跳至主内容

接入Google云平台(GCP)项目

Google云平台(GCP)中的云账户称为项目,可归类至名为组织的实体中。

您可以集成单个云账户(项目)或账户组(组织)。

设置 GravityZone云安全态势管理 在GCP项目中仅支持手动配置。

接入GCP项目的操作步骤如下:

  1. 扫描配置 下,选择 添加谷歌云项目 .

    CSPM_select_GCP_412812_en.png

  2. 打开新的浏览器标签页或窗口,登录您的谷歌云控制台。

  3. 导航至 IAM管理 > 服务账号,并选择要接入的项目。

  4. 点击 + 创建服务账号 .

    CSPM_GCP_project_integration_A1_412767_en.png

    系统将显示 创建服务账号窗口

  5. 填写新账号的信息:

    • 服务账号名称 栏中输入描述性名称,例如 GravityZone云安全

    • (可选)编辑 服务账号ID 。该ID将根据您之前输入的账号名称自动生成。

    • 服务账号描述 栏中输入清晰说明,例如 GravityZoneAPI访问权限 .

  6. 点击 创建并继续 .

    CSPM_GCP_project_integration_B1_412767_en.png

    授予此服务账号项目访问权限 部分已展开。

  7. 按以下步骤添加角色:

    1. 点击 选择角色 .

    2. 点击 输入筛选文本框 (位于窗口顶部)。

    3. 输入角色名称。

    4. 从下方结果中选择对应角色。

      CSPM_GCP_project_integration_C1_412767_en.png

    5. 点击+ 添加其他角色 .

    为以下所有角色重复上述步骤:

    • 安全审查员

    • 计算网络查看者

    • BigQuery元数据查看者

    • 二进制授权策略查看者

    • 活动分析查看者

  8. 点击 继续 .

    CSPM_GCP_project_integration_1_412767_en.png

    授予用户此服务账号访问权限 部分已展开。

  9. 点击 完成 .

    服务账号页面已显示。

  10. 点击表格顶部的 筛选 并输入先前创建的账号名称。

  11. 点击 操作 列下的按钮并选择 管理密钥 .

    CSPM_GCP_project_integration_F1_412767_en.png

    系统将显示 密钥 选项卡。

  12. 点击 添加密钥 > 创建新密钥。

    CSPM_GCP_project_integration_2_412767_en.png

  13. 密钥类型 下,确保已选择 JSON 并点击 创建 .

    CSPM_GCP_project_integration_3_412767_en.png

    一个 .JSON 文件将下载至您的计算机。

  14. 启用 GravityZone云安全态势管理 所需的API。选择以下方法启用API:

  15. 返回 扫描配置 浏览器页面。

  16. 将JSON文件内容复制粘贴至 API凭证 字段。

  17. 点击 添加账户 .

资产清单接入

启用 GravityZone云安全态势管理 扫描Google Workspace身份功能,可通过访问身份相关元数据,为您提供更准确的云环境视图。

提示

启用后,相关优势将体现在 身份 页面及 具备访问权限的身份 标签页(位于 资源详情 面板,通过 资源 页面进入)。

启用该工作区需具备工作区账户的管理员权限。

启用 GravityZone云安全态势管理 为新Google云平台(GCP)账户扫描Google Workspace身份

要为新建GCP账户启用 GravityZone云安全态势管理 的Google Workspace身份扫描功能,请先完成 此处 所列步骤,完成后继续以下操作:

  1. 打开新浏览器标签页或窗口,登录 admin.google.com .

  2. 导航至 账户 > 管理员角色 .

  3. 点击 创建新角色 .

    CSPM_IAM_GCP_create_new_role_462777_en.png

  4. 名称 栏中输入描述性名称,例如 GravityZone云安全 .

  5. 点击 继续 .

  6. 向下滚动至 管理员API权限 ,勾选以下复选框:

    • 用户 > 读取

    • 群组 > 读取

      CSPM_IAM_GCP_admin_API_462777_en.png

  7. 点击 继续 .

    您将看到已选择2项权限。

    CSPM_IAM_GCP_create_role_462777_en.png

  8. 点击 创建角色 .

  9. 点击 分配服务账户 .

    CSPM_IAM_GCP_assign_service_accounts_462777_en.png

  10. 输入先前创建账户的邮箱地址。

  11. 点击 添加 .

    CSPM_IAM_GCP_assign_service_accounts_add_button_462777_en.png

  12. 点击 分配角色 .

    CSPM_IAM_GCP_assign_role_button_462777_en.png

    该角色将附带先前选择的权限被添加。

    CSPM_IAM_GCP_service_account_list_462777_en.png

  13. 导航至 扫描配置 页面,选择账户并点击 编辑 图标以查看 账户详情 > API凭证 .

注意

资产清单功能一旦启用,将同时应用于同一Google工作空间内所有其他项目和组织。

若存在额外工作空间,需在其任一项目或组织中重新启用此选项。

启用 GravityZone云安全态势管理 以扫描现有Google云平台(GCP)账户的Google Workspace身份

要为现有GCP账户启用 GravityZone云安全态势管理 来扫描Google Workspace身份,需遵循与新账户完全相同的步骤,唯一区别在于需获取先前创建账户的邮箱地址。

查找先前创建账户的邮箱地址,请参照以下步骤:

  1. 导航至 扫描配置 页面,选择账户并点击 编辑 图标。

  2. 账户详情 面板中,复制 账户名称 详细信息。

    CSPM_IAM_GCP_service_account_name_details_462777_en.png

  3. 打开新的浏览器标签页或窗口,登录您的Google云控制台。

  4. 转到IAM与管理并点击 搜索项目 .

    CSPM_IAM_GCP_select_project_462777_en.png

  5. 搜索项目和文件夹 字段中,输入或粘贴第2步复制的信息。

    CSPM_IAM_GCP_search_project_462777_en.png

  6. 选择项目后,导航至 服务账户 页面并搜索 API凭证 。您可以从 API凭证 账户详情 面板(第2步)复制。

    CSPM_IAM_GCP_API_credentials_462777_en.png

  7. 点击与API凭证对应的服务账户。

  8. 服务账户详情 页面,您可以复制用于完成启用流程的电子邮件地址。

    CSPM_IAM_GCP_email_address_462777_en.png
本节内容 :