עדכון הגדרות החיבור ל-AWS

אחרי שמקשרים את Security Command Center אל Amazon Web Services‏ (AWS) כדי להגדיר את איסוף הנתונים של התצורה והמשאבים, אפשר לשנות את הגדרות הקישור.

לפני שמתחילים

צריך להשלים את המשימות האלה לפני שממשיכים למשימות הנותרות בדף הזה.

הגדרת הרשאות ב Google Cloud

כדי לקבל את ההרשאות שדרושות לשימוש במחבר AWS, צריך לבקש מהאדמין להקצות לכם ב-IAM את התפקיד בעלים של נכס ב-Cloud (roles/cloudasset.owner). להסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.

יכול להיות שאפשר לקבל את ההרשאות הנדרשות גם באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש.

יצירת חשבונות AWS

ודאו שיש לכם את משאבי AWS הבאים:

• משתמש AWS IAM עם גישה ל-AWS IAM למסופי חשבון AWS של הנציג והמאסף.

• מספר חשבון AWS של חשבון AWS שאפשר להשתמש בו כחשבון מוקצה. החשבון שהוקצו לו הרשאות צריך לעמוד בדרישות הבאות:

  • החשבון שהוקצו לו הרשאות צריך להיות מצורף לארגון AWS. כדי לצרף חשבון לארגון AWS:

    1. יוצרים או מזהים ארגון שאליו יצורף החשבון עם הרשאת הגישה.
    2. מזמינים את החשבון שקיבל הרשאת גישה להצטרף לארגון.

  • החשבון שהוקצו לו הרשאות חייב להיות אחד מהסוגים הבאים:

    • חשבון ניהול ב-AWS.
    • אדמין עם הרשאות ב-AWS.
    • חשבון AWS עם מדיניות הרשאה מבוססת-משאבים שמעניקה את ההרשאה organizations:ListAccounts. דוגמה למדיניות מופיעה במאמר יצירת מדיניות להענקת הרשאות לפי משאבים באמצעות AWS Organizations במסמכי התיעוד של AWS.

שינוי החיבור ל-AWS

לשנות חיבור קיים ל-AWS כשמשנים את ההגדרות של סביבת AWS. לדוגמה, אם רוצים לעקוב אחרי אזורי AWS שונים, או לשנות את רשימת חשבונות AWS שבהם נעשה שימוש ב-Security Command Center. אי אפשר לשנות את השמות של התפקיד שהוקצה ושל התפקיד של הכלי לאיסוף נתונים. אם אתם צריכים לשנות את שמות התפקידים האלה, אתם צריכים למחוק את המחבר של AWS ולהגדיר חיבור חדש.

1. נכנסים לדף Security Command Center במסוף Google Cloud .

   מעבר אל Security Command Center

2. בוחרים את הארגון שבו הפעלתם את Security Command Center Enterprise.

3. לוחצים על settings הגדרות.

4. לוחצים על הכרטיסייה מחברים.

5. לוחצים על עריכה לצד החיבור שרוצים לעדכן.

6. בדף Edit Amazon Web Services connector (עריכת מחבר Amazon Web Services), מבצעים את השינויים הרצויים. בטבלה הבאה מפורטות האפשרויות.

   אפשרות	תיאור
   הוספה של חשבונות מחבר של AWS	בוחרים באפשרות הרצויה: הוספת חשבונות באופן אוטומטי (מומלץ): בוחרים באפשרות הזו כדי לאפשר ל-Security Command Center לגלות את חשבונות AWS באופן אוטומטי. הוספת חשבונות בנפרד: בוחרים באפשרות הזו כדי להוסיף חשבונות AWS באופן ידני.
   החרגה של חשבונות מחבר AWS	אם בחרתם באפשרות הוספת חשבונות באופן אוטומטי בקטע הוספת חשבונות של מחבר AWS, צריך לספק רשימה של חשבונות AWS ש-Security Command Center לא צריך להשתמש בהם כדי למצוא משאבים.
   הזנת חשבונות של מחבר AWS	אם בחרתם באפשרות הוספת חשבונות בנפרד בקטע הוספת חשבונות של מחבר AWS, צריך לספק רשימה של חשבונות AWS ש-Security Command Center יכול להשתמש בהם כדי למצוא משאבים.
   בחירת אזורים לאיסוף נתונים	בוחרים אזור אחד או יותר ב-AWS שממנו Security Command Center יאסוף נתונים. כדי לאסוף נתונים מכל האזורים, משאירים את השדה AWS regions ריק.
   מספר השאילתות המקסימלי לשנייה (QPS) לשירותי AWS	אפשר לשנות את מספר השאילתות לשנייה כדי לשלוט במגבלת המכסה של Security Command Center. מגדירים את הערך של שינוי ברירת המחדל כך שיהיה קטן מערך ברירת המחדל של השירות, וגדול מ-1 או שווה לו. ערך ברירת המחדל הוא הערך המקסימלי. אם תשנו את ערך ה-QPS, יכול להיות ש-Security Command Center ייתקל בבעיות בשליפת הנתונים. לכן, לא מומלץ לשנות את הערך הזה.
   נקודת קצה (endpoint) עבור AWS Security Token Service	אפשר לציין נקודת קצה ספציפית עבור AWS Security Token Service (לדוגמה, https://sts.us-east-2.amazonaws.com). אם משאירים את השדה AWS Security Token Service ריק, נעשה שימוש בנקודת הקצה הגלובלית שמוגדרת כברירת מחדל (https://sts.amazonaws.com).

7. אם שיניתם את מזהה החשבון שהוקצה או את רשימת חשבונות AWS שרוצים לכלול או להחריג, אתם צריכים לעדכן את סביבת AWS. אם משנים את מזהה החשבון שהוקצו לו הרשאות, צריך להגדיר מחדש את התצורה של AWS. שינוי ברשימת חשבונות AWS מחייב הוספה או הסרה של תפקידי איסוף. אם אתם רוצים להסיר חשבונות AWS מרשימת ההחרגות כדי לכלול אותם, אתם צריכים להוסיף את תפקידי האוסף לחשבונות האלה. צריך לבצע את השלבים הבאים:

   1. לוחצים על Continue.

   2. בדף Create connection with AWS, מבצעים אחת מהפעולות הבאות:

      • מורידים את תבניות CloudFormation לתפקיד המוקצה ולתפקיד של כלי האיסוף. הוראות לשימוש בתבניות מופיעות במאמר שימוש בתבניות CloudFormation להגדרת סביבת AWS.

      • כדי לשנות את ההגדרה של AWS באופן ידני, בוחרים באפשרות Use the AWS console (שימוש במסוף AWS). מעתיקים את המזהה של סוכן השירות, את שם התפקיד שהוקצה ואת שם התפקיד של הכלי לאיסוף נתונים. הוראות לעדכון ידני של AWS מופיעות במאמר הגדרה ידנית של חשבונות AWS.

8. אם הוספתם חשבון AWS לרשימת חשבונות AWS להחרגה, מומלץ להסיר את תפקיד איסוף הנתונים מהחשבון.

9. לוחצים על בדיקת המחבר כדי לוודא ש-Security Command Center יכול להתחבר לסביבת AWS. אם החיבור מצליח, סוכן השירות יכול לקבל את התפקיד שהוקצה לו, ולתפקיד הזה יש את כל ההרשאות הנדרשות כדי לקבל את תפקיד האוסף. Google Cloudאם החיבור לא מצליח, אפשר לעיין במאמר פתרון בעיות שגיאה בבדיקת החיבור.

10. לוחצים על Save.

המאמרים הבאים

• מידע על פתרון בעיות זמין במאמר חיבור Security Command Center ל-AWS.