接入Google云平台(GCP)组织
Google云平台(GCP)中的云账户称为项目,可归类为名为组织的实体。
您可集成单个云账户(或项目)或账户组(组织)。
前提条件:
-
组织内已分配 组织管理员 及 组织角色管理员 权限的GCP账户。
-
活跃的云结算账户
添加GCP云组织
-
在 扫描配置 ,选择 从Google云组织添加项目 .
-
打开新的浏览器标签页或窗口并 登录 到GCP控制台。
-
在组织内创建新项目以确保 GravityZone云安全态势管理 的API限制与生产工作负载分开控制:
-
点击 选择项目 按钮位于页面左上角。
系统将显示 选择项目窗口 。
-
点击 新建项目
-
输入唯一的项目名称并点击 创建 .
您将被重定向至项目视图。
-
-
点击左上角菜单按钮并选择 结算 .
如果结算账户已关联至项目,您应能看到 结算概览 页面。
若未关联,请按以下步骤操作:
-
点击 关联一个结算账户 .
-
从下拉菜单中选择您希望与项目关联的结算账户,然后点击 设置账户 .
-
-
前往 IAM与管理 页面。
-
选择 服务账户 从页面右侧的菜单中。
系统会显示 服务账户 页面。
-
点击 + 创建服务账户 :
此时会弹出 创建服务账户窗口 。
-
填写新账户的信息:
-
在 服务账户名称 字段中输入描述性名称,例如
GravityZone云安全 -
(可选)编辑 服务账户ID 。该ID会根据您之前输入的账户名称自动生成。
-
在 服务账户描述 ,例如
GravityZoneAPI访问.
-
-
点击 创建并继续 .
系统将展开 授予此服务账号项目访问权限 部分。
-
点击 完成 .
随后显示 服务账号 页面。
-
将刚创建的服务账号电子邮件地址记录在可访问的位置:
-
点击 电子邮件 列下的地址。
此时显示 服务账号详情 页面。
-
转到 密钥 标签页。
-
点击 添加密钥 > 创建新密钥。
-
在 密钥类型 ,确保 JSON 被选中并点击 创建 .
一个
.JSON文件将下载到您的计算机。 -
启用Cloud Security所需的API:
-
在GCP控制台中,点击屏幕右上角的“激活Cloud Shell”按钮。
页面底部将显示Cloud Shell终端。
-
输入以下请求:
gcloud services enable compute.googleapis.com sqladmin.googleapis.com storage.googleapis.com dns.googleapis.com cloudkms.googleapis.com iam.googleapis.com container.googleapis.com monitoring.googleapis.com logging.googleapis.com cloudresourcemanager.googleapis.com bigquery.googleapis.com binaryauthorization.googleapis.com policyanalyzer.googleapis.com
Compute Engine 和 Cloud DNS API 要求您在接入的项目中启用结算功能。
-
-
点击页面左上方的项目切换器。
随后 选择资源 窗口将显示。
-
转到 全部 标签页并选择您的组织。
注意
组织会标有
图标。
-
点击页面右侧菜单中的 角色 选项。
此时 角色 页面将显示。
-
点击 + 创建角色 .
-
填写角色信息:
-
在 标题 字段中输入描述性名称,例如
GravityZone云扫描器. -
(可选)编辑 描述 字段以使角色更易于识别。
-
在 ID 下,输入一个易于识别的字符串,例如
GravityZoneCloudScanner.注意
此ID在每个组织中具有唯一性。
-
-
点击 添加权限 :
系统将显示 添加权限 窗口。
-
点击筛选字段搜索角色:
-
输入权限名称。
-
勾选搜索结果旁的复选框以选择权限:
为以下每个权限执行步骤23至25:
-
serviceusage.services.enable -
serviceusage.services.get -
serviceusage.services.list -
compute.projects.get
-
-
点击 添加 .
权限将显示在 创建角色 窗口下方
-
点击 创建 :
-
前往 IAM 页面。
提示
确保您的组织仍显示在页面左上方的选择器中。
-
点击 授予访问权限 .
系统将显示 授予访问权限 页面。
-
将步骤11中的电子邮件地址粘贴到 添加主体 部分下方。
-
点击 选择角色 。依次选择以下角色:
-
资源管理器 > 组织查看者
-
资源管理器 > 文件夹查看者
-
结算 > 结算账户查看者
-
IAM > 安全审核员
-
Compute Engine > 计算网络查看者
-
BigQuery > BigQuery元数据查看者
-
二进制授权 > 二进制授权策略查看器
-
其他 > 活动分析查看器
-
自定义 > GravityZone云扫描器 (此为先前创建的角色)
提示
若该角色未立即显示,请等待数分钟使其出现在列表中。
-
-
点击 保存 .
-
返回 扫描配置 浏览器页面。
-
将JSON文件内容复制粘贴至 API凭证 字段。
-
在 标识符 字段中输入
organizations/后接组织ID(与GCP控制台显示一致)。
-
在 Google云组织名称 栏粘贴第11步复制的邮箱地址。
-
点击 添加 .
资产清单接入
启用 GravityZone云安全态势管理 扫描Google Workspace身份功能,可通过访问身份相关元数据,为您提供更准确的云环境视图。
提示
启用后,该功能将应用于 身份 页面中的信息,以及 具有访问权限的身份 选项卡(位于 资源详情 面板中,通过 资源 页面访问)。
要启用工作区,您需要拥有该工作区账户的管理员权限。
启用 GravityZone云安全态势管理 为新Google云平台(GCP)账户扫描Google Workspace身份
要为新的GCP账户启用 GravityZone云安全态势管理 的Google Workspace身份扫描功能,请按照 此处 列出的步骤操作,完成后继续以下流程:
-
打开新的浏览器标签页或窗口,登录 admin.google.com .
-
导航至 账户 > 管理员角色 .
-
点击 创建新角色 .
-
在 名称 栏中输入描述性名称,例如
GravityZone云安全. -
点击 继续 .
-
向下滚动至 管理员API权限 ,勾选以下复选框:
-
用户 > 读取
-
群组 > 读取
-
-
点击 继续 .
您将看到已选择2项权限。
-
点击 创建角色 .
-
点击 分配服务账户 .
-
输入先前创建账户的电子邮件。
-
点击 添加 .
-
点击 分配角色 .
该角色将添加先前选择的权限。
-
导航至 设置 > 集成 ,选择 GCP云组织 并点击 修改 按钮以访问Google云组织卡片。在此处点击 更新 ,将显示包含 API凭证 .
注意
启用资产清单后,该设置将同时应用于同一Google工作空间内的所有其他项目和组织。
若存在额外工作空间,需为其任一项目或组织再次启用此选项。
启用 GravityZone云安全态势管理 以扫描现有Google云平台(GCP)账户的Google工作空间身份
要为现有GCP账户启用 GravityZone云安全态势管理 扫描Google工作空间身份,需遵循与新账户完全相同的步骤,唯一区别是需要获取先前创建账户的邮箱。
查找先前创建账户的邮箱,请参照以下步骤:
-
导航至 扫描配置 页面,选择账户并点击 编辑 图标。
-
在 账户详情 面板中,复制 账户名称 信息。
-
打开新的浏览器标签页或窗口,登录您的Google云控制台。
-
转到IAM与管理页面,点击 搜索项目 .
-
在 搜索项目和文件夹 字段中,输入或粘贴第2步复制的信息。
-
选定项目后,进入 服务账户 页面,搜索 API凭证 。您可以从 账户详情 面板(第2步)复制 API凭证 。
-
点击与API凭证对应的服务账户。
-
在 服务账户详情 页面,您可以复制用于完成启用流程的电子邮件地址。
