Una vez que hayas conectado Security Command Center a Amazon Web Services (AWS) para configurar la recogida de datos de recursos, podrás modificar los ajustes de la conexión.
Antes de empezar
Completa estas tareas antes de completar las tareas restantes de esta página.
Configurar permisos en Google Cloud
Para obtener los permisos que necesitas para usar el conector de AWS, pide a tu administrador que te conceda el rol de gestión de identidades y accesos Propietario de Cloud Asset (roles/cloudasset.owner).
Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar el acceso a proyectos, carpetas y organizaciones.
También puedes conseguir los permisos necesarios a través de roles personalizados u otros roles predefinidos.
Crear cuentas de AWS
Asegúrate de que tienes los siguientes recursos de AWS:
Un usuario de AWS IAM con acceso a AWS IAM para las consolas de la cuenta de AWS delegada y de la cuenta de AWS del recopilador.
El ID de cuenta de AWS de una cuenta de AWS que puedes usar como cuenta delegada. La cuenta delegada debe cumplir los siguientes requisitos:
La cuenta delegada debe estar asociada a una organización de AWS. Para adjuntar una cuenta a una organización de AWS, sigue estos pasos:
- Crea o identifica una organización a la que adjuntar la cuenta delegada.
- Invita a la cuenta delegada a unirse a la organización.
La cuenta delegada debe ser una de las siguientes:
- Una cuenta de administración de AWS.
- Un administrador delegado de AWS.
- Una cuenta de AWS con una política de delegación basada en recursos
que proporcione el permiso
organizations:ListAccounts. Para ver un ejemplo de política, consulta Crear una política de delegación basada en recursos con AWS Organizations en la documentación de AWS.
Modificar la conexión a AWS
Modifica una conexión de AWS si cambia la configuración de tu entorno de AWS. Por ejemplo, si quieres monitorizar diferentes regiones de AWS o cambiar la lista de cuentas de AWS que usa Security Command Center. No puedes modificar los nombres del rol delegado ni del rol de recopilador. Si necesitas cambiar estos nombres de rol, debes eliminar tu conector de AWS y configurar una nueva conexión.
En la Google Cloud consola, ve a la página Security Command Center.
Selecciona la organización en la que has activado Security Command Center Enterprise.
Haz clic en Configuración.
Haz clic en la pestaña Conectores.
Haz clic en Editar junto a la conexión que quieras actualizar.
En la página Editar conector de Amazon Web Services, haz los cambios que quieras. En la tabla siguiente se describen las opciones.
Opción Descripción Añadir cuentas de conector de AWS Selecciona una opción en función de tus preferencias:
- Añadir cuentas automáticamente (opción recomendada): selecciona esta opción para que Security Command Center descubra las cuentas de AWS automáticamente.
- Añadir cuentas individualmente: selecciona esta opción para añadir manualmente las cuentas de AWS.
Excluir cuentas de conector de AWS Si ha seleccionado Añadir cuentas automáticamente en la sección Añadir cuentas de conector de AWS, proporcione una lista de cuentas de AWS que Security Command Center no debería usar para buscar recursos. Introduce las cuentas de conector de AWS Si ha seleccionado Añadir cuentas individualmente en la sección Añadir cuentas de conector de AWS, proporcione una lista de cuentas de AWS que Security Command Center pueda usar para encontrar recursos. Seleccionar regiones para recoger datos Seleccione una o varias regiones de AWS para que Security Command Center recoja datos de ellas. Deje el campo Regiones de AWS vacío para recoger datos de todas las regiones. Máximo de consultas por segundo (CPS) para los servicios de AWS Puedes cambiar las QPS para controlar el límite de cuota de Security Command Center. Asigna al valor de anulación un valor inferior al valor predeterminado de ese servicio y superior o igual a 1. El valor predeterminado es el valor máximo. Si cambias el QPS, Security Command Center podría tener problemas para obtener datos. Por lo tanto, no recomendamos cambiar este valor.Endpoint de AWS Security Token Service Puedes especificar un endpoint concreto para el servicio de tokens de seguridad de AWS (por ejemplo, https://sts.us-east-2.amazonaws.com). Deja el campo Servicio de tokens de seguridad de AWS vacío para usar el endpoint global predeterminado (https://sts.amazonaws.com).Si has cambiado el ID de la cuenta delegada o la lista de cuentas de AWS que quieres incluir o excluir, debes actualizar tu entorno de AWS. Si cambia el ID de la cuenta delegada, deberá volver a configurar AWS. Para cambiar la lista de cuentas de AWS, debes añadir o eliminar roles de recopilador. Para quitar cuentas de AWS de la lista de exclusión, ya que quieres incluirlas, debes añadir los roles de recopilador a esas cuentas. Haz lo siguiente:
- Haz clic en Continuar.
En la página Crear conexión con AWS, haga una de las siguientes acciones:
Descargue las plantillas de CloudFormation para el rol delegado y el rol de recopilador. Para obtener instrucciones sobre cómo usar las plantillas, consulta Usar plantillas de CloudFormation para configurar tu entorno de AWS.
Si quieres cambiar la configuración de AWS manualmente, selecciona Usar la consola de AWS. Copia el ID del agente de servicio, el nombre del rol delegado y el nombre del rol de recopilador. Para obtener instrucciones sobre cómo actualizar AWS manualmente, consulta Configurar cuentas de AWS manualmente.
Si ha añadido una cuenta de AWS a la lista de cuentas de AWS que se van a excluir, le recomendamos que elimine el rol de recopilador de la cuenta.
Haz clic en Probar conector para verificar que Security Command Center puede conectarse a tu entorno de AWS. Si la conexión se realiza correctamente, el Google Cloud agente de servicio puede asumir el rol delegado y este tiene todos los permisos necesarios para asumir el rol de recolector. Si la conexión no se establece correctamente, consulta el artículo Solucionar errores al probar la conexión.
Haz clic en Guardar.
Siguientes pasos
- Para obtener información sobre cómo solucionar problemas, consulta el artículo Conectar Security Command Center a AWS.