Setelah menghubungkan Security Command Center ke Amazon Web Services (AWS) untuk konfigurasi dan pengumpulan data resource, Anda dapat mengubah setelan koneksi.
Sebelum memulai
Selesaikan tugas ini sebelum Anda menyelesaikan tugas yang tersisa di halaman ini.
Menyiapkan izin di Google Cloud
Untuk mendapatkan izin yang diperlukan untuk menggunakan konektor AWS, minta administrator untuk memberi Anda peran IAM Pemilik Aset Cloud (roles/cloudasset.owner).
Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.
Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.
Membuat akun AWS
Pastikan Anda memiliki resource AWS berikut:
Pengguna AWS IAM dengan akses AWS IAM untuk konsol akun AWS yang didelegasikan dan pengumpul.
ID akun AWS untuk akun AWS yang dapat Anda gunakan sebagai akun yang didelegasikan. Akun yang didelegasikan harus memenuhi persyaratan berikut:
Akun yang didelegasikan harus dilampirkan ke sebuah organisasi AWS. Untuk melampirkan akun ke organisasi AWS, lakukan hal berikut:
- Buat atau identifikasi organisasi tempat Anda akan melampirkan akun yang didelegasikan.
- Undang akun yang didelegasikan untuk bergabung dengan organisasi.
Akun yang didelegasikan harus berupa salah satu dari berikut:
- Akun pengelolaan AWS.
- Administrator yang didelegasikan AWS.
- Akun AWS dengan kebijakan delegasi berbasis resource
yang memberikan izin
organizations:ListAccounts. Untuk contoh kebijakan, lihat Membuat kebijakan delegasi berbasis resource dengan AWS Organizations dalam dokumentasi AWS.
Mengubah koneksi AWS
Ubah koneksi AWS yang ada saat konfigurasi lingkungan AWS Anda berubah. Misalnya, Anda ingin memantau region AWS yang berbeda, atau mengubah daftar akun AWS yang digunakan Security Command Center. Anda tidak dapat mengubah nama peran yang didelegasikan dan peran pengumpul. Jika perlu mengubah nama peran ini, Anda harus menghapus konektor AWS dan menyiapkan koneksi baru.
Di Google Cloud konsol, buka halaman Security Command Center.
Pilih organisasi tempat Anda mengaktifkan Security Command Center Enterprise.
Klik Setelan.
Klik tab Konektor.
Klik Edit di samping koneksi yang ingin Anda perbarui.
Di halaman Edit konektor Amazon Web Services, lakukan perubahan. Tabel berikut menjelaskan opsi tersebut.
Opsi Deskripsi Tambahkan akun konektor AWS Pilih opsi, bergantung pada preferensi Anda:
- Tambahkan akun secara otomatis (direkomendasikan): Pilih opsi ini agar Security Command Center menemukan akun AWS secara otomatis.
- Tambahkan akun satu per satu: Pilih opsi ini untuk menambahkan akun AWS secara manual.
Kecualikan akun konektor AWS Jika Anda memilih Tambahkan akun secara otomatis di bagian Tambahkan akun konektor AWS, berikan daftar akun AWS yang Security Command Center tidak boleh gunakan untuk menemukan resource. Masukkan akun konektor AWS Jika Anda memilih Tambahkan akun satu per satu di bagian Tambahkan akun konektor AWS, berikan daftar akun AWS yang dapat digunakan Security Command Center untuk menemukan resource. Pilih region untuk mengumpulkan data Pilih satu atau beberapa region AWS agar Security Command Center dapat mengumpulkan data dari region tersebut. Biarkan kolom Region AWS kosong untuk mengumpulkan data dari semua region. Kueri per detik (QPS) maksimum untuk layanan AWS Anda dapat mengubah QPS untuk mengontrol batas kuota untuk Security Command Center. Tetapkan penggantian ke nilai yang lebih kecil dari nilai default untuk layanan tersebut, dan lebih besar dari atau sama dengan 1. Nilai default adalah nilai maksimum. Jika Anda mengubah QPS, Security Command Center mungkin mengalami masalah saat mengambil data. Oleh karena itu, sebaiknya jangan ubah nilai ini.Endpoint untuk AWS Security Token Service Anda dapat menentukan endpoint tertentu untuk AWS Security Token Service (misalnya, https://sts.us-east-2.amazonaws.com). Biarkan kolom AWS Security Token Service kosong untuk menggunakan endpoint global default (https://sts.amazonaws.com).Jika Anda mengubah ID akun yang didelegasikan atau daftar akun AWS yang akan disertakan atau dikecualikan, Anda harus memperbarui lingkungan AWS. Perubahan pada ID akun yang didelegasikan mengharuskan Anda menyiapkan konfigurasi AWS lagi. Perubahan pada daftar akun AWS mengharuskan Anda menambahkan atau menghapus peran pengumpul. Menghapus akun AWS dari daftar pengecualian, karena Anda ingin menyertakannya, mengharuskan Anda menambahkan peran pengumpul ke akun tersebut. Selesaikan langkah berikut:
- Klik Lanjutkan.
Di halaman Buat koneksi dengan AWS, selesaikan salah satu langkah berikut:
Download template CloudFormation untuk peran yang didelegasikan dan peran pengumpul. Untuk mengetahui petunjuk tentang cara menggunakan template, lihat Menggunakan template CloudFormation untuk menyiapkan lingkungan AWS.
Jika Anda ingin mengubah konfigurasi AWS secara manual, pilih Gunakan konsol AWS. Salin ID agen layanan, nama peran yang didelegasikan, dan nama peran pengumpul. Untuk mengetahui petunjuk tentang cara memperbarui AWS secara manual, lihat Mengonfigurasi akun AWS secara manual.
Jika Anda menambahkan akun AWS ke daftar akun AWS yang akan dikecualikan, sebaiknya hapus peran pengumpul dari akun tersebut.
Klik Uji konektor untuk memverifikasi bahwa Security Command Center dapat terhubung ke lingkungan AWS Anda. Jika koneksi berhasil, agen layanan dapat mengasumsikan peran yang didelegasikan dan peran yang didelegasikan memiliki semua izin yang diperlukan untuk mengasumsikan peran pengumpul. Google CloudJika koneksi tidak berhasil, lihat Memecahkan masalah error saat menguji koneksi.
Klik Simpan.
Langkah berikutnya
- Untuk informasi pemecahan masalah, lihat Menghubungkan Security Command Center ke AWS.