配置 Risk Manager

本主题介绍如何配置 Google Cloud 组织以首次使用 Risk Manager。这些步骤是 Risk Manager 中大多数任务的前提条件。

开始设置 Risk Manager

为了生成报表,您必须完成 Risk Manager 的一次性设置。此过程需要 Identity and Access Management (IAM) 权限超出了 Risk Manager 的范围,而 Risk Manager 的权限可能只有组织的管理员拥有。

要开始设置,请按以下步骤操作:

控制台

  1. 转到 Risk Manager 设置页面。

    转到 Risk Manager 设置

  2. 如果未选择组织,请按以下步骤操作:

    1. 点击选择组织
    2. 在下拉菜单中选择您的组织。

  3. 点击开始设置。如果此按钮无效,请获取必需的设置权限,然后重试。

必需的设置权限

如果开始设置按钮处于无效状态,则表示您缺少开始设置所需的权限。如需继续操作,您必须向 Google Cloud 管理员申请这些权限,或者请 Google Cloud 管理员为您执行这些步骤。您需要这些权限才能完成本指南中的其余步骤。

只有管理角色才具有 resourcemanager.organizations.setIamPolicy 权限,因此您的 Google Cloud 管理员可能更希望执行此设置。以下角色包含所需的权限:

  • Risk Manager Admin
  • Organization Administrator

将鼠标悬停在无效的开始设置按钮上可查看所需的权限,但此处也会列出这些权限:

所需权限 参考
riskmanager.serviceAccount.create 如需了解包含此权限的 IAM 角色,请参阅 Risk Manager 访问权限控制。请参阅分配 IAM 角色,了解如何分配 Risk Manager 角色。
resourcemanager.organizations.getIamPolicy 请参阅组织访问权限控制,了解包含此权限的 IAM 角色。
resourcemanager.organizations.setIamPolicy 请参阅组织访问权限控制,了解包含此权限的 IAM 角色。

向 Risk Manager 服务帐号授予对组织的访问权限

当您开始在 Google Cloud Console 中设置 Risk Manager 时,系统会创建一个服务帐号。创建后,此服务帐号没有权限,无法执行任何操作。

Risk Manager 服务帐号必须被授予 Risk Manager 服务代理角色 (roles/riskmanager.serviceAgent),才能读取安全发现结果并构建报告。此角色授予通常在 Google Cloud Google Cloud Console 中由风险管理人员称为“预配”。如需详细了解服务代理角色,请参阅 Risk Manager 访问权限控制

如需预配 Risk Manager 服务帐号,请按以下步骤操作:

控制台

  1. 转到 Risk Manager 设置页面。

    转到 Risk Manager 设置步骤

  2. 如果未选择组织,请按以下步骤操作:

    1. 点击选择组织
    2. 在下拉菜单中选择您的组织。

  3. 转到配置服务帐号步骤。如果此步骤已完成,系统会自动跳过该步骤。您仍然可以通过点击预配服务帐号进行查看。

  4. 点击授予角色

  5. 验证授予角色按钮已更新为显示已授予的角色

注册 Risk Manager

注册 Risk Manager,将使 Risk Manager 正常工作所需的所有后端服务。

要成功注册,组织必须启用 Security Command Center,并在 Security Command Center 中启用 Security Health Analytics 服务。Risk Manager 新手入门页面详细介绍了 Security Command Center 和 Security Health Analytics 启用流程。

如需注册 Risk Manager,请按以下步骤操作:

控制台

  1. 转到 Risk Manager 设置页面:

    转到 Risk Manager 设置步骤

  2. 如果未选择组织:

    1. 点击选择组织
    2. 在下拉菜单中选择您的组织。

  3. 转到注册 Risk Manager 步骤。如果您无法执行此步骤,则必须先完成前提步骤。

    如果此步骤已完成,系统将自动跳过该步骤。您仍然可以点击注册 Risk Manager 进行查看。

  4. 点击注册

  5. 确认注册按钮已更新为显示已注册

分配 IAM 角色

用户必须先拥有适当的 IAM 权限,才能创建、查看、共享或发送报告。您可以授予一个或多个预定义角色,也可以创建和授予自定义角色。例如,具有 Risk Manager Report Reviewer 角色 (roles/riskmanager.reportReviewer) 的成员可以访问(但不能修改)报告并批准要发送的报告;但是,他们不能创建报告。

如需了解详情(包括 Risk Manager 的预定义角色列表),请参阅管理对 Risk Manager 的访问权限

如需添加角色,请按以下步骤操作:

控制台

  1. 在 Cloud Console 中,转到 IAM 页面。

    转到 IAM

  2. 点击页面顶部的项目选择器下拉列表。

  3. 在随即显示的请选择:对话框中,选择要为其启用 Risk Manager 的组织。

  4. IAM 页面上,点击用户名旁边的 修改成员

  5. 在显示的修改权限窗格中,添加必要的角色。

    1. 点击添加其他角色。选择要添加的角色,例如 Risk Manager Report Reviewer

    2. 要添加更多角色,请重复上述步骤。点击保存

gcloud

  1. 安装并初始化 Cloud SDK

  2. 运行以下命令:

    gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member=user:USERNAME --role=roles/ROLE

    替换以下内容:

    • ORGANIZATION_ID:您的组织的数字 ID。

    • USERNAME:您要向其授予此角色的成员。您必须是贵组织的成员;例如 test-user@example.com

    • ROLE:您要授予的 Risk Manager 角色的名称;例如 riskmanager.admin

后续步骤