aws:apigateway:*::/usageplans/*/keys",
              "arn:aws:apigateway:*::/vpclinks/*"
          ]
      }
  ]

}

Créez le rôle AWS IAM pour la collecte des données de configuration des composants dans chaque compte.

Créez le rôle de collecteur qui permet à Security Command Center d'obtenir des données de configuration des éléments depuis AWS. Ce rôle utilise la stratégie de collecte créée dans Créer la stratégie AWS IAM pour la collecte des données de configuration des assets.

  • Suivez les étapes de la section Créer un rôle personnalisé de la documentation AWS et répétez-les, si nécessaire, pour chaque compte collecteur.

    Pour la stratégie d'approbation personnalisée, ajoutez les éléments suivants :

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::DELEGATE_ACCOUNT_ID:role/DELEGATE_ACCOUNT_ROLE"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

    Remplacez les éléments suivants :

    • DELEGATE_ACCOUNT_ID : ID de compte AWS pour le compte délégué

    • DELEGATE_ACCOUNT_ROLE : nom du rôle délégué que vous avez copié lorsque vous avez configuré Security Command Center.

    • Pour autoriser ce rôle de collecteur à accéder aux données de configuration de vos ressources AWS, associez-lui les règles d'autorisation. Recherchez la règle de collecte personnalisée créée dans Créer la stratégie AWS IAM pour la collecte des données de configuration des composants, puis sélectionnez-la.

    • Recherchez et sélectionnez les règles gérées suivantes :

      • arn:aws:iam::aws:policy/job-function/ViewOnlyAccess
      • arn:aws:iam::aws:policy/SecurityAudit

    • Dans la section Détails du rôle, saisissez le nom du rôle de collecteur de données de configuration que vous avez copié lorsque vous avez configuré Security Command Center.

Si vous avez coché la case Accorder des autorisations pour la découverte de la protection des données sensibles dans Configurer Security Command Center, passez à la section suivante.

Si vous n'avez pas coché la case Accorder des autorisations pour la découverte Sensitive Data Protection, terminez la procédure d'intégration.

Créer la stratégie AWS IAM pour la protection des données sensibles

Suivez ces étapes si vous avez coché la case Accorder des autorisations pour la découverte de la protection des données sensibles dans Configurer Security Command Center.

Pour créer une stratégie AWS IAM pour Sensitive Data Protection (une stratégie de collecteur), procédez comme suit :

  • Suivez les étapes de la section Créer un rôle personnalisé de la documentation AWS et répétez-les, si nécessaire, pour chaque compte collecteur.

    Lorsque vous créez le rôle personnalisé, spécifiez les éléments suivants pour l'étape JSON :

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:GetBucketLocation",
        "s3:ListAllMyBuckets",
        "s3:GetBucketPolicyStatus",
        "s3:ListBucket",
        "s3:GetObject",
        "s3:GetObjectVersion",
        "s3:GetBucketPublicAccessBlock",
        "s3:GetBucketOwnershipControls",
        "s3:GetBucketTagging"
      ],
      "Resource": ["arn:aws:s3:::*"]
    },
    {
      "Effect": "Allow",
      "Action": [
        "iam:ListAttachedRolePolicies",
        "iam:GetPolicy",
        "iam:GetPolicyVersion",
        "iam:ListRolePolicies",
        "iam:GetRolePolicy",
        "ce:GetCostAndUsage",
        "dynamodb:DescribeTableReplicaAutoScaling",
        "identitystore:ListGroupMemberships",
        "identitystore:ListGroups",
        "identitystore:ListUsers",
        "lambda:GetFunction",
        "lambda:GetFunctionConcurrency",
        "logs:ListTagsForResource",
        "s3express:GetBucketPolicy",
        "s3express:ListAllMyDirectoryBuckets",
        "wafv2:GetIPSet"
      ],
      "Resource": ["*"]
    },
    {
      "Effect": "Allow",
      "Action": [
          "s3express:CreateSession"
      ],
      "Resource": ["arn:aws:s3express:*:*:bucket/*"]
    }
  ]
}

Créer le rôle AWS IAM pour Sensitive Data Protection dans chaque compte

Suivez ces étapes si vous avez coché la case Accorder des autorisations pour la découverte Sensitive Data Protection dans Configurer le connecteur AWS.

Créez le rôle de collecteur qui permet à Sensitive Data Protection de profiler le contenu de vos ressources AWS. Ce rôle utilise la stratégie de collecte créée dans Créer la stratégie AWS IAM pour la protection des données sensibles.

  • Suivez la procédure décrite dans Créer un rôle Identity and Access Management à l'aide d'une stratégie d'approbation personnalisée (console) de la documentation AWS et répétez les étapes, si nécessaire, pour chaque compte collecteur.

    Lorsque vous créez la règle, spécifiez les éléments suivants :

    • Type d'entité de confiance : sélectionnez Règle de confiance personnalisée.

    • Pour la règle de confiance personnalisée, collez ce qui suit :

      {
"Version": "2012-10-17",
"Statement": [
  {
    "Effect": "Allow",
    "Principal": {
      "AWS": "arn:aws:iam::DELEGATE_ACCOUNT_ID:role/DELEGATE_ACCOUNT_ROLE"
    },
    "Action": "sts:AssumeRole"
  }
]
}

      Remplacez les éléments suivants :

      • DELEGATE_ACCOUNT_ID : ID de compte AWS pour le compte délégué
      • DELEGATE_ACCOUNT_ROLE : nom du rôle délégué que vous avez copié lorsque vous avez configuré Security Command Center

    • Pour accorder à ce rôle de collecteur l'accès au contenu de vos ressources AWS, associez les règles d'autorisation au rôle. Recherchez la règle de collecte personnalisée créée dans Créer la règle AWS IAM pour Sensitive Data Protection, puis sélectionnez-la.

    • Pour obtenir des informations sur le rôle, saisissez le nom du rôle pour la protection des données sensibles que vous avez copié lorsque vous avez configuré Security Command Center.

Suivez les étapes décrites dans Finaliser le processus d'intégration.

Terminer la configuration du connecteur AWS

  1. Revenez à la page Connect to AWS (Se connecter à AWS), puis cliquez sur Continue (Continuer).

  2. Dans la console Google Cloud , sur la page Tester le connecteur, cliquez sur Tester le connecteur pour vérifier que Security Command Center peut se connecter à votre environnement AWS. Si la connexion est établie, le test a déterminé que le rôle délégué dispose de toutes les autorisations requises pour assumer les rôles de collecteur. Si la connexion échoue, consultez Résoudre les problèmes de connexion.

  3. Cliquez sur Enregistrer.

Personnaliser la configuration du connecteur AWS

Cette section décrit certaines façons de personnaliser la connexion entre Security Command Center et AWS. Ces options sont disponibles dans la section Options avancées (facultatif) de la page Ajouter un connecteur Amazon Web Services de la console Google Cloud .

Par défaut, Security Command Center détecte automatiquement vos comptes AWS dans toutes les régions AWS. La connexion utilise le point de terminaison global par défaut pour le service AWS Security Token Service et les requêtes par seconde (RPS) par défaut pour le service AWS que vous surveillez. Ces options avancées vous permettent de personnaliser les valeurs par défaut.

Option Description
Ajouter des comptes de connecteur AWS

Sélectionnez une option selon vos préférences :

  • Ajouter des comptes automatiquement (recommandé) : sélectionnez cette option pour permettre à Security Command Center de découvrir automatiquement les comptes AWS.
  • Ajouter des comptes individuellement : sélectionnez cette option pour ajouter manuellement des comptes AWS.
Exclure des comptes de connecteur AWS Si vous avez sélectionné Ajouter des comptes automatiquement dans la section Ajouter des comptes de connecteur AWS, fournissez la liste des comptes AWS que Security Command Center ne doit pas utiliser pour trouver des ressources.
Saisir les comptes de connecteur AWS Si vous avez sélectionné Ajouter des comptes individuellement dans la section Ajouter des comptes de connecteur AWS, fournissez la liste des comptes AWS que Security Command Center peut utiliser pour trouver des ressources.
Sélectionner les régions dans lesquelles collecter des données Sélectionnez une ou plusieurs régions AWS à partir desquelles Security Command Center collectera des données. Laissez le champ Régions AWS vide pour collecter des données dans toutes les régions.
Nombre maximal de requêtes par seconde (RPS) pour les services AWS Vous pouvez modifier le RPS pour contrôler la limite de quota pour Security Command Center. Définissez le remplacement sur une valeur inférieure à la valeur par défaut de ce service et supérieure ou égale à 1. La valeur par défaut est la valeur maximale. Si vous modifiez le RPS, Security Command Center peut rencontrer des problèmes lors de la récupération des données. Nous vous recommandons donc de ne pas modifier cette valeur.
Point de terminaison pour AWS Security Token Service Vous pouvez spécifier un point de terminaison spécifique pour le service AWS Security Token Service (par exemple, https://sts.us-east-2.amazonaws.com). Laissez le champ AWS Security Token Service vide pour utiliser le point de terminaison global par défaut (https://sts.amazonaws.com).

Accorder des autorisations de découverte des données sensibles à un connecteur AWS existant

Pour découvrir les données sensibles dans votre contenu AWS, vous avez besoin d'un connecteur AWS disposant des autorisations IAM AWS requises.

Cette section explique comment accorder ces autorisations à un connecteur AWS existant. Les étapes à suivre dépendent de la façon dont vous avez configuré votre environnement AWS : à l'aide de modèles CloudFormation ou manuellement.

Mettre à jour un connecteur existant à l'aide de modèles CloudFormation

Si vous configurez votre environnement AWS à l'aide de modèles CloudFormation, suivez ces étapes pour accorder des autorisations de découverte des données sensibles à votre connecteur AWS existant.

  1. Dans la console Google Cloud , accédez à Paramètres > Paramètres SCC.

    Accéder aux paramètres

  2. Sélectionnez l'organisation dans laquelle vous avez activé Security Command Center Enterprise.

  3. Sélectionnez Connecteurs. La page Configurer le connecteur s'ouvre.

  4. Pour le connecteur AWS, cliquez sur Autres options > Modifier.

  5. Dans la section Examiner les types de données, sélectionnez Accorder des autorisations pour la découverte de la protection des données sensibles.

  6. Cliquez sur Continuer. La page Se connecter à AWS s'ouvre.

  7. Cliquez sur Télécharger le modèle de rôle délégué. Le modèle est téléchargé sur votre ordinateur.

  8. Cliquez sur Télécharger le modèle du rôle de collecteur. Le modèle est téléchargé sur votre ordinateur.

  9. Cliquez sur Continuer. La page Tester le connecteur s'ouvre. Ne testez pas encore le connecteur.

  10. Dans la console CloudFormation, mettez à jour le modèle de pile pour le rôle délégué :

    1. Connectez-vous à la console du compte délégué AWS. Assurez-vous d'être connecté au compte délégué utilisé pour assumer d'autres comptes AWS de collecte.
    2. Accédez à la console AWS CloudFormation.

    3. Remplacez le modèle de pile pour le rôle délégué par le modèle de rôle délégué mis à jour que vous avez téléchargé.

      Pour en savoir plus, consultez Mettre à jour le modèle d'une pile (console) dans la documentation AWS.

  11. Mettez à jour l'ensemble de piles pour le rôle de collecteur :

    1. À l'aide d'un compte de gestion AWS ou d'un compte membre enregistré en tant qu'administrateur délégué, accédez à la console AWS CloudFormation.

    2. Remplacez le modèle de stack set pour le rôle de collecteur par le modèle de rôle de collecteur mis à jour que vous avez téléchargé.

      Pour en savoir plus, consultez Mettre à jour votre ensemble de piles à l'aide de la console AWS CloudFormation dans la documentation AWS.

  12. Si vous devez collecter des données à partir du compte administrateur, connectez-vous à ce compte et remplacez le modèle dans la pile du collecteur par le modèle de rôle de collecteur mis à jour que vous avez téléchargé.

    Cette étape est nécessaire, car les ensembles de piles AWS CloudFormation ne créent pas d'instances de pile dans les comptes de gestion. Pour en savoir plus, consultez DeploymentTargets dans la documentation AWS.

  13. Dans la console Google Cloud , sur la page Tester le connecteur, cliquez sur Tester le connecteur. Si la connexion est établie, le test a déterminé que le rôle délégué dispose de toutes les autorisations requises pour assumer les rôles de collecteur. Si la connexion échoue, consultez Résoudre les erreurs lors du test de la connexion.

  14. Cliquez sur Enregistrer.

Mettre à jour manuellement un connecteur existant

Si vous avez configuré manuellement vos comptes AWS lorsque vous avez créé le connecteur AWS, suivez ces étapes pour accorder les autorisations de découverte des données sensibles pour votre connecteur AWS existant.

  1. Ouvrez l'onglet Connecteurs sur la page Paramètres.

    Accéder à "Connecteurs"

  2. Sélectionnez l'organisation dans laquelle vous avez activé Security Command Center Enterprise.

  3. Pour le connecteur AWS, cliquez sur Autres options > Modifier.

  4. Dans la section Examiner les types de données, sélectionnez Accorder des autorisations pour la découverte de la protection des données sensibles.

  5. Cliquez sur Continuer. La page Se connecter à AWS s'ouvre.

  6. Cliquez sur Configurer des comptes AWS manuellement (recommandé si vous utilisez des paramètres avancés ou des noms de rôles personnalisés).

  7. Copiez les valeurs des champs suivants :

    • Nom du rôle délégué
    • Nom du rôle de collecteur
    • Nom du rôle de collecteur Sensitive Data Protection

  8. Cliquez sur Continuer. La page Tester le connecteur s'ouvre. Ne testez pas encore le connecteur.

  9. Dans la console du compte délégué AWS, mettez à jour la stratégie AWS IAM pour le rôle délégué afin d'utiliser le code JSON suivant :

        {
      "Version": "2012-10-17",
      "Statement": [
        {
          "Action": "sts:AssumeRole",
          "Resource": [
            "arn:aws:iam::*:role/COLLECTOR_ROLE_NAME",
            "arn:aws:iam::*:role/SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME"
          ],
          "Effect": "Allow"
        },
        {
          "Action": [
            "organizations:List*",
            "organizations:Describe*"
          ],
          "Resource": "*",
          "Effect": "Allow"
        }
      ]
    }

    Remplacez les éléments suivants :

    • COLLECTOR_ROLE_NAME : nom du rôle de collecteur de données de configuration que vous avez copié (la valeur par défaut est aws-collector-role)
    • SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME : nom du rôle de collecteur Sensitive Data Protection que vous avez copié (la valeur par défaut est aws-sensitive-data-protection-role)

    Pour en savoir plus, consultez Modifier des stratégies gérées par le client (console) dans la documentation AWS.

  10. Pour chaque compte collecteur, procédez comme suit :

    1. Créez la stratégie AWS IAM pour la protection des données sensibles.

    2. Créez le rôle AWS IAM pour Sensitive Data Protection dans chaque compte.

  11. Dans la console Google Cloud , sur la page Tester le connecteur, cliquez sur Tester le connecteur. Si la connexion est établie, le test a déterminé que le rôle délégué dispose de toutes les autorisations requises pour assumer les rôles de collecteur. Si la connexion échoue, consultez Résoudre les erreurs lors du test de la connexion.

  12. Cliquez sur Enregistrer.

Dépannage

Cette section présente certains problèmes courants que vous pouvez rencontrer lorsque vous intégrez Security Command Center à AWS.

Les ressources existent déjà

Cette erreur se produit dans l'environnement AWS lorsque vous essayez de créer des rôles et des règles AWS IAM, et que le rôle existe déjà dans votre compte AWS.

Pour résoudre ce problème, procédez comme suit :

  • Vérifiez si le rôle ou la stratégie que vous créez existe déjà et répond aux exigences listées dans ce guide.
  • Si nécessaire, modifiez le nom du rôle pour éviter tout conflit.

Compte principal non valide dans la règle

Cette erreur peut se produire dans l'environnement AWS lorsque vous créez les rôles de collecteur, mais que le rôle de délégué n'existe pas encore.

Pour résoudre cette erreur, suivez les étapes décrites dans Créer la stratégie AWS IAM pour le rôle délégué et attendez que le rôle délégué soit créé avant de continuer.

Limites de limitation du débit dans AWS

AWS limite les requêtes d'API pour chaque compte AWS, au niveau du compte ou de la région. Pour s'assurer que ces limites ne sont pas dépassées lorsque Security Command Center collecte des données de configuration des composants à partir d'AWS, Security Command Center collecte les données à un RPS maximal fixe pour chaque service AWS, comme décrit dans la documentation de l'API pour le service AWS.

Si vous rencontrez une limitation des requêtes dans votre environnement AWS en raison des RPS consommées, vous pouvez atténuer le problème en procédant comme suit :

  • Sur la page Paramètres du connecteur AWS, définissez un RPS personnalisé pour le service AWS qui fait l'objet d'une limitation des requêtes.

  • Limitez les autorisations du rôle de collecteur AWS afin que les données de ce service spécifique ne soient plus collectées. Cette technique d'atténuation empêche les simulations de chemin d'attaque de fonctionner correctement pour AWS.

La révocation de toutes les autorisations dans AWS arrête immédiatement le processus de collecte de données. La suppression du connecteur AWS n'arrête pas immédiatement le processus de collecte de données, mais il ne redémarrera pas une fois terminé.

Un résultat est renvoyé pour une ressource AWS supprimée

Une fois une ressource AWS supprimée, il peut s'écouler jusqu'à 40 heures avant qu'elle ne soit supprimée du système d'inventaire des éléments Security Command Center. Si vous choisissez de résoudre un résultat en supprimant la ressource, il est possible qu'il s'affiche pendant cette période, car le composant n'a pas encore été supprimé du système d'inventaire des composants de Security Command Center.

Résoudre les erreurs lors du test de la connexion

Ces erreurs peuvent se produire lorsque vous testez la connexion entre Security Command Center et AWS.

AWS_FAILED_TO_ASSUME_DELEGATED_ROLE

La connexion n'est pas valide car l'agent de service Google Cloud ne peut pas endosser le rôle délégué.

Pour résoudre ce problème, procédez comme suit :

AWS_FAILED_TO_CONNECT_TO_ORGNIZATIONS_SERVICE

La connexion n'est pas valide, car elle ne peut pas se connecter au service AWS Organizations. Cet état ne s'applique qu'aux connexions pour lesquelles la découverte automatique est désactivée.

Pour résoudre ce problème, procédez comme suit :

  • Vérifiez la configuration en vous assurant d'avoir suivi les étapes de la section Créer des comptes AWS. Vérifiez que les autorisations AWS IAM pour le rôle délégué sont correctement configurées.
  • Consultez la configuration AWS Organizations en vous référant à Dépannage d'AWS Organizations.
  • Consultez les journaux AWS CloudTrail pour identifier les erreurs d'accès refusé spécifiques liées aux services AWS Organizations. Cette étape peut vous aider à identifier précisément le manque d'autorisations.

AWS_FAILED_TO_LIST_ACCOUNTS

La connexion n'est pas valide car la détection automatique est activée et le rôle délégué ne peut pas obtenir tous les comptes AWS des organisations.

Cette erreur indique que la règle permettant l'action organizations:ListAccounts sur le rôle délégué est manquante sur certaines ressources. Pour résoudre cette erreur, identifiez les ressources manquantes. Pour vérifier les paramètres de la stratégie déléguée, consultez Créer la stratégie AWS IAM pour le rôle délégué.

Vérifiez que vous avez créé et configuré les comptes AWS comme décrit dans la section Créer des comptes AWS.

AWS_ACTIVE_COLLECTOR_ACCOUNTS_NOT_FOUND

La connexion n'est pas valide, car aucun compte de collecteur AWS n'a été trouvé avec l'état ACTIVE.

Si vous avez sélectionné Ajouter des comptes automatiquement dans le champ Ajouter des comptes de connecteur AWS, cela signifie qu'aucun compte AWS n'a été trouvé avec l'état ACTIVE, à l'exception de ceux spécifiés dans le champ Exclure des comptes de connecteur AWS.

Si vous avez sélectionné Ajouter des comptes individuellement, vérifiez que les comptes que vous avez fournis ont l'état ACTIVE dans le champ Ajouter des comptes de connecteur AWS.

AWS_INVALID_COLLECTOR_ACCOUNTS

La connexion n'est pas valide, car il existe des comptes de collecteur non valides. Le message d'erreur inclut plus d'informations sur les causes possibles, y compris les suivantes :

AWS_FAILED_TO_ASSUME_COLLECTOR_ROLE

Le compte de collecteur n'est pas valide, car le rôle délégué ne peut pas endosser le rôle de collecteur dans le compte de collecteur.

Pour résoudre cette erreur, procédez comme suit :

AWS_COLLECTOR_ROLE_POLICY_MISSING_REQUIRED_PERMISSION

La connexion n'est pas valide, car il manque certains paramètres d'autorisation requis dans la règle du collecteur.

Pour résoudre cette erreur, examinez les causes suivantes :

Étapes suivantes