接入Google云平台(GCP)组织
Google云平台(GCP)中的云账户称为项目,可归类为名为组织的实体。
您可集成单个云账户(或项目)或账户组(组织)。
前提条件:
-
组织内分配的GCP账户需具有 组织管理员 及 组织角色管理员 角色。
-
一个活跃的云计费账户
添加GCP云组织
-
在 扫描配置 下,选择 从Google云组织添加项目 .
-
打开一个新的浏览器标签页或窗口并 登录 到GCP控制台。
-
在组织内创建一个新项目,以确保 GravityZone云安全态势管理 的API限制与生产工作负载分开控制:
-
点击页面左上角的 选择项目 按钮。
此时会显示 选择项目窗口 。
-
点击 新建项目
-
输入唯一的项目名称并点击 创建 .
您将被重定向到项目视图。
-
-
点击左上角的菜单按钮并选择 计费 .
若项目已关联结算账户,您将看到 结算概览 页面。
若未关联,请按以下步骤操作:
-
点击 关联结算账户 .
-
从下拉菜单中选择需与项目关联的结算账户,然后点击 设置账户 .
-
-
前往 IAM与管理 页面。
-
从页面右侧菜单中选择 服务账号 。
系统将显示 服务账号 页面。
-
点击 + 创建服务账号 :
此时会弹出 创建服务账号窗口 。
-
填写新账号信息:
-
在 服务账号名称 字段输入描述性名称(例如
GravityZone云安全 -
(可选) 编辑 服务账号ID 。该ID将根据您之前输入的账号名称自动生成。
-
在 服务账号描述 下输入清晰的描述,例如
GravityZoneAPI访问.
-
-
点击 创建并继续 .
系统会展开 授予此服务账号项目访问权限 部分。
-
点击 完成 .
此时将显示 服务账号 页面。
-
将刚创建的服务账号电子邮件地址记录在可访问的位置:
-
点击 电子邮件 列下方的地址。
随后会显示 服务账号详情 页面。
-
转到 密钥 标签页。
-
点击 添加密钥 > 创建新密钥。
-
在 密钥类型 下,确保 JSON 被选中并点击 创建 .
一个
.JSON文件将下载到您的计算机。 -
启用Cloud Security所需的API:
-
在GCP控制台中,点击屏幕右上角的激活Cloud Shell按钮。
页面底部将显示Cloud Shell终端。
-
输入以下请求:
gcloud services enable compute.googleapis.com sqladmin.googleapis.com storage.googleapis.com dns.googleapis.com cloudkms.googleapis.com iam.googleapis.com container.googleapis.com monitoring.googleapis.com logging.googleapis.com cloudresourcemanager.googleapis.com bigquery.googleapis.com binaryauthorization.googleapis.com policyanalyzer.googleapis.com
Compute Engine和Cloud DNS API要求您在接入的项目中启用计费功能。
-
-
点击页面左上角的项目切换器。
随后 选择资源 窗口将显示。
-
转到 全部 标签页并选择您的组织。
注意
组织会标有
图标。
-
点击 角色 从页面右侧的菜单中。
此时 角色 页面将显示。
-
点击 + 创建角色 .
-
填写角色信息:
-
在 标题 ,填写描述性名称,例如
GravityZone云扫描器. -
(可选)编辑 描述 字段以使角色更易于识别。
-
在 ID 下,输入易于识别的字符串,例如
GravityZoneCloudScanner.注意
此ID在每个组织中是唯一的。
-
-
点击 添加权限 :
系统将显示 添加权限 窗口。
-
点击筛选字段以搜索角色:
-
输入权限名称。
-
勾选搜索结果旁边的复选框以选择权限:
为以下每个权限执行步骤23-25:
-
serviceusage.services.enable -
serviceusage.services.get -
serviceusage.services.list -
compute.projects.get
-
-
点击 添加 .
权限显示在 创建角色 窗口下
-
点击 创建 :
-
转到 IAM 页面。
提示
请确保您的组织仍显示在页面左上方的选择器中。
-
点击 授予访问权限 .
系统将显示 授予访问权限 页面。
-
将步骤11中的电子邮件地址粘贴到 添加主体 部分下方。
-
点击 选择角色 。依次选择以下每个角色:
-
资源管理器 > 组织查看者
-
资源管理器 > 文件夹查看者
-
结算 > 结算账户查看者
-
IAM > 安全审核员
-
Compute Engine > 计算网络查看者
-
BigQuery > BigQuery元数据查看者
-
二进制授权 > 二进制授权策略查看者
-
其他 > 活动分析查看者
-
自定义 > GravityZone云扫描器 (此为先前创建的角色)
提示
若该角色未立即显示,请等待数分钟使其出现在列表中。
-
-
点击 保存 .
-
返回至 扫描配置 浏览器页面。
-
将JSON文件内容复制粘贴至 API凭证 字段。
-
在 标识符 字段中输入
organizations/后接组织ID(与GCP控制台显示一致)。
-
在 Google Cloud组织名称 粘贴您在步骤11复制的电子邮件地址。
-
点击 添加 .
资产清单接入
启用 GravityZone云安全态势管理 扫描Google Workspace身份可提供与身份相关的元数据访问权限,从而更准确地反映您的云环境。
提示
启用后,相关优势将体现在 身份 页面中的信息,以及 具有访问权限的身份 选项卡(位于 资源详情 面板,通过 资源 页面访问)。
要启用工作区,您需要拥有该工作区账户的管理员权限。
启用 GravityZone云安全态势管理 为新Google Cloud Platform (GCP)账户扫描Google Workspace身份
要为新的GCP账户启用 GravityZone云安全态势管理 以扫描Google Workspace身份,请按照 此处 列出的步骤操作,完成后继续以下步骤:
-
打开新的浏览器标签页或窗口并登录 admin.google.com .
-
导航至 账户 > 管理员角色 .
-
点击 创建新角色 .
-
在 名称 栏中输入描述性名称,例如
GravityZone云安全. -
点击 继续 .
-
向下滚动至 管理员API权限 ,勾选以下复选框:
-
用户 > 读取
-
群组 > 读取
-
-
点击 继续 .
您将看到已选择2项权限。
-
点击 创建角色 .
-
点击 分配服务账号 .
-
输入之前创建账户的电子邮件地址。
-
点击 添加 .
-
点击 分配角色 .
角色将添加先前选择的权限。
-
导航至 设置 > 集成 ,选择 GCP云组织 并点击 修改 按钮以访问Google云组织卡片。在此处点击 更新 ,将显示包含 API凭证 .
注意
资产清单启用后,将自动应用于同一Google工作空间内所有其他项目和组织。
若存在额外工作空间,需在其任一项目或组织中重新启用此选项。
启用 GravityZone云安全态势管理 以扫描现有Google云平台(GCP)账户的Google工作空间身份
要启用 GravityZone云安全态势管理 要为现有GCP账户扫描Google Workspace身份,您需要遵循与新账户完全相同的步骤。唯一区别在于需要获取先前创建账户的电子邮件地址。
要查找先前创建账户的电子邮件地址,请参照以下步骤:
-
导航至 扫描配置 页面,选择账户并点击 编辑 图标。
-
在 账户详情 面板中,复制 账户名称 信息。
-
打开新浏览器标签页或窗口,登录Google云控制台。
-
导航至IAM & Admin并点击 搜索项目 .
-
在 搜索项目和文件夹 字段中,输入或粘贴第2步复制的信息。
-
选择项目后,导航至 服务账户 页面并搜索 API凭证 。您可从 API凭证 所在的 账户详情 面板(第2步)复制该信息。
-
点击与API凭证对应的服务账户。
-
在 服务账号详情 页面,您可以复制电子邮件地址以完成启用流程。
