Cet article explique comment configurer votre organisation Google Cloud pour utiliser le gestionnaire de risques pour la première fois. Ces étapes sont requises pour la plupart des tâches dans Risk Manager.
Début de la configuration de Risk Manager
Pour générer des rapports, Risk Manager nécessite une configuration ponctuelle. Ce processus nécessite des autorisations de gestion de l'authentification et des accès (IAM) qui dépassent le champ d'application de Risk Manager, qui ne peut être détenu que par un administrateur de votre organisation.
Pour commencer la configuration, procédez comme suit:
Console
Accédez à la page de configuration de Risk Manager.
Si aucune organisation n'est sélectionnée, procédez comme suit:
- Cliquez sur Sélectionner une organisation.
- Sélectionnez votre organisation dans le menu déroulant.
Cliquez sur Commencer la configuration. Si ce bouton est inactif, obtenez les autorisations de configuration requises, puis réessayez.
Autorisations de configuration requises
Si le bouton Commencer la configuration est inactif, vous ne disposez pas des autorisations nécessaires pour commencer la configuration. Pour continuer, vous devez demander ces autorisations à votre administrateur Google Cloud, ou laisser votre administrateur Google Cloud effectuer ces étapes pour vous. Vous aurez besoin de ces autorisations pour effectuer les étapes restantes de ce guide.
Seuls les rôles Administrateur incluent l'autorisation resourcemanager.organizations.setIamPolicy
. Par conséquent, votre administrateur Google Cloud peut préférer effectuer cette configuration. Les rôles suivants contiennent les autorisations requises:
Risk Manager Admin
Organization Administrator
Vous pouvez voir les autorisations requises en passant la souris sur le bouton Démarrer la configuration, mais elles sont également répertoriées ici:
Autorisation requise | Référence |
---|---|
riskmanager.serviceAccount.create |
Consultez la section Contrôle des accès du gestionnaire de risques pour les rôles IAM qui incluent cette autorisation. Pour savoir comment attribuer des rôles Risk Manager, consultez la section Attribuer des rôles IAM. |
resourcemanager.organizations.getIamPolicy |
Consultez la section Contrôle des accès pour les organisations pour les rôles IAM qui incluent cette autorisation. |
resourcemanager.organizations.setIamPolicy |
Consultez la section Contrôle des accès pour les organisations pour les rôles IAM qui incluent cette autorisation. |
Accorder au compte de service Risk Manager votre organisation
Lorsque vous commencez à configurer Risk Manager dans Google Cloud Console, un compte de service est créé. Lors de sa création, ce compte de service ne dispose d'aucune autorisation et ne peut effectuer aucune action.
Le compte de service Risk Manager doit disposer du rôle Agent de service Risk Manager (roles/riskmanager.serviceAgent
) pour pouvoir lire les résultats de sécurité et créer des rapports. Ce rôle est souvent appelé "provisionnement" par Risk Manager dans Google Cloud Console. Pour en savoir plus sur le rôle d'agent de service, consultez la page Contrôle des accès pour le gestionnaire de risques.
Pour provisionner le compte de service Risk Manager, procédez comme suit:
Console
Accédez à la page de configuration de Risk Manager.
Si aucune organisation n'est sélectionnée, procédez comme suit:
- Cliquez sur Sélectionner une organisation.
- Sélectionnez votre organisation dans le menu déroulant.
Accédez à l'étape Provision Service Account (Provisionner le compte de service). Si cette étape est déjà terminée, elle est automatiquement ignorée. Vous pouvez toujours l'afficher en cliquant sur Compte de service de provisionnement.
Cliquez sur Attribuer des rôles.
Vérifiez que le bouton Attribuer des rôles est mis à jour pour afficher les rôles attribués.
S'inscrire dans Risk Manager
L'inscription à Risk Manager permet à tout service de backend de fonctionner.
Pour que l'inscription réussisse, Security Command Center doit être activé au sein de l'organisation, et le service Security Health Analytics doit être activé dans Security Command Center. Le processus d'activation de Security Command Center et de l'analyse de l'état de sécurité est détaillé sur la page d'intégration de Risk Manager.
Pour vous inscrire à Risk Manager, procédez comme suit:
Console
Accédez à la page de configuration de Risk Manager:
Si aucune organisation n'est sélectionnée:
- Cliquez sur Sélectionner une organisation.
- Sélectionnez votre organisation dans le menu déroulant.
Accédez à l'étape S'inscrire à Risk Manager. Si vous ne parvenez pas à effectuer cette étape, vous devez d'abord réaliser les étapes préalables.
Si vous avez déjà terminé cette étape, elle est automatiquement ignorée. Vous pouvez toujours le consulter en cliquant sur S'inscrire à Risk Manager.
Cliquez sur Inscrire.
Vérifiez que le bouton Enregistrer est mis à jour et affiche Inscrit.
Attribuer des rôles IAM
Pour qu'un utilisateur puisse créer, examiner, partager ou envoyer un rapport, il doit disposer des autorisations IAM appropriées. Vous pouvez attribuer un ou plusieurs rôles prédéfinis, ou créer et attribuer des rôles personnalisés. Par exemple, un membre doté du rôle "Examinateur de rapports Risk Manager" (roles/riskmanager.reportReviewer
) peut accéder aux rapports (mais ne peut pas les modifier) et approuver les rapports qui doivent être envoyés. Cependant, il ne peut pas créer des rapports.
Pour en savoir plus, y compris la liste des rôles prédéfinis pour le gestionnaire de risques, consultez la page Gérer les accès à Risk Manager.
Pour ajouter un rôle, procédez comme suit:
Console
Accédez à la page IAM de Cloud Console.
Cliquez sur la liste déroulante du sélecteur de projet en haut de la page.
Dans la boîte de dialogue Sélectionnez une organisation qui apparaît, sélectionnez l'organisation pour laquelle vous souhaitez activer Risk Manager.
Sur la page IAM, à côté de votre nom d'utilisateur, cliquez sur
Modifier le membre.Dans le volet Modifier les autorisations qui s'affiche, ajoutez les rôles nécessaires.
Cliquez sur Ajouter un autre rôle. Sélectionnez un rôle à ajouter, par exemple Examinateur de rapports du gestionnaire de risques.
Pour ajouter d'autres rôles, répétez l'étape précédente. Cliquez sur Enregistrer.
gcloud
Exécutez la commande suivante :
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member=user:USERNAME --role=roles/ROLE
Remplacez les éléments suivants :
ORGANIZATION_ID
: ID numérique de votre organisation.USERNAME
: membre auquel vous souhaitez attribuer ce rôle. Il doit être membre de votre organisation. Exemple :test-user@example.com
.ROLE
: nom du rôle Gestionnaire de risques que vous souhaitez attribuer. Exemple :riskmanager.admin
.
Étape suivante
- Découvrez comment créer un rapport.
- Découvrez comment corriger les résultats.
- Découvrez comment générer automatiquement des rapports.