您可以将 Security Command Center Enterprise 层级连接到您的 AWS 环境,以便完成以下操作:
- 检测并修复 AWS 环境中的软件漏洞和错误配置
- 为 AWS 创建和管理安全状况
- 识别从公共互联网到您的高价值 AWS 资产的潜在攻击路径
- 使用各种标准和基准映射 AWS 资源的合规性
通过将 Security Command Center 连接到 AWS,您的安全运营团队可以在同一个位置管理和修复 Google Cloud 和 AWS 中的威胁和漏洞。
如需让 Security Command Center 监控您的 AWS 组织,您必须使用 Google Cloud 服务代理和有权访问要监控的资源的 AWS 帐号来配置连接。Security Command Center 使用此连接定期收集您定义的所有 AWS 帐号和区域的数据。
本文档介绍如何设置与 AWS 的连接。在设置连接时,您可以配置以下内容:
- AWS 中的一系列帐号,这些帐号可直接访问您要监控的 AWS 资源。在 Google Cloud 控制台中,这些帐号称为收集器帐号。
- AWS 中具有适当政策和角色以允许对收集器帐号进行身份验证的帐号。在 Google Cloud 控制台中,此帐号称为“委派帐号”。委派帐号和收集器帐号必须位于同一 AWS 组织中。
- Google Cloud 中的服务代理,可连接到委托帐号以进行身份验证。
- 用于从 AWS 资源收集资产数据的流水线。
- (可选)敏感数据保护功能可以分析您的 AWS 内容。
此连接不适用于 Security Command Center 的 SIEM 功能,可让您注入 AWS 日志以进行威胁检测。
下图展示了此配置。租户项目是自动创建的项目,包含您的资产数据收集流水线实例。
准备工作
请先完成这些任务,然后再完成此页面上的其余任务。
激活 Security Command Center Enterprise 层级
完成设置指南的第 1 步和第 2 步,以激活 Security Command Center Enterprise 层级。
设置权限
如需获取使用 AWS 连接器所需的权限,请让管理员授予您 Cloud Asset Owner (roles/cloudasset.owner) IAM 角色。如需详细了解如何授予角色,请参阅管理访问权限。
创建 AWS 账号
确保您已创建以下 AWS 资源:
- 对代理和收集器 AWS 帐号控制台具有 AWS IAM 访问权限的 AWS IAM 用户。
可用作委派帐号的 AWS 帐号的 AWS 帐号 ID。如果您希望 Security Command Center 自动发现 AWS 帐号以查找资源,则委派的帐号必须附加到 AWS 组织,并且必须是以下某项:
一个具有基于资源的委托政策且提供
organization和list权限的 AWS 帐号。如需查看示例政策,请参阅示例:查看组织、组织部门、帐号和政策。
配置 Security Command Center
在 Google Cloud 控制台中,前往设置页面。
选择已激活 Security Command Center Enterprise 层级的组织。
点击第 3 步:设置 Amazon Web Services (AWS) 连接器。
在委派帐号 ID 中,输入您可以用作委派帐号的 AWS 帐号的 AWS 帐号 ID。
如需让 Sensitive Data Protection 分析您的 AWS 数据,请保持为敏感数据保护发现授予权限处于选中状态。此选项会在收集器角色的 CloudFormation 模板中添加 AWS IAM 权限。
此选项授予的 AWS IAM 权限
s3:GetBucketLocations3:ListAllMyBucketss3:GetBucketPolicyStatuss3:ListBuckets3:GetObjectiam:ListAttachedRolePoliciesiam:GetPolicyiam:GetPolicyVersioniam:ListRolePoliciesiam:GetRolePolicy
此选项仅向收集器角色授予所需的 AWS 权限。如需分析 AWS 数据,请启用敏感数据发现。
(可选)查看高级选项。
点击继续。Connect to AWS 页面将打开。
完成下列操作之一:
- 下载并查看委派角色和收集器角色的 CloudFormation 模板。
- 如果您配置了高级选项或需要更改默认的 AWS 角色名称(aws-delegated-role、aws-collector-role 和 aws-sensitive-data-protection-role),请选择手动配置 AWS 帐号。复制服务代理 ID、委派角色名称、收集器角色名称和 Sensitive Data Protection 收集器角色名称。
创建连接后,您将无法更改角色名称。
请勿点击创建。请配置您的 AWS 环境。
配置 AWS 环境
您可以使用以下方法之一设置 AWS 环境:
- 使用您在配置 Security Command Center 中下载的 CloudFormation 模板。如需查看说明,请参阅使用 CloudFormation 模板设置 AWS 环境。
- 如果您使用的是自定义设置或角色名称,请手动配置 AWS 帐号。如需查看说明,请参阅手动配置 AWS 帐号。
使用 CloudFormation 模板设置您的 AWS 环境
如果您下载了 CloudFormation 模板,请按照以下步骤设置 AWS 环境。
- 登录 AWS 委托帐号控制台。请确保您已登录用于承担其他收集器 AWS 帐号的委托帐号。
- 转到 AWS CloudFormation 模板控制台。
使用委派角色模板文件创建堆栈。如需了解详情,请参阅 AWS 文档中的使用 AWS 管理控制台基于现有资源创建堆栈。
在浏览提示的过程中,请执行以下操作:
- 在指定模板时,请上传委派角色模板文件。
- 指定堆栈详细信息时,请输入堆栈名称。
查看参数。确保委托和收集器角色名称与 Google Cloud 控制台的连接到 AWS 页面中列出的名称一致。
根据贵组织的要求,更新堆栈选项。
等待堆栈创建完毕。如果出现问题,请参阅问题排查。
如果您选择逐个添加 AWS 帐号(通过停用帐号的自动发现功能),您还可以为每个 AWS 帐号创建单独的堆栈,而不是创建单个堆栈集。
使用 AWS 管理帐号或注册为委派管理员的任何成员帐号,创建堆栈集。如需了解详情,请参阅 AWS 文档中的创建具有服务管理权限的堆栈集。
在浏览提示的过程中,请执行以下操作:
- 指定模板时,请上传收集器角色模板文件。
- 指定 StackSet 详细信息时,请验证并更新委托账号 ID 和角色名称。
- 根据贵组织要求,配置堆栈集选项。
指定部署选项时,选择部署目标。 您可以部署到整个 AWS 组织,也可以部署到包含您要从中收集数据的所有 AWS 帐号的组织部门。
指定要在其中创建角色和政策的 AWS 区域。由于角色属于全球性资源,因此您无需指定多个区域。
根据需要更改其他设置。
查看更改并创建堆栈集。如果您收到错误,请参阅问题排查。
部署单独的堆栈以在管理帐号下配置收集器角色,因为 AWS CloudFormation 堆栈集不会在管理帐号下创建堆栈实例。如需了解详情,请参阅 AWS 文档中的 DeploymentTargets。
如需完成集成流程,请参阅完成集成流程。
手动配置 AWS 账号
如果您无法使用 CloudFormation 模板(例如,您正在使用不同的角色名称或正在自定义集成),则可以手动创建所需的 AWS IAM 政策和 AWS IAM 角色。
您必须为委派帐号和收集器帐号创建 AWS IAM 政策和 AWS IAM 角色。
为委派角色创建 AWS IAM 政策
如需为委派角色创建 AWS IAM 政策(委派政策),请完成以下步骤:
登录 AWS 委托帐号控制台。
点击政策 > 创建政策。
点击 JSON 并粘贴以下内容之一,具体取决于您是否在配置 Security Command Center 中勾选了授予敏感数据保护发现权限复选框。
已清除授予敏感数据保护发现的权限:
{ "Version": "2012-10-17", "Statement": [ { "Action": "sts:AssumeRole", "Resource": "arn:aws:iam::*:role/COLLECTOR_ROLE_NAME", "Effect": "Allow" }, { "Action": [ "organizations:List*", "organizations:Describe*" ], "Resource": "*", "Effect": "Allow" } ] }将
COLLECTOR_ROLE_NAME替换为您在配置 Security Command Center 时复制的收集器角色的名称(默认值为aws-collector-role)。授予 Sensitive Data Protection 发现的权限:选中
{ "Version": "2012-10-17", "Statement": [ { "Action": "sts:AssumeRole", "Resource": [ "arn:aws:iam::*:role/COLLECTOR_ROLE_NAME", "arn:aws:iam::*:role/SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME" ], "Effect": "Allow" }, { "Action": [ "organizations:List*", "organizations:Describe*" ], "Resource": "*", "Effect": "Allow" } ] }请替换以下内容:
COLLECTOR_ROLE_NAME:您在配置 Security Command Center 时复制的配置数据收集器角色的名称(默认值为aws-collector-role)SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME:您在配置 Security Command Center 时复制的 Sensitive Data Protection 收集器角色的名称(默认值为aws-sensitive-data-protection-role)
点击下一步。
在政策详情部分中,输入政策的名称和说明。
点击创建政策。
为 AWS 和 Google Cloud 之间的信任关系创建 AWS IAM 角色
创建委派角色,以在 AWS 和 Google Cloud 之间建立信任关系。此角色将使用在为委派角色创建 AWS IAM 政策中创建的委派政策。
以可以创建 IAM 角色和政策的 AWS 用户身份登录 AWS 委托帐号控制台。
依次点击角色 > 创建角色。
在可信实体类型部分,点击 Web Identity。
对于 Identity Provider(身份提供商),点击 Google。
对于 Audience,输入您在配置 Security Command Center 时复制的服务帐号 ID。点击下一步。
如需向委派的角色授予收集器角色的访问权限,请将权限政策附加到该角色。搜索您在为委派的角色创建 AWS IAM 政策步骤中创建的委派政策,并将其选中。
在角色详情部分中,输入您在配置 Security Command Center 时复制的委派角色名称(默认名称为
aws-delegated-role)。点击创建角色。
为资产配置数据收集创建 AWS IAM 政策
如需为资产配置数据收集创建 AWS IAM 政策(收集器政策),请完成以下步骤:
登录 AWS 收集器帐号控制台。
点击政策 > 创建政策。
点击 JSON 并粘贴以下内容:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ce:GetCostAndUsage", "dynamodb:DescribeTableReplicaAutoScaling", "identitystore:ListGroupMemberships", "identitystore:ListGroups", "identitystore:ListUsers", "lambda:GetFunction", "lambda:GetFunctionConcurrency", "logs:ListTagsForResource", "s3express:GetBucketPolicy", "s3express:ListAllMyDirectoryBuckets", "wafv2:GetIPSet" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "apigateway:GET" ], "Resource": [ "arn:aws:apigateway:*::/usageplans", "arn:aws:apigateway:*::/usageplans/*/keys", "arn:aws:apigateway:*::/vpclinks/*" ] } ] }点击下一步。
在政策详情部分中,输入政策的名称和说明。
点击创建政策。
对每个收款方帐号重复上述步骤。
为每个账号中的资产配置数据收集创建 AWS IAM 角色
创建收集器角色,该角色可让 Security Command Center 从 AWS 获取资产配置数据。此角色使用在为资产配置数据收集创建 AWS IAM 政策中创建的收集器政策。
以可以为收集器帐号创建 IAM 角色的用户身份登录 AWS 收集器帐号控制台。
依次点击角色 > 创建角色。
对于可信实体类型,点击自定义信任政策。
在自定义信任政策部分,粘贴以下内容:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::DELEGATE_ACCOUNT_ID:role/DELEGATE_ACCOUNT_ROLE" }, "Action": "sts:AssumeRole" } ] }请替换以下内容:
DELEGATE_ACCOUNT_ID:委托帐号的 AWS 帐号 IDDELEGATE_ACCOUNT_ROLE:您在配置 Security Command Center 时复制的委派角色名称。
如需授予此收集器角色访问您的 AWS 资产配置数据的权限,请为角色附加相应的权限政策。搜索在为资产配置数据收集创建 AWS IAM 政策中创建的自定义收集器政策,并将其选中。
搜索并选择以下受管理的政策:
- arn:aws:iam::aws:policy/job-function/ViewOnlyAccess
- arn:aws:iam::aws:policy/SecurityAudit
在角色详情部分中,输入您在配置 Security Command Center 时复制的配置数据收集器角色的名称。
点击创建角色。
对每个收款方帐号重复上述步骤。
如果您在配置 Security Command Center 中勾选了授予敏感数据保护发现的权限复选框,请继续执行下一部分的操作。
如果您未选中为敏感数据保护发现授予权限复选框,请完成集成流程。
创建用于敏感数据保护的 AWS IAM 政策
如果您在配置 Security Command Center 中勾选了为 Sensitive Data Protection 发现授予权限复选框,请完成以下步骤。
如需创建适用于敏感数据保护的 AWS IAM 政策(收集器政策),请完成以下步骤:
登录 AWS 收集器帐号控制台。
点击政策 > 创建政策。
点击 JSON 并粘贴以下内容:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:ListAllMyBuckets", "s3:GetBucketPolicyStatus", "s3:ListBucket", "s3:GetObject" ], "Resource": [ "arn:aws:s3:::*" ] }, { "Effect": "Allow", "Action": [ "iam:ListAttachedRolePolicies", "iam:ListRolePolicies", "iam:GetPolicy", "iam:GetPolicyVersion", "iam:GetRolePolicy" ], "Resource": [ "*" ] } ] }点击下一步。
在政策详情部分中,输入政策的名称和说明。
点击创建政策。
对每个收款方帐号重复上述步骤。
在每个账号中为 Sensitive Data Protection 创建 AWS IAM 角色
如果您在配置 Security Command Center 中勾选了为 Sensitive Data Protection 发现授予权限复选框,请完成以下步骤。
创建允许 Sensitive Data Protection 分析 AWS 资源内容的收集器角色。此角色使用在为敏感数据保护创建 AWS IAM 政策中创建的收集器政策。
以可以为收集器帐号创建 IAM 角色的用户身份登录 AWS 收集器帐号控制台。
依次点击角色 > 创建角色。
对于可信实体类型,点击自定义信任政策。
在自定义信任政策部分,粘贴以下内容:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::DELEGATE_ACCOUNT_ID:role/DELEGATE_ACCOUNT_ROLE" }, "Action": "sts:AssumeRole" } ] }请替换以下内容:
DELEGATE_ACCOUNT_ID:委托帐号的 AWS 帐号 IDDELEGATE_ACCOUNT_ROLE:您在配置 Security Command Center 时复制的委派角色名称
如需授予此收集器角色访问 AWS 资源内容的权限,请为角色关联权限政策。搜索您在为敏感数据保护创建 AWS IAM 政策中创建的自定义收集器政策,并将其选中。
在角色详情部分中,输入您在配置 Security Command Center 时复制的 Sensitive Data Protection 角色的名称。
点击创建角色。
对每个收款方帐号重复上述步骤。
如需完成集成流程,请参阅完成集成流程。
完成集成流程
在 Google Cloud 控制台中,转到添加 Amazon Web Services 连接器页面。
点击测试连接器以验证 Security Command Center 可以连接到您的 AWS 环境。如果连接成功,则测试确定委派角色具有承担收集器角色所需的所有权限。如果连接不成功,请参阅排查测试连接时出现的错误。
点击创建。
自定义配置
本部分介绍自定义 Security Command Center 与 AWS 之间连接的一些方法。这些选项位于 Google Cloud 控制台中添加 Amazon Web Services 连接器页面的高级选项(可选)部分。
默认情况下,Security Command Center 会自动在所有 AWS 区域中发现您的 AWS 帐号。该连接使用 AWS Security Token Service 的默认全球端点以及您所监控的 AWS 服务的默认每秒查询次数 (QPS)。通过这些高级选项,您可以自定义默认设置。
| 选项 | 说明 |
|---|---|
| 指定要使用的 AWS 账号 | 您可以让 Security Command Center 自动发现 AWS 账号,也可以提供 AWS 账号列表以供 Security Command Center 用于查找资源。 |
| 指定要排除的 AWS 账号 | 如果您允许 Security Command Center 自动发现账号,则可以提供 AWS 账号列表,以供 Security Command Center 无法用来查找资源。 |
| 指定要监控的 AWS 区域 | 您可以选择一个或多个 AWS 区域供 Security Command Center 监控。将 AWS 区域字段留空可监控所有区域。 |
| 替换 AWS 服务的默认每秒查询次数 (QPS) | 您可以更改 QPS 来控制 Security Command Center 的配额限制。将替换项设置为小于该服务默认值且大于或等于 1 的值。默认值为最大值。如果您更改了 QPS,Security Command Center 可能会在提取数据时遇到问题。因此,我们不建议您更改此值。 |
| 更改 AWS Security Token Service 的端点 | 您可以为 AWS Security Token Service 指定特定端点(例如 https://sts.us-east-2.amazonaws.com)。将 AWS Security Token Service (AWS STS)(可选)字段留空以使用默认的全球端点 (https://sts.amazonaws.com)。 |
问题排查
本部分介绍在将 Security Command Center 与 AWS 集成时可能会遇到的一些常见问题。
资源已存在
当您尝试创建 AWS IAM 政策和 AWS IAM 角色时,AWS 环境中会发生此错误。如果您的 AWS 帐号中已存在该角色,而您尝试重新创建该角色,就会出现此问题。
如需解决此问题,请完成以下步骤:
- 请检查您创建的角色或政策是否已存在,以及它是否满足本指南中列出的要求。
- 如有必要,请更改角色名称以避免冲突。
政策中的主账号无效
在 AWS 环境中,当您创建收集器角色时可能会出现此错误,但委托角色尚不存在。
如需解决此问题,请完成为委派角色创建 AWS IAM 政策中的步骤,并等到委派角色创建完毕后再继续。
AWS 中的限制限制
AWS 会按帐号或地区限制每个 AWS 帐号的 API 请求数量。为确保在 Security Command Center 从 AWS 收集资产配置数据时,不会超出这些限制,Security Command Center 会以固定的 QPS 上限来收集每项 AWS 服务的数据,如 AWS 服务的 API 文档中所述。
如果您因为使用 QPS 而在 AWS 环境中遇到请求限制,可以通过完成以下操作来缓解此问题:
在 AWS 连接器设置页面中,为遇到请求节流问题的 AWS 服务设置自定义 QPS。
限制 AWS 收集器角色的权限,以停止收集来自该特定服务的数据。这种缓解技术可防止攻击路径模拟针对 AWS 正常工作。
撤消 AWS 中的所有权限会立即停止数据收集器进程。删除 AWS 连接器不会立即停止数据收集器进程,但在删除后不会重新开始。
排查测试连接时遇到的错误
当您测试 Security Command Center 与 AWS 之间的连接时,可能会发生这些错误。
AWS_FAILED_TO_ASSUME_DELEGATED_ROLE
连接无效,因为 Google Cloud 服务代理无法承担委派的角色。
如需解决此问题,请考虑以下事项:
验证委派角色是否存在。如需创建该角色,请参阅针对 AWS 和 Google Cloud 之间的信任关系创建 AWS IAM 角色。
缺少委派角色的内嵌政策。否则,服务代理无法担任该角色。如需验证内嵌政策是否存在,请参阅针对 AWS 和 Google Cloud 之间的信任关系创建 AWS IAM 角色。
AWS_FAILED_TO_LIST_ACCOUNTS
连接无效,因为自动发现已启用,并且委派角色无法获取组织中的所有 AWS 帐号。
此问题表明某些资源上缺少允许对委派角色执行 organizations:ListAccounts 操作的政策。如需解决此问题,请验证缺少哪些资源。如需验证委派政策的设置,请参阅为委派角色创建 AWS IAM 政策。
AWS_INVALID_COLLECTOR_ACCOUNTS
连接无效,因为存在无效的收集器账号。错误消息详细说明了可能的原因,其中包括:
AWS_FAILED_TO_ASSUME_COLLECTOR_ROLE
收集器帐号无效,因为委派角色不能承担收集器帐号中的收集器角色。
如需解决此问题,请考虑以下事项:
验证收集器角色是否存在。
- 如需为资产配置数据创建收集器角色,请参阅为每个帐号中的资产配置数据收集创建 AWS IAM 角色。
- 如需为 Sensitive Data Protection 创建收集器角色,请参阅在每个帐号中为敏感数据保护创建 AWS IAM 角色。
缺少允许委派角色承担收集器角色的政策。如需验证该政策是否存在,请参阅为委派角色创建 AWS IAM 政策。
AWS_COLLECTOR_ROLE_POLICY_MISSING_REQUIRED_PERMISSION
连接无效,因为收集器政策缺少某些必需的权限设置。
要解决此问题,请考虑以下原因:
某些必需的 AWS 托管政策可能未附加到资产配置数据的收集器角色。如需验证是否已关联所有政策,请参阅为每个帐号中的资产配置数据收集创建 AWS IAM 角色中的第 6 步。
收集器政策可能存在以下问题之一:
- 收集器政策可能不存在。
- 收集器政策未附加到收集器角色。
- 收集器政策未包含所有必需的权限。
如需解决与收集器政策相关的问题,请参阅以下内容:
后续步骤
- 继续执行控制台中设置指南的第 4 步。
- 查看并修复从 AWS 中发现的漏洞。
- 为 AWS 创建和管理安全状况。
- 为 AWS 资源创建攻击路径模拟。
- 对照各种标准和基准,映射 AWS 资源的合规性。