Como configurar o Gerenciador de Risco

Neste tópico, descrevemos como configurar sua organização do Google Cloud para usar o Gerenciador de Risco pela primeira vez. Essas etapas são pré-requisitos para a maioria das tarefas no Gerenciador de Risco.

Iniciando configuração do Gerenciador de Risco

Para gerar relatórios, o Gerenciador de Risco requer uma configuração única para ser concluída. Esse processo requer permissões de gerenciamento de identidade e acesso (IAM, na sigla em inglês) além do escopo do Gerenciador de Risco, que só pode ser realizado por um administrador da sua organização.

Para iniciar a configuração, siga estas etapas:

Console

Acesse a página de configuração do Gerenciador de Risco.

Acessar a configuração do Gerenciador de Risco
Se nenhuma organização estiver selecionada, siga estas etapas:
1. Clique em Selecionar uma organização.
2. Selecione sua organização no menu suspenso.
Clique em Iniciar configuração. Se este botão estiver inativo, consiga as permissões de configuração necessárias e tente novamente.

Permissões de configuração necessárias

Se o botão Começar a configuração estiver inativo, você não tem as permissões necessárias para iniciar a configuração. Para continuar, solicite essas permissões ao administrador do Google Cloud ou peça que ele faça isso por você. Você precisa dessas permissões para concluir o restante das etapas deste guia.

Somente os papéis administrativos incluem a permissão resourcemanager.organizations.setIamPolicy. Portanto, o administrador do Google Cloud pode preferir realizar essa configuração. Os papéis a seguir contêm as permissões necessárias:

Risk Manager Admin
Organization Administrator

É possível ver as permissões necessárias passando o cursor sobre o botão inativo Iniciar configuração, mas elas também estão listadas aqui:

Permissão necessária	Referência
`riskmanager.serviceAccount.create`	Consulte Controle de acesso do Gerenciador de Risco para conhecer os papéis do IAM que incluem essa permissão. Consulte Atribuir papéis do IAM para saber como atribuir papéis do Gerenciador de Risco.
`resourcemanager.organizations.getIamPolicy`	Veja os papéis de IAM que incluem essa permissão em Controle de acesso para organizações.
`resourcemanager.organizations.setIamPolicy`	Veja os papéis de IAM que incluem essa permissão em Controle de acesso para organizações.

Conceder à conta de serviço do Gerenciador de Risco acesso à sua organização

Quando você começa a configurar o Gerenciador de Risco no Console do Google Cloud, uma conta de serviço é criada. Após a criação, essa conta de serviço não tem permissões e não pode executar nenhuma ação.

A conta de serviço do Gerenciador de Risco precisa receber o papel de agente de serviço do Gerenciador de Risco (roles/riskmanager.serviceAgent) para ler descobertas de segurança e criar relatórios. Essa concessão de papel é muitas vezes chamada de "provisionamento" pelo Gerenciador de Risco no Console do Google Cloud do Google Cloud. Para mais informações sobre o papel do agente de serviço, consulte Controle de acesso do Gerenciador de Risco.

Para provisionar a conta de serviço do Gerenciador de Risco, siga estas etapas:

Console

Acesse a página de configuração do Gerenciador de Risco.

Acessar as etapas de configuração do Gerenciador de Risco
Se nenhuma organização estiver selecionada, siga estas etapas:
1. Clique em Selecionar uma organização.
2. Selecione sua organização no menu suspenso.
Acesse a etapa Provisionar conta de serviço. Se essa etapa já tiver sido concluída, ela será ignorada automaticamente. Para visualizá-la, clique em Provisionar conta de serviço.
Clique em Conceder papéis.
Verifique se o botão Conceder papéis está atualizado para mostrar Papéis concedidos.

Inscreva-se no Gerenciador de Risco

A inscrição no Gerenciador de Risco permite que todos os serviços de back-end necessários para o Gerenciador de Risco funcionem.

Para que a inscrição seja bem-sucedida, a organização precisa ter o Security Command Center ativado com o serviço Security Health Analytics ativado. O processo de ativação do Security Command Center e do processo de análise de integridade de segurança é detalhado na página de integração do Gerenciador de Risco.

Para se inscrever no Gerenciador de Risco, siga estas etapas:

Console

Acesse a página de configuração do Gerenciador de Risco:

Acessar as etapas de configuração do Gerenciador de Risco
Se nenhuma organização estiver selecionada:
1. Clique em Selecionar uma organização.
2. Selecione sua organização no menu suspenso.
Vá para a etapa Inscrever-se no Gerenciador de Risco. Se não for possível concluir esta etapa, primeiro conclua os passos de pré-requisito.

Se essa etapa já tiver sido concluída, ela será pulada automaticamente. Você ainda pode visualizá-lo clicando em Inscrever-se no Gerenciador de Risco.
Clicar em Inscrever.
Verifique se o botão Inscrever-se está atualizado para mostrar Inscrito.

Atribuir papéis do IAM

Antes de um usuário criar, revisar, compartilhar ou enviar um relatório, ele precisa ter as permissões apropriadas do IAM. É possível conceder um ou mais papéis predefinidos ou criar e conceder papéis personalizados. Por exemplo, um membro com o papel "Avaliador de relatórios" do Gerenciador de Risco (roles/riskmanager.reportReviewer) pode acessar (mas não modificar) os relatórios e aprovar os relatórios a serem enviados. No entanto, não pode relatórios.

Para mais informações, incluindo uma lista de papéis predefinidos do Gerenciador de Risco, consulte Como gerenciar o acesso ao gerenciador de riscos.

Para adicionar um papel, siga estas etapas:

Console

Acesse a página IAM no Console do Cloud.

Acessar IAM
Clique na lista suspensa do seletor de projetos na parte superior da página.
Na caixa de diálogo Selecionar de exibida, selecione a organização que você quer ativar o Gerenciador de Risco.
Na página IAM, ao lado do seu nome de usuário, clique em Editar membro.
No painel Editar permissões exibido, adicione os papéis necessários.
1. Clique em Adicionar outro papel. Selecione um papel para adicionar, como Avaliador de relatórios do Gerenciador de Risco.
2. Para adicionar mais papéis, repita a etapa anterior. Clique em Save.

gcloud

Instale e inicie o SDK do Cloud.

Observação: a ferramenta de linha de comando gcloud está disponível automaticamente no Cloud Shell. Se você estiver usando o Cloud Shell, não precisará instalar manualmente a ferramenta gcloud para usá-la.
Execute este comando:
```
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member=user:USERNAME --role=roles/ROLE
```
Substitua:
- ORGANIZATION_ID: o ID numérico da organização.
- USERNAME: o membro a que você quer conceder esse papel. Precisa ser um membro da sua organização por exemplo, test-user@example.com;
- ROLE: o nome do papel do Gerenciador de Risco que você quer conceder. por exemplo, riskmanager.admin.

A seguir

Saiba como criar um relatório.
Saiba como corrigir descobertas.
Saiba como gerar relatórios automaticamente.