您可以激活不同层级的 Security Command Center:标准层级、高级层级或企业层级。如果您选择标准层级或高级层级,则可以为整个组织(组织级激活)或个别项目(项目级激活)激活 Security Command Center。如果您选择企业版层级,则只能在组织级层激活 Security Command Center。
激活流程因层级而异。此外,在项目级层激活 Security Command Center 时,由于 Security Command Center 的访问权限范围缩小,某些检测模块和服务集成不可用。
如果您需要数据驻留控制功能(目前处于预览版阶段),则必须在激活 Security Command Center 时启用该功能。只有在标准层级或高级层级的组织级层激活后,才支持数据驻留控制。
组织级激活概览
在组织级层激活 Security Command Center 被视为最佳实践,因为它允许 Security Command Center 访问和扫描组织所有文件夹和项目中的资源和资产,从而为企业提供最完整的保护。
在具有适当的 IAM 权限的情况下,您可以使用 Google Cloud 控制台自行为组织激活标准层级。
如需为组织激活高级层级,您需要采用随用随付价格。通过随用随付价格,您可以灵活地根据 Google Cloud 服务的用量支付 Security Command Center 费用。用量会计入与贵组织中的项目关联的结算账号。拥有了适当的 IAM 权限后,您便可以使用 Google Cloud 控制台,自行通过按需付费方案激活高级层级。
如需为组织激活企业版层级,您必须通过 Google Cloud 销售团队或您的 Google Cloud 合作伙伴购买订阅。
如需详细了解企业版或高级版的价格方案,请参阅价格。
您需要使用 Google Cloud 控制台启用和配置 Security Command Center。如果您是首次启用 Security Command Center,Google Cloud 控制台会引导您完成设置。
如需了解为组织启用和配置 Security Command Center 的分步说明,请参阅以下任一内容:
项目级激活概览
您可以在单个项目上激活 Security Command Center,从而灵活地将 Security Command Center 仅用于最重要的项目,并仅根据该项目中的资源用量来支付 Security Command Center 费用。
对于项目级激活,只要您拥有适当的 IAM 权限,便可以在 Google Cloud 控制台中自行激活 Security Command Center 标准或高级层级。您无需先行联系销售人员。
进行项目级激活时,高级层级的费用基于项目中某些 Google Cloud 资源的使用量,并使用随用随付模式在项目中结算。
在项目级层激活 Security Command Center 时,Security Command Center 对日志、数据和其他资源的访问权限仅限于激活它的项目。因此,任何需要项目外部数据的服务都不可用,或者它们无法生成完整的发现结果。如需详细了解项目级激活不支持的发现结果和服务,请参阅项目级激活的功能可用性。
Security Command Center 的项目级激活不支持数据驻留控制。
在组织级层激活标准层级以优化项目级激活
为了优化高级层级的项目级激活,我们建议您在组织级层激活 Security Command Center 的标准层级。
通过在组织级层激活标准层级,您可以全局管理多个项目级激活,并确保所有需要组织级激活的标准层级检测模块或服务集成都可供项目使用。
如需了解详情,请参阅需要组织级激活的标准层级功能。
何时使用项目级激活
通常,在以下情况下,您可以为某个项目激活 Security Command Center:
- 您的组织目前在任何层级都不使用 Security Command Center。 在这种情况下,您可以为项目激活 Security Command Center 标准层级或高级层级。
- 组织目前使用的是标准层级。 在这种情况下,您可以只为项目激活高级层级,因为组织中的每个项目都可以使用标准层级。
- 组织目前正在使用高级层级,但您只需要为特定项目激活 Security Command Center 高级层级。在这种情况下,您必须将组织级激活降级为标准层级,项目级高级层级激活才会生效。如果您使用的是组织级订阅,则此更改仅在订阅到期后才会生效。
查看当前的激活类型
Security Command Center 的激活类型决定了 Security Command Center 在项目级层还是组织级层激活、层级以及价格方案。
在 Google Cloud 控制台中打开项目时,您无法立即看出 Security Command Center 的激活级层(项目级或组织级),因为项目有可能从其父级组织中继承了 Security Command Center 的使用。
如需确定 Security Command Center 是否已激活以及查看 Security Command Center 的当前激活类型,请完成以下操作:
在 Google Cloud 控制台中,前往 Security Command Center:
选择您需要检查的组织或项目。
如果组织或项目中已激活 Security Command Center,则系统会显示 Security Command Center 概览页面。如果组织或项目中未激活 Security Command Center,则系统会显示获取 Security Command Center 页面。如需查看激活说明,请参阅为组织激活 Security Command Center 或为项目激活 Security Command Center。
在组织或项目的 Security Command Center 概览页面上,选择设置。
在设置页面上,选择层级详情标签页。
在层级详情标签页上,通过检查层级和结算状态行来确定激活类型:
层级:显示组织或项目的层级(企业版、高级版或标准版)。如果将组织设置为企业版或高级层级,则所有项目都会自动继承企业版或高级层级,并且 Google Cloud 控制台会显示描述此继承的横幅。将组织设置为 Enterprise 或高级层级后,此设置会在项目级层显示将组织层级降级为标准层级时项目使用的层级。
结算行:以下各项之一:
已激活:表示高级层级价格使用组织或项目的随用随付方案。
已暂停:表示企业版或高级层级已在组织级层激活,并由此项目继承。
到期日期:表示企业版或高级层级的组织级激活使用的是订阅。
如果未显示结算行:表示已为组织或项目激活标准层级。项目可以从组织继承标准层级。
Google Cloud 控制台中的管理层级按钮上方的文本说明了您可以使用的层级和激活方案。
- 插件:显示通过订阅其他 Google Cloud 产品而获得的所有 Security Command Center 插件。这些插件会自动授予对少量相关 Premium 层级服务和检测模块的访问权限。
查看 Security Command Center 的激活时间
如需了解 Security Command Center 的激活时间,您可以使用 Cloud Logging 查询。如果激活是在日志保留期限内完成的,此查询会返回结果。
- 在 Google Cloud 控制台中,转到 Logs Explorer 页面。
- 选择您已在其中启用 Security Command Center 的组织。
- 请运行以下查询:
protoPayload.serviceName="securitycenter.googleapis.com" protoPayload.request.securityHealthAnalyticsSettings.serviceEnablementState="ENABLED"