Configurando uma conta confiante do AWS

Permita que a conta confiável assuma uma função na conta confiante que está sendo configurada. Neste procedimento, é possível criar uma função, uma política e, em seguida, conectar a política à função no AWS.

Sobre esta tarefa

Este procedimento deve ser seguido para todas as contas confiáveis e confiantes. Por exemplo, caso haja três contas, siga este procedimento uma vez por conta.

Procedimento

  1. Efetue login no AWS console (https://console.aws.amazon.com) da conta confiável.
  2. Acesse o serviço do IAM.
  3. Clique em Funções > Criar função
  4. Na lista Selecionar tipo de entidade confiável , selecione Outra AWSe insira o ID da conta confiável.
  5. Clique em Próximo: Permissões > Próximo: Tags > Próximo: Revisão
  6. Dê um nome à função, CVAppAssumeRole, e clique em Create role (Criar função ).
  7. Clique em Políticas > Criar política > JSONe cole o JSON a seguir:
    {
       "Version": "2012-10-17",
       "Statement": [
           {
               "Sid": "VisualEditor0",
               "Effect": "Allow",
               "Action": [
                    "cloudtrail:DescribeTrails",
                    "ec2:DescribeInstances",
                    "ec2:DescribeFlowLogs",
                    "ec2:DescribeNetworkInterfaces",
                    "ec2:DescribeVpcs",
                    "iam:GenerateCredentialReport",
                    "iam:GetCredentialReport",
                    "iam:GetPolicyVersion",
                    "iam:GetPolicy",
                    "iam:ListAccessKeys",
                    "iam:ListAttachedRolePolicies",
                    "iam:ListUsers",
                    "logs:DescribeLogGroups",
                    "logs:FilterLogEvents",
                    "s3:GetBucketLocation",
                    "s3:GetBucketNotification",
                    "s3:ListAllMyBuckets",
                    "sns:ListSubscriptionsByTopic"             
               ],
               "Resource": "*"
           }
       ]
    }
    
    Observação:

    Use o JSON a seguir no lugar do JSON anterior apenas se estiver seguindo este procedimento para a conta confiável.

    {
       "Version": "2012-10-17",
       "Statement": [
           {
               "Sid": "VisualEditor0",
               "Effect": "Allow",
               "Action": [
                    "cloudtrail:DescribeTrails",
                    "ec2:DescribeInstances",
                    "ec2:DescribeFlowLogs",
                    "ec2:DescribeNetworkInterfaces",
                    "ec2:DescribeVpcs",
                    "iam:GenerateCredentialReport",
                    "iam:GetCredentialReport",
                    "iam:GetPolicyVersion",
                    "iam:GetPolicy",
                    "iam:ListAccessKeys",
                    "iam:ListAttachedRolePolicies",
                    "iam:ListUsers",
                    "logs:DescribeLogGroups",
                    "logs:FilterLogEvents",
                    "s3:GetBucketLocation",
                    "s3:GetBucketNotification",
                    "s3:ListAllMyBuckets",
                    "sns:ListSubscriptionsByTopic",
                    "securityhub:BatchImportFindings",
                    "securityhub:EnableImportFindingsForProduct"		            
               ],
               "Resource": "*"
           }
       ]
    }
    
  8. Clique em Revisar política, chame a política de CVAPIAccessPolicy e clique em Criar política para salvá-la.
  9. Vá para Roles (Funções ) e selecione CVAppAssumeRole.
  10. Na guia Permissões, clique em Anexar políticas, selecione CVAPIAccessPolicy e clique em Anexar política.
  11. Na página de resumo da função, copie o ARN da Função e salve-o para usar posteriormente no fluxo de trabalho. A função ARN é semelhante ao exemplo a seguir: arn:aws:iam::<trusting_account_id>:role/CVAppAssumeRole.

O que fazer a seguir

A configuração para essa conta confiante agora está concluída.

Importante: Repita o procedimento para todas as contas do AWS que você deseja configurar para o QRadar® Cloud Visibility.

Depois de configurar a conta confiável para todas as contas, continue com o procedimento para configurar uma conta confiável do AWS.