Anda dapat menghubungkan paket Security Command Center Enterprise ke lingkungan Amazon Web Services (AWS) Anda sehingga Anda dapat melakukan hal berikut:
- Mendeteksi dan memperbaiki kerentanan serta kesalahan konfigurasi software di lingkungan AWS Anda
- Membuat dan mengelola postur keamanan untuk AWS
- Mengidentifikasi potensi jalur serangan dari internet publik ke aset AWS bernilai tinggi Anda
- Memetakan kepatuhan resource AWS dengan berbagai standar dan tolok ukur
Saat Anda menghubungkan Security Command Center ke AWS, satu tempat untuk tim operasi keamanan Anda akan dibuat untuk mengelola dan memulihkan ancaman serta kerentanan di seluruhGoogle Cloud dan AWS.
Untuk mengizinkan Security Command Center memantau organisasi AWS Anda, Anda mengonfigurasi konektor. Konektor menggunakan Google Cloud agen layanan dan akun AWS yang memiliki akses ke resource yang ingin Anda pantau. Security Command Center menggunakan konektor ini untuk mengumpulkan data secara berkala di semua akun dan region AWS yang Anda tentukan. Data ini ditangani dengan cara yang sama seperti Data Layanan, sesuai dengan Pemberitahuan Privasi Google Cloud.
Anda dapat membuat satu konektor AWS untuk setiap Google Cloud organisasi. Konektor menggunakan panggilan API untuk mengumpulkan data aset AWS. Panggilan API ini dapat dikenai biaya AWS.
Dokumen ini menjelaskan cara menyiapkan konektor untuk AWS. Saat menyiapkan konektor, Anda mengonfigurasi hal berikut:
- Serangkaian akun di AWS yang memiliki akses langsung ke resource AWS yang ingin Anda pantau. Di konsol Google Cloud , akun ini disebut akun pengumpul.
- Akun di AWS yang memiliki kebijakan dan peran yang sesuai untuk mengizinkan autentikasi ke akun pengumpul. Di konsol, akun ini disebut akun yang didelegasikan. Baik akun yang didelegasikan maupun akun pengumpul harus berada di organisasi AWS yang sama. Google Cloud
- Agen layanan di Google Cloud yang terhubung ke akun yang didelegasikan untuk autentikasi.
- Pipeline untuk mengumpulkan data aset dari resource AWS.
- Opsional: Izin untuk Sensitive Data Protection dalam membuat profil konten AWS Anda.
Jenis pengumpulan data
Bergantung pada sasaran keamanan Anda, Anda dapat menghubungkan Security Command Center ke AWS untuk mengumpulkan berbagai jenis data:
- Data konfigurasi dan resource: Konektor AWS mengumpulkan metadata konfigurasi dan data resource untuk menemukan kesalahan konfigurasi, menilai postur keamanan Anda, dan mengidentifikasi jalur serangan.
- Data log: Untuk mendukung kemampuan deteksi yang dikurasi SIEM dan menganalisis log peristiwa AWS (seperti CloudTrail), Anda mengonfigurasi koneksi terpisah untuk penyerapan log. Untuk mengetahui informasi selengkapnya, lihat Menghubungkan ke AWS untuk pengumpulan data log.
Diagram berikut menunjukkan konfigurasi ini. Project tenant adalah project yang dibuat secara otomatis dan berisi instance pipeline pengumpulan data aset Anda.
Ringkasan langkah-langkah konfigurasi
Untuk menghubungkan Security Command Center ke AWS, Anda harus menyelesaikan langkah-langkah berikut di AWS dan Google Cloud
Selesaikan langkah-langkah di Sebelum Anda memulai.
Konfigurasi konektor AWS dan tentukan ID akun yang didelegasikan. Tindakan ini akan membuat ID agen layanan yang diperlukan untuk konfigurasi AWS.
Konfigurasi lingkungan AWS Anda untuk membuat peran dan kebijakan yang diperlukan menggunakan salah satu metode berikut:
Selesaikan proses konfigurasi konektor AWS dan uji koneksi.
Sebelum memulai
Selesaikan tugas ini sebelum Anda menyelesaikan tugas yang tersisa di halaman ini.
Menyiapkan izin di Google Cloud
Untuk mendapatkan izin yang diperlukan untuk menggunakan konektor AWS, minta administrator Anda untuk memberi Anda peran IAM Cloud Asset Owner (roles/cloudasset.owner).
Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.
Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.
Membuat akun AWS
Pastikan Anda memiliki resource AWS berikut:
Pengguna AWS IAM dengan akses AWS IAM untuk konsol akun AWS yang didelegasikan dan pengumpul.
ID akun AWS untuk akun AWS yang dapat Anda gunakan sebagai akun yang didelegasikan. Akun yang didelegasikan harus memenuhi persyaratan berikut:
Akun yang didelegasikan harus dilampirkan ke organisasi AWS. Untuk melampirkan akun ke organisasi AWS, lakukan hal berikut:
- Buat atau identifikasi organisasi tempat Anda akan melampirkan akun yang didelegasikan.
- Undang akun yang didelegasikan untuk bergabung dengan organisasi.
Akun yang didelegasikan harus berupa salah satu dari berikut ini:
- Akun pengelolaan AWS.
- Administrator yang didelegasikan AWS.
- Akun AWS dengan kebijakan delegasi berbasis resource
yang memberikan izin
organizations:ListAccounts. Untuk contoh kebijakan, lihat Membuat kebijakan delegasi berbasis resource dengan AWS Organizations dalam dokumentasi AWS.
Meninjau fitur AWS
Pastikan Anda memahami konsep dan kemampuan berikut di AWS:
Merencanakan pengumpulan data
Saat merencanakan strategi pengumpulan data, lakukan hal berikut. Anda memerlukan informasi ini saat melakukan langkah-langkah dalam dokumen ini.
- Identifikasi ID akun pengelolaan AWS Anda. Anda harus menjalankan set stack CloudFormation dari akun pengelolaan.
- Identifikasi akun AWS yang akan Anda gunakan sebagai akun yang didelegasikan. Akun ini mengautentikasi koneksi ke Google Cloud.
- Tentukan region dan akun AWS yang datanya ingin Anda kumpulkan.
Mengonfigurasi konektor AWS
Buka tab Konektor di halaman Setelan.
Pilih organisasi tempat Anda mengaktifkan Security Command Center Enterprise.
Pilih Konektor > Tambahkan konektor > Amazon Web Services.
Di Delegated account ID, masukkan ID akun AWS untuk akun AWS yang dapat Anda gunakan sebagai akun yang didelegasikan.
Untuk mengizinkan Sensitive Data Protection membuat profil data AWS Anda, biarkan opsi Berikan izin untuk penemuan Sensitive Data Protection dipilih. Opsi ini menambahkan izin AWS Identity and Access Management (IAM) di template CloudFormation untuk peran pengumpul.
Izin AWS IAM yang diberikan oleh opsi ini
s3:GetBucketLocations3:ListAllMyBucketss3:GetBucketPolicyStatuss3:ListBuckets3:GetObjects3:GetObjectVersions3:GetBucketPublicAccessBlocks3:GetBucketOwnershipControlss3:GetBucketTaggingiam:ListAttachedRolePoliciesiam:GetPolicyiam:GetPolicyVersioniam:ListRolePoliciesiam:GetRolePolicyce:GetCostAndUsagedynamodb:DescribeTableReplicaAutoScalingidentitystore:ListGroupMembershipsidentitystore:ListGroupsidentitystore:ListUserslambda:GetFunctionlambda:GetFunctionConcurrencylogs:ListTagsForResources3express:CreateSessions3express:GetBucketPolicys3express:ListAllMyDirectoryBucketswafv2:GetIPSet
Secara opsional, tinjau dan edit Opsi lanjutan. Lihat Menyesuaikan konfigurasi konektor AWS untuk mengetahui informasi tentang opsi tambahan.
Klik Lanjutkan. Halaman Connect to AWS akan terbuka.
Pilih salah satu opsi berikut:
Gunakan template AWS CloudFormation, lalu download dan tinjau template CloudFormation untuk peran yang didelegasikan dan peran pengumpul.
Konfigurasi akun AWS secara manual: Pilih opsi ini jika Anda mengonfigurasi opsi lanjutan atau perlu mengubah nama peran AWS default (aws-delegated-role, aws-collector-role, dan aws-sensitive-data-protection-role). Salin ID agen layanan, nama peran yang didelegasikan, nama peran pengumpul, dan nama peran pengumpul Sensitive Data Protection.
Anda tidak dapat mengubah nama peran setelah membuat koneksi.
Untuk mengonfigurasi peran dan kebijakan yang diperlukan, ikuti petunjuk di Mengonfigurasi lingkungan AWS Anda.
Mengonfigurasi lingkungan AWS Anda
Anda dapat menyiapkan lingkungan AWS menggunakan salah satu metode berikut:
- Gunakan template CloudFormation yang Anda download di Mengonfigurasi AWS Connector. Untuk mengetahui petunjuknya, lihat Menggunakan template CloudFormation untuk menyiapkan lingkungan AWS Anda.
- Konfigurasi akun AWS secara manual jika Anda menggunakan setelan atau nama peran yang disesuaikan. Untuk mengetahui petunjuknya, lihat Mengonfigurasi akun AWS secara manual.
Menggunakan template CloudFormation untuk menyiapkan lingkungan AWS Anda
Jika Anda mendownload template CloudFormation, gunakan langkah-langkah tingkat tinggi berikut untuk menyiapkan lingkungan AWS Anda:
- Login ke konsol akun yang didelegasikan AWS. Pastikan Anda login ke akun penerima tugas yang digunakan untuk mengambil alih akun AWS pengumpul lainnya (yaitu, akun pengelolaan AWS atau akun anggota yang terdaftar sebagai administrator yang didelegasikan).
Buat stack yang menyediakan peran delegasi. Untuk mengetahui informasi selengkapnya, lihat Membuat stack.
Ingat hal berikut:
- Jika Anda mengubah nama peran yang didelegasikan, peran pengumpul, atau peran Sensitive Data Protection, perbarui parameter yang sesuai. Parameter yang Anda masukkan harus cocok dengan yang tercantum di halaman Connect to AWS di konsol Google Cloud .
- Tunggu hingga stack selesai dibuat. Jika terjadi error, lihat Pemecahan masalah. Untuk mengetahui informasi selengkapnya, lihat Membuat stack di konsol AWS CloudFormation dalam dokumentasi AWS.
Buat stack yang menyediakan peran pengumpul. Untuk mengetahui informasi selengkapnya tentang cara melakukannya, lihat Membuat StackSet CloudFormation dengan izin yang dikelola layanan.
Ingat hal berikut:
Jika Anda menambahkan akun AWS satu per satu (dengan memilih Tambahkan akun satu per satu saat mengonfigurasi konektor di konsolGoogle Cloud ), Anda juga dapat membuat stack terpisah untuk setiap akun AWS, bukan membuat satu set stack.
- Izin yang dikelola layanan adalah setelan yang direkomendasikan. Anda dapat memilih untuk menggunakan izin yang dikelola sendiri, tetapi Anda harus memberikan izin secara manual.
Jika Anda mengubah nama peran yang didelegasikan, peran pengumpul, atau peran Sensitive Data Protection, perbarui parameter yang sesuai. Parameter yang Anda masukkan harus cocok dengan yang tercantum di halaman Connect to AWS di konsol Google Cloud .
Sesuai kebutuhan organisasi Anda, konfigurasi opsi set tumpukan Anda.
Saat menentukan opsi deployment, pilih target deployment Anda. Anda dapat men-deploy ke seluruh organisasi AWS atau men-deploy ke unit organisasi (OU) yang mencakup semua akun AWS yang datanya ingin Anda kumpulkan.
Tentukan region AWS untuk membuat peran dan kebijakan. Karena peran adalah resource global, Anda tidak perlu menentukan beberapa wilayah.
Jika Anda menerima error, lihat Pemecahan masalah. Untuk mengetahui informasi selengkapnya, lihat Membuat StackSet CloudFormation dengan izin yang dikelola layanan dalam dokumentasi AWS.
Jika Anda perlu mengumpulkan data dari akun pengelolaan, login ke akun pengelolaan dan deploy stack terpisah untuk menyediakan peran pengumpul. Saat menentukan template, upload file template peran pengumpul.
Langkah ini diperlukan karena set tumpukan AWS CloudFormation tidak membuat instance tumpukan di akun pengelolaan. Untuk mengetahui informasi selengkapnya, lihat DeploymentTargets dalam dokumentasi AWS.
Setelah Anda menyelesaikan langkah-langkah ini, selesaikan konfigurasi konektor AWS.
Mengonfigurasi akun AWS secara manual
Jika tidak dapat menggunakan template CloudFormation (misalnya, Anda menggunakan nama peran yang berbeda atau menyesuaikan integrasi), Anda dapat membuat kebijakan AWS IAM dan peran AWS IAM yang diperlukan secara manual.
Tinjau dan selesaikan bagian ini dalam urutan berikut:
- Buat kebijakan AWS IAM untuk peran yang didelegasikan.
- Buat peran AWS IAM untuk hubungan tepercaya antara AWS dan Google Cloud.
- Buat kebijakan AWS IAM untuk pengumpulan data konfigurasi aset.
- Buat peran IAM AWS untuk pengumpulan data konfigurasi aset di setiap akun.
- Buat kebijakan AWS IAM untuk Sensitive Data Protection.
Anda harus membuat kebijakan IAM AWS dan peran IAM AWS untuk akun yang didelegasikan dan akun pengumpul.
Membuat kebijakan AWS IAM untuk peran yang didelegasikan
Untuk membuat kebijakan AWS IAM untuk peran yang didelegasikan (kebijakan yang didelegasikan), ikuti langkah-langkah dalam Membuat kebijakan dalam dokumentasi AWS.
Saat membuat kebijakan, tempelkan salah satu opsi berikut untuk langkah JSON, bergantung pada apakah Anda mencentang kotak Beri izin untuk penemuan Sensitive Data Protection di Konfigurasi Security Command Center.
Memberikan izin untuk penemuan Sensitive Data Protection: dibersihkan
{
"Version": "2012-10-17",
"Statement": [
{
"Action": "sts:AssumeRole",
"Resource": "arn:aws:iam:::role/COLLECTOR_ROLE_NAME",
"Effect": "Allow"
},
{
"Action": [
"organizations:List",
"organizations:Describe"
],
"Resource": "",
"Effect": "Allow"
}
]
}
Ganti COLLECTOR_ROLE_NAME dengan nama peran
pengumpul yang Anda salin saat mengonfigurasi Security Command Center (defaultnya
adalah aws-collector-role).
Memberikan izin untuk penemuan Sensitive Data Protection: dipilih
{
"Version": "2012-10-17",
"Statement": [
{
"Action": "sts:AssumeRole",
"Resource": [
"arn:aws:iam::*:role/COLLECTOR_ROLE_NAME",
"arn:aws:iam::*:role/SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME"
],
"Effect": "Allow"
},
{
"Action": [
"organizations:List*",
"organizations:Describe*"
],
"Resource": "*",
"Effect": "Allow"
}
]
}
Ganti kode berikut:
COLLECTOR_ROLE_NAME: nama peran pengumpul data konfigurasi yang Anda salin saat mengonfigurasi Security Command Center (defaultnya adalahaws-collector-role).SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME: nama peran pengumpul Sensitive Data Protection yang Anda salin saat mengonfigurasi Security Command Center (defaultnya adalahaws-sensitive-data-protection-role).
Membuat peran AWS IAM untuk hubungan tepercaya antara AWS dan Google Cloud
Buat peran yang didelegasikan yang menyiapkan hubungan tepercaya antara AWS dan Google Cloud. Peran ini menggunakan kebijakan yang didelegasikan yang dibuat di Buat kebijakan AWS IAM untuk peran yang didelegasikan.
Ikuti petunjuk di Membuat peran untuk OIDC dalam dokumentasi AWS.
Saat membuat peran, tentukan hal berikut:
Jenis entitas tepercaya: Pilih Identitas Web.
Identity Provider: Pilih Google.
Audience: Masukkan ID agen layanan yang Anda salin saat Anda mengonfigurasi Security Command Center.
Untuk memberikan akses peran yang didelegasikan ke peran pengumpul, lampirkan kebijakan izin ke peran tersebut. Telusuri kebijakan yang didelegasikan yang dibuat di Create the AWS IAM policy for the delegated role dan pilih kebijakan tersebut.
Role details: Masukkan Delegated role name yang Anda salin saat Anda mengonfigurasi Security Command Center (nama defaultnya adalah
aws-delegated-role).
Buat kebijakan AWS IAM untuk pengumpulan data konfigurasi aset
Untuk membuat kebijakan AWS IAM untuk pengumpulan data konfigurasi aset (kebijakan pengumpul), selesaikan langkah-langkah berikut:
Ikuti langkah-langkah di Membuat kebijakan dalam dokumentasi AWS dan ulangi langkah-langkah ini, jika perlu, untuk setiap akun pengumpul.
Saat membuat peran, tentukan hal berikut untuk langkah JSON:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ce:GetCostAndUsage", "dynamodb:DescribeTableReplicaAutoScaling", "identitystore:ListGroupMemberships", "identitystore:ListGroups", "identitystore:ListUsers", "lambda:GetFunction", "lambda:GetFunctionConcurrency", "logs:ListTagsForResource", "s3express:GetBucketPolicy", "s3express:ListAllMyDirectoryBuckets", "wafv2:GetIPSet" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "apigateway:GET" ], "Resource": [ "arn:aws:apigateway:*::/usageplans", "arn:aws:apigateway:*::/usageplans/*/keys", "arn:aws:apigateway:*::/vpclinks/*" ] } ] }
Buat peran AWS IAM untuk pengumpulan data konfigurasi aset di setiap akun
Buat peran pengumpul yang memungkinkan Security Command Center mendapatkan data konfigurasi aset dari AWS. Peran ini menggunakan kebijakan pengumpul yang dibuat di Buat kebijakan IAM AWS untuk pengumpulan data konfigurasi aset.
Ikuti langkah-langkah di Membuat peran kustom dalam dokumentasi AWS dan ulangi langkah-langkah ini, sesuai kebutuhan, untuk setiap akun pengumpul.
Untuk kebijakan kepercayaan kustom, tambahkan hal berikut:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::DELEGATE_ACCOUNT_ID:role/DELEGATE_ACCOUNT_ROLE" }, "Action": "sts:AssumeRole" } ] }Ganti kode berikut:
DELEGATE_ACCOUNT_ID: ID akun AWS untuk akun yang didelegasikan.DELEGATE_ACCOUNT_ROLE: Nama peran yang didelegasikan yang Anda salin saat Anda mengonfigurasi Security Command Center.Untuk memberikan akses peran pengumpul ini ke data konfigurasi aset AWS Anda, lampirkan kebijakan izin ke peran tersebut. Cari kebijakan pengumpul kustom yang dibuat di Buat kebijakan AWS IAM untuk pengumpulan data konfigurasi aset, lalu pilih kebijakan tersebut.
Cari dan pilih kebijakan terkelola berikut:
- arn:aws:iam::aws:policy/job-function/ViewOnlyAccess.
- arn:aws:iam::aws:policy/SecurityAudit.
Di bagian Role details, masukkan nama peran pengumpul data konfigurasi yang Anda salin saat mengonfigurasi Security Command Center.
Jika Anda mencentang kotak Berikan izin untuk penemuan Sensitive Data Protection di Konfigurasi Security Command Center, lanjutkan ke bagian berikutnya.
Jika Anda tidak mencentang kotak Berikan izin untuk penemuan Sensitive Data Protection, selesaikan konfigurasi konektor AWS.
Membuat kebijakan AWS IAM untuk Sensitive Data Protection
Selesaikan langkah-langkah ini jika Anda mencentang kotak Beri izin untuk penemuan Sensitive Data Protection di Konfigurasi Security Command Center.
Untuk membuat kebijakan AWS IAM untuk Sensitive Data Protection (kebijakan pengumpul), selesaikan langkah-langkah berikut:
Ikuti langkah-langkah di Membuat peran khusus dalam dokumentasi AWS dan ulangi, sesuai kebutuhan, untuk setiap akun pengumpul.
Saat Anda membuat peran kustom, tentukan hal berikut untuk langkah JSON:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:ListAllMyBuckets", "s3:GetBucketPolicyStatus", "s3:ListBucket", "s3:GetObject", "s3:GetObjectVersion", "s3:GetBucketPublicAccessBlock", "s3:GetBucketOwnershipControls", "s3:GetBucketTagging" ], "Resource": ["arn:aws:s3:::*"] }, { "Effect": "Allow", "Action": [ "iam:ListAttachedRolePolicies", "iam:GetPolicy", "iam:GetPolicyVersion", "iam:ListRolePolicies", "iam:GetRolePolicy", "ce:GetCostAndUsage", "dynamodb:DescribeTableReplicaAutoScaling", "identitystore:ListGroupMemberships", "identitystore:ListGroups", "identitystore:ListUsers", "lambda:GetFunction", "lambda:GetFunctionConcurrency", "logs:ListTagsForResource", "s3express:GetBucketPolicy", "s3express:ListAllMyDirectoryBuckets", "wafv2:GetIPSet" ], "Resource": ["*"] }, { "Effect": "Allow", "Action": [ "s3express:CreateSession" ], "Resource": ["arn:aws:s3express:*:*:bucket/*"] } ] }
Buat peran AWS IAM untuk Sensitive Data Protection di setiap akun
Selesaikan langkah-langkah ini jika Anda mencentang kotak Beri izin untuk penemuan Sensitive Data Protection di Konfigurasi konektor AWS.
Buat peran pengumpul yang memungkinkan Sensitive Data Protection memprofilkan konten resource AWS Anda. Peran ini menggunakan kebijakan collector yang dibuat di Buat kebijakan IAM AWS untuk Sensitive Data Protection.
Ikuti langkah-langkah dalam Membuat peran Identity and Access Management menggunakan kebijakan kepercayaan kustom (konsol) dalam dokumentasi AWS dan ulangi langkah-langkah tersebut, sesuai kebutuhan, untuk setiap akun pengumpul.
Saat membuat kebijakan, tentukan hal berikut:
Jenis entitas tepercaya: Pilih Kebijakan kepercayaan kustom.
Untuk kebijakan kepercayaan kustom, tempelkan kode berikut:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::DELEGATE_ACCOUNT_ID:role/DELEGATE_ACCOUNT_ROLE" }, "Action": "sts:AssumeRole" } ] }Ganti kode berikut:
DELEGATE_ACCOUNT_ID: ID akun AWS untuk akun yang didelegasikan.DELEGATE_ACCOUNT_ROLE: Nama peran yang didelegasikan yang Anda salin saat mengonfigurasi Security Command Center.
Untuk memberikan akses peran pengumpul ini ke konten resource AWS Anda, lampirkan kebijakan izin ke peran tersebut. Cari kebijakan pengumpul data kustom yang dibuat di Buat kebijakan IAM AWS untuk Sensitive Data Protection, lalu pilih kebijakan tersebut.
Untuk detail peran, masukkan nama peran untuk Sensitive Data Protection yang Anda salin saat mengonfigurasi Security Command Center.
Setelah Anda menyelesaikan langkah-langkah ini, selesaikan konfigurasi konektor AWS.
Selesaikan konfigurasi konektor AWS
- Kembali ke halaman Connect to AWS, lalu klik Continue.
Di konsol Google Cloud , di halaman Test connector, klik Test connector untuk memverifikasi bahwa Security Command Center dapat terhubung ke lingkungan AWS Anda. Jika koneksi berhasil, pengujian akan menentukan bahwa peran yang didelegasikan memiliki semua izin yang diperlukan untuk mengambil peran pengumpul. Jika koneksi tidak berhasil, lihat Memecahkan masalah error saat menguji koneksi.
Klik Simpan.
Menyesuaikan konfigurasi konektor AWS
Bagian ini menjelaskan beberapa cara yang dapat Anda lakukan untuk menyesuaikan koneksi antara Security Command Center dan AWS. Opsi ini tersedia di bagian Opsi lanjutan (opsional) di halaman Tambahkan konektor Amazon Web Services di konsol Google Cloud .
Secara default, Security Command Center otomatis menemukan akun AWS Anda di semua region AWS. Koneksi menggunakan endpoint global default untuk AWS Security Token Service dan kueri per detik (QPS) default untuk layanan AWS yang Anda pantau. Opsi lanjutan ini memungkinkan Anda menyesuaikan setelan default.
| Opsi | Deskripsi |
|---|---|
| Menambahkan akun konektor AWS | Pilih opsi, bergantung pada preferensi Anda:
|
| Mengecualikan akun konektor AWS | Jika Anda memilih Tambahkan akun secara otomatis di bagian Tambahkan akun konektor AWS, berikan daftar akun AWS yang tidak boleh digunakan Security Command Center untuk menemukan resource. |
| Masukkan akun konektor AWS | Jika Anda memilih Tambahkan akun satu per satu di bagian Tambahkan akun konektor AWS, berikan daftar akun AWS yang dapat digunakan Security Command Center untuk menemukan resource. |
| Pilih wilayah untuk mengumpulkan data | Pilih satu atau beberapa region AWS agar Security Command Center mengumpulkan data dari region tersebut. Kosongkan kolom Wilayah AWS untuk mengumpulkan data dari semua wilayah. |
| Kueri per detik (QPS) maksimum untuk layanan AWS | Anda dapat mengubah QPS untuk mengontrol batas kuota untuk
Security Command Center. Tetapkan penggantian ke nilai yang kurang dari
nilai default untuk layanan tersebut, dan lebih besar dari atau sama dengan 1.
Nilai default adalah nilai maksimum. Jika Anda mengubah QPS, Security Command Center mungkin mengalami masalah saat mengambil data. Oleh karena itu, sebaiknya jangan ubah nilai ini. |
| Endpoint untuk AWS Security Token Service | Anda dapat menentukan endpoint tertentu untuk AWS
Security Token Service (misalnya, https://sts.us-east-2.amazonaws.com).
Biarkan kolom AWS Security Token Service kosong untuk menggunakan
endpoint global default (https://sts.amazonaws.com). |
Mengubah konektor AWS yang ada
Anda dapat mengubah konektor AWS yang ada untuk memperbarui izin, seperti memberikan izin penemuan data sensitif untuk memprofilkan konten AWS Anda.
Langkah-langkah yang perlu Anda lakukan bergantung pada apakah Anda mengonfigurasi lingkungan AWS menggunakan template CloudFormation atau secara manual.
Memperbarui konektor yang ada menggunakan template CloudFormation
Jika Anda menyiapkan lingkungan AWS menggunakan template CloudFormation, ikuti langkah-langkah berikut untuk memberikan izin penemuan data sensitif untuk konektor AWS yang ada.
Di konsol Google Cloud , buka Setelan.
Pilih organisasi tempat Anda mengaktifkan Security Command Center Enterprise.
Pilih Konektor. Halaman Configure connector akan terbuka.
Untuk konektor AWS, klik Opsi lainnya > Edit.
Di bagian Tinjau jenis data, pilih Beri izin untuk penemuan Sensitive Data Protection.
Klik Lanjutkan. Halaman Connect to AWS akan terbuka.
Klik Download template peran yang didelegasikan. Template akan didownload ke komputer Anda.
Klik Download template peran pengumpul. Template akan didownload ke komputer Anda.
Klik Lanjutkan. Halaman Test connector akan terbuka. Sebelum menguji konektor, perbarui template stack di lingkungan AWS Anda.
Memperbarui stack dan set stack AWS
Di konsol CloudFormation, perbarui template stack untuk peran yang didelegasikan:
- Login ke konsol akun yang didelegasikan AWS. Pastikan Anda login ke akun penerima tugas yang digunakan untuk mengambil alih akun AWS pengumpul lainnya.
- Buka konsol AWS CloudFormation.
Ganti template stack untuk peran yang didelegasikan dengan template peran yang didelegasikan yang telah diperbarui dan Anda download.
Untuk mengetahui informasi selengkapnya, lihat Memperbarui template stack (konsol) dalam dokumentasi AWS.
Perbarui set stack untuk peran pengumpul:
- Dengan menggunakan akun pengelolaan AWS atau akun anggota yang terdaftar sebagai administrator yang didelegasikan, buka konsol AWS CloudFormation.
Ganti template set stack untuk peran pengumpul dengan template peran pengumpul yang telah diupdate dan Anda download.
Untuk mengetahui informasi selengkapnya, lihat Memperbarui set tumpukan menggunakan konsol AWS CloudFormation dalam dokumentasi AWS.
Jika Anda perlu mengumpulkan data dari akun pengelolaan, login ke akun pengelolaan dan ganti template di stack pengumpul dengan template peran pengumpul yang diperbarui yang Anda download.
Langkah ini diperlukan karena set stack AWS CloudFormation tidak membuat instance stack di akun pengelolaan. Untuk mengetahui informasi selengkapnya, lihat DeploymentTargets dalam dokumentasi AWS.
Memverifikasi koneksi yang diperbarui
- Di konsol Google Cloud , pada halaman Test connector, klik Test connector. Jika koneksi berhasil, pengujian menentukan bahwa peran yang didelegasikan memiliki semua izin yang diperlukan untuk mengambil peran pengumpul. Jika koneksi tidak berhasil, lihat Memecahkan masalah error saat menguji koneksi.
- Klik Simpan.
Memperbarui konektor yang ada secara manual
Jika Anda mengonfigurasi akun AWS secara manual saat membuat konektor AWS, ikuti langkah-langkah berikut untuk memberikan izin penemuan data sensitif bagi konektor AWS yang ada.
Memperbarui setelan konektor
Buka tab Konektor di halaman Setelan.
Pilih organisasi tempat Anda mengaktifkan Security Command Center Enterprise.
Untuk konektor AWS, klik Opsi lainnya > Edit.
Di bagian Tinjau jenis data, pilih Beri izin untuk penemuan Sensitive Data Protection.
Klik Lanjutkan. Halaman Connect to AWS akan terbuka.
Klik Konfigurasi akun AWS secara manual (direkomendasikan jika Anda menggunakan setelan lanjutan atau nama peran yang disesuaikan).
Salin nilai kolom berikut:
- Nama peran yang didelegasikan
- Nama peran pengumpul
- Nama peran pengumpul Sensitive Data Protection
Klik Lanjutkan. Halaman Test connector akan terbuka. Sebelum menguji konektor, perbarui kebijakan IAM di lingkungan AWS Anda.
Memperbarui peran dan kebijakan IAM AWS
Di konsol akun yang didelegasikan AWS, perbarui kebijakan IAM AWS untuk peran yang didelegasikan agar menggunakan JSON berikut:
{ "Version": "2012-10-17", "Statement": [ { "Action": "sts:AssumeRole", "Resource": [ "arn:aws:iam::*:role/COLLECTOR_ROLE_NAME", "arn:aws:iam::*:role/SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME" ], "Effect": "Allow" }, { "Action": [ "organizations:List*", "organizations:Describe*" ], "Resource": "*", "Effect": "Allow" } ] }Ganti kode berikut:
COLLECTOR_ROLE_NAME: nama peran pengumpul data konfigurasi yang Anda salin (defaultnya adalahaws-collector-role)SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME: nama peran pengumpul Sensitive Data Protection yang Anda salin (defaultnya adalahaws-sensitive-data-protection-role)
Untuk mengetahui informasi selengkapnya, lihat Mengedit kebijakan yang dikelola pelanggan (konsol) dalam dokumentasi AWS.
Untuk setiap akun pengumpul, lakukan prosedur berikut:
Memverifikasi koneksi yang diperbarui
Di konsol Google Cloud , pada halaman Test connector, klik Test connector. Jika koneksi berhasil, pengujian menentukan bahwa peran yang didelegasikan memiliki semua izin yang diperlukan untuk mengambil peran pengumpul. Jika koneksi tidak berhasil, lihat Memecahkan masalah error saat menguji koneksi.
Klik Simpan.
Pemecahan masalah
Bagian ini menjelaskan beberapa masalah umum yang mungkin Anda alami saat mengintegrasikan Security Command Center dengan AWS.
Resource sudah ada
Error ini terjadi di lingkungan AWS saat Anda mencoba membuat kebijakan IAM AWS dan peran IAM AWS, dan peran tersebut sudah ada di akun AWS Anda.
Untuk mengatasi masalah ini, lakukan langkah berikut:
- Periksa apakah peran atau kebijakan yang Anda buat sudah ada dan memenuhi persyaratan yang tercantum dalam panduan ini.
- Jika perlu, ubah nama peran untuk menghindari konflik.
Principal tidak valid dalam kebijakan
Error ini dapat terjadi di lingkungan AWS saat Anda membuat peran pengumpul, tetapi peran yang didelegasikan belum ada.
Untuk mengatasi masalah ini, lakukan langkah-langkah berikut: Buat kebijakan IAM AWS untuk peran yang didelegasikan dan tunggu hingga peran yang didelegasikan dibuat sebelum melanjutkan.
Batasan throttling di AWS
AWS membatasi permintaan API untuk setiap akun AWS berdasarkan per akun atau per region. Untuk memastikan bahwa batas ini tidak terlampaui saat Security Command Center mengumpulkan data konfigurasi aset dari AWS, Security Command Center mengumpulkan data pada QPS maksimum tetap untuk setiap layanan AWS, seperti yang dijelaskan dalam dokumentasi API untuk layanan AWS.
Untuk mengatasi masalah ini, lakukan langkah berikut:
Di halaman setelan konektor AWS, tetapkan QPS kustom untuk layanan AWS yang mengalami pembatasan permintaan.
Batasi izin peran pengumpul AWS agar data dari layanan tertentu tersebut tidak dikumpulkan lagi. Teknik mitigasi ini mencegah simulasi jalur serangan berfungsi dengan benar untuk AWS.
Mencabut semua izin di AWS akan menghentikan proses pengumpul data segera. Menghapus konektor AWS tidak akan langsung menghentikan proses pengumpul data, tetapi tidak akan dimulai lagi setelah selesai.
Temuan ditampilkan untuk resource AWS yang dihapus
Setelah resource AWS dihapus, perlu waktu hingga 40 jam untuk menghapusnya dari sistem inventaris aset Security Command Center. Jika Anda memilih untuk menyelesaikan temuan dengan menghapus resource, Anda mungkin melihat temuan dilaporkan dalam jangka waktu ini karena aset belum dihapus dari sistem inventaris aset Security Command Center.
Memecahkan masalah error saat menguji koneksi
Error ini dapat terjadi saat Anda menguji koneksi antara Security Command Center dan AWS.
AWS_FAILED_TO_ASSUME_DELEGATED_ROLE
Koneksi tidak valid karena agen layanan Google Cloud tidak dapat mengasumsikan peran yang didelegasikan.
Untuk mengatasi masalah ini, lakukan langkah berikut:
Pastikan peran yang didelegasikan ada. Untuk membuatnya, lihat Membuat peran IAM AWS untuk hubungan tepercaya antara AWS dan Google Cloud.
Kebijakan inline peran yang didelegasikan tidak ada. Tanpa itu, agen layanan tidak dapat mengambil peran. Untuk memverifikasi bahwa kebijakan inline ada, lihat Membuat peran AWS IAM untuk hubungan tepercaya antara AWS dan Google Cloud.
Jika detail error berisi pesan
InvalidIdentityToken: Incorrect token audience, hal ini mungkin disebabkan oleh penyedia identitas OIDC terpisah untukaccounts.google.comdi lingkungan AWS. Untuk mengatasi error ini, hapus penyedia identitas OIDC untukaccounts.google.comdi lingkungan AWS dengan mengikuti petunjuk di Membuat dan mengelola penyedia OIDC.
AWS_FAILED_TO_CONNECT_TO_ORGNIZATIONS_SERVICE
Koneksi tidak valid karena koneksi tidak dapat terhubung ke Layanan AWS Organizations. Status ini hanya berlaku untuk koneksi dengan penemuan otomatis dinonaktifkan.
Untuk mengatasi masalah ini, lakukan langkah berikut:
- Verifikasi konfigurasi dengan memastikan bahwa Anda telah mengikuti langkah-langkah di Mengonfigurasi lingkungan AWS Anda. Pastikan izin AWS IAM untuk peran yang didelegasikan dikonfigurasi dengan benar.
- Tinjau Penyiapan Organisasi AWS dengan melihat Memecahkan Masalah Organisasi AWS.
- Periksa log AWS CloudTrail untuk mengetahui error penolakan akses tertentu yang terkait dengan layanan AWS Organizations. Langkah ini dapat membantu Anda mengidentifikasi perbedaan izin yang tepat.
AWS_FAILED_TO_LIST_ACCOUNTS
Koneksi tidak valid karena penemuan otomatis diaktifkan dan peran yang didelegasikan tidak dapat memperoleh semua akun AWS dalam organisasi.
Error ini menunjukkan bahwa kebijakan untuk mengizinkan tindakan
organizations:ListAccounts pada peran yang didelegasikan tidak ada di resource
tertentu.
Untuk mengatasi masalah ini, lakukan langkah berikut:
- Verifikasi resource mana yang tidak ada. Untuk memverifikasi setelan kebijakan yang didelegasikan, lihat Membuat kebijakan IAM AWS untuk peran yang didelegasikan.
- Pastikan Anda telah membuat dan mengonfigurasi akun AWS seperti yang dijelaskan di bagian Mengonfigurasi akun AWS secara manual.
AWS_ACTIVE_COLLECTOR_ACCOUNTS_NOT_FOUND
Koneksi tidak valid karena tidak ada akun pengumpul AWS yang ditemukan dengan status
ACTIVE.
Jika Anda memilih Tambahkan akun secara otomatis di kolom Tambahkan akun konektor AWS, tidak ada akun AWS yang ditemukan dengan status ACTIVE, kecuali akun yang ditentukan di kolom Kecualikan akun konektor AWS.
Jika Anda memilih Tambahkan akun satu per satu, di kolom Tambahkan akun konektor AWS, pastikan akun yang Anda berikan memiliki status ACTIVE.
AWS_INVALID_COLLECTOR_ACCOUNTS
Koneksi tidak valid karena ada akun pengumpul yang tidak valid. Pesan error mencakup informasi lebih lanjut tentang kemungkinan penyebabnya, yang meliputi:
AWS_FAILED_TO_ASSUME_COLLECTOR_ROLE
Akun pengumpul tidak valid karena peran yang didelegasikan tidak dapat mengambil peran pengumpul di akun pengumpul.
Untuk mengatasi error ini, pertimbangkan hal berikut:
Pastikan peran pengumpul ada.
- Untuk membuat peran pengumpul data konfigurasi aset, lihat Membuat peran IAM AWS untuk pengumpulan data konfigurasi aset di setiap akun.
- Untuk membuat peran collector bagi Sensitive Data Protection, lihat Membuat peran IAM AWS untuk Sensitive Data Protection di setiap akun.
Kebijakan untuk mengizinkan peran yang didelegasikan mengambil peran pengumpul tidak ada. Untuk memverifikasi bahwa kebijakan tersebut ada, lihat Membuat kebijakan IAM AWS untuk peran yang didelegasikan.
AWS_COLLECTOR_ROLE_POLICY_MISSING_REQUIRED_PERMISSION
Koneksi tidak valid karena kebijakan pengumpul tidak memiliki beberapa setelan izin yang diperlukan.
Untuk mengatasi error ini, pertimbangkan penyebab berikut:
Beberapa kebijakan terkelola AWS yang diperlukan mungkin tidak dilampirkan ke peran pengumpul untuk data konfigurasi aset. Untuk memverifikasi bahwa semua kebijakan telah dilampirkan, lihat langkah 6 di Membuat peran IAM AWS untuk pengumpulan data konfigurasi aset di setiap akun.
Salah satu masalah berikut mungkin ada pada kebijakan pengumpul:
- Kebijakan pengumpul mungkin tidak ada.
- Kebijakan pengumpul tidak dilampirkan ke peran pengumpul.
- Kebijakan pengumpul tidak mencakup semua izin yang diperlukan.
Untuk mengatasi masalah terkait kebijakan pengumpul, lihat artikel berikut:
Langkah berikutnya
- Jika Anda menyiapkan Security Command Center Enterprise untuk pertama kalinya, konfigurasi fitur tambahan menggunakan panduan penyiapan.
- Anda juga dapat melakukan hal berikut:
- Tinjau dan perbaiki temuan dari data AWS.
- Lihat resource yang terkait dengan temuan di konsol Security Operations.
- Melihat simulasi jalur serangan untuk resource AWS.
- Memetakan kepatuhan resource AWS terhadap berbagai standar dan tolok ukur.