Verbindung zu AWS zur Erkennung von Sicherheitslücken und zur Risikobewertung herstellen

Sie können die Security Command Center Enterprise-Stufe mit Ihrer AWS-Umgebung verbinden, um die folgenden Schritte auszuführen:

• Erkennen und beseitigen von Sicherheitslücken und Fehlkonfigurationen in Ihrer AWS-Umgebung
• Sicherheitsstatus für AWS erstellen und verwalten
• Identifizieren Sie potenzielle Angriffspfade vom öffentlichen Internet zu Ihren hochwertigen AWS-Assets
• Zuordnung der Compliance von AWS-Ressourcen zu verschiedenen Standards und Benchmarks

Durch die Verbindung von Security Command Center mit AWS kann Ihr Sicherheitsteam an einem zentralen Ort Bedrohungen und Sicherheitslücken in Google Cloud und AWS verwalten und beheben.

Damit Security Command Center Ihre AWS-Organisation überwachen kann, müssen Sie eine Verbindung mit einem Google Cloud-Dienst-Agent und einem AWS-Konto konfigurieren, das Zugriff auf die zu überwachenden Ressourcen hat. Security Command Center verwendet diese Verbindung, um regelmäßig Daten in allen von Ihnen definierten AWS-Konten und -Regionen zu erfassen.

In diesem Dokument wird beschrieben, wie Sie die Verbindung mit AWS einrichten. Wenn Sie eine Verbindung einrichten, konfigurieren Sie Folgendes:

• Eine Reihe von Konten in AWS, die direkten Zugriff auf die AWS-Ressourcen haben, die Sie überwachen möchten. In der Google Cloud Console werden diese Konten als Collector-Konten bezeichnet.
• Ein Konto in AWS, das die entsprechenden Richtlinien und Rollen hat, um die Authentifizierung bei Collector-Konten zu ermöglichen. In der Google Cloud Console wird dieses Konto als delegiertes Konto bezeichnet. Sowohl das delegierte Konto als auch die Collector-Konten müssen sich in derselben AWS-Organisation befinden.
• Ein Dienst-Agent in Google Cloud, der zur Authentifizierung eine Verbindung zum delegierten Konto herstellt.
• Pipeline zum Erfassen von Asset-Daten aus AWS-Ressourcen.
• (Optional) Berechtigungen für Sensitive Data Protection zum Erstellen von Profilen für AWS-Inhalte.

Diese Verbindung gilt nicht für die SIEM-Funktionen von Security Command Center, mit denen Sie AWS-Logs zur Bedrohungserkennung aufnehmen können.

Das folgende Diagramm zeigt diese Konfiguration. Das Mandantenprojekt ist ein automatisch erstelltes Projekt, das die Pipelineinstanz zur Asset-Datenerfassung enthält.

Hinweise

Führen Sie diese Schritte aus, bevor Sie die verbleibenden Aufgaben auf dieser Seite ausführen.

Security Command Center Enterprise-Stufe aktivieren

Führen Sie Schritt 1 und Schritt 2 des Einrichtungsleitfadens aus, um Security Command Center Enterprise zu aktivieren.

Berechtigungen einrichten

Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Cloud Asset Owner (roles/cloudasset.owner) zu gewähren, um die erforderlichen Berechtigungen zur Verwendung des AWS-Connectors zu erhalten. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.

Möglicherweise können Sie die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

AWS-Konten erstellen

Achten Sie darauf, dass Sie die folgenden AWS-Ressourcen erstellt haben:

• Einen AWS IAM-Nutzer mit AWS IAM-Zugriff für die AWS-Kontokonsolen des Bevollmächtigten und des Collectors.

• Die AWS-Konto-ID für ein AWS-Konto, das Sie als delegiertes Konto verwenden können. Wenn Security Command Center AWS-Konten zum Auffinden von Ressourcen automatisch erkennen soll, muss das delegierte Konto mit einer AWS-Organisation verknüpft sein und eines der folgenden Kriterien erfüllen:

  • Ein AWS-Verwaltungskonto

  • Ein delegierter AWS-Administrator.

  • Ein AWS-Konto mit einer ressourcenbasierten Delegationsrichtlinie, die die Berechtigungen organization und list bereitstellt. Ein Beispiel für eine Richtlinie finden Sie unter Beispiel: Organisation, OEs, Konten und Richtlinien ansehen.

Security Command Center konfigurieren

1. Rufen Sie in der Google Cloud Console die Seite für die Einrichtung auf.

   Zur Einrichtung

2. Wählen Sie die Organisation aus, in der Sie Security Command Center Enterprise aktiviert haben.

3. Klicken Sie auf Schritt 3: Amazon Web Services-Connector (AWS) einrichten.

4. Geben Sie unter Delegierte Konto-ID die AWS-Konto-ID für das AWS-Konto ein, das Sie als delegiertes Konto verwenden können.

5. Damit Sensitive Data Protection ein Profil für Ihre AWS-Daten erstellt, lassen Sie Berechtigungen für Sensitive Data Protection-Erkennung gewähren ausgewählt. Mit dieser Option werden in der CloudFormation-Vorlage für die Collector-Rolle AWS-IAM-Berechtigungen hinzugefügt.

   Durch diese Option gewährte AWS IAM-Berechtigungen

   • s3:GetBucketLocation
   • s3:ListAllMyBuckets
   • s3:GetBucketPolicyStatus
   • s3:ListBucket
   • s3:GetObject
   • iam:ListAttachedRolePolicies
   • iam:GetPolicy
   • iam:GetPolicyVersion
   • iam:ListRolePolicies
   • iam:GetRolePolicy

   Mit dieser Option werden der Collector-Rolle nur die erforderlichen AWS-Berechtigungen gewährt. Wenn Sie ein Profil für Ihre AWS-Daten erstellen möchten, aktivieren Sie die Erkennung sensibler Daten.

6. Sehen Sie sich optional die erweiterten Optionen an.

7. Klicken Sie auf Weiter. Die Seite Mit AWS verbinden wird geöffnet.

8. Führen Sie einen dieser Schritte aus:

   • Laden Sie die CloudFormation-Vorlagen für die delegierte Rolle und die Collector-Rolle herunter und prüfen Sie sie.
   • Wenn Sie die erweiterten Optionen konfiguriert haben oder die Standardnamen der AWS-Rollen (aws-delegated-role, aws-collector-role und aws-sensitive-data-protection-role) ändern müssen, wählen Sie AWS-Konten manuell konfigurieren aus. Kopieren Sie die Dienst-Agent-ID, den delegierten Rollennamen, den Collector-Rollennamen und den Sensitive Data Protection-Collector-Rollennamen.

   Sie können die Rollennamen nach dem Erstellen der Verbindung nicht mehr ändern.

Klicken Sie nicht auf Erstellen. Konfigurieren Sie stattdessen Ihre AWS-Umgebung.

AWS-Umgebung konfigurieren

Sie können Ihre AWS-Umgebung mit einer der folgenden Methoden einrichten:

• Verwenden Sie die CloudFormation-Vorlagen, die Sie unter Security Command Center konfigurieren heruntergeladen haben. Eine Anleitung finden Sie unter CloudFormation-Vorlagen zum Einrichten der AWS-Umgebung verwenden.
• Wenn Sie benutzerdefinierte Einstellungen oder Rollennamen verwenden, konfigurieren Sie die AWS-Konten manuell. Eine Anleitung finden Sie unter AWS-Konten manuell konfigurieren.

AWS-Umgebung mit CloudFormation-Vorlagen einrichten

Wenn Sie CloudFormation-Vorlagen heruntergeladen haben, führen Sie die folgenden Schritte aus, um Ihre AWS-Umgebung einzurichten.

1. Melden Sie sich in der AWS Delegate-Konto-Konsole an. Achten Sie darauf, dass Sie in dem delegierten Konto angemeldet sind, das verwendet wird, um andere Collector-AWS-Konten zu übernehmen.
2. Rufen Sie die Konsole AWS CloudFormation Template auf.

3. Erstellen Sie einen Stapel mithilfe der delegierten Rollenvorlagendatei. Weitere Informationen finden Sie in der AWS-Dokumentation unter Mit der AWS Management Console einen Stapel aus vorhandenen Ressourcen erstellen.

   Gehen Sie die Aufforderungen durch:

   1. Laden Sie beim Angeben einer Vorlage die Vorlagendatei für die delegierte Rolle hoch.
   2. Geben Sie bei der Angabe der Stapeldetails einen Stapelnamen ein.

   3. Überprüfen Sie die Parameter. Achten Sie darauf, dass die Namen der Delegat- und Collector-Rollen mit denen übereinstimmen, die in der Google Cloud Console auf der Seite Mit AWS verbinden aufgeführt sind.

   4. Aktualisieren Sie die Stapeloptionen gemäß den Anforderungen Ihrer Organisation.

   Warten Sie, bis der Stapel erstellt wurde. Falls ein Problem auftritt, lesen Sie die Informationen unter Fehlerbehebung.

   Wenn Sie AWS-Konten einzeln hinzufügen (durch Deaktivieren der automatischen Erkennung für Konten), können Sie auch separate Stacks für jedes AWS-Konto erstellen, anstatt einen einzelnen Stack-Satz zu erstellen.

4. Erstellen Sie mit einem AWS-Verwaltungskonto oder einem Mitgliedskonto, das als delegierter Administrator registriert ist, einen Stacksatz. Weitere Informationen finden Sie in der AWS-Dokumentation unter Stackset mit vom Dienst verwalteten Berechtigungen erstellen.

   Gehen Sie die Aufforderungen durch:

   1. Laden Sie beim Angeben einer Vorlage die Collector-Rollenvorlagendatei hoch.
   2. Prüfen und aktualisieren Sie bei Angabe der StackSet-Details die Konto-ID und die Rollennamen des delegierten Kontos.
   3. Konfigurieren Sie die Optionen für die Stapelgruppe entsprechend den Anforderungen Ihrer Organisation.

   4. Wenn Sie die Bereitstellungsoptionen angeben, wählen Sie Ihre Bereitstellungsziele aus. Sie können die Bereitstellung in der gesamten AWS-Organisation oder in einer Organisationseinheit vornehmen, die alle AWS-Konten enthält, von denen Sie Daten erfassen möchten.

   5. Geben Sie die AWS-Regionen an, in denen die Rollen und Richtlinien erstellt werden sollen. Da Rollen globale Ressourcen sind, müssen Sie nicht mehrere Regionen angeben.

   6. Ändern Sie bei Bedarf weitere Einstellungen.

   7. Prüfen Sie die Änderungen und erstellen Sie die Stapelgruppe. Wenn Sie eine Fehlermeldung erhalten, lesen Sie die Informationen unter Fehlerbehebung.

5. Stellen Sie einen separaten Stack bereit, um die Collector-Rolle unter dem Verwaltungskonto bereitzustellen, da ein AWS CloudFormation-Stack-Satz keine Stack-Instanzen unter einem Verwaltungskonto erstellt. Weitere Informationen finden Sie unter DeploymentTargets in der AWS-Dokumentation.

Informationen zum Abschließen des Integrationsprozesses findest du unter Verknüpfung abschließen.

AWS-Konten manuell konfigurieren

Wenn Sie die CloudFormation-Vorlagen nicht verwenden können (z. B. andere Rollennamen verwenden oder die Integration anpassen), können Sie die erforderlichen AWS IAM-Richtlinien und AWS IAM-Rollen manuell erstellen.

Sie müssen AWS IAM-Richtlinien und AWS IAM-Rollen für das delegierte Konto und die Collector-Konten erstellen.

AWS-IAM-Richtlinie für die delegierte Rolle erstellen

So erstellen Sie eine AWS-IAM-Richtlinie für die delegierte Rolle (eine delegierte Richtlinie):

1. Melden Sie sich in der Konsole für AWS Delegate-Konten an.

2. Klicken Sie auf Richtlinien > Richtlinie erstellen.

3. Klicken Sie auf JSON und fügen Sie eine der folgenden Optionen ein, je nachdem, ob Sie in Security Command Center konfigurieren das Kästchen Berechtigungen für die Erkennung sensibler Daten gewähren angeklickt haben.

   Berechtigungen für die Erkennung von Sensitive Data Protection gewähren: gelöscht

   {
     "Version": "2012-10-17",
     "Statement": [
         {
             "Action": "sts:AssumeRole",
             "Resource": "arn:aws:iam::*:role/COLLECTOR_ROLE_NAME",
             "Effect": "Allow"
         },
         {
             "Action": [
                 "organizations:List*",
                 "organizations:Describe*"
             ],
             "Resource": "*",
             "Effect": "Allow"
         }
     ]
   }
   

   Ersetzen Sie COLLECTOR_ROLE_NAME durch den Namen der Collector-Rolle, die Sie beim Konfigurieren von Security Command Center kopiert haben (der Standardwert ist aws-collector-role).

   Berechtigungen für die Erkennung von Sensitive Data Protection gewähren: ausgewählt

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Action": "sts:AssumeRole",
         "Resource": [
           "arn:aws:iam::*:role/COLLECTOR_ROLE_NAME",
           "arn:aws:iam::*:role/SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME"
         ],
         "Effect": "Allow"
       },
       {
         "Action": [
           "organizations:List*",
           "organizations:Describe*"
         ],
         "Resource": "*",
         "Effect": "Allow"
       }
     ]
   }
   

   Ersetzen Sie Folgendes:

   • COLLECTOR_ROLE_NAME: der Name der Konfigurationsdaten-Collector-Rolle, die Sie beim Konfigurieren von Security Command Center kopiert haben (Standardeinstellung ist aws-collector-role)
   • SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME: Name der Collector-Rolle für den Schutz sensibler Daten, die Sie beim Konfigurieren von Security Command Center kopiert haben (Standardeinstellung ist aws-sensitive-data-protection-role)

4. Klicken Sie auf Weiter.

5. Geben Sie im Abschnitt Richtliniendetails einen Namen und eine Beschreibung für die Richtlinie ein.

6. Klicken Sie auf Richtlinie erstellen.

AWS-IAM-Rolle für die Vertrauensbeziehung zwischen AWS und Google Cloud erstellen

Erstellen Sie eine delegierte Rolle, die eine vertrauenswürdige Beziehung zwischen AWS und Google Cloud einrichtet. Diese Rolle verwendet die delegierte Richtlinie, die unter AWS-IAM-Richtlinie für die delegierte Rolle erstellen erstellt wurde.

1. Melden Sie sich in der AWS Delegate Account Console als AWS-Nutzer an, der IAM-Rollen und -Richtlinien erstellen kann.

2. Klicken Sie auf Rollen > Rolle erstellen.

3. Klicken Sie unter Typ der vertrauenswürdigen Entität auf Webidentität.

4. Klicken Sie unter Identity Provider (Identitätsanbieter) auf Google.

5. Geben Sie unter Zielgruppe die Dienstkonto-ID ein, die Sie beim Konfigurieren von Security Command Center kopiert haben. Klicken Sie auf Weiter.

6. Hängen Sie die Berechtigungsrichtlinien an die Rolle an, um der delegierten Rolle Zugriff auf die Collector-Rollen zu gewähren. Suchen Sie nach der delegierten Richtlinie, die unter AWS-IAM-Richtlinie für die delegierte Rolle erstellen erstellt wurde, und wählen Sie sie aus.

7. Geben Sie im Abschnitt Rollendetails den Namen der delegierten Rolle ein, den Sie bei der Konfiguration von Security Command Center kopiert haben. Der Standardname ist aws-delegated-role.

8. Klicken Sie auf Rolle erstellen.

AWS-IAM-Richtlinie für die Erfassung von Asset-Konfigurationsdaten erstellen

So erstellen Sie eine AWS-IAM-Richtlinie für die Erfassung von Asset-Konfigurationsdaten (eine Collector-Richtlinie):

1. Melden Sie sich in der AWS-Collector-Kontokonsole an.

2. Klicken Sie auf Richtlinien > Richtlinie erstellen.

3. Klicken Sie auf JSON und fügen Sie Folgendes ein:

   {
     "Version": "2012-10-17",
     "Statement": [
         {
             "Effect": "Allow",
             "Action": [
                 "ce:GetCostAndUsage",
                 "dynamodb:DescribeTableReplicaAutoScaling",
                 "identitystore:ListGroupMemberships",
                 "identitystore:ListGroups",
                 "identitystore:ListUsers",
                 "lambda:GetFunction",
                 "lambda:GetFunctionConcurrency",
                 "logs:ListTagsForResource",
                 "s3express:GetBucketPolicy",
                 "s3express:ListAllMyDirectoryBuckets",
                 "wafv2:GetIPSet"
             ],
             "Resource": [
                 "*"
             ]
         },
         {
             "Effect": "Allow",
             "Action": [
                 "apigateway:GET"
             ],
             "Resource": [
                 "arn:aws:apigateway:*::/usageplans",
                 "arn:aws:apigateway:*::/usageplans/*/keys",
                 "arn:aws:apigateway:*::/vpclinks/*"
             ]
         }
     ]
   
   }
   

4. Klicken Sie auf Weiter.

5. Geben Sie im Abschnitt Richtliniendetails einen Namen und eine Beschreibung für die Richtlinie ein.

6. Klicken Sie auf Richtlinie erstellen.

7. Wiederholen Sie diese Schritte für jedes Collector-Konto.

AWS IAM-Rolle für die Erfassung von Asset-Konfigurationsdaten in jedem Konto erstellen

Erstellen Sie die Collector-Rolle, mit der Security Command Center Asset-Konfigurationsdaten aus AWS abrufen kann. Diese Rolle verwendet die Collector-Richtlinie, die unter AWS IAM-Richtlinie für die Erfassung von Asset-Konfigurationsdaten erstellen erstellt wurde.

1. Melden Sie sich in der AWS-Collector-Kontokonsole als Nutzer an, der IAM-Rollen für die Collector-Konten erstellen kann.

2. Klicken Sie auf Rollen > Rolle erstellen.

3. Klicken Sie unter Typ der vertrauenswürdigen Entität auf Benutzerdefinierte Vertrauensrichtlinie.

4. Fügen Sie im Abschnitt Benutzerdefinierte Vertrauensrichtlinie Folgendes ein:

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
           "AWS": "arn:aws:iam::DELEGATE_ACCOUNT_ID:role/DELEGATE_ACCOUNT_ROLE"
         },
         "Action": "sts:AssumeRole"
       }
     ]
   }
   

   Ersetzen Sie Folgendes:

   • DELEGATE_ACCOUNT_ID: die AWS-Konto-ID für das delegierte Konto
   • DELEGATE_ACCOUNT_ROLE: Der Name der delegierten Rolle, den Sie beim Konfigurieren von Security Command Center kopiert haben.

5. Hängen Sie die Berechtigungsrichtlinien an die Rolle an, um dieser Collector-Rolle Zugriff auf Ihre AWS-Asset-Konfigurationsdaten zu gewähren. Suchen Sie nach der benutzerdefinierten Collector-Richtlinie, die unter AWS-IAM-Richtlinie für die Sammlung von Asset-Konfigurationsdaten erstellen erstellt wurde, und wählen Sie sie aus.

6. Suchen Sie nach den folgenden verwalteten Richtlinien und wählen Sie sie aus:

   • arn:aws:iam::aws:policy/job-function/ViewOnlyAccess
   • arn:aws:iam::aws:policy/SecurityAudit

7. Geben Sie im Abschnitt Rollendetails den Namen der Rolle des Konfigurationsdaten-Collectors ein, die Sie bei der Konfiguration von Security Command Center kopiert haben.

8. Klicken Sie auf Rolle erstellen.

9. Wiederholen Sie diese Schritte für jedes Collector-Konto.

Wenn Sie unter Security Command Center konfigurieren das Kästchen Berechtigungen für die Erkennung sensibler Daten gewähren angeklickt haben, fahren Sie mit dem nächsten Abschnitt fort.

Wenn Sie das Kästchen Berechtigungen für die Erkennung sensibler Daten gewähren nicht angeklickt haben, schließen Sie den Integrationsprozess ab.

AWS-IAM-Richtlinie für Sensitive Data Protection erstellen

Führen Sie die folgenden Schritte aus, wenn Sie in Security Command Center konfigurieren das Kästchen Berechtigungen für die Erkennung sensibler Daten gewähren angeklickt haben.

So erstellen Sie eine AWS-IAM-Richtlinie für Sensitive Data Protection (eine Collector-Richtlinie):

1. Melden Sie sich in der AWS-Collector-Kontokonsole an.

2. Klicken Sie auf Richtlinien > Richtlinie erstellen.

3. Klicken Sie auf JSON und fügen Sie Folgendes ein:

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Action": [
           "s3:GetBucketLocation",
           "s3:ListAllMyBuckets",
           "s3:GetBucketPolicyStatus",
           "s3:ListBucket",
           "s3:GetObject"
         ],
         "Resource": [
           "arn:aws:s3:::*"
         ]
       },
       {
         "Effect": "Allow",
         "Action": [
           "iam:ListAttachedRolePolicies",
           "iam:ListRolePolicies",
           "iam:GetPolicy",
           "iam:GetPolicyVersion",
           "iam:GetRolePolicy"
         ],
         "Resource": [
           "*"
         ]
       }
     ]
   }
   

4. Klicken Sie auf Weiter.

5. Geben Sie im Abschnitt Richtliniendetails einen Namen und eine Beschreibung für die Richtlinie ein.

6. Klicken Sie auf Richtlinie erstellen.

7. Wiederholen Sie diese Schritte für jedes Collector-Konto.

AWS IAM-Rolle für Sensitive Data Protection in jedem Konto erstellen

Führen Sie die folgenden Schritte aus, wenn Sie in Security Command Center konfigurieren das Kästchen Berechtigungen für die Erkennung sensibler Daten gewähren angeklickt haben.

Erstellen Sie die Collector-Rolle, mit der Sensitive Data Protection ein Profil für die Inhalte Ihrer AWS-Ressourcen erstellen kann. Diese Rolle verwendet die Collector-Richtlinie, die unter AWS-IAM-Richtlinie für den Schutz sensibler Daten erstellen erstellt wurde.

1. Melden Sie sich in der AWS-Collector-Kontokonsole als Nutzer an, der IAM-Rollen für Collector-Konten erstellen kann.

2. Klicken Sie auf Rollen > Rolle erstellen.

3. Klicken Sie unter Typ der vertrauenswürdigen Entität auf Benutzerdefinierte Vertrauensrichtlinie.

4. Fügen Sie im Abschnitt Benutzerdefinierte Vertrauensrichtlinie Folgendes ein:

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
           "AWS": "arn:aws:iam::DELEGATE_ACCOUNT_ID:role/DELEGATE_ACCOUNT_ROLE"
         },
         "Action": "sts:AssumeRole"
       }
     ]
   }
   

   Ersetzen Sie Folgendes:

   • DELEGATE_ACCOUNT_ID: die AWS-Konto-ID für das delegierte Konto
   • DELEGATE_ACCOUNT_ROLE: der Name der delegierten Rolle, den Sie bei der Konfiguration von Security Command Center kopiert haben.

5. Hängen Sie die Berechtigungsrichtlinien an die Rolle an, um dieser Collector-Rolle Zugriff auf die Inhalte Ihrer AWS-Ressourcen zu gewähren. Suchen Sie nach der benutzerdefinierten Collector-Richtlinie, die unter AWS-IAM-Richtlinie für Sensitive Data Protection erstellen erstellt wurde, und wählen Sie sie aus.

6. Geben Sie im Bereich Rollendetails den Namen der Rolle für den Schutz sensibler Daten ein, die Sie bei der Konfiguration von Security Command Center kopiert haben.

7. Klicken Sie auf Rolle erstellen.

8. Wiederholen Sie diese Schritte für jedes Collector-Konto.

Informationen zum Abschließen des Integrationsprozesses findest du unter Verknüpfung abschließen.

Integration abschließen

1. Rufen Sie in der Google Cloud Console die Seite Amazon Web Services-Connector hinzufügen auf.

   Zum Amazon Web Services-Connector

2. Klicken Sie auf Test Connector (Connector testen), um zu prüfen, ob Security Command Center eine Verbindung zu Ihrer AWS-Umgebung herstellen kann. Wenn die Verbindung erfolgreich hergestellt wurde, wurde durch den Test festgestellt, dass die delegierte Rolle alle erforderlichen Berechtigungen hat, um die Collector-Rollen zu übernehmen. Wenn die Verbindung nicht hergestellt werden konnte, lesen Sie die Informationen unter Fehlerbehebung beim Testen der Verbindung.

3. Klicken Sie auf Erstellen.

Benutzerdefinierte Konfiguration

In diesem Abschnitt werden einige Möglichkeiten beschrieben, wie Sie die Verbindung zwischen Security Command Center und AWS anpassen können. Diese Optionen sind in der Google Cloud Console auf der Seite Amazon Web Services-Connector hinzufügen im Abschnitt Erweiterte Optionen (optional) verfügbar.

Standardmäßig erkennt Security Command Center automatisch Ihre AWS-Konten in allen AWS-Regionen. Die Verbindung verwendet den globalen Standardendpunkt für den AWS Security Token Service und die Standardabfragen pro Sekunde für den überwachten AWS-Dienst. Mit diesen erweiterten Optionen können Sie die Standardeinstellungen anpassen.

Wahltaste	Beschreibung
Angeben, welche AWS-Konten verwendet werden sollen	Sie können Security Command Center die AWS-Konten automatisch erkennen lassen oder eine Liste von AWS-Konten bereitstellen, mit denen Security Command Center Ressourcen finden kann.
Geben Sie an, welche AWS-Konten ausgeschlossen werden sollen	Wenn Sie Security Command Center automatisch Konten erkennen lassen, können Sie eine Liste von AWS-Konten angeben, die Security Command Center zum Auffinden von Ressourcen nicht verwenden kann.
Geben Sie an, welche AWS-Regionen überwacht werden sollen	Sie können eine oder mehrere AWS-Regionen zum Überwachen von Security Command Center auswählen. Lassen Sie das Feld AWS regions (AWS-Regionen) leer, um alle Regionen zu überwachen.
Standardabfragen pro Sekunde für AWS-Dienste überschreiben	Sie können die Anzahl der Abfragen pro Sekunde ändern, um das Kontingentlimit für Security Command Center zu steuern. Legen Sie für die Überschreibung einen Wert fest, der kleiner als der Standardwert für diesen Dienst und größer oder gleich 1 ist. Der Standardwert ist der Maximalwert. Wenn Sie die Abfragen pro Sekunde ändern, können Probleme beim Abrufen von Daten durch Security Command Center auftreten. Es ist daher nicht empfehlenswert, diesen Wert zu ändern.
Endpunkt für AWS Security Token Service ändern	Sie können einen bestimmten Endpunkt für den AWS Security Token Service angeben (z. B. https://sts.us-east-2.amazonaws.com). Lassen Sie das Feld AWS Security Token Service (AWS STS) (optional) leer, um den globalen Standardendpunkt (https://sts.amazonaws.com) zu verwenden.

Fehlerbehebung

Dieser Abschnitt enthält einige häufige Probleme, die bei der Integration von Security Command Center in AWS auftreten können.

Ressourcen sind bereits vorhanden

Dieser Fehler tritt in der AWS-Umgebung auf, wenn Sie versuchen, AWS IAM-Richtlinien und AWS IAM-Rollen zu erstellen. Dieses Problem tritt auf, wenn die Rolle bereits in Ihrem AWS-Konto vorhanden ist und Sie versuchen, sie noch einmal zu erstellen.

So beheben Sie das Problem:

• Prüfen Sie, ob die Rolle oder Richtlinie, die Sie erstellen, bereits vorhanden ist und die in diesem Leitfaden aufgeführten Anforderungen erfüllt.
• Ändern Sie bei Bedarf den Rollennamen, um Konflikte zu vermeiden.

Ungültiges Hauptkonto in Richtlinie

Dieser Fehler kann in der AWS-Umgebung auftreten, wenn Sie die Collector-Rollen erstellen, die Rolle des Bevollmächtigten jedoch noch nicht vorhanden ist.

Führen Sie zum Beheben dieses Problems die Schritte unter AWS-IAM-Richtlinie für die delegierte Rolle erstellen aus und warten Sie, bis die delegierte Rolle erstellt wurde, bevor Sie fortfahren.

Drosselungseinschränkungen in AWS

AWS drosselt API-Anfragen für jedes AWS-Konto pro Konto oder Region. Damit diese Limits nicht überschritten werden, wenn Security Command Center Asset-Konfigurationsdaten von AWS erfasst, erfasst Security Command Center die Daten zu einer festen maximalen Anzahl von Abfragen pro Sekunde für jeden AWS-Dienst, wie in der API-Dokumentation für den AWS-Dienst beschrieben.

Wenn in Ihrer AWS-Umgebung aufgrund der verbrauchten Abfragen pro Sekunde eine Anfragedrosselung auftritt, können Sie das Problem so beheben:

• Legen Sie auf der Seite mit den AWS-Connector-Einstellungen benutzerdefinierte Abfragen pro Sekunde für den AWS-Dienst fest, bei dem Probleme mit der Anfragedrosselung auftreten.

• Schränken Sie die Berechtigungen der AWS-Collector-Rolle ein, sodass die Daten von diesem spezifischen Dienst nicht mehr erfasst werden. Dieses Verfahren verhindert, dass Angriffspfadsimulationen für AWS korrekt funktionieren.

Wenn Sie alle Berechtigungen in AWS widerrufen, wird der Daten-Collector-Prozess sofort angehalten. Durch das Löschen des AWS-Connectors wird der Data Collector-Prozess nicht sofort angehalten, aber nach Abschluss des Vorgangs nicht wieder gestartet.

Fehlerbehebung beim Testen der Verbindung

Diese Fehler können auftreten, wenn Sie die Verbindung zwischen Security Command Center und AWS testen.

AWS_FAILED_TO_ASSUME_DELEGATED_ROLE

Die Verbindung ist ungültig, da der Google Cloud-Dienst-Agent die delegierte Rolle nicht übernehmen kann.

Gehen Sie so vor, um dieses Problem zu beheben:

• Prüfen Sie, ob die delegierte Rolle vorhanden ist. Informationen zum Erstellen finden Sie unter AWS-IAM-Rolle für die Vertrauensbeziehung zwischen AWS und Google Cloud erstellen.

• Die Inline-Richtlinie der delegierten Rolle fehlt. Andernfalls kann der Dienst-Agent die Rolle nicht übernehmen. Informationen zum Prüfen der Inline-Richtlinie finden Sie unter AWS-IAM-Rolle für die Vertrauensbeziehung zwischen AWS und Google Cloud erstellen.

AWS_FAILED_TO_LIST_ACCOUNTS

Die Verbindung ist ungültig, da die automatische Erkennung aktiviert ist und die delegierte Rolle nicht alle AWS-Konten in den Organisationen abrufen kann.

Dieses Problem weist darauf hin, dass die Richtlinie zum Zulassen der Aktion organizations:ListAccounts für die delegierte Rolle bei bestimmten Ressourcen fehlt. Prüfen Sie, welche Ressourcen fehlen, um dieses Problem zu beheben. Informationen zum Überprüfen der Einstellungen für die delegierte Richtlinie finden Sie unter AWS-IAM-Richtlinie für die delegierte Rolle erstellen.

AWS_INVALID_COLLECTOR_ACCOUNTS

Die Verbindung ist ungültig, da ungültige Collector-Konten vorhanden sind. Die Fehlermeldung enthält weitere Informationen zu den m��glichen Ursachen, darunter:

• AWS_FAILED_TO_ASSUME_COLLECTOR_ROLE
• AWS_COLLECTOR_ROLE_POLICY_MISSING_REQUIRED_PERMISSION

AWS_FAILED_TO_ASSUME_COLLECTOR_ROLE

Das Collector-Konto ist ungültig, da die delegierte Rolle die Collector-Rolle im Collector-Konto nicht übernehmen kann.

Gehen Sie so vor, um dieses Problem zu beheben:

• Prüfen Sie, ob die Collector-Rolle vorhanden ist.

  • Informationen zum Erstellen der Collector-Rolle für Asset-Konfigurationsdaten finden Sie unter AWS-IAM-Rolle für die Erfassung von Asset-Konfigurationsdaten in jedem Konto erstellen.
  • Informationen zum Erstellen der Collector-Rolle für Sensitive Data Protection finden Sie unter AWS-IAM-Rolle für Sensitive Data Protection in jedem Konto erstellen.

• Die Richtlinie, die es der delegierten Rolle erlaubt, die Collector-Rolle anzunehmen, fehlt. Informationen dazu, ob die Richtlinie vorhanden ist, finden Sie unter AWS-IAM-Richtlinie für die delegierte Rolle erstellen.

AWS_COLLECTOR_ROLE_POLICY_MISSING_REQUIRED_PERMISSION

Die Verbindung ist ungültig, da der Collector-Richtlinie einige der erforderlichen Berechtigungseinstellungen fehlen.

Um dieses Problem zu beheben, sollten Sie die folgenden Ursachen in Betracht ziehen:

• Einige der erforderlichen verwalteten AWS-Richtlinien sind möglicherweise nicht an die Collector-Rolle für Asset-Konfigurationsdaten angehängt. Wie Sie prüfen, ob alle Richtlinien angehängt sind, erfahren Sie in Schritt 6 unter AWS-IAM-Rolle für die Datenerfassung der Asset-Konfiguration in jedem Konto erstellen.

• Es kann eines der folgenden Probleme mit einer Collector-Richtlinie vorliegen:

  • Die Collector-Richtlinie ist möglicherweise nicht vorhanden.
  • Die Collector-Richtlinie ist nicht mit der Collector-Rolle verknüpft.
  • Die Collector-Richtlinie enthält nicht alle erforderlichen Berechtigungen.

  Informationen zum Beheben von Problemen mit einer Collector-Richtlinie finden Sie hier:

  • AWS-IAM-Richtlinie für die Erfassung von Asset-Konfigurationsdaten erstellen
  • AWS-IAM-Richtlinie für den Schutz sensibler Daten erstellen

Nächste Schritte

• Fahren Sie mit Schritt 4 des Einrichtungsleitfadens in der Console fort.
• Prüfen und beheben Sie die von AWS ermittelten Sicherheitslücken.
• Erstellen und verwalten Sie einen Sicherheitsstatus für AWS.
• Erstellen Sie Angriffspfadsimulationen für AWS-Ressourcen.
• Ordnen Sie die Compliance von AWS-Ressourcen verschiedenen Standards und Benchmarks zu.