本页介绍了如何为 Google Cloud 项目激活 Security Command Center 标准层级或高级层级。
如需为整个组织激活 Security Command Center,请参阅以下任一内容:
前提条件
如需在项目上激活 Security Command Center,您需要满足以下前提条件,如以下各小节所述:
- 阅读前提条件信息,了解 Security Command Center 的项目级层激活与组织级层激活的区别。
- 您需要一个与组织关联的 Google Cloud 项目。
- 您的用户账号需获授予包含所需权限的 Identity and Access Management (IAM) 角色。
- 如果您的项目继承了设置为按网域限制身份的组织政策,则您的用户和服务账号必须位于允许的网域中。
- 如果您要使用 Container Threat Detection,则您的 Google Kubernetes Engine 集群必须支持 Container Threat Detection。
前提条件信息
如需了解 Security Command Center 的项目级层激活与组织级层激活的区别,请参阅 Security Command Center 的项目级层启用概览。
如需了解项目级层激活不支持的服务和 Security Command Center 发现结果,请参阅项目级层激活服务限制。
项目要求
如需为项目激活 Security Command Center,项目必须与组织关联。如果您需要创建项目,请参阅创建和管理项目。
执行此任务所需的 IAM 角色
如需设置 Security Command Center,您需要在启用了 Security Command Center 的项目中向您的用户账号授予以下 IAM 角色:
- Security Center Admin
roles/securitycenter.admin
- Security Admin
roles/iam.securityAdmin
- 除非组织级层激活中已存在所需的 Security Command Center 服务账号,否则请创建服务账号
roles/iam.serviceAccountCreator
详细了解 Security Command Center 角色。
验证组织政策
如果您的项目继承设置为按网域限制身份的组织政策,则需要满足以下要求:
- 您必须使用在允许的网域中的账号登录 Google Cloud 控制台。
- 您的服务账号必须位于允许的网域中,或是您网域内某个群组的成员。当启用了网域限制共享时,借助此要求,您就可以允许
@*.gserviceaccount.com
服务访问资源。
确认 Container Threat Detection 的软件版本
如果您计划在 Google Kubernetes Engine (GKE) 中使用 Container Threat Detection,请确保您的集群使用的是受支持的 GKE 版本,并且集群已正确配置。如需了解详情,请参阅使用 Container Threat Detection。
项目的激活场景
本页面介绍以下激活场景:
- 在从未激活 Security Command Center 的组织中,为项目激活 Security Command Center 的高级或标准层级。
- 在使用标准层级的组织中,为项目激活 Security Command Center 高级层级。
- 在使用过期的高级层级订阅的组织中,为项目激活 Security Command Center 的高级层级。
您可以使用不同的方法为项目激活 Security Command Center,具体取决于您的组织是否正在使用 Security Command Center。
如果您的组织未在使用 Security Command Center,Google Cloud 控制台将引导您完成一系列设置页面。
如果您的组织正使在用 Security Command Center,则您可以通过设置页面的层级详细信息标签页为项目激活 Security Command Center 高级层级。
确定 Security Command Center 是否已在您的组织中处于活动状态
为项目激活 Security Command Center 的方式取决于您组织中的 Security Command Center 是否处于活动状态。
如要检查 Security Command Center 是否已在您的组织中处于活动状态,请完成以下步骤:
转到 Google Cloud 控制台中的 Security Command Center 概览页面。
选择您需要为其激活 Security Command Center 的项目的名称。
选择项目后,系统会打开以下页面之一:
- 如果 Security Command Center 在组织中处于活动状态,系统会打开风险概览页面。
- 如果组织中尚未激活 Security Command Center,系统会打开获取 Security Command Center 页面,您可以从中开始项目的激活过程。
如果 Security Command Center 在您的组织中已处于活动状态,请检查当前处于活动状态的服务层级。
打开 Security Command Center 的设置页面:
在设置页面上,点击层级详细信息。此时会打开层级页面。
层级行列出了项目继承的服务层级。
如需为项目激活 Security Command Center,请按照父级组织中 Security Command Center 的激活状态过程进行操作:
当 Security Command Center 在组织中处于活动状态时为项目激活
如果 Security Command Center 已在组织中处于活动状态,唯一需要在项目级层激活的服务层级是高级层级,因为项目至少会继承使用标准层级。
如需查看每个层级包含的功能,请参阅 Security Command Center 层级。
当 Security Command Center 在组织中处于活动状态时,您可以在 Google Cloud 控制台中选择您的项目,然后在 Security Command Center 设置页面上选择高级层级,以开始项目级层激活过程。
打开设置页面上的层级详细信息标签页:
在转到层级详细信息页面之前,系统会打开一个项目选择页面。
选择您的项目。 层级详细信息页面随即打开。
在“层级详细信息”页面上,点击以下任一选项:
- 管理项目层级
- 订阅高级层级
系统随即会打开管理您的层级页面。
在管理您的层级页面上,选择高级。
点击下一步。此时会打开服务页面。
在服务页面上,根据需要启用或停用各项内置服务,方法是从所列服务左侧的菜单中选择以下值之一:
- 继承(默认条目)
- 启用
- 停用
您已完成激活 Security Command Center。接下来,等待初始扫描完成。
当 Security Command Center 在组织中未处于活动状态时为项目激活
如果您的组织不使用 Security Command Center,则当您为项目激活 Security Command Center 时,Google Cloud 控制台会引导您完成一系列设置页面。
第 1 步:选择层级
如果您的组织中未启用 Security Command Center,则当您在 Google Cloud 控制台中打开 Security Command Center 时,系统会显示 Get Security Command Center 页面。您可以通过选择层级来开始激活过程。
Security Command Center 有三个层级:标准、高级和企业。您选择的层级决定了您可以使用的功能以及使用 Security Command Center 的费用。您只能在组织级别激活企业版层级。如需了解详情,请参阅激活 Security Command Center Enterprise 层级。
如需查看每个层级包含的功能,请参阅 Security Command Center 层级。
如需选择层级并开始 Security Command Center 激活过程,请完成以下步骤:
转到 Google Cloud 控制台中的 Security Command Center 概览页面。
选择您需要为其激活 Security Command Center 的项目的名称。
选择项目后,Security Command Center 会打开获取 Security Command Center 页面,您可以在其中通过选择层级来开始激活过程。如果 Security Command Center 控制台已打开,则表示 Security Command Center 在您的组织或项目中处于活动状态。
根据所需的服务,选择高级或标准层级。
点击下一步。此时会打开选择服务页面。
在下一部分中,您将选择要为项目启用的内置服务。
第 2 步:选择服务
选择服务页面上会显示 Security Command Center 的所有内置服务。
在服务页面上,根据需要启用或停用各项内置服务,方法是从所列服务左侧的菜单中选择以下值之一:
- 继承
- 启用
- 停用
完成激活过程后,对于已启用的每项服务,请查看该服务的文档,了解每个服务可能需要的任何其他步骤。
点击下一步。此时会打开授予角色页面。
第 3 步:配置服务代理
当您首次激活 Security Command Center 时,Google Cloud 会自动为 Security Command Center 及其检测服务创建 IAM 服务代理。
如以下步骤所述,您需要向这些服务代理授予 IAM 角色,以便为 Security Command Center 及其检测服务提供执行其功能所需的权限。
如果您在项目级层激活 Security Command Center,而您的组织中尚未激活 Security Command Center,系统会创建以下项目级服务代理:
service-project-PROJECT_NUMBER@security-center-api.iam.gserviceaccount.com
。您向此服务账号授予securitycenter.serviceAgent
IAM 角色。service-project-PROJECT_NUMBER@gcp-sa-ktd-hpsa.iam.gserviceaccount.com
。您向此服务账号授予roles/containerthreatdetection.serviceAgent
IAM 角色。
该服务账号包含您的项目编号,以代替 PROJECT_NUMBER
。
如需向服务代理授予 IAM 角色,请按以下步骤操作:
(可选)在授予角色页面上,点击查看权限以查看您要授予的角色和权限。
点击授予角色以自动授予所需角色。
或者,您可以通过完成以下步骤来手动授予角色:
- 点击或者:手动授予角色 (gcloud)。
- 复制 gcloud CLI 命令。
- 在 Google Cloud 控制台工具栏中,点击激活 Cloud Shell。
- 在分隔的终端窗口中,粘贴您复制的 gcloud CLI 命令,然后按 Enter 键。
点击下一步。此时会打开完成设置页面。
第 4 步:确认激活
按照以下步骤完成 Security Command Center 激活:
- 在完成设置页面上,点击完成。
设置完毕后,Security Command Center 将启动初始资源扫描,之后您可以使用控制台审核并修复项目中的 Google Cloud 安全和数据风险。
对某些服务开始扫描之前可能会有延迟。正如您的预期,单个项目中的服务的延迟时间或扫描延迟时间通常比组织的延迟时间短,但大多数延迟原因仍然适用。如需详细了解应用于组织的延迟时间,请参阅 Security Command Center 延迟时间概览以详细了解激活过程。
对于所有激活场景优化和测试内置服务
激活 Security Command Center 后,请查看每项服务的文档,了解您是否可以进一步测试或优化该服务。
例如,Event Threat Detection 依赖于 Google Cloud 生成的日志。某些日志始终处于启用状态,因此 Event Threat Detection 可以在启用后立即开始扫描它们。其他日志(例如大多数数据访问审核日志)必须先激活,然后 Event Threat Detection 才能扫描。如需了解详情,请参阅日志类型和激活要求。
如需详细了解如何测试和使用每种内置服务,请参阅以下页面:
- 使用 Container Threat Detection
- 使用 Event Threat Detection
- 使用 Security Health Analytics
- 使用 Virtual Machine Threat Detection
- 使用 Web Security Scanner
后续步骤
详细了解 Security Command Center 及其内置服务。
- 了解如何使用 Security Command Center 查看资源、发现结果和漏洞。
- 了解 Google Cloud 安全来源。
- 了解如何向 Security Command Center 添加安全来源。