AWS 接続設定を更新する

構成とリソースデータの収集のために Security Command Center を Amazon Web Services（AWS）に接続すると、接続設定を変更できます。

始める前に

まず以下のタスクを完了してから、このページの残りのタスクを行ってください。

Google Cloudで権限を設定する

AWS コネクタを使用するために必要な権限を取得するには、Cloud Asset オーナー（roles/cloudasset.owner）IAM ロールの付与を管理者に依頼してください。ロールの付与について詳しくは、プロジェクト、フォルダ、組織へのアクセス権の管理をご覧ください。

必要な権限は、カスタムロールや他の事前定義ロールから取得することもできます。

AWS アカウントを作成する

次の AWS リソースがあることを確認します。

委任アカウントとコレクタ AWS アカウントのコンソール用の AWS IAM アクセス権限を持つ AWS IAM ユーザー。
委任アカウントとして使用できる AWS アカウントの AWS アカウント ID。委任アカウントは、次の要件を満たしている必要があります。
- 委任アカウントは AWS 組織に接続されている必要があります。アカウントを AWS 組織に接続するには、次の操作を行います。
  1. 委任アカウントを接続する組織を作成するか、特定します。
  2. 委任アカウントを組織に参加するように招待します。
- 委任アカウントは次のいずれかである必要があります。
  - AWS 管理アカウント。
  - AWS 委任管理者。
  - organizations:ListAccounts 権限を提供するリソースベースの委任ポリシーを持つ AWS アカウント。ポリシーの例については、AWS ドキュメントの AWS Organizations でリソースベースの委任ポリシーを作成するをご覧ください。

AWS 接続を変更する

AWS 環境の構成が変更されたときに既存の AWS 接続を変更します。たとえば、異なる AWS リージョンをモニタリングする場合や、Security Command Center が使用する AWS アカウントのリストを変更する場合などです。委任ロールとコレクタのロール名は変更できません。これらのロール名を変更する必要がある場合は、AWS コネクタを削除して新しい接続を設定する必要があります。

Google Cloud コンソールで、Security Command Center ページに移動します。

Security Command Center に移動
Security Command Center Enterprise を有効にした組織を選択します。
[ 設定] をクリックします。
[コネクタ] タブをクリックします。
更新する接続の横にある [編集] をクリックします。

[Amazon Web Services コネクタの編集] ページで変更を行います。次の表では、オプションについて説明します。

オプション	説明
AWS コネクタアカウントの追加	必要に応じてオプションを選択します。アカウントを自動的に追加（推奨）: Security Command Center に AWS アカウントを自動的に検出させるには、このオプションを選択します。アカウントを個別に追加: AWS アカウントを手動で追加する場合は、このオプションを選択します。
AWS コネクタアカウントを除外する	[AWS コネクタアカウントの追加] セクションで [アカウントを自動的に追加] を選択した場合は、Security Command Center がリソースの検索で使用しない AWS アカウントのリストを指定します。
AWS コネクタアカウントを入力する	[AWS コネクタアカウントの追加] セクションで [アカウントを個別に追加する] を選択した場合は、Security Command Center がリソースの検索に使用できる AWS アカウントのリストを指定します。
データを収集するリージョンを選択する	データを収集する Security Command Center の AWS リージョンを 1 つ以上選択します。すべてのリージョンからデータを収集するには、[AWS リージョン] フィールドを空白のままにします。
AWS サービスの最大秒間クエリ数（QPS）	QPS を変更して、Security Command Center の割り当て上限を制御できます。オーバーライドを、そのサービスのデフォルト値よりも小さい、`1` 以上の値に設定します。デフォルト値は最大値です。QPS を変更すると、Security Command Center でのデータ取得で問題が発生することがあります。そのため、この値は変更しないことをおすすめします。
AWS Security Token Service のエンドポイント	AWS Security Token Service には、特定のエンドポイントを指定できます（例: `https://sts.us-east-2.amazonaws.com`）。デフォルトのグローバルエンドポイント（`https://sts.amazonaws.com`）を使用するには、[AWS Security Token Service] フィールドを空のままにします。

委任アカウント ID または AWS アカウントのリストを変更して、含めるまたは除外するアカウントを変更した場合は、AWS 環境を更新する必要があります。委任アカウント ID を変更する場合は、AWS 構成を再度設定する必要があります。AWS アカウントのリストを変更するには、コレクタロールを追加または削除する必要があります。AWS アカウントを除外リストから削除して含めるためには、これらのアカウントにコレクタロールを追加する必要があります。次の手順に沿って操作します。
1. [続行] をクリックします。
2. [AWS と接続する] のページで、次のいずれかを行います。
  - 委任ロールとコレクタロールの CloudFormation テンプレートをダウンロードします。テンプレートの使用方法については、CloudFormation テンプレートを使用して AWS 環境を設定するをご覧ください。
  - AWS 構成を手動で変更する場合は、[AWS コンソールを使用する] を選択します。サービスエージェント ID、委任ロール名、コレクタのロール名をコピーします。AWS を手動で更新する手順については、AWS アカウントを手動で構成するをご覧ください。
除外する AWS アカウントのリストに AWS アカウントを追加した場合は、アカウントからコレクタロールを削除することをおすすめします。
[コネクタをテスト] をクリックして、Security Command Center が AWS 環境に接続できることを確認します。接続が成功すると、 Google Cloudサービスエージェントは委任ロールを引き受けることができ、委任ロールにはコレクタロールを引き受けるために必要なすべての権限が付与されています。接続に失敗した場合は、接続テスト時のエラーのトラブルシューティングをご覧ください。
[保存] をクリックします。

次のステップ

トラブルシューティングについては、Security Command Center を AWS に接続するをご覧ください。