Actualiza la configuración de conexión de AWS

Después de conectar Security Command Center a Amazon Web Services (AWS) para la recopilación de datos de configuración y recursos, puedes modificar los parámetros de configuración de la conexión.

Antes de comenzar

Completa estas tareas antes de completar las tareas restantes de esta página.

Configura permisos en Google Cloud

Si deseas obtener los permisos que necesitas para usar el conector de AWS, pídele a tu administrador que te otorgue el rol de IAM de Propietario de Cloud Asset (roles/cloudasset.owner). Si deseas obtener más información para otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

También puedes obtener los permisos necesarios a través de roles personalizados o cualquier otro rol predefinido.

Crea cuentas de AWS

Asegúrate de tener los siguientes recursos de AWS:

Modifica la conexión de AWS

Modifica una conexión de AWS existente cuando cambien los parámetros de configuración de tu entorno de AWS. Por ejemplo, si deseas supervisar diferentes regiones de AWS o cambiar la lista de cuentas de AWS que usa Security Command Center. No puedes modificar los nombres del rol delegado ni del rol recopilador. Si necesitas cambiar estos nombres de roles, debes borrar tu conector de AWS y configurar una nueva conexión.

  1. En la consola de Google Cloud , ve a la página de Security Command Center.

    Ve a Security Command Center

  2. Elige la organización en la que activaste Security Command Center Enterprise.

  3. Haz clic en Configuración.

  4. Haz clic en la pestaña Conectores.

  5. Haz clic en Editar junto a la conexión que deseas actualizar.

  6. En la página Editar conector de Amazon Web Services, haz los cambios que desees. En la siguiente tabla, se describen las opciones.

    Opción Descripción
    Agrega cuentas de conectores de AWS

    Elige una opción según tu preferencia:

    • Agregar cuentas automáticamente (recomendado): Elige esta opción para permitir que Security Command Center descubra las cuentas de AWS automáticamente.
    • Agregar cuentas individualmente: Elige esta opción para agregar cuentas de AWS de forma manual.
    Excluye cuentas de conectores de AWS Si elegiste Agregar cuentas automáticamente en la sección Agregar cuentas de conector de AWS, proporciona una lista de las cuentas de AWS que Security Command Center no debe usar para encontrar recursos.
    Escribe cuentas de conectores de AWS Si elegiste Agregar cuentas de forma individual en la sección Agregar cuentas de conector de AWS, proporciona una lista de las cuentas de AWS que Security Command Center puede usar para encontrar recursos.
    Elige regiones para recopilar datos Elige una o más regiones de AWS para que Security Command Center recopile datos. Deja el campo Regiones de AWS vacío para recopilar datos de todas las regiones.
    Consultas por segundo (QPS) máximas para los servicios de AWS Puedes cambiar las QPS para controlar el límite de cuota de Security Command Center. Establece la anulación en un valor inferior al valor predeterminado de ese servicio y mayor o igual que 1. El valor predeterminado es el valor máximo. Si cambias el QPS, es posible que Security Command Center tenga problemas para recuperar datos. Por lo tanto, no recomendamos cambiar este valor.
    Extremo del Servicio de tokens de seguridad de AWS Puedes especificar un extremo específico para el servicio de tokens de seguridad (STS) de AWS (por ejemplo, https://sts.us-east-2.amazonaws.com). Deja el campo Servicio de tokens de seguridad de AWS vacío para usar el extremo global predeterminado (https://sts.amazonaws.com).

  7. Si cambiaste el ID de la cuenta delegada o la lista de cuentas de AWS para incluir o excluir, debes actualizar tu entorno de AWS. Si cambias el ID de la cuenta delegada, deberás volver a configurar tu cuenta de AWS. Un cambio en la lista de cuentas de AWS requiere que agregues o quites roles de recopilador. Si quitas cuentas de AWS de la lista de exclusiones porque deseas incluirlas, deberás agregar los roles de recopilador a esas cuentas. Completa la siguiente información:

    1. Haz clic en Continuar.

    2. En la página Crear conexión con AWS, completa una de las siguientes opciones:

      • Descarga las plantillas de CloudFormation para el rol delegado y el rol de recopilador. Si deseas obtener instrucciones para usar las plantillas, consulta Usa plantillas de CloudFormation para configurar tu entorno de AWS.

      • Si quieres cambiar la configuración de AWS de forma manual, elige Usar la consola de AWS. Copia el ID del agente de servicio, el nombre del rol delegado y el nombre del rol del recopilador. Si deseas obtener instrucciones para actualizar AWS de forma manual, consulta Configura cuentas de AWS de forma manual.

  8. Si agregaste una cuenta de AWS a la lista de cuentas de AWS para excluir, te recomendamos que quites el rol de recopilador de la cuenta.

  9. Haz clic en Probar conector para verificar que Security Command Center pueda conectarse a tu entorno de AWS. Si la conexión se hace correctamente, el agente de servicio de Google Cloudpuede suponer el rol delegado, y este tiene todos los permisos necesarios para asumir el rol de recopilador. Si la conexión no se hace correctamente, consulta Solucionar errores cuando pruebes la conexión.

  10. Haz clic en Guardar.

¿Qué sigue?