Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

AWS-Verbindungseinstellungen aktualisieren

Nachdem Sie Security Command Center mit Amazon Web Services (AWS) verbunden haben, um Konfigurations- und Ressourcendaten zu erfassen, können Sie die Verbindungseinstellungen ändern.

Hinweis

Führen Sie diese Aufgaben aus, bevor Sie die restlichen Aufgaben auf dieser Seite erledigen.

Berechtigungen in einrichten Google Cloud

Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Cloud Asset Owner (roles/cloudasset.owner) zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Verwenden des AWS-Connectors benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

AWS-Konten erstellen

Es müssen die folgenden AWS-Ressourcen erstellt sein:

Ein AWS-IAM-Nutzer mit AWS-IAM-Zugriff für die Konsolen der delegierten und Collector-AWS-Konten.
Die AWS-Konto-ID für ein AWS-Konto, das Sie als delegiertes Konto verwenden können. Das delegierte Konto muss die folgenden Anforderungen erfüllen:
- Das delegierte Konto muss mit einer AWS-Organisation verknüpft sein. So verknüpfen Sie ein Konto mit einer AWS-Organisation:
  1. Erstellen oder identifizieren Sie eine Organisation, mit der Sie das delegierte Konto verknüpfen möchten.
  2. Laden Sie das delegierte Konto ein, der Organisation beizutreten.
- Das delegierte Konto muss eines der folgenden Konten sein:
  - Ein AWS-Verwaltungskonto.
  - Ein delegierter AWS-Administrator.
  - Ein AWS-Konto mit einer ressourcenbasierten Delegierungsrichtlinie die die organizations:ListAccounts Berechtigung bietet. Ein Beispiel für eine Richtlinie finden Sie in der AWS-Dokumentation unter Create a resource-based delegation policy with AWS Organizations (Ressourcenbasierte Delegierungsrichtlinie mit AWS Organizations erstellen).

AWS-Verbindung ändern

Ändern Sie eine vorhandene AWS-Verbindung, wenn sich die Konfiguration Ihrer AWS-Umgebung ändert. Beispielsweise möchten Sie andere AWS-Regionen überwachen oder die Liste der AWS-Konten ändern, die von Security Command Center verwendet werden. Die Namen der delegierten Rolle und der Collector-Rolle können nicht geändert werden. Wenn Sie diese Rollennamen ändern müssen, müssen Sie Ihren AWS-Connector löschen und eine neue Verbindung einrichten.

Rufen Sie in der Google Cloud Console die Seite Security Command Center auf.

Zum Security Command Center
Wählen Sie die Organisation aus, für die Sie Security Command Center Enterprise aktiviert haben.
Klicken Sie auf Einstellungen.
Klicken Sie auf den Tab Connectors.
Klicken Sie neben der Verbindung, die Sie aktualisieren möchten, auf Bearbeiten.

Nehmen Sie auf der Seite Amazon Web Services-Connector bearbeiten die gewünschten Änderungen vor. Die folgende Tabelle beschreibt die Optionen.

Option	Beschreibung
AWS-Connector-Konten hinzufügen	Wählen Sie je nach Ihren Vorlieben eine Option aus: Konten automatisch hinzufügen (empfohlen): Wählen Sie diese Option aus, damit Security Command Center die AWS-Konten automatisch ermittelt. Konten einzeln hinzufügen: Wählen Sie diese Option aus, um AWS-Konten manuell hinzuzufügen.
AWS-Connector-Konten ausschließen	Wenn Sie im Abschnitt AWS-Connector-Konten hinzufügen die Option Konten automatisch hinzufügen ausgewählt haben, geben Sie eine Liste der AWS-Konten an, die Security Command Center nicht zum Suchen nach Ressourcen verwenden soll.
AWS-Connector-Konten eingeben	Wenn Sie im Abschnitt AWS-Connector-Konten hinzufügen die Option Konten einzeln hinzufügen ausgewählt haben, geben Sie eine Liste der AWS-Konten an, die Security Command Center zum Suchen nach Ressourcen verwenden kann.
Regionen für die Datenerfassung auswählen	Wählen Sie eine oder mehrere AWS-Regionen aus, aus denen Security Command Center Daten erfassen soll. Lassen Sie das AWS-Regionen Feld leer, um Daten aus allen Regionen zu erfassen.
Maximal zulässige Anzahl von Abfragen pro Sekunde für AWS-Dienste	Sie können die Anzahl der Abfragen pro Sekunde ändern, um das Kontingentlimit für Security Command Center zu steuern. Legen Sie die Überschreibung auf einen Wert fest, der kleiner als der Standardwert für diesen Dienst und größer oder gleich `1` ist. Der Standardwert ist der Höchstwert. Wenn Sie die Anzahl der Abfragen pro Sekunde ändern, können beim Abrufen von Daten durch Security Command Center Probleme auftreten. Wir empfehlen daher, diesen Wert nicht zu ändern.
Endpunkt für AWS Security Token Service	Sie können einen bestimmten Endpunkt für den AWS Security Token Service angeben (z. B. `https://sts.us-east-2.amazonaws.com`). Lassen Sie das Feld AWS Security Token Service leer, um den standardmäßigen globalen Endpunkt (`https://sts.amazonaws.com`) zu verwenden.

Wenn Sie die ID des delegierten Kontos oder die Liste der AWS-Konten zum Ein- oder Ausschließen geändert haben, müssen Sie Ihre AWS-Umgebung aktualisieren. Bei einer Änderung der ID des delegierten Kontos müssen Sie Ihre AWS-Konfiguration noch einmal einrichten. Bei einer Änderung der Liste der AWS-Konten müssen Sie Collector-Rollen hinzufügen oder entfernen. Wenn Sie AWS-Konten aus der Ausschlussliste entfernen, weil Sie sie einschließen möchten, müssen Sie diesen Konten die Collector-Rollen hinzufügen. Führen Sie Folgendes aus:
1. Klicken Sie auf Weiter.
2. Führen Sie auf der Seite Verbindung zu AWS herstellen einen der folgenden Schritte aus:
  - Laden Sie die CloudFormation-Vorlagen für die delegierte Rolle und die Collector-Rolle herunter. Eine Anleitung zur Verwendung der Vorlagen finden Sie unter CloudFormation-Vorlagen zum Einrichten Ihrer AWS-Umgebung verwenden.
  - Wenn Sie die AWS-Konfiguration manuell ändern möchten, wählen Sie AWS-Konsole verwenden aus. Kopieren Sie die Dienst-Agent-ID, den Namen der delegierten Rolle und den Namen der Collector-Rolle. Eine Anleitung zum manuellen Aktualisieren von AWS finden Sie unter AWS-Konten manuell konfigurieren.
Wenn Sie der Liste der auszuschließenden AWS-Konten ein AWS-Konto hinzugefügt haben, empfehlen wir, die Collector-Rolle aus dem Konto zu entfernen.
Klicken Sie auf Connector testen , um zu prüfen, ob Security Command Center eine Verbindung zu Ihrer AWS-Umgebung herstellen kann. Wenn die Verbindung erfolgreich ist, kann der Google Cloud Dienst-Agent die delegierte Rolle übernehmen und die delegierte Rolle hat alle erforderlichen Berechtigungen, um die Collector-Rolle zu übernehmen. Wenn die Verbindung nicht erfolgreich ist, lesen Sie den Hilfeartikel Fehler beim Testen der Verbindung beheben.
Klicken Sie auf Speichern.

Nächste Schritte

Informationen zur Fehlerbehebung finden Sie unter Security Command Center mit AWS verbinden.