Dopo aver connesso Security Command Center ad Amazon Web Services (AWS) per la configurazione e la raccolta dei dati delle risorse, puoi modificare le impostazioni di connessione.
Prima di iniziare
Completa queste attività prima di completare le attività rimanenti in questa pagina.
Configura le autorizzazioni in Google Cloud
Per ottenere le autorizzazioni necessarie per utilizzare il connettore AWS, chiedi all'amministratore di concederti il ruolo IAM Proprietario asset cloud (roles/cloudasset.owner).
Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.
Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.
Crea account AWS
Assicurati di disporre delle seguenti risorse AWS:
Un utente IAM AWS con accesso IAM AWS per le console degli account AWS delegati e agente di raccolta.
L'ID account AWS per un account AWS che puoi utilizzare come account delegato. L'account delegato deve soddisfare i seguenti requisiti:
L'account delegato deve essere collegato a un organizzazione AWS. Per collegare un account a un'organizzazione AWS:
- Crea o identifica un'organizzazione a cui collegare l'account delegato.
- Invita l'account delegato a partecipare all'organizzazione.
L'account delegato deve essere uno dei seguenti:
- Un account di gestione AWS.
- Un amministratore delegato AWS.
- Un account AWS con una policy di delega basata sulle risorse
che fornisce l'autorizzazione
organizations:ListAccounts. Per un esempio di policy, consulta Creare una policy di delega basata sulle risorse con AWS Organizations nella documentazione di AWS.
Modifica la connessione AWS
Modifica una connessione AWS esistente quando cambia la configurazione dell'ambiente AWS. Ad esempio, vuoi monitorare regioni AWS diverse o modificare l'elenco degli account AWS utilizzati da Security Command Center. Non puoi modificare i nomi del ruolo delegato e del ruolo raccoglitore. Se devi modificare questi nomi di ruolo, devi eliminare il connettore AWS e configurare una nuova connessione.
Nella Google Cloud console, vai alla pagina Security Command Center.
Seleziona l'organizzazione su cui hai attivato Security Command Center Enterprise.
Fai clic su Impostazioni.
Fai clic sulla scheda Connettori.
Fai clic su Modifica accanto alla connessione che vuoi aggiornare.
Nella pagina Modifica connettore Amazon Web Services, apporta le modifiche. Nella tabella che segue vengono descritte le opzioni.
Opzione Descrizione Aggiungi account connettore AWS Seleziona un'opzione, a seconda delle tue preferenze:
- Aggiungi account automaticamente (consigliato): seleziona questa opzione per consentire a Security Command Center di rilevare automaticamente gli account AWS.
- Aggiungi account singolarmente: seleziona questa opzione per aggiungere manualmente gli account AWS.
Escludi account connettore AWS Se hai selezionato Aggiungi account automaticamente nella sezione Aggiungi account connettore AWS, fornisci un elenco di account AWS che Security Command Center non deve utilizzare per trovare le risorse. Inserisci account connettore AWS Se hai selezionato Aggiungi account singolarmente nella sezione Aggiungi account connettore AWS, fornisci un elenco di account AWS che Security Command Center può utilizzare per trovare le risorse. Seleziona le regioni dalle quali raccogliere i dati Seleziona una o più regioni AWS da cui Security Command Center deve raccogliere i dati. Lascia vuoto il campo Regioni AWS per raccogliere i dati da tutte le regioni. Numero massimo di query al secondo (QPS) per i servizi AWS Puoi modificare il QPS per controllare il limite di quota per Security Command Center. Imposta l'override su un valore inferiore al valore predefinito per il servizio e maggiore o uguale a 1. Il valore predefinito è il valore massimo. Se modifichi il QPS, Security Command Center potrebbe riscontrare problemi durante il recupero dei dati. Pertanto, sconsigliamo di modificare questo valore.Endpoint per il servizio token di sicurezza AWS Puoi specificare un endpoint specifico per il servizio token di sicurezza AWS (ad esempio, https://sts.us-east-2.amazonaws.com). Lascia vuoto il campo Servizio token di sicurezza AWS per utilizzare l'endpoint globale predefinito (https://sts.amazonaws.com).Se hai modificato l'ID account delegato o l'elenco degli account AWS da includere o escludere, devi aggiornare l'ambiente AWS. Una modifica all'ID account delegato richiede di configurare di nuovo AWS. Una modifica all'elenco degli account AWS richiede l'aggiunta o la rimozione dei ruoli raccoglitori. Se rimuovi gli account AWS dall'elenco di esclusione perché vuoi includerli, devi aggiungere i ruoli agente di raccolta a questi account. Completa i passaggi seguente:
- Fai clic su Continua.
Nella pagina Crea connessione con AWS, completa una delle seguenti operazioni:
Scarica i modelli CloudFormation per il ruolo delegato e il ruolo raccoglitore. Per istruzioni sull'utilizzo dei modelli, consulta Utilizzare i modelli CloudFormation per configurare l'ambiente AWS.
Se vuoi modificare manualmente la configurazione di AWS, seleziona Utilizza la console AWS. Copia l'ID agente di servizio, il nome del ruolo delegato e il nome del ruolo raccoglitore. Per istruzioni sull'aggiornamento manuale di AWS, consulta Configurare manualmente gli account AWS.
Se hai aggiunto un account AWS all'elenco degli account AWS da escludere, ti consigliamo di rimuovere il ruolo raccoglitore dall'account.
Fai clic su Test connettore per verificare che Security Command Center possa connettersi al tuo ambiente AWS. Se la connessione va a buon fine, l' Google Cloudagente di servizio può assumere il ruolo delegato e il ruolo delegato ha tutte le autorizzazioni richieste per assumere il ruolo raccoglitore. Se la connessione non va a buon fine, consulta Risolvere gli errori durante il test della connessione.
Fai clic su Salva.
Passaggi successivi
- Per informazioni sulla risoluzione dei problemi, consulta Connetti Security Command Center ad AWS.