Une fois que vous avez connecté Security Command Center à Amazon Web Services (AWS) pour collecter des données de configuration et de ressources, vous pouvez modifier les paramètres de connexion.
Avant de commencer
Effectuez ces tâches avant de passer aux autres tâches de cette page.
Configurer des autorisations dans Google Cloud
Pour obtenir les autorisations nécessaires pour utiliser le connecteur AWS, demandez à votre administrateur de vous accorder le rôle IAM Propriétaire des éléments cloud (roles/cloudasset.owner).
Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.
Vous pouvez également obtenir les autorisations requises avec des rôles personnalisés ou d'autres rôles prédéfinis.
Créer des comptes AWS
Assurez-vous de disposer des ressources AWS suivantes :
Un utilisateur AWS IAM avec un accès AWS IAM aux consoles de compte AWS délégué et de collecteur.
L'ID de compte AWS pour un compte AWS que vous pouvez utiliser comme compte délégué. Le compte délégué doit répondre aux exigences suivantes :
Le compte délégué doit être associé à une organisation AWS. Pour associer un compte à une organisation AWS, procédez comme suit :
- Créez ou identifiez une organisation à laquelle vous associerez le compte délégué.
- Invitez le compte délégué à rejoindre l'organisation.
Le compte délégué doit être l'un des suivants :
- Un compte de gestion AWS.
- Un administrateur délégué AWS.
- Un compte AWS avec une stratégie de délégation basée sur les ressources
qui fournit l'autorisation
organizations:ListAccounts. Pour obtenir un exemple de stratégie, consultez Créer une stratégie de délégation basée sur les ressources avec AWS Organizations dans la documentation AWS.
Modifier la connexion AWS
Modifiez une connexion AWS existante lorsque la configuration de votre environnement AWS change. Par exemple, vous souhaitez surveiller différentes régions AWS ou modifier la liste des comptes AWS utilisés par Security Command Center. Vous ne pouvez pas modifier les noms du rôle délégué et du rôle de collecteur. Si vous devez modifier ces noms de rôle, vous devez supprimer votre connecteur AWS et configurer une nouvelle connexion.
Dans la Google Cloud console, accédez à la page Security Command Center.
Sélectionnez l'organisation pour laquelle vous avez activé Security Command Center Enterprise.
Cliquez sur Paramètres.
Cliquez sur l'onglet Connecteurs.
Cliquez sur Modifier à côté de la connexion que vous souhaitez modifier.
Sur la page Modifier le connecteur Amazon Web Services, apportez vos modifications. Le tableau suivant décrit les options.
Option Description Ajouter des comptes de connecteur AWS Sélectionnez une option, selon vos préférences :
- Ajouter des comptes automatiquement (recommandé) : sélectionnez cette option pour permettre à Security Command Center de découvrir automatiquement les comptes AWS.
- Ajouter des comptes individuellement : sélectionnez cette option pour ajouter manuellement des comptes AWS.
Exclure des comptes de connecteur AWS Si vous avez sélectionné Ajouter des comptes automatiquement dans la section Ajouter des comptes de connecteur AWS, fournissez une liste des comptes AWS que Security Command Center ne doit pas utiliser pour trouver des ressources. Indiquer des comptes de connecteur AWS Si vous avez sélectionné Ajouter des comptes individuellement dans la section Ajouter des comptes de connecteur AWS, fournissez une liste des comptes AWS que Security Command Center peut utiliser pour trouver des ressources. Sélectionner les régions de collecte des données Sélectionnez une ou plusieurs régions AWS à partir desquelles Security Command Center doit collecter des données. Laissez le Régions AWS champ vide pour collecter des données dans toutes les régions. Nombre maximal de requêtes par seconde (RPS) pour les services AWS Vous pouvez modifier le RPS pour contrôler la limite de quota de Security Command Center. Définissez le remplacement sur une valeur inférieure à la valeur par défaut de ce service et supérieure ou égale à 1. La valeur par défaut est la valeur maximale. Si vous modifiez le RPS, Security Command Center peut rencontrer des problèmes lors de la récupération des données. Nous vous recommandons donc de ne pas modifier cette valeur.Point de terminaison pour AWS Security Token Service Vous pouvez spécifier un point de terminaison spécifique pour AWS Security Token Service (par exemple, https://sts.us-east-2.amazonaws.com). Laissez le champ AWS Security Token Service vide pour utiliser le point de terminaison global par défaut (https://sts.amazonaws.com).Si vous avez modifié l'ID de compte délégué ou la liste des comptes AWS à inclure ou à exclure, vous devez mettre à jour votre environnement AWS. Si vous modifiez l'ID de compte délégué, vous devez reconfigurer votre configuration AWS. Si vous modifiez la liste des comptes AWS, vous devez ajouter ou supprimer des rôles de collecteur. Si vous supprimez des comptes AWS de la liste d'exclusion parce que vous souhaitez les inclure, vous devez ajouter les rôles de collecteur à ces comptes. Effectuer les actions suivantes :
- Cliquez sur Continuer.
Sur la page Créer une connexion avec AWS, effectuez l'une des opérations suivantes :
Téléchargez les modèles CloudFormation pour le rôle délégué et le rôle de collecteur. Pour savoir comment utiliser les modèles, consultez Utiliser des modèles CloudFormation pour configurer votre environnement AWS.
Si vous souhaitez modifier manuellement la configuration AWS, sélectionnez Utiliser la console AWS. Copiez l'ID de l'agent de service, le nom du rôle délégué et le nom du rôle de collecteur. Pour savoir comment modifier manuellement AWS, consultez Configurer manuellement des comptes AWS.
Si vous avez ajouté un compte AWS à la liste des comptes AWS à exclure, nous vous recommandons de supprimer le rôle de collecteur du compte.
Cliquez sur Tester le connecteur pour vérifier que Security Command Center peut se connecter à votre environnement AWS. Si la connexion est établie, l' Google Cloud agent de service peut assumer le rôle délégué, et le rôle délégué dispose de toutes les autorisations requises pour assumer le rôle de collecteur. Si la connexion échoue, consultez Résoudre les erreurs lors du test de la connexion.
Cliquez sur Enregistrer.
Étape suivante
- Pour obtenir des informations sur la résolution des problèmes, consultez Connecter Security Command Center à AWS.