Depois de conectar o Security Command Center à Amazon Web Services (AWS) para gerenciar vulnerabilidades, com exceção dos nomes do papel delegado e do coletor, é possível modificar as configurações de conexão da AWS. Se você precisar alterar os nomes dos papéis, exclua o conector da AWS e configure uma nova conexão.
Antes de começar
Conclua estas tarefas antes de finalizar as restantes nesta página.
Configurar permissões
Para ter as permissões necessárias para usar o conector da AWS,
peça ao administrador para conceder a você o
papel do IAM de Proprietário de recursos do Cloud (roles/cloudasset.owner).
Para mais informações sobre como conceder papéis, consulte Gerenciar acesso.
Também é possível conseguir as permissões necessárias por meio de papéis personalizados ou de outros papéis predefinidos.
Criar contas da AWS
Verifique se você criou os seguintes recursos da AWS:
- Um usuário do AWS IAM com acesso ao IAM da AWS para os consoles de conta delegado e coletor da AWS.
O ID da conta da AWS para uma conta da AWS que pode ser usada como a conta delegada. Se você quiser que o Security Command Center descubra automaticamente contas da AWS para encontrar recursos, a conta delegada precisa estar anexada a uma organização da AWS e ser uma das seguintes opções:
Uma conta da AWS com uma política de delegação baseada em recursos que fornece as permissões
organizationelist. Para ver um exemplo de política, consulte Exemplo: visualizar organização, UOs, contas e políticas.
Modificar uma conexão da AWS para detecção de vulnerabilidades e avaliação de risco
Modificar uma conexão atual da AWS quando a configuração do ambiente da AWS for alterada. Por exemplo, você quer monitorar diferentes regiões da AWS ou alterar a lista de contas da AWS usadas pelo Security Command Center.
No console do Google Cloud, acesse a página do Security Command Center.
Selecione a organização em que você ativou o Security Command Center Enterprise.
Clique em Configurações .
Clique na guia Conectores.
Clique na opção Editar ao lado da conexão que você quer atualizar.
Na página Editar conector do Amazon Web Services, faça as alterações. A tabela a seguir descreve as opções.
Opção Descrição Especificar quais contas da AWS usar É possível permitir que o Security Command Center descubra as contas da AWS automaticamente ou fornecer uma lista de contas da AWS que o Security Command Center pode usar para encontrar recursos. Especifique quais contas da AWS excluir Se você permitir que o Security Command Center descubra contas automaticamente, será possível fornecer uma lista das contas da AWS que o Security Command Center não poderá usar para encontrar recursos. Especifique quais regiões da AWS serão monitoradas É possível selecionar uma ou mais regiões da AWS para o Security Command Center monitorar. Deixe o campo Regiões da AWS vazio para monitorar todas as regiões. Substituir as consultas por segundo (QPS) padrão dos serviços da AWS É possível alterar o QPS para controlar o limite de cota do Security Command Center. Defina a substituição como um valor menor que o valor padrão desse serviço e maior ou igual a 1. O valor padrão é o máximo. Se você alterar o QPS, o Security Command Center poderá ter problemas ao buscar dados. Portanto, não recomendamos alterar esse valor.Alterar o endpoint do AWS Security Token Service É possível especificar um endpoint específico para o AWS Security Token Service (por exemplo, https://sts.us-east-2.amazonaws.com). Deixe o campo AWS Security Token Service (AWS STS) (opcional) vazio para usar o endpoint global padrão (https://sts.amazonaws.com).Se você alterou o ID da conta delegada ou a lista de contas da AWS para incluir ou excluir, atualize o ambiente da AWS. Uma alteração no ID da conta delegada requer que você defina a configuração da AWS novamente. Uma alteração na lista de contas da AWS exige que você adicione ou remova os papéis do coletor. Para remover as contas da AWS da lista de exclusão que você quer incluir, adicione os papéis do coletor a essas contas. Preencha os campos:
Clique em Continuar.
Na página Criar conexão com a AWS, siga um destes procedimentos:
Faça o download dos modelos do CloudFormation para os papéis delegado e coletor. Para instruções sobre como usar os modelos, consulte Usar modelos do CloudFormation para configurar o ambiente da AWS.
Se você quiser alterar a configuração da AWS manualmente, selecione Usar o console da AWS. Copie o ID do agente de serviço, o nome do papel delegado e o nome do papel do coletor. Para instruções sobre como atualizar a AWS manualmente, consulte Configurar contas da AWS manualmente.
Se você adicionou uma conta da AWS à lista de contas a serem excluídas, recomendamos remover o papel de coletor da conta.
Clique em Testar conector para verificar se o Security Command Center pode se conectar ao ambiente da AWS. Se a conexão for bem-sucedida, o agente de serviço do Google Cloud poderá assumir o papel delegado, e o papel delegado terá todas as permissões necessárias para assumir o papel do coletor. Se a conexão não for bem-sucedida, consulte Como solucionar erros ao testar a conexão.
Clique em Salvar.
A seguir
- Para informações sobre solução de problemas, consulte Conectar o Security Command Center à AWS.