Esta página foi traduzida pela API Cloud Translation.

Estabeleça ligação à AWS para a configuração e a recolha de dados de recursos

Associe o nível Enterprise do Security Command Center ao seu ambiente dos Amazon Web Services (AWS) para poder fazer o seguinte:

Detete e corrija vulnerabilidades de software e configurações incorretas no seu ambiente da AWS
Crie e faça a gestão de uma postura de segurança para a AWS
Identifique potenciais caminhos de ataque da Internet pública para os seus recursos da AWS de elevado valor
Mapeie a conformidade dos recursos da AWS com várias normas e referências

Quando associa o Security Command Center à AWS, é criado um único local para a sua equipa de operações de segurança gerir e corrigir ameaças e vulnerabilidades no Google Cloud e na AWS.Google Cloud

Para permitir que o Security Command Center monitorize a sua organização da AWS, tem de configurar uma ligação através de um Google Cloud agente de serviço e uma conta da AWS que tenha acesso aos recursos que quer monitorizar. O Security Command Center usa esta ligação para recolher periodicamente dados em todas as contas e regiões da AWS que definir. Estes dados são processados da mesma forma que os dados de serviço, de acordo com o Aviso de Privacidade do Google Cloud.

Pode criar uma associação da AWS para cada Google Cloud organização. O conetor usa chamadas de API para recolher dados de recursos da AWS. Estas chamadas de API podem incorrer em cobranças da AWS.

Este documento descreve como configurar a associação à AWS. Quando configura uma associação, configura o seguinte:

Uma série de contas na AWS que têm acesso direto aos recursos da AWS que quer monitorizar. Na Google Cloud consola, estas contas são denominadas contas de recolha.
Uma conta na AWS que tem as políticas e as funções adequadas para permitir a autenticação em contas de recolha. Na Google Cloud consola, esta conta é denominada conta delegada. A conta delegada e as contas de recolha têm de estar na mesma organização da AWS.
Um agente de serviço em Google Cloud que se liga à conta delegada para autenticação.
Um pipeline para recolher dados de recursos de ativos da AWS.
(Opcional) Autorizações para a proteção de dados sensíveis para criar perfis do seu conteúdo da AWS.

O conector não carrega os registos da AWS necessários para as capacidades de deteção preparadas do SIEM no Security Command Center Enterprise. Para obter informações sobre como carregar estes dados, consulte o artigo Estabeleça ligação à AWS para o carregamento de registos.

Esta associação não se aplica às capacidades de SIEM do Security Command Center que lhe permitem carregar registos da AWS para deteção de ameaças.

O diagrama seguinte mostra esta configuração. O projeto de inquilino é um projeto criado automaticamente e contém a instância do pipeline de recolha de dados de recursos.

Configuração da AWS e do Security Command Center.

Vista geral dos passos de configuração

Depois de concluir os passos em Antes de começar, siga os passos em cada secção para associar o nível Enterprise do Security Command Center ao seu ambiente do Amazon Web Services (AWS):

Configure o conetor da AWS
Configure o seu ambiente da AWS através de um dos seguintes métodos:
- Automaticamente com modelos do CloudFormation
- Manualmente, introduzindo contas da AWS
Conclua o processo de integração do conetor da AWS

Antes de começar

Conclua estas tarefas antes de concluir as restantes tarefas nesta página.

Configure as autorizações no Google Cloud

Para receber as autorizações de que precisa para usar o conetor da AWS, peça ao administrador para lhe conceder a função de IAM de proprietário de recursos na nuvem (roles/cloudasset.owner). Para mais informações sobre a atribuição de funções, consulte o artigo Faça a gestão do acesso a projetos, pastas e organizações.

Também pode conseguir as autorizações necessárias através de funções personalizadas ou outras funções predefinidas.

Crie contas da AWS

Certifique-se de que tem os seguintes recursos da AWS:

Um utilizador do AWS IAM com acesso ao AWS IAM para as consolas da conta da AWS delegada e do coletor.
O ID da conta da AWS para uma conta da AWS que pode usar como conta delegada. A conta delegada tem de cumprir os seguintes requisitos:
- A conta delegada tem de estar anexada a uma organização da AWS. Para anexar uma conta a uma organização da AWS, faça o seguinte:
  1. Crie ou identifique uma organização à qual vai associar a conta delegada.
  2. Convide a conta delegada a aderir à organização.
- A conta delegada tem de ser uma das seguintes:
  - Uma conta de gestão da AWS.
  - Um administrador delegado da AWS.
  - Uma conta da AWS com uma política de delegação baseada em recursos que concede a autorização organizations:ListAccounts. Para ver um exemplo de política, consulte o artigo Crie uma política de delegação baseada em recursos com o AWS Organizations na documentação da AWS.

Configure o conetor da AWS

Abra o separador Conetores na página Definições.

Aceda a Conetores
Selecione a organização onde ativou o Security Command Center Enterprise.
Selecione Conetores > Adicionar conetor > Amazon Web Services.
Em ID da conta delegada, introduza o ID da conta da AWS para a conta da AWS que pode usar como conta delegada.
Para permitir que a proteção de dados confidenciais crie um perfil dos seus dados da AWS, mantenha a opção Conceder autorizações para a deteção da proteção de dados confidenciais selecionada. Esta opção adiciona autorizações da gestão de identidade e de acesso (IAM) da AWS no modelo do CloudFormation para a função de recolhedor.
Autorizações do IAM da AWS concedidas por esta opção
- s3:GetBucketLocation
- s3:ListAllMyBuckets
- s3:GetBucketPolicyStatus
- s3:ListBucket
- s3:GetObject
- s3:GetObjectVersion
- s3:GetBucketPublicAccessBlock
- s3:GetBucketOwnershipControls
- s3:GetBucketTagging
- iam:ListAttachedRolePolicies
- iam:GetPolicy
- iam:GetPolicyVersion
- iam:ListRolePolicies
- iam:GetRolePolicy
- ce:GetCostAndUsage
- dynamodb:DescribeTableReplicaAutoScaling
- identitystore:ListGroupMemberships
- identitystore:ListGroups
- identitystore:ListUsers
- lambda:GetFunction
- lambda:GetFunctionConcurrency
- logs:ListTagsForResource
- s3express:CreateSession
- s3express:GetBucketPolicy
- s3express:ListAllMyDirectoryBuckets
- wafv2:GetIPSet
Nota: esta opção só concede as autorizações da AWS necessárias à função de coletor. Para criar perfis dos seus dados da AWS, ative a deteção de dados sensíveis depois de criar este conetor da AWS.
Opcionalmente, reveja e edite as Opções avançadas. Consulte o artigo Personalize a configuração do conetor da AWS para ver informações sobre opções adicionais.
Clique em Continuar. É aberta a página Ligar ao AWS.
Selecione uma das seguintes opções:
- Use modelos do AWS CloudFormation e, de seguida, transfira e reveja os modelos do CloudFormation para a função delegada e a função de recolhedor.
- Configurar manualmente as contas da AWS: selecione esta opção se tiver configurado as opções avançadas ou precisar de alterar os nomes das funções da AWS predefinidos (aws-delegated-role, aws-collector-role e aws-sensitive-data-protection-role). Copie o ID do agente do serviço, o nome da função delegada, o nome da função do coletor e o nome da função do coletor da Proteção de dados confidenciais.
Não pode alterar os nomes das funções depois de criar a associação.

Não clique em Guardar nem em Continuar. Em alternativa, configure o seu ambiente da AWS.

Configure o seu ambiente da AWS

Pode configurar o seu ambiente da AWS através de um dos seguintes métodos:

Use os modelos do CloudFormation que transferiu em Configure o conetor da AWS. Para ver instruções, consulte o artigo Use modelos do CloudFormation para configurar o seu ambiente da AWS.
Configure as contas da AWS manualmente se estiver a usar definições ou nomes de funções personalizados. Para ver instruções, consulte o artigo Configure manualmente as contas da AWS.

Use modelos do CloudFormation para configurar o seu ambiente da AWS

Se transferiu modelos do CloudFormation, siga estes passos gerais para configurar o seu ambiente da AWS:

Inicie sessão na consola da conta delegada da AWS. Certifique-se de que tem sessão iniciada na conta delegada que é usada para assumir outras contas da AWS de coletor (ou seja, uma conta de gestão da AWS ou qualquer conta de membro registada como administrador delegado).
Crie um conjunto que aprovisione a função de delegado. Para mais informações, consulte o artigo Criar uma pilha.

Tenha em atenção o seguinte:
- Se alterou o nome da função para a função delegada, a função de coletor ou a função de proteção de dados confidenciais, atualize os parâmetros em conformidade. Os parâmetros que introduzir têm de corresponder aos indicados na página Associar à AWS na Google Cloud consola.
- Aguarde a criação da pilha. Se ocorrer um erro, consulte a secção Resolução de problemas. Para mais informações, consulte o artigo Criar uma pilha na consola do AWS CloudFormation na documentação da AWS.
Crie uma pilha que aprovisione as funções do coletor. Para mais informações sobre como o fazer, consulte o artigo Crie conjuntos de pilhas do CloudFormation com autorizações geridas pelo serviço.

Tenha em atenção o seguinte:

Se optou por adicionar contas da AWS individualmente (selecionando Adicionar contas individualmente quando configurou o conector na Google Cloud consola), também pode criar conjuntos de pilhas separados para cada conta da AWS, em vez de criar um único conjunto de pilhas.
- As autorizações geridas pelo serviço são a definição recomendada. Pode optar por usar autorizações autogeridas, mas, nesse caso, tem de conceder as autorizações manualmente. Nota: se escolher autorizações autogeridas, pode escolher as contas da AWS nas quais quer fazer a implementação. O modelo do CloudFormation não suporta ter uma lista de contas da AWS para incluir ou excluir, conforme descrito na configuração personalizada. Se quiser criar uma lista de contas da AWS para incluir ou excluir, o conjunto de pilhas pode criar algumas pilhas que não são necessárias. Pode ignorar ou remover essas associações.
  - Se alterou o nome da função para a função delegada, a função de coletor ou a função de proteção de dados confidenciais, atualize os parâmetros em conformidade. Os parâmetros que introduzir têm de corresponder aos indicados na página Associar à AWS na Google Cloud consola.
  - Conforme exigido pela sua organização, configure as opções do conjunto de pilhas.
  - Quando especificar as opções de implementação, escolha os alvos de implementação. Pode implementar para toda a organização da AWS ou implementar para uma unidade organizacional (UO) que inclua todas as contas da AWS das quais quer recolher dados.
  - Especifique as regiões da AWS nas quais criar as funções e as políticas. Como as funções são recursos globais, não precisa de especificar várias regiões.
  - Se receber um erro, consulte a secção Resolução de problemas. Para mais informações, consulte o artigo Crie StackSets do CloudFormation com autorizações geridas pelo serviço na documentação da AWS.
1. Se precisar de recolher dados da conta de gestão, inicie sessão na conta de gestão e implemente uma pilha separada para aprovisionar as funções de recolhedor. Quando especificar o modelo, carregue o ficheiro do modelo de função de recolhedor.
Este passo é necessário porque os conjuntos de stacks do AWS CloudFormation não criam instâncias de stacks em contas de gestão. Para mais informações, consulte o artigo DeploymentTargets na documentação da AWS.

Execute os passos em Conclua o processo de integração.

Configure manualmente as contas da AWS

Se não puder usar os modelos do CloudFormation (por exemplo, se estiver a usar nomes de funções diferentes ou a personalizar a integração), pode criar as políticas de IAM do AWS e as funções de IAM do AWS necessárias manualmente.

Reveja e preencha estas secções pela seguinte ordem:

Crie a política de IAM do AWS para a função delegada
Crie uma função de IAM do AWS para a relação de confiança entre o AWS e o Google Cloud
Crie a política de IAM do AWS para a recolha de dados de configuração de recursos
Crie a função do IAM da AWS para a recolha de dados de configuração de recursos em cada conta
Crie a política de IAM do AWS para a proteção de dados confidenciais

Tem de criar políticas de IAM do AWS e funções de IAM do AWS para a conta delegada e as contas de recolha.

Crie a política de IAM do AWS para a função delegada

Para criar uma política de IAM do AWS para a função delegada (uma política delegada), siga os passos em Criar uma política na documentação do AWS.

Ao criar a política, cole uma das seguintes opções para o passo JSON, consoante tenha selecionado a caixa de verificação Conceder autorizações para a deteção de dados confidenciais em Configurar o Security Command Center.

Conceder autorizações para a deteção da proteção de dados confidenciais: desmarcada

    {
      "Version": "2012-10-17",
      "Statement": [
          {
              "Action": "sts:AssumeRole",
              "Resource": "arn:aws:iam:::role/COLLECTOR_ROLE_NAME",
              "Effect": "Allow"
          },
          {
              "Action": [
                  "organizations:List",
                  "organizations:Describe"
              ],
              "Resource": "",
              "Effect": "Allow"
          }
      ]
    }

Substitua COLLECTOR_ROLE_NAME pelo nome da função de recolhedor que copiou quando configurou o Security Command Center (o valor predefinido é aws-collector-role).

Conceder autorizações para a deteção da proteção de dados confidenciais: selecionado

    {
      "Version": "2012-10-17",
      "Statement": [
        {
          "Action": "sts:AssumeRole",
          "Resource": [
            "arn:aws:iam::*:role/COLLECTOR_ROLE_NAME",
            "arn:aws:iam::*:role/SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME"
          ],
          "Effect": "Allow"
        },
        {
          "Action": [
            "organizations:List*",
            "organizations:Describe*"
          ],
          "Resource": "*",
          "Effect": "Allow"
        }
      ]
    }

Substitua o seguinte:

COLLECTOR_ROLE_NAME: o nome da função de coletor de dados de configuração que copiou quando configurou o Security Command Center (o valor predefinido é aws-collector-role)
SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME: o nome da função de coletor de proteção de dados confidenciais que copiou quando configurou o Security Command Center (o valor predefinido é aws-sensitive-data-protection-role)

Crie uma função de IAM do AWS para a relação de confiança entre o AWS e o Google Cloud

Crie uma função delegada que configure uma relação de confiança entre a AWS e o Google Cloud. Esta função usa a política delegada que foi criada em Crie a política de IAM do AWS para a função delegada.

Siga as instruções em Criar uma função para OIDC na documentação da AWS.

Ao criar a função, especifique o seguinte:

Tipo de entidade fidedigna: escolha Identidade Web.
Fornecedor de identidade: escolha Google.
Público-alvo: introduza o ID do agente de serviço que copiou quando configurou o Security Command Center.
Para conceder à função delegada acesso às funções de recolhedor, anexe as políticas de autorização à função. Pesquise a política delegada que foi criada em Crie a política de IAM do AWS para a função delegada e selecione-a.
Detalhes da função: introduza o Nome da função delegada que copiou quando configurou o Security Command Center (o nome predefinido é aws-delegated-role).

Crie a política de IAM do AWS para a recolha de dados de configuração de recursos

Para criar uma política de IAM do AWS para a recolha de dados de configuração de recursos (uma política de recolha), conclua o seguinte:

Siga os passos em Crie uma política na documentação da AWS e repita estes passos, conforme necessário, para cada conta de recolha.

Quando criar a função, especifique o seguinte para o passo JSON:

{
  "Version": "2012-10-17",
  "Statement": [
      {
          "Effect": "Allow",
          "Action": [
              "ce:GetCostAndUsage",
              "dynamodb:DescribeTableReplicaAutoScaling",
              "identitystore:ListGroupMemberships",
              "identitystore:ListGroups",
              "identitystore:ListUsers",
              "lambda:GetFunction",
              "lambda:GetFunctionConcurrency",
              "logs:ListTagsForResource",
              "s3express:GetBucketPolicy",
              "s3express:ListAllMyDirectoryBuckets",
              "wafv2:GetIPSet"
          ],
          "Resource": [
              "*"
          ]
      },
      {
          "Effect": "Allow",
          "Action": [
              "apigateway:GET"
          ],
          "Resource": [
              "arn:aws:apigateway:*::/usageplans",
              "arn:aws:apigateway:*::/usageplans/*/keys",
              "arn:aws:apigateway:*::/vpclinks/*"
          ]
      }
  ]

}

Crie a função do IAM da AWS para a recolha de dados de configuração de recursos em cada conta

Crie a função de coletor que permite ao Security Command Center obter dados de configuração de recursos da AWS. Esta função usa a política do coletor que foi criada em Crie a política de IAM do AWS para a recolha de dados de configuração de ativos.

Siga os passos em Crie uma função personalizada na documentação da AWS e repita estes passos, conforme necessário, para cada conta de coletor.

Para a política de fidedignidade personalizada, adicione o seguinte:
```
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::DELEGATE_ACCOUNT_ID:role/DELEGATE_ACCOUNT_ROLE"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}
```
Substitua o seguinte:
- DELEGATE_ACCOUNT_ID: o ID da conta da AWS para a conta delegada
- DELEGATE_ACCOUNT_ROLE: o nome da função delegada que copiou quando configurou o Security Command Center.
- Para conceder a esta função de coletor acesso aos dados de configuração dos seus recursos da AWS, anexe as políticas de autorização à função. Pesquise a política do coletor personalizado que foi criada em Crie a política de IAM do AWS para a recolha de dados de configuração de recursos e selecione-a.
- Pesquise e selecione as seguintes políticas geridas:
  - arn:aws:iam::aws:policy/job-function/ViewOnlyAccess
  - arn:aws:iam::aws:policy/SecurityAudit
- Na secção Detalhes da função, introduza o nome da função de recolhedor de dados de configuração que copiou quando configurou o Security Command Center.

Se selecionou a caixa de verificação Conceder autorizações para a deteção de proteção de dados confidenciais em Configurar o Security Command Center, avance para a secção seguinte.

Se não selecionou a caixa de verificação Conceder autorizações para a deteção de dados confidenciais, conclua o processo de integração.

Crie a política de IAM do AWS para a proteção de dados confidenciais

Conclua estes passos se tiver selecionado a caixa de verificação Conceder autorizações para a deteção do Sensitive Data Protection em Configurar o Security Command Center.

Para criar uma política de IAM do AWS para a proteção de dados confidenciais (uma política de recolha), conclua o seguinte:

Siga os passos em Crie uma função personalizada na documentação da AWS e repita, conforme necessário, para cada conta de coletor.

Quando criar a função personalizada, especifique o seguinte para o passo JSON:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:GetBucketLocation",
        "s3:ListAllMyBuckets",
        "s3:GetBucketPolicyStatus",
        "s3:ListBucket",
        "s3:GetObject",
        "s3:GetObjectVersion",
        "s3:GetBucketPublicAccessBlock",
        "s3:GetBucketOwnershipControls",
        "s3:GetBucketTagging"
      ],
      "Resource": ["arn:aws:s3:::*"]
    },
    {
      "Effect": "Allow",
      "Action": [
        "iam:ListAttachedRolePolicies",
        "iam:GetPolicy",
        "iam:GetPolicyVersion",
        "iam:ListRolePolicies",
        "iam:GetRolePolicy",
        "ce:GetCostAndUsage",
        "dynamodb:DescribeTableReplicaAutoScaling",
        "identitystore:ListGroupMemberships",
        "identitystore:ListGroups",
        "identitystore:ListUsers",
        "lambda:GetFunction",
        "lambda:GetFunctionConcurrency",
        "logs:ListTagsForResource",
        "s3express:GetBucketPolicy",
        "s3express:ListAllMyDirectoryBuckets",
        "wafv2:GetIPSet"
      ],
      "Resource": ["*"]
    },
    {
      "Effect": "Allow",
      "Action": [
          "s3express:CreateSession"
      ],
      "Resource": ["arn:aws:s3express:*:*:bucket/*"]
    }
  ]
}

Crie a função de IAM do AWS para a proteção de dados confidenciais em cada conta

Conclua estes passos se tiver selecionado a caixa de verificação Conceder autorizações para a deteção de dados confidenciais em Configurar o conector da AWS.

Crie a função de coletor que permite que a Proteção de dados confidenciais crie perfis do conteúdo dos seus recursos da AWS. Esta função usa a política do coletor que foi criada em Crie a política de IAM do AWS para a proteção de dados confidenciais.

Siga os passos em Criar uma função de gestão de identidade e de acesso através de uma política de confiança personalizada (consola) na documentação da AWS e repita os passos, conforme necessário, para cada conta de recolha.

Quando criar a política, especifique o seguinte:
- Tipo de entidade fidedigna: escolha Política de confiança personalizada.
- Para a política de fidedignidade personalizada, cole o seguinte:
```
{
"Version": "2012-10-17",
"Statement": [
  {
    "Effect": "Allow",
    "Principal": {
      "AWS": "arn:aws:iam::DELEGATE_ACCOUNT_ID:role/DELEGATE_ACCOUNT_ROLE"
    },
    "Action": "sts:AssumeRole"
  }
]
}
```
  Substitua o seguinte:
  - DELEGATE_ACCOUNT_ID: o ID da conta da AWS para a conta delegada
  - DELEGATE_ACCOUNT_ROLE: o nome da função delegada que copiou quando configurou o Security Command Center
- Para conceder a esta função de coletor acesso ao conteúdo dos seus recursos da AWS, anexe as políticas de autorização à função. Pesquise a política do coletor personalizado que foi criada em Crie a política de IAM do AWS para a proteção de dados confidenciais e selecione-a.
- Para ver os detalhes da função, introduza o nome da função de proteção de dados confidenciais que copiou quando configurou o Security Command Center.

Execute os passos em Conclua o processo de integração.

Conclua a configuração do conetor da AWS

Regresse à página Associar à AWS e, de seguida, clique em Continuar.
Na Google Cloud consola, na página Testar conetor, clique em Testar conetor para verificar se o Security Command Center consegue estabelecer ligação ao seu ambiente da AWS. Se a ligação for bem-sucedida, o teste determinou que a função delegada tem todas as autorizações necessárias para assumir as funções de recolhedor. Se a ligação não for bem-sucedida, consulte a secção Resolução de problemas de erros ao testar a ligação.
Clique em Guardar.

Personalize a configuração do conetor da AWS

Esta secção descreve algumas das formas como pode personalizar a ligação entre o Security Command Center e a AWS. Estas opções estão disponíveis na secção Opções avançadas (opcional) da página Adicionar conetor do Amazon Web Services na consola Google Cloud .

Por predefinição, o Security Command Center descobre automaticamente as suas contas da AWS em todas as regiões da AWS. A ligação usa o ponto final global predefinido para o serviço de token de segurança da AWS e as consultas por segundo (QPS) predefinidas para o serviço da AWS que está a monitorizar. Estas opções avançadas permitem-lhe personalizar as predefinições.

Opção	Descrição
Adicione contas do conetor da AWS	Selecione uma opção, consoante a sua preferência: Adicionar contas automaticamente (recomendado): selecione esta opção para permitir que o Security Command Center descubra as contas da AWS automaticamente. Adicionar contas individualmente: selecione esta opção para adicionar manualmente as contas da AWS.
Exclua contas do conector da AWS	Se selecionou Adicionar contas automaticamente na secção Adicionar contas do conetor da AWS, faculte uma lista de contas da AWS que o Security Command Center não deve usar para encontrar recursos.
Introduza contas do conector da AWS	Se selecionou Adicionar contas individualmente na secção Adicionar contas do conetor da AWS, faculte uma lista de contas da AWS que o Security Command Center pode usar para encontrar recursos.
Selecione regiões para recolher dados	Selecione uma ou mais regiões da AWS para o Security Command Center recolher dados. Deixe o campo Regiões da AWS vazio para recolher dados de todas as regiões.
Máximo de consultas por segundo (CPS) para serviços AWS	Pode alterar o QPS para controlar o limite de quota do Security Command Center. Defina a substituição para um valor inferior ao valor predefinido desse serviço e superior ou igual a `1`. O valor predefinido é o valor máximo. Se alterar o QPS, o Security Command Center pode ter problemas ao obter dados. Por conseguinte, não recomendamos que altere este valor.
Ponto final para o AWS Security Token Service	Pode especificar um ponto final específico para o serviço de tokens de segurança da AWS (por exemplo, `https://sts.us-east-2.amazonaws.com`). Deixe o campo Serviço de tokens de segurança da AWS vazio para usar o ponto final global predefinido (`https://sts.amazonaws.com`).

Conceda autorizações de deteção de dados confidenciais a um conetor da AWS existente

Para realizar a deteção de dados confidenciais no seu conteúdo da AWS, precisa de um conector da AWS com as autorizações da AWS IAM necessárias.

Esta secção descreve como conceder essas autorizações a um conector da AWS existente. Os passos que tem de seguir dependem do facto de ter configurado o seu ambiente da AWS através de modelos do CloudFormation ou manualmente.

Atualize um conetor existente através de modelos do CloudFormation

Se configurar o seu ambiente da AWS através de modelos do CloudFormation, siga estes passos para conceder autorizações de deteção de dados confidenciais para o seu conector da AWS existente.

Na Google Cloud consola, aceda a Definições > Definições do SCC

Aceda às Definições
Selecione a organização onde ativou o Security Command Center Enterprise.
Selecione Conetores. É apresentada a página Configurar conetor.
Para o conector AWS, clique em Mais opções > Editar.
Na secção Rever tipos de dados, selecione Conceder autorizações para a deteção da proteção de dados confidenciais.
Clique em Continuar. É aberta a página Ligar ao AWS.
Clique em Transferir modelo de função delegada. O modelo é transferido para o seu computador.
Clique em Transferir modelo de função de recolhedor. O modelo é transferido para o seu computador.
Clique em Continuar. É apresentada a página Testar conetor. Não teste ainda o conetor.
Na consola do CloudFormation, atualize o modelo de conjunto para a função delegada:
1. Inicie sessão na consola da conta delegada da AWS. Certifique-se de que tem sessão iniciada na conta delegada que é usada para assumir outras contas da AWS do coletor.
2. Aceda à consola do AWS CloudFormation.
3. Substitua o modelo de conjunto para a função delegada pelo modelo de função delegada atualizado que transferiu.
  
  Para mais informações, consulte o artigo Atualize o modelo de um conjunto (consola) na documentação da AWS.
Atualize o conjunto de pilhas para a função de coletor:
1. Usando uma conta de gestão da AWS ou qualquer conta de membro registada como administrador delegado, aceda à consola do AWS CloudFormation.
2. Substitua o modelo do conjunto de pilhas da função de recolhedor pelo modelo da função de recolhedor atualizado que transferiu.
  
  Para mais informações, consulte o artigo Atualize o conjunto de pilhas através da consola do AWS CloudFormation na documentação da AWS.
Se precisar de recolher dados da conta de gestão, inicie sessão na conta de gestão e substitua o modelo no conjunto do coletor pelo modelo de função do coletor atualizado que transferiu.

Este passo é necessário porque os conjuntos de stacks do AWS CloudFormation não criam instâncias de stacks em contas de gestão. Para mais informações, consulte o artigo DeploymentTargets na documentação da AWS.
Na Google Cloud consola, na página Testar conetor, clique em Testar conetor. Se a ligação for bem-sucedida, o teste determinou que a função delegada tem todas as autorizações necessárias para assumir as funções de recolhedor. Se a ligação não for bem-sucedida, consulte o artigo Resolução de problemas de erros ao testar a ligação.
Clique em Guardar.

Atualize um conector existente manualmente

Se configurou as suas contas da AWS manualmente quando criou o conetor da AWS, siga estes passos para conceder autorizações de deteção de dados confidenciais para o seu conetor da AWS existente.

Abra o separador Conetores na página Definições.

Aceda a Conetores
Selecione a organização onde ativou o Security Command Center Enterprise.
Para o conector AWS, clique em Mais opções > Editar.
Na secção Rever tipos de dados, selecione Conceder autorizações para a deteção da proteção de dados confidenciais.
Clique em Continuar. É aberta a página Ligar ao AWS.
Clique em Configurar contas da AWS manualmente (recomendado se usar definições avançadas ou nomes de funções personalizados).
Copie os valores dos seguintes campos:
- Nome da função delegada
- Nome da função de recolhedor
- Nome da função do coletor de proteção de dados confidenciais
Clique em Continuar. É apresentada a página Testar conetor. Não teste ainda o conetor.
Na consola da conta delegada da AWS, atualize a política de IAM da AWS para a função delegada de modo a usar o seguinte JSON:
```
    {
      "Version": "2012-10-17",
      "Statement": [
        {
          "Action": "sts:AssumeRole",
          "Resource": [
            "arn:aws:iam::*:role/COLLECTOR_ROLE_NAME",
            "arn:aws:iam::*:role/SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME"
          ],
          "Effect": "Allow"
        },
        {
          "Action": [
            "organizations:List*",
            "organizations:Describe*"
          ],
          "Resource": "*",
          "Effect": "Allow"
        }
      ]
    }
    
```
Substitua o seguinte:
- COLLECTOR_ROLE_NAME: o nome da função do coletor de dados de configuração que copiou (a predefinição é aws-collector-role)
- SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME: o nome da função de coletor de proteção de dados confidenciais que copiou (o valor predefinido é aws-sensitive-data-protection-role)
Para mais informações, consulte o artigo Editar políticas geridas pelo cliente (consola) na documentação da AWS.
Para cada conta de cobrança, execute estes procedimentos:
1. Crie a política de IAM do AWS para a proteção de dados confidenciais.
2. Crie a função de IAM do AWS para a proteção de dados confidenciais em cada conta.
Na Google Cloud consola, na página Testar conetor, clique em Testar conetor. Se a ligação for bem-sucedida, o teste determinou que a função delegada tem todas as autorizações necessárias para assumir as funções de recolhedor. Se a ligação não for bem-sucedida, consulte o artigo Resolução de problemas de erros ao testar a ligação.
Clique em Guardar.

Resolução de problemas

Esta secção inclui alguns problemas comuns que pode encontrar quando integra o Security Command Center com a AWS.

Os recursos já existem

Este erro ocorre no ambiente AWS quando tenta criar as políticas do AWS IAM e as funções do AWS IAM, e a função já existe na sua conta da AWS.

Para resolver este erro, conclua o seguinte:

Verifique se a função ou a política que está a criar já existe e cumpre os requisitos indicados neste guia.
Se necessário, altere o nome da função para evitar conflitos.

Principal inválido na política

Este erro pode ocorrer no ambiente da AWS quando cria as funções de recolhedor, mas a função delegada ainda não existe.

Para resolver este erro, conclua os passos em Crie a política de IAM do AWS para a função delegada e aguarde até que a função delegada seja criada antes de continuar.

Limitações de restrição na AWS

A AWS limita as solicitações de API para cada conta da AWS por conta ou por região. Para garantir que estes limites não são excedidos quando o Security Command Center recolhe dados de configuração de recursos da AWS, o Security Command Center recolhe os dados a um máximo de QPS fixo para cada serviço da AWS, conforme descrito na documentação da API do serviço da AWS.

Se tiver limitação de pedidos no seu ambiente da AWS devido ao QPS consumido, pode mitigar o problema concluindo o seguinte:

Na página de definições do conetor da AWS, defina um QPS personalizado para o serviço da AWS que está a sofrer limitação de pedidos.
Restrinja as autorizações da função de recolhedor da AWS para que os dados desse serviço específico deixem de ser recolhidos. Esta técnica de mitigação impede que as simulações de caminhos de ataque funcionem corretamente para a AWS.

A revogação de todas as autorizações na AWS interrompe imediatamente o processo de recolha de dados. A eliminação do conetor da AWS não interrompe imediatamente o processo de recolha de dados, mas não é reiniciado após a conclusão.

O resultado é devolvido para um recurso da AWS eliminado

Depois de um recurso da AWS ser eliminado, pode demorar até 40 horas para que seja removido do sistema de inventário de recursos do Security Command Center. Se optar por resolver uma descoberta eliminando o recurso, pode ver a descoberta comunicada durante este período porque o recurso ainda não foi removido do sistema de inventário de recursos do Security Command Center.

Resolução de erros ao testar a ligação

Estes erros podem ocorrer quando testa a ligação entre o Security Command Center e a AWS.

AWS_FAILED_TO_ASSUME_DELEGATED_ROLE

A associação é inválida porque o agente de serviço não pode assumir a função delegada. Google Cloud

Para resolver esta situação, considere o seguinte:

Verifique se a função delegada existe. Para a criar, consulte o artigo Crie uma função de IAM do AWS para a relação de confiança entre o AWS e Google Cloud.
A política inline da função delegada está em falta. Sem este acesso, o agente do serviço não pode assumir a função. Para verificar se a política inline existe, consulte o artigo Crie uma função de IAM da AWS para a relação de confiança entre a AWS e Google Cloud.
Se os detalhes do erro contiverem a mensagem InvalidIdentityToken: Incorrect token audience, isto pode ser causado por um fornecedor de identidade OIDC separado para accounts.google.com no ambiente da AWS. Para resolver este erro, remova o fornecedor de identidade OIDC para accounts.google.com no ambiente da AWS seguindo as instruções em Criar e gerir um fornecedor OIDC.

AWS_FAILED_TO_CONNECT_TO_ORGNIZATIONS_SERVICE

A associação é inválida porque não é possível estabelecer ligação ao serviço AWS Organizations. Este estado só se aplica a ligações com a deteção automática desativada.

Para resolver esta situação, considere o seguinte:

Valide a configuração verificando se seguiu os passos em Crie contas da AWS. Confirme que as autorizações de IAM da AWS para a função delegada estão configuradas corretamente.
Reveja a configuração da organização da AWS consultando o artigo Resolução de problemas da AWS Organizations.
Verifique os registos do AWS CloudTrail para ver se existem erros específicos de acesso negado relacionados com os serviços do AWS Organizations. Este passo pode ajudar a identificar a diferença exata de autorizações.

AWS_FAILED_TO_LIST_ACCOUNTS

A associação é inválida porque a deteção automática está ativada e a função delegada não consegue obter todas as contas da AWS nas organizações.

Este erro indica que a política para permitir a ação organizations:ListAccounts na função delegada está em falta em determinados recursos. Para resolver este erro, verifique que recursos estão em falta. Para validar as definições da política delegada, consulte Crie a política de IAM do AWS para a função delegada.

Verifique se criou e configurou as contas da AWS conforme descrito na secção Crie contas da AWS.

AWS_ACTIVE_COLLECTOR_ACCOUNTS_NOT_FOUND

A associação é inválida porque não foram encontradas contas de recolhedor da AWS com o estado ACTIVE.

Se selecionou Adicionar contas automaticamente no campo Adicionar contas do conetor da AWS, não foram encontradas contas da AWS com o estado ACTIVE, excluindo as especificadas no campo Excluir contas do conetor da AWS.

Se selecionou Adicionar contas individualmente, no campo Adicionar contas do conetor da AWS, verifique se as contas que indicou têm o estado ACTIVE.

AWS_INVALID_COLLECTOR_ACCOUNTS

A associação é inválida porque existem contas de recolhedor inválidas. A mensagem de erro inclui mais informações sobre as possíveis causas, que incluem o seguinte:

AWS_FAILED_TO_ASSUME_COLLECTOR_ROLE
AWS_COLLECTOR_ROLE_POLICY_MISSING_REQUIRED_PERMISSION

AWS_FAILED_TO_ASSUME_COLLECTOR_ROLE

A conta de recolha é inválida porque a função delegada não pode assumir a função de recolhedor na conta de recolha.

Para resolver este erro, tenha em atenção o seguinte:

Verifique se a função de recolhedor existe.
- Para criar a função de coletor para dados de configuração de recursos, consulte o artigo Crie a função do AWS IAM para a recolha de dados de configuração de recursos em cada conta.
- Para criar a função de coletor para a proteção de dados confidenciais, consulte o artigo Crie a função de IAM do AWS para a proteção de dados confidenciais em cada conta.
A política que permite à função delegada assumir a função de recolhedor está em falta. Para verificar se a política existe, consulte o artigo Crie a política de IAM do AWS para a função delegada.

AWS_COLLECTOR_ROLE_POLICY_MISSING_REQUIRED_PERMISSION

A associação é inválida porque a política do coletor não tem algumas das definições de autorização necessárias.

Para resolver este erro, considere as seguintes causas:

Algumas das políticas geridas pela AWS necessárias podem não estar anexadas à função de coletor para dados de configuração de recursos. Para verificar se todas as políticas estão anexadas, consulte o passo 6 em Crie a função de IAM do AWS para a recolha de dados de configuração de recursos em cada conta.
Pode estar presente um dos seguintes problemas com uma política de recolha:
- A política de recolha pode não existir.
- A política de recolha não está associada à função de recolhedor.
- A política de recolha não inclui todas as autorizações necessárias.
Para resolver problemas com uma política de recolha, consulte o seguinte:
- Crie a política de IAM do AWS para a recolha de dados de configuração de recursos
- Crie a política de IAM do AWS para a proteção de dados confidenciais

O que se segue?

Se estiver a configurar o Security Command Center Enterprise pela primeira vez, configure funcionalidades adicionais através do guia de configuração.
Também pode fazer o seguinte:
- Ative e use a avaliação de vulnerabilidades para AWS.
- Crie e faça a gestão de uma postura de segurança para a AWS.
- Crie simulações de caminhos de ataque para recursos da AWS.
- Mapeie a conformidade dos recursos da AWS com várias normas e referências.