Dopo aver connesso Security Command Center ad Amazon Web Services (AWS) per la gestione delle vulnerabilità, ad eccezione dei nomi dei ruoli con delega e di raccoglitore, puoi modificare le impostazioni di connessione AWS. Se devi modificare i nomi dei ruoli, devi eliminare il connettore AWS e configurare una nuova connessione.
Prima di iniziare
Completa queste attività prima di quelle rimanenti su questa pagina.
Configurare le autorizzazioni
Per ottenere le autorizzazioni necessarie per utilizzare il connettore AWS,
chiedi all'amministratore di concederti il ruolo IAM
Proprietario asset cloud (roles/cloudasset.owner).
Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso.
Potresti anche essere in grado di ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.
Crea account AWS
Assicurati di aver creato le seguenti risorse AWS:
- Un utente AWS IAM con accesso AWS IAM per le console dell'account AWS delegato e raccoglitore.
L'ID account AWS per un account AWS che puoi utilizzare come account delegato. Se vuoi che Security Command Center rilevi automaticamente gli account AWS per trovare le risorse, l'account delegato deve essere collegato a un'organizzazione AWS ed essere uno dei seguenti:
Un account AWS con un criterio di delega basata sulle risorse che fornisce le autorizzazioni
organizationelist. Per un esempio di criterio, vedi Esempio: visualizzare organizzazione, UO, account e criteri.
Modifica una connessione AWS esistente per il rilevamento delle vulnerabilità e la valutazione del rischio
Modificare una connessione AWS esistente quando la configurazione dell'ambiente AWS cambia. Ad esempio, vuoi monitorare diverse regioni AWS o modificare l'elenco di account AWS utilizzati da Security Command Center.
Nella console Google Cloud, vai alla pagina Security Command Center.
Seleziona l'organizzazione in cui hai attivato Security Command Center Enterprise.
Fai clic su Impostazioni.
Fai clic sulla scheda Connettori.
Fai clic sull'opzione Modifica accanto alla connessione da aggiornare.
Nella pagina Modifica il connettore Amazon Web Services, apporta le modifiche. Nella tabella seguente sono descritte le opzioni.
Opzione Descrizione Specifica quali account AWS utilizzare Puoi consentire a Security Command Center di rilevare automaticamente gli account AWS oppure puoi fornire un elenco di account AWS che Security Command Center può utilizzare per trovare risorse. Specifica gli account AWS da escludere Se consenti a Security Command Center di rilevare automaticamente gli account, puoi fornire un elenco di account AWS che Security Command Center non può utilizzare per trovare risorse. Specifica le regioni AWS da monitorare Puoi selezionare una o più regioni AWS da monitorare da Security Command Center. Lascia vuoto il campo Regioni AWS per monitorare tutte le regioni. Esegui l'override delle query al secondo (QPS) predefinite per i servizi AWS Puoi modificare il valore QPS per controllare il limite di quota per Security Command Center. Imposta l'override su un valore inferiore al valore predefinito per quel servizio e maggiore o uguale a 1. Il valore predefinito è il valore massimo. Se modifichi il valore QPS, Security Command Center potrebbe riscontrare problemi durante il recupero dei dati. Pertanto, sconsigliamo di modificare questo valore.Modifica l'endpoint per AWS Security Token Service Puoi specificare un endpoint specifico per AWS Security Token Service (ad esempio, https://sts.us-east-2.amazonaws.com). Lascia vuoto il campo AWS Security Token Service (AWS STS) (facoltativo) per utilizzare l'endpoint globale predefinito (https://sts.amazonaws.com).Se hai modificato l'ID account delegato o l'elenco di account AWS da includere o escludere, devi aggiornare il tuo ambiente AWS. Una modifica all'ID account delegato richiede la nuova configurazione della configurazione AWS. Una modifica all'elenco di account AWS richiede l'aggiunta o la rimozione dei ruoli di raccoglitore. Per rimuovere gli account AWS dall'elenco di esclusione perché vuoi includerli, devi aggiungere i ruoli di raccoglitore a questi account. Completa i seguenti passaggi:
Fai clic su Continua.
Nella pagina Create connection with AWS (Crea connessione con AWS), completa una delle seguenti operazioni:
Scarica i modelli CloudFormation per il ruolo delegato e il ruolo collector. Per istruzioni sull'utilizzo dei modelli, consulta Utilizzare i modelli CloudFormation per configurare l'ambiente AWS.
Se vuoi modificare la configurazione AWS manualmente, seleziona Utilizza la console AWS. Copia l'ID agente di servizio, il nome del ruolo delegato e il nome del ruolo raccoglitore. Per istruzioni su come aggiornare manualmente AWS, consulta Configurare manualmente gli account AWS.
Se hai aggiunto un account AWS all'elenco degli account AWS da escludere, ti consigliamo di rimuovere il ruolo raccoglitore dall'account.
Fai clic su Test Connector (Connettore di test) per verificare che Security Command Center sia in grado di connettersi al tuo ambiente AWS. Se la connessione ha esito positivo, l'agente di servizio Google Cloud può assumere il ruolo delegato e quest'ultimo dispone di tutte le autorizzazioni necessarie per assumere il ruolo di raccoglitore. Se la connessione non va a buon fine, consulta la sezione Risoluzione degli errori durante il test della connessione.
Fai clic su Salva.
Passaggi successivi
- Per informazioni sulla risoluzione dei problemi, vedi Connect Security Command Center to AWS (Connetti Security Command Center ad AWS).