Sie können die Security Command Center Enterprise-Stufe mit Ihrer AWS-Umgebung verbinden, um die folgenden Schritte auszuführen:
- Erkennen und beseitigen von Sicherheitslücken und Fehlkonfigurationen in Ihrer AWS-Umgebung
- Sicherheitsstatus für AWS erstellen und verwalten
- Identifizieren Sie potenzielle Angriffspfade vom öffentlichen Internet zu Ihren hochwertigen AWS-Assets
- Zuordnung der Compliance von AWS-Ressourcen zu verschiedenen Standards und Benchmarks
Durch die Verbindung von Security Command Center mit AWS kann Ihr Sicherheitsteam an einem zentralen Ort Bedrohungen und Sicherheitslücken in Google Cloud und AWS verwalten und beheben.
Damit Security Command Center Ihre AWS-Organisation überwachen kann, müssen Sie eine Verbindung mit einem Google Cloud-Dienst-Agent und einem AWS-Konto konfigurieren, das Zugriff auf die zu überwachenden Ressourcen hat. Security Command Center verwendet diese Verbindung, um regelmäßig Daten in allen von Ihnen definierten AWS-Konten und -Regionen zu erfassen.
In diesem Dokument wird beschrieben, wie Sie die Verbindung mit AWS einrichten. Wenn Sie eine Verbindung einrichten, konfigurieren Sie Folgendes:
- Eine Reihe von Konten in AWS, die direkten Zugriff auf die AWS-Ressourcen haben, die Sie überwachen möchten. In der Google Cloud Console werden diese Konten als Collector-Konten bezeichnet.
- Ein Konto in AWS, das die entsprechenden Richtlinien und Rollen hat, um die Authentifizierung bei Collector-Konten zu ermöglichen. In der Google Cloud Console wird dieses Konto als delegiertes Konto bezeichnet. Sowohl das delegierte Konto als auch die Collector-Konten müssen sich in derselben AWS-Organisation befinden.
- Ein Dienst-Agent in Google Cloud, der zur Authentifizierung eine Verbindung zum delegierten Konto herstellt.
- Pipeline zum Erfassen von Asset-Daten aus AWS-Ressourcen.
- (Optional) Berechtigungen für Sensitive Data Protection zum Erstellen von Profilen für AWS-Inhalte.
Diese Verbindung gilt nicht für die SIEM-Funktionen von Security Command Center, mit denen Sie AWS-Logs zur Bedrohungserkennung aufnehmen können.
Das folgende Diagramm zeigt diese Konfiguration. Das Mandantenprojekt ist ein automatisch erstelltes Projekt, das die Pipelineinstanz zur Asset-Datenerfassung enthält.
Hinweise
Führen Sie diese Schritte aus, bevor Sie die verbleibenden Aufgaben auf dieser Seite ausführen.
Security Command Center Enterprise-Stufe aktivieren
Führen Sie Schritt 1 und Schritt 2 des Einrichtungsleitfadens aus, um Security Command Center Enterprise zu aktivieren.
Berechtigungen einrichten
Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Cloud Asset Owner (roles/cloudasset.owner
) zu gewähren, um die erforderlichen Berechtigungen zur Verwendung des AWS-Connectors zu erhalten.
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.
Möglicherweise können Sie die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.
AWS-Konten erstellen
Achten Sie darauf, dass Sie die folgenden AWS-Ressourcen erstellt haben:
- Einen AWS IAM-Nutzer mit AWS IAM-Zugriff für die AWS-Kontokonsolen des Bevollmächtigten und des Collectors.
Die AWS-Konto-ID für ein AWS-Konto, das Sie als delegiertes Konto verwenden können. Wenn Security Command Center AWS-Konten zum Auffinden von Ressourcen automatisch erkennen soll, muss das delegierte Konto mit einer AWS-Organisation verknüpft sein und eines der folgenden Kriterien erfüllen:
Ein AWS-Konto mit einer ressourcenbasierten Delegationsrichtlinie, die die Berechtigungen
organization
undlist
bereitstellt. Ein Beispiel für eine Richtlinie finden Sie unter Beispiel: Organisation, OEs, Konten und Richtlinien ansehen.
Security Command Center konfigurieren
Rufen Sie in der Google Cloud Console die Seite für die Einrichtung auf.
Wählen Sie die Organisation aus, in der Sie Security Command Center Enterprise aktiviert haben.
Klicken Sie auf Schritt 3: Amazon Web Services-Connector (AWS) einrichten.
Geben Sie unter Delegierte Konto-ID die AWS-Konto-ID für das AWS-Konto ein, das Sie als delegiertes Konto verwenden können.
Damit Sensitive Data Protection ein Profil für Ihre AWS-Daten erstellt, lassen Sie Berechtigungen für Sensitive Data Protection-Erkennung gewähren ausgewählt. Mit dieser Option werden in der CloudFormation-Vorlage für die Collector-Rolle AWS-IAM-Berechtigungen hinzugefügt.
Durch diese Option gewährte AWS IAM-Berechtigungen
s3:GetBucketLocation
s3:ListAllMyBuckets
s3:GetBucketPolicyStatus
s3:ListBucket
s3:GetObject
iam:ListAttachedRolePolicies
iam:GetPolicy
iam:GetPolicyVersion
iam:ListRolePolicies
iam:GetRolePolicy
Mit dieser Option werden der Collector-Rolle nur die erforderlichen AWS-Berechtigungen gewährt. Wenn Sie ein Profil für Ihre AWS-Daten erstellen möchten, aktivieren Sie die Erkennung sensibler Daten.
Sehen Sie sich optional die erweiterten Optionen an.
Klicken Sie auf Weiter. Die Seite Mit AWS verbinden wird geöffnet.
Führen Sie einen dieser Schritte aus:
- Laden Sie die CloudFormation-Vorlagen für die delegierte Rolle und die Collector-Rolle herunter und prüfen Sie sie.
- Wenn Sie die erweiterten Optionen konfiguriert haben oder die Standardnamen der AWS-Rollen (aws-delegated-role, aws-collector-role und aws-sensitive-data-protection-role) ändern müssen, wählen Sie AWS-Konten manuell konfigurieren aus. Kopieren Sie die Dienst-Agent-ID, den delegierten Rollennamen, den Collector-Rollennamen und den Sensitive Data Protection-Collector-Rollennamen.
Sie können die Rollennamen nach dem Erstellen der Verbindung nicht mehr ändern.
Klicken Sie nicht auf Erstellen. Konfigurieren Sie stattdessen Ihre AWS-Umgebung.
AWS-Umgebung konfigurieren
Sie können Ihre AWS-Umgebung mit einer der folgenden Methoden einrichten:
- Verwenden Sie die CloudFormation-Vorlagen, die Sie unter Security Command Center konfigurieren heruntergeladen haben. Eine Anleitung finden Sie unter CloudFormation-Vorlagen zum Einrichten der AWS-Umgebung verwenden.
- Wenn Sie benutzerdefinierte Einstellungen oder Rollennamen verwenden, konfigurieren Sie die AWS-Konten manuell. Eine Anleitung finden Sie unter AWS-Konten manuell konfigurieren.
AWS-Umgebung mit CloudFormation-Vorlagen einrichten
Wenn Sie CloudFormation-Vorlagen heruntergeladen haben, führen Sie die folgenden Schritte aus, um Ihre AWS-Umgebung einzurichten.
- Melden Sie sich in der AWS Delegate-Konto-Konsole an. Achten Sie darauf, dass Sie in dem delegierten Konto angemeldet sind, das verwendet wird, um andere Collector-AWS-Konten zu übernehmen.
- Rufen Sie die Konsole AWS CloudFormation Template auf.
Erstellen Sie einen Stapel mithilfe der delegierten Rollenvorlagendatei. Weitere Informationen finden Sie in der AWS-Dokumentation unter Mit der AWS Management Console einen Stapel aus vorhandenen Ressourcen erstellen.
Gehen Sie die Aufforderungen durch:
- Laden Sie beim Angeben einer Vorlage die Vorlagendatei für die delegierte Rolle hoch.
- Geben Sie bei der Angabe der Stapeldetails einen Stapelnamen ein.
Überprüfen Sie die Parameter. Achten Sie darauf, dass die Namen der Delegat- und Collector-Rollen mit denen übereinstimmen, die in der Google Cloud Console auf der Seite Mit AWS verbinden aufgeführt sind.
Aktualisieren Sie die Stapeloptionen gemäß den Anforderungen Ihrer Organisation.
Warten Sie, bis der Stapel erstellt wurde. Falls ein Problem auftritt, lesen Sie die Informationen unter Fehlerbehebung.
Wenn Sie AWS-Konten einzeln hinzufügen (durch Deaktivieren der automatischen Erkennung für Konten), können Sie auch separate Stacks für jedes AWS-Konto erstellen, anstatt einen einzelnen Stack-Satz zu erstellen.
Erstellen Sie mit einem AWS-Verwaltungskonto oder einem Mitgliedskonto, das als delegierter Administrator registriert ist, einen Stacksatz. Weitere Informationen finden Sie in der AWS-Dokumentation unter Stackset mit vom Dienst verwalteten Berechtigungen erstellen.
Gehen Sie die Aufforderungen durch:
- Laden Sie beim Angeben einer Vorlage die Collector-Rollenvorlagendatei hoch.
- Prüfen und aktualisieren Sie bei Angabe der StackSet-Details die Konto-ID und die Rollennamen des delegierten Kontos.
- Konfigurieren Sie die Optionen für die Stapelgruppe entsprechend den Anforderungen Ihrer Organisation.
Wenn Sie die Bereitstellungsoptionen angeben, wählen Sie Ihre Bereitstellungsziele aus. Sie können die Bereitstellung in der gesamten AWS-Organisation oder in einer Organisationseinheit vornehmen, die alle AWS-Konten enthält, von denen Sie Daten erfassen möchten.
Geben Sie die AWS-Regionen an, in denen die Rollen und Richtlinien erstellt werden sollen. Da Rollen globale Ressourcen sind, müssen Sie nicht mehrere Regionen angeben.
Ändern Sie bei Bedarf weitere Einstellungen.
Prüfen Sie die Änderungen und erstellen Sie die Stapelgruppe. Wenn Sie eine Fehlermeldung erhalten, lesen Sie die Informationen unter Fehlerbehebung.
Stellen Sie einen separaten Stack bereit, um die Collector-Rolle unter dem Verwaltungskonto bereitzustellen, da ein AWS CloudFormation-Stack-Satz keine Stack-Instanzen unter einem Verwaltungskonto erstellt. Weitere Informationen finden Sie unter DeploymentTargets in der AWS-Dokumentation.
Informationen zum Abschließen des Integrationsprozesses findest du unter Verknüpfung abschließen.
AWS-Konten manuell konfigurieren
Wenn Sie die CloudFormation-Vorlagen nicht verwenden können (z. B. andere Rollennamen verwenden oder die Integration anpassen), können Sie die erforderlichen AWS IAM-Richtlinien und AWS IAM-Rollen manuell erstellen.
Sie müssen AWS IAM-Richtlinien und AWS IAM-Rollen für das delegierte Konto und die Collector-Konten erstellen.
AWS-IAM-Richtlinie für die delegierte Rolle erstellen
So erstellen Sie eine AWS-IAM-Richtlinie für die delegierte Rolle (eine delegierte Richtlinie):
Melden Sie sich in der Konsole für AWS Delegate-Konten an.
Klicken Sie auf Richtlinien > Richtlinie erstellen.
Klicken Sie auf JSON und fügen Sie eine der folgenden Optionen ein, je nachdem, ob Sie in Security Command Center konfigurieren das Kästchen Berechtigungen für die Erkennung sensibler Daten gewähren angeklickt haben.
Berechtigungen für die Erkennung von Sensitive Data Protection gewähren: gelöscht
{ "Version": "2012-10-17", "Statement": [ { "Action": "sts:AssumeRole", "Resource": "arn:aws:iam::*:role/COLLECTOR_ROLE_NAME", "Effect": "Allow" }, { "Action": [ "organizations:List*", "organizations:Describe*" ], "Resource": "*", "Effect": "Allow" } ] }
Ersetzen Sie
COLLECTOR_ROLE_NAME
durch den Namen der Collector-Rolle, die Sie beim Konfigurieren von Security Command Center kopiert haben (der Standardwert istaws-collector-role
).Berechtigungen für die Erkennung von Sensitive Data Protection gewähren: ausgewählt
{ "Version": "2012-10-17", "Statement": [ { "Action": "sts:AssumeRole", "Resource": [ "arn:aws:iam::*:role/COLLECTOR_ROLE_NAME", "arn:aws:iam::*:role/SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME" ], "Effect": "Allow" }, { "Action": [ "organizations:List*", "organizations:Describe*" ], "Resource": "*", "Effect": "Allow" } ] }
Ersetzen Sie Folgendes:
COLLECTOR_ROLE_NAME
: der Name der Konfigurationsdaten-Collector-Rolle, die Sie beim Konfigurieren von Security Command Center kopiert haben (Standardeinstellung istaws-collector-role
)SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME
: Name der Collector-Rolle für den Schutz sensibler Daten, die Sie beim Konfigurieren von Security Command Center kopiert haben (Standardeinstellung istaws-sensitive-data-protection-role
)
Klicken Sie auf Weiter.
Geben Sie im Abschnitt Richtliniendetails einen Namen und eine Beschreibung für die Richtlinie ein.
Klicken Sie auf Richtlinie erstellen.
AWS-IAM-Rolle für die Vertrauensbeziehung zwischen AWS und Google Cloud erstellen
Erstellen Sie eine delegierte Rolle, die eine vertrauenswürdige Beziehung zwischen AWS und Google Cloud einrichtet. Diese Rolle verwendet die delegierte Richtlinie, die unter AWS-IAM-Richtlinie für die delegierte Rolle erstellen erstellt wurde.
Melden Sie sich in der AWS Delegate Account Console als AWS-Nutzer an, der IAM-Rollen und -Richtlinien erstellen kann.
Klicken Sie auf Rollen > Rolle erstellen.
Klicken Sie unter Typ der vertrauenswürdigen Entität auf Webidentität.
Klicken Sie unter Identity Provider (Identitätsanbieter) auf Google.
Geben Sie unter Zielgruppe die Dienstkonto-ID ein, die Sie beim Konfigurieren von Security Command Center kopiert haben. Klicken Sie auf Weiter.
Hängen Sie die Berechtigungsrichtlinien an die Rolle an, um der delegierten Rolle Zugriff auf die Collector-Rollen zu gewähren. Suchen Sie nach der delegierten Richtlinie, die unter AWS-IAM-Richtlinie für die delegierte Rolle erstellen erstellt wurde, und wählen Sie sie aus.
Geben Sie im Abschnitt Rollendetails den Namen der delegierten Rolle ein, den Sie bei der Konfiguration von Security Command Center kopiert haben. Der Standardname ist
aws-delegated-role
.Klicken Sie auf Rolle erstellen.
AWS-IAM-Richtlinie für die Erfassung von Asset-Konfigurationsdaten erstellen
So erstellen Sie eine AWS-IAM-Richtlinie für die Erfassung von Asset-Konfigurationsdaten (eine Collector-Richtlinie):
Melden Sie sich in der AWS-Collector-Kontokonsole an.
Klicken Sie auf Richtlinien > Richtlinie erstellen.
Klicken Sie auf JSON und fügen Sie Folgendes ein:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ce:GetCostAndUsage", "dynamodb:DescribeTableReplicaAutoScaling", "identitystore:ListGroupMemberships", "identitystore:ListGroups", "identitystore:ListUsers", "lambda:GetFunction", "lambda:GetFunctionConcurrency", "logs:ListTagsForResource", "s3express:GetBucketPolicy", "s3express:ListAllMyDirectoryBuckets", "wafv2:GetIPSet" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "apigateway:GET" ], "Resource": [ "arn:aws:apigateway:*::/usageplans", "arn:aws:apigateway:*::/usageplans/*/keys", "arn:aws:apigateway:*::/vpclinks/*" ] } ] }
Klicken Sie auf Weiter.
Geben Sie im Abschnitt Richtliniendetails einen Namen und eine Beschreibung für die Richtlinie ein.
Klicken Sie auf Richtlinie erstellen.
Wiederholen Sie diese Schritte für jedes Collector-Konto.
AWS IAM-Rolle für die Erfassung von Asset-Konfigurationsdaten in jedem Konto erstellen
Erstellen Sie die Collector-Rolle, mit der Security Command Center Asset-Konfigurationsdaten aus AWS abrufen kann. Diese Rolle verwendet die Collector-Richtlinie, die unter AWS IAM-Richtlinie für die Erfassung von Asset-Konfigurationsdaten erstellen erstellt wurde.
Melden Sie sich in der AWS-Collector-Kontokonsole als Nutzer an, der IAM-Rollen für die Collector-Konten erstellen kann.
Klicken Sie auf Rollen > Rolle erstellen.
Klicken Sie unter Typ der vertrauenswürdigen Entität auf Benutzerdefinierte Vertrauensrichtlinie.
Fügen Sie im Abschnitt Benutzerdefinierte Vertrauensrichtlinie Folgendes ein:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::DELEGATE_ACCOUNT_ID:role/DELEGATE_ACCOUNT_ROLE" }, "Action": "sts:AssumeRole" } ] }
Ersetzen Sie Folgendes:
DELEGATE_ACCOUNT_ID
: die AWS-Konto-ID für das delegierte KontoDELEGATE_ACCOUNT_ROLE
: Der Name der delegierten Rolle, den Sie beim Konfigurieren von Security Command Center kopiert haben.
Hängen Sie die Berechtigungsrichtlinien an die Rolle an, um dieser Collector-Rolle Zugriff auf Ihre AWS-Asset-Konfigurationsdaten zu gewähren. Suchen Sie nach der benutzerdefinierten Collector-Richtlinie, die unter AWS-IAM-Richtlinie für die Sammlung von Asset-Konfigurationsdaten erstellen erstellt wurde, und wählen Sie sie aus.
Suchen Sie nach den folgenden verwalteten Richtlinien und wählen Sie sie aus:
- arn:aws:iam::aws:policy/job-function/ViewOnlyAccess
- arn:aws:iam::aws:policy/SecurityAudit
Geben Sie im Abschnitt Rollendetails den Namen der Rolle des Konfigurationsdaten-Collectors ein, die Sie bei der Konfiguration von Security Command Center kopiert haben.
Klicken Sie auf Rolle erstellen.
Wiederholen Sie diese Schritte für jedes Collector-Konto.
Wenn Sie unter Security Command Center konfigurieren das Kästchen Berechtigungen für die Erkennung sensibler Daten gewähren angeklickt haben, fahren Sie mit dem nächsten Abschnitt fort.
Wenn Sie das Kästchen Berechtigungen für die Erkennung sensibler Daten gewähren nicht angeklickt haben, schließen Sie den Integrationsprozess ab.
AWS-IAM-Richtlinie für Sensitive Data Protection erstellen
Führen Sie die folgenden Schritte aus, wenn Sie in Security Command Center konfigurieren das Kästchen Berechtigungen für die Erkennung sensibler Daten gewähren angeklickt haben.
So erstellen Sie eine AWS-IAM-Richtlinie für Sensitive Data Protection (eine Collector-Richtlinie):
Melden Sie sich in der AWS-Collector-Kontokonsole an.
Klicken Sie auf Richtlinien > Richtlinie erstellen.
Klicken Sie auf JSON und fügen Sie Folgendes ein:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:ListAllMyBuckets", "s3:GetBucketPolicyStatus", "s3:ListBucket", "s3:GetObject" ], "Resource": [ "arn:aws:s3:::*" ] }, { "Effect": "Allow", "Action": [ "iam:ListAttachedRolePolicies", "iam:ListRolePolicies", "iam:GetPolicy", "iam:GetPolicyVersion", "iam:GetRolePolicy" ], "Resource": [ "*" ] } ] }
Klicken Sie auf Weiter.
Geben Sie im Abschnitt Richtliniendetails einen Namen und eine Beschreibung für die Richtlinie ein.
Klicken Sie auf Richtlinie erstellen.
Wiederholen Sie diese Schritte für jedes Collector-Konto.
AWS IAM-Rolle für Sensitive Data Protection in jedem Konto erstellen
Führen Sie die folgenden Schritte aus, wenn Sie in Security Command Center konfigurieren das Kästchen Berechtigungen für die Erkennung sensibler Daten gewähren angeklickt haben.
Erstellen Sie die Collector-Rolle, mit der Sensitive Data Protection ein Profil für die Inhalte Ihrer AWS-Ressourcen erstellen kann. Diese Rolle verwendet die Collector-Richtlinie, die unter AWS-IAM-Richtlinie für den Schutz sensibler Daten erstellen erstellt wurde.
Melden Sie sich in der AWS-Collector-Kontokonsole als Nutzer an, der IAM-Rollen für Collector-Konten erstellen kann.
Klicken Sie auf Rollen > Rolle erstellen.
Klicken Sie unter Typ der vertrauenswürdigen Entität auf Benutzerdefinierte Vertrauensrichtlinie.
Fügen Sie im Abschnitt Benutzerdefinierte Vertrauensrichtlinie Folgendes ein:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::DELEGATE_ACCOUNT_ID:role/DELEGATE_ACCOUNT_ROLE" }, "Action": "sts:AssumeRole" } ] }
Ersetzen Sie Folgendes:
DELEGATE_ACCOUNT_ID
: die AWS-Konto-ID für das delegierte KontoDELEGATE_ACCOUNT_ROLE
: der Name der delegierten Rolle, den Sie bei der Konfiguration von Security Command Center kopiert haben.
Hängen Sie die Berechtigungsrichtlinien an die Rolle an, um dieser Collector-Rolle Zugriff auf die Inhalte Ihrer AWS-Ressourcen zu gewähren. Suchen Sie nach der benutzerdefinierten Collector-Richtlinie, die unter AWS-IAM-Richtlinie für Sensitive Data Protection erstellen erstellt wurde, und wählen Sie sie aus.
Geben Sie im Bereich Rollendetails den Namen der Rolle für den Schutz sensibler Daten ein, die Sie bei der Konfiguration von Security Command Center kopiert haben.
Klicken Sie auf Rolle erstellen.
Wiederholen Sie diese Schritte für jedes Collector-Konto.
Informationen zum Abschließen des Integrationsprozesses findest du unter Verknüpfung abschließen.
Integration abschließen
Rufen Sie in der Google Cloud Console die Seite Amazon Web Services-Connector hinzufügen auf.
Klicken Sie auf Test Connector (Connector testen), um zu prüfen, ob Security Command Center eine Verbindung zu Ihrer AWS-Umgebung herstellen kann. Wenn die Verbindung erfolgreich hergestellt wurde, wurde durch den Test festgestellt, dass die delegierte Rolle alle erforderlichen Berechtigungen hat, um die Collector-Rollen zu übernehmen. Wenn die Verbindung nicht hergestellt werden konnte, lesen Sie die Informationen unter Fehlerbehebung beim Testen der Verbindung.
Klicken Sie auf Erstellen.
Benutzerdefinierte Konfiguration
In diesem Abschnitt werden einige Möglichkeiten beschrieben, wie Sie die Verbindung zwischen Security Command Center und AWS anpassen können. Diese Optionen sind in der Google Cloud Console auf der Seite Amazon Web Services-Connector hinzufügen im Abschnitt Erweiterte Optionen (optional) verfügbar.
Standardmäßig erkennt Security Command Center automatisch Ihre AWS-Konten in allen AWS-Regionen. Die Verbindung verwendet den globalen Standardendpunkt für den AWS Security Token Service und die Standardabfragen pro Sekunde für den überwachten AWS-Dienst. Mit diesen erweiterten Optionen können Sie die Standardeinstellungen anpassen.
Wahltaste | Beschreibung |
---|---|
Angeben, welche AWS-Konten verwendet werden sollen | Sie können Security Command Center die AWS-Konten automatisch erkennen lassen oder eine Liste von AWS-Konten bereitstellen, mit denen Security Command Center Ressourcen finden kann. |
Geben Sie an, welche AWS-Konten ausgeschlossen werden sollen | Wenn Sie Security Command Center automatisch Konten erkennen lassen, können Sie eine Liste von AWS-Konten angeben, die Security Command Center zum Auffinden von Ressourcen nicht verwenden kann. |
Geben Sie an, welche AWS-Regionen überwacht werden sollen | Sie können eine oder mehrere AWS-Regionen zum Überwachen von Security Command Center auswählen. Lassen Sie das Feld AWS regions (AWS-Regionen) leer, um alle Regionen zu überwachen. |
Standardabfragen pro Sekunde für AWS-Dienste überschreiben | Sie können die Anzahl der Abfragen pro Sekunde ändern, um das Kontingentlimit für Security Command Center zu steuern. Legen Sie für die Überschreibung einen Wert fest, der kleiner als der Standardwert für diesen Dienst und größer oder gleich 1 ist. Der Standardwert ist der Maximalwert. Wenn Sie die Abfragen pro Sekunde ändern, können Probleme beim Abrufen von Daten durch Security Command Center auftreten. Es ist daher nicht empfehlenswert, diesen Wert zu ändern. |
Endpunkt für AWS Security Token Service ändern | Sie können einen bestimmten Endpunkt für den AWS Security Token Service angeben (z. B. https://sts.us-east-2.amazonaws.com ). Lassen Sie das Feld AWS Security Token Service (AWS STS) (optional) leer, um den globalen Standardendpunkt (https://sts.amazonaws.com ) zu verwenden. |
Fehlerbehebung
Dieser Abschnitt enthält einige häufige Probleme, die bei der Integration von Security Command Center in AWS auftreten können.
Ressourcen sind bereits vorhanden
Dieser Fehler tritt in der AWS-Umgebung auf, wenn Sie versuchen, AWS IAM-Richtlinien und AWS IAM-Rollen zu erstellen. Dieses Problem tritt auf, wenn die Rolle bereits in Ihrem AWS-Konto vorhanden ist und Sie versuchen, sie noch einmal zu erstellen.
So beheben Sie das Problem:
- Prüfen Sie, ob die Rolle oder Richtlinie, die Sie erstellen, bereits vorhanden ist und die in diesem Leitfaden aufgeführten Anforderungen erfüllt.
- Ändern Sie bei Bedarf den Rollennamen, um Konflikte zu vermeiden.
Ungültiges Hauptkonto in Richtlinie
Dieser Fehler kann in der AWS-Umgebung auftreten, wenn Sie die Collector-Rollen erstellen, die Rolle des Bevollmächtigten jedoch noch nicht vorhanden ist.
Führen Sie zum Beheben dieses Problems die Schritte unter AWS-IAM-Richtlinie für die delegierte Rolle erstellen aus und warten Sie, bis die delegierte Rolle erstellt wurde, bevor Sie fortfahren.
Drosselungseinschränkungen in AWS
AWS drosselt API-Anfragen für jedes AWS-Konto pro Konto oder Region. Damit diese Limits nicht überschritten werden, wenn Security Command Center Asset-Konfigurationsdaten von AWS erfasst, erfasst Security Command Center die Daten zu einer festen maximalen Anzahl von Abfragen pro Sekunde für jeden AWS-Dienst, wie in der API-Dokumentation für den AWS-Dienst beschrieben.
Wenn in Ihrer AWS-Umgebung aufgrund der verbrauchten Abfragen pro Sekunde eine Anfragedrosselung auftritt, können Sie das Problem so beheben:
Legen Sie auf der Seite mit den AWS-Connector-Einstellungen benutzerdefinierte Abfragen pro Sekunde für den AWS-Dienst fest, bei dem Probleme mit der Anfragedrosselung auftreten.
Schränken Sie die Berechtigungen der AWS-Collector-Rolle ein, sodass die Daten von diesem spezifischen Dienst nicht mehr erfasst werden. Dieses Verfahren verhindert, dass Angriffspfadsimulationen für AWS korrekt funktionieren.
Wenn Sie alle Berechtigungen in AWS widerrufen, wird der Daten-Collector-Prozess sofort angehalten. Durch das Löschen des AWS-Connectors wird der Data Collector-Prozess nicht sofort angehalten, aber nach Abschluss des Vorgangs nicht wieder gestartet.
Fehlerbehebung beim Testen der Verbindung
Diese Fehler können auftreten, wenn Sie die Verbindung zwischen Security Command Center und AWS testen.
AWS_FAILED_TO_ASSUME_DELEGATED_ROLE
Die Verbindung ist ungültig, da der Google Cloud-Dienst-Agent die delegierte Rolle nicht übernehmen kann.
Gehen Sie so vor, um dieses Problem zu beheben:
Prüfen Sie, ob die delegierte Rolle vorhanden ist. Informationen zum Erstellen finden Sie unter AWS-IAM-Rolle für die Vertrauensbeziehung zwischen AWS und Google Cloud erstellen.
Die Inline-Richtlinie der delegierten Rolle fehlt. Andernfalls kann der Dienst-Agent die Rolle nicht übernehmen. Informationen zum Prüfen der Inline-Richtlinie finden Sie unter AWS-IAM-Rolle für die Vertrauensbeziehung zwischen AWS und Google Cloud erstellen.
AWS_FAILED_TO_LIST_ACCOUNTS
Die Verbindung ist ungültig, da die automatische Erkennung aktiviert ist und die delegierte Rolle nicht alle AWS-Konten in den Organisationen abrufen kann.
Dieses Problem weist darauf hin, dass die Richtlinie zum Zulassen der Aktion organizations:ListAccounts
für die delegierte Rolle bei bestimmten Ressourcen fehlt. Prüfen Sie, welche Ressourcen fehlen, um dieses Problem zu beheben. Informationen zum Überprüfen der Einstellungen für die delegierte Richtlinie finden Sie unter AWS-IAM-Richtlinie für die delegierte Rolle erstellen.
AWS_INVALID_COLLECTOR_ACCOUNTS
Die Verbindung ist ungültig, da ungültige Collector-Konten vorhanden sind. Die Fehlermeldung enthält weitere Informationen zu den m��glichen Ursachen, darunter:
AWS_FAILED_TO_ASSUME_COLLECTOR_ROLE
Das Collector-Konto ist ungültig, da die delegierte Rolle die Collector-Rolle im Collector-Konto nicht übernehmen kann.
Gehen Sie so vor, um dieses Problem zu beheben:
Prüfen Sie, ob die Collector-Rolle vorhanden ist.
- Informationen zum Erstellen der Collector-Rolle für Asset-Konfigurationsdaten finden Sie unter AWS-IAM-Rolle für die Erfassung von Asset-Konfigurationsdaten in jedem Konto erstellen.
- Informationen zum Erstellen der Collector-Rolle für Sensitive Data Protection finden Sie unter AWS-IAM-Rolle für Sensitive Data Protection in jedem Konto erstellen.
Die Richtlinie, die es der delegierten Rolle erlaubt, die Collector-Rolle anzunehmen, fehlt. Informationen dazu, ob die Richtlinie vorhanden ist, finden Sie unter AWS-IAM-Richtlinie für die delegierte Rolle erstellen.
AWS_COLLECTOR_ROLE_POLICY_MISSING_REQUIRED_PERMISSION
Die Verbindung ist ungültig, da der Collector-Richtlinie einige der erforderlichen Berechtigungseinstellungen fehlen.
Um dieses Problem zu beheben, sollten Sie die folgenden Ursachen in Betracht ziehen:
Einige der erforderlichen verwalteten AWS-Richtlinien sind möglicherweise nicht an die Collector-Rolle für Asset-Konfigurationsdaten angehängt. Wie Sie prüfen, ob alle Richtlinien angehängt sind, erfahren Sie in Schritt 6 unter AWS-IAM-Rolle für die Datenerfassung der Asset-Konfiguration in jedem Konto erstellen.
Es kann eines der folgenden Probleme mit einer Collector-Richtlinie vorliegen:
- Die Collector-Richtlinie ist möglicherweise nicht vorhanden.
- Die Collector-Richtlinie ist nicht mit der Collector-Rolle verknüpft.
- Die Collector-Richtlinie enthält nicht alle erforderlichen Berechtigungen.
Informationen zum Beheben von Problemen mit einer Collector-Richtlinie finden Sie hier:
Nächste Schritte
- Fahren Sie mit Schritt 4 des Einrichtungsleitfadens in der Console fort.
- Prüfen und beheben Sie die von AWS ermittelten Sicherheitslücken.
- Erstellen und verwalten Sie einen Sicherheitsstatus für AWS.
- Erstellen Sie Angriffspfadsimulationen für AWS-Ressourcen.
- Ordnen Sie die Compliance von AWS-Ressourcen verschiedenen Standards und Benchmarks zu.