跳至主内容

接入Google云平台(GCP)项目

Google云平台(GCP)中的云账户称为项目,可归类至称为组织的实体中。

您可以集成单个云账户(或项目),或一组账户(组织)。

设置 GravityZone云安全态势管理 在GCP项目中仅能手动完成。

开始接入GCP项目的步骤如下:

  1. 扫描配置 中,选择 添加Google云项目 .

    CSPM_select_GCP_412812_en.png

  2. 打开新的浏览器标签页或窗口,登录您的Google云控制台。

  3. 导航至 IAM管理 > 服务账号,选择要接入的项目。

  4. 点击 + 创建服务账号 .

    CSPM_GCP_project_integration_A1_412767_en.png

    随后 创建服务账号窗口 将显示。

  5. 填写新账号信息:

    • 服务账号名称 栏中输入描述性名称,例如 GravityZone云安全

    • (可选)编辑 服务账号ID 。该ID将根据您之前输入的账号名称自动生成。

    • 服务账号描述 栏中输入明确描述,例如 GravityZoneAPI访问权限 .

  6. 点击 创建并继续 .

    CSPM_GCP_project_integration_B1_412767_en.png

    此时 授予此服务账号项目访问权限 区域将展开。

  7. 按以下步骤添加角色:

    1. 点击 选择角色 .

    2. 点击 输入筛选文本框 (位于窗口顶部)。

    3. 输入角色名称。

    4. 从下方结果中选择该角色。

      CSPM_GCP_project_integration_C1_412767_en.png

    5. 点击+ 添加其他角色 .

    对所有角色重复以下步骤:

    • 安全审核员

    • 计算网络查看者

    • BigQuery元数据查看者

    • 二进制授权策略查看者

    • 活动分析查看者

  8. 点击 继续 .

    CSPM_GCP_project_integration_1_412767_en.png

    向用户授予此服务账号的访问权限 ”部分已展开。

  9. 点击 完成 .

    系统将显示服务账号页面。

  10. 点击表格顶部的 筛选 并输入先前创建的账号名称。

  11. 点击 操作 列并选择 管理密钥 .

    CSPM_GCP_project_integration_F1_412767_en.png

    系统将显示 密钥 选项卡。

  12. 点击 添加密钥 > 创建新密钥。

    CSPM_GCP_project_integration_2_412767_en.png

  13. 密钥类型 下,确保已选择 JSON 并点击 创建 .

    CSPM_GCP_project_integration_3_412767_en.png

    系统会将 .JSON 文件下载至您的计算机。

  14. 启用 GravityZone云安全态势管理 所需的API。选择以下任一方法启用API:

  15. 返回 扫描配置 浏览器页面。

  16. 将JSON文件内容复制粘贴到 API凭证 字段中。

  17. 点击 添加账户 .

资产清单载入

启用 GravityZone云安全态势管理 扫描Google Workspace身份可提供更准确的云环境视图,通过访问身份相关元数据实现。

提示

启用后,相关优势将体现在 身份信息 页面,以及 可访问身份 标签页(位于 资源详情 面板中,该面板来自 资源 页面)。

要启用工作区,您需要拥有该工作区账户的管理员权限。

启用 GravityZone云安全态势管理 以扫描新Google云平台(GCP)账户的Google Workspace身份信息

要为新GCP账户启用 GravityZone云安全态势管理 以扫描Google Workspace身份信息,请按照 此处 列出的步骤操作,完成后继续以下步骤:

  1. 打开新的浏览器标签页或窗口,登录 admin.google.com .

  2. 导航至 账户 > 管理员角色 .

  3. 点击 创建新角色 .

    CSPM_IAM_GCP_create_new_role_462777_en.png

  4. 名称 ,输入一个描述性名称,例如 GravityZone云安全 .

  5. 点击 继续 .

  6. 向下滚动至 管理员API权限 ,勾选以下复选框:

    • 用户 > 读取

    • 群组 > 读取

      CSPM_IAM_GCP_admin_API_462777_en.png

  7. 点击 继续 .

    您将看到已选择2项权限。

    CSPM_IAM_GCP_create_role_462777_en.png

  8. 点击 创建角色 .

  9. 点击 分配服务账号 .

    CSPM_IAM_GCP_assign_service_accounts_462777_en.png

  10. 输入先前创建账号的邮箱。

  11. 点击 添加 .

    CSPM_IAM_GCP_assign_service_accounts_add_button_462777_en.png

  12. 点击 分配角色 .

    CSPM_IAM_GCP_assign_role_button_462777_en.png

    该角色已添加,并包含之前选择的权限。

    CSPM_IAM_GCP_service_account_list_462777_en.png

  13. 跳转至 扫描配置 页面,选择账户并点击 编辑 图标以查看 账户详情 > API凭证 .

注意

启用资产清单后,该设置将自动应用于同一Google工作空间下的所有其他项目和组织。

若您拥有额外工作空间,需在其任一项目或组织中重新启用此选项。

启用 GravityZone云安全态势管理 以扫描现有Google云平台(GCP)账户的Google Workspace身份

要为现有GCP账户启用 GravityZone云安全态势管理 来扫描Google Workspace身份,操作步骤与新建账户完全一致,唯一区别在于需获取先前创建账户的邮箱。

查找先前创建账户的邮箱步骤如下:

  1. 前往 扫描配置 页面,选择账户并点击 编辑 图标。

  2. 账户详情 面板中,复制 账户名称 信息。

    CSPM_IAM_GCP_service_account_name_details_462777_en.png

  3. 打开新浏览器标签页或窗口,登录Google云控制台。

  4. 转至IAM与管理并点击 搜索项目 .

    CSPM_IAM_GCP_select_project_462777_en.png

  5. 搜索项目和文件夹 字段中,输入或粘贴第2步复制的信息。

    CSPM_IAM_GCP_search_project_462777_en.png

  6. 选择项目后,导航至 服务账号 页面并搜索 API凭证 。您可以从 API凭证 账户详情 面板复制(第2步)。

    CSPM_IAM_GCP_API_credentials_462777_en.png

  7. 点击与API凭证对应的服务账号。

  8. 服务账号详情 页面,您可以复制用于完成启用流程的电子邮件地址。

    CSPM_IAM_GCP_email_address_462777_en.png
本节内容 :