您可以激活不同层级的 Security Command Center:标准、高级或 Enterprise。如果您选择标准层级或高级层级,则可以为整个组织(组织级激活)或个别项目(项目级激活)激活 Security Command Center。如果您选择 Enterprise 层级,则只能在组织级激活 Security Command Center。
不同层级的激活流程有所不同。此外,如果在项目级激活 Security Command Center,由于 Security Command Center 的访问权限范围缩小,部分检测模块和服务集成将不可用。
组织级激活概览
在组织级层激活 Security Command Center 被视为最佳实践,因为它允许 Security Command Center 访问和扫描组织所有文件夹和项目中的资源和资产,从而为企业提供最完整的保护。
如果有适当的 IAM 权限,您可以使用Google Cloud 控制台自行为组织激活标准层级。
如要为组织激活高级层级,您需要采用随用随付价格模式。通过随用随付价格模式,您可以灵活地根据 Google Cloud 服务的用量支付 Security Command Center 费用。用量会计入与您组织中的项目关联的结算账号。如果有适当的 IAM 权限,您可以使用 Google Cloud 控制台自行通过随用随付方案激活高级层级。
如要为组织激活 Enterprise 层级,您必须从 Google Cloud 销售团队或Google Cloud 合作伙伴处购买相应订阅。
如需详细了解 Enterprise 层级或高级层级的价格方案,请参阅价格。
激活标准层级或高级层级
对于标准层级和高级层级,您可以使用 Google Cloud 控制台来启用和配置 Security Command Center。如需查看分步激活说明,请参阅为组织激活 Security Command Center 标准层级或高级层级。
如果您想启用数据驻留,则必须改用管辖区级 Google Cloud 控制台。如需了解如何访问管辖区级 Google Cloud 控制台,请参阅管辖区级 Google Cloud 控制台简介。
激活 Enterprise 层级
对于 Enterprise 层级,您可以使用 Google Cloud 控制台来启用和配置 Security Command Center。
如果您想启用数据驻留,则需改用管辖区级 Google Cloud 控制台。如需查看分步激活说明,请参阅激活 Security Command Center Enterprise 层级。
如果您使用的是标准或高级服务层级,那么升级到 Enterprise 层级不会更改 Security Command Center 数据的位置。如果您未为标准或高级层级启用 Security Command Center 数据驻留,则在升级到 Enterprise 层级时,您将无法启用该功能。
项目级激活概览
您可以在个别项目上激活 Security Command Center,从而灵活地将 Security Command Center 仅用于最重要的项目,并仅根据该项目中的资源用量来支付 Security Command Center 费用。
对于项目级激活,只要您拥有适当的 IAM 权限,便可以在 Google Cloud 控制台中自行激活 Security Command Center 标准或高级层级。您无需先行联系销售人员。
如果在项目级激活,高级层级的费用将基于项目中某些 Google Cloud 资源的使用量,并使用随用随付模式在项目中结算。
在项目级层激活 Security Command Center 时,Security Command Center 对日志、数据和其他资源的访问权限仅限于激活它的项目。因此,任何需要项目外部数据的服务都不可用,或者它们无法生成完整的发现结果。如需详细了解项目级激活不支持的发现结果和服务,请参阅项目级激活的功能提供情况。
Security Command Center 的项目级激活不支持数据驻留。
在组织级层激活标准层级以优化项目级激活
为了优化高级层级的项目级激活,我们建议您在组织级层激活 Security Command Center 的标准层级。
通过在组织级激活标准层级,您可以全局管理多个项目级激活,并确保所有需要组织级激活的标准层级检测模块或服务集成都可供项目使用。
如需了解详情,请参阅需要组织级激活的标准层级功能。
何时使用项目级激活
通常,在以下情况下,您可以为某个项目激活 Security Command Center:
- 您的组织未使用任何层级的 Security Command Center。在这种情况下,您可以为项目激活 Security Command Center 标准层级或高级层级。
- 您的组织使用标准层级。在这种情况下,您只能为项目激活高级层级,因为组织中的每个项目都已能使用标准层级。
- 您的组织使用高级层级,但您只需要为部分特定项目激活 Security Command Center 高级层级。在这种情况下,您必须将组织级激活降级为标准层级,项目级高级层级激活才会生效。如果您使用的是组织级订阅,则此更改仅在订阅到期后才会生效。
查看您当前的激活类型
Security Command Center 的激活类型决定了 Security Command Center 是在项目级还是组织级激活、层级以及价格方案。
在 Google Cloud 控制台中打开项目时,您无法立即看出 Security Command Center 是在项目级还是组织级激活的,因为项目有可能从其父级组织中继承了 Security Command Center 的使用权。
如需确定 Security Command Center 是否已激活,并查看您当前的 Security Command Center 激活类型,请完成以下操作:
在 Google Cloud 控制台中,前往 Security Command Center:
选择您需要检查的组织或项目。
如果组织或项目中已激活 Security Command Center,则系统会显示 Security Command Center 概览页面。如果组织或项目中未激活 Security Command Center,则系统会显示获取 Security Command Center 页面。如需查看激活说明,请参阅为组织激活 Security Command Center 或为项目激活 Security Command Center。
转到设置页面。 执行下列其中一项操作:
- 在 Security Command Center 标准版或高级版中,选择设置按钮。
- 在 Security Command Center Enterprise 中,选择导航栏中的 SCC 设置。
在设置页面上,选择层级详情标签页。
在层级详情标签页上,通过检查层级和结算状态行来确定激活类型:
层级:显示组织或项目的层级(Enterprise、高级或标准)。如果将组织设置为 Enterprise 层级或高级层级,则所有项目都会自动继承 Enterprise 层级或高级层级,并且 Google Cloud 控制台会显示说明此继承关系的横幅消息。将组织设置为 Enterprise 层级或高级层级后,此设置会在项目级显示将组织层级降级为标准层级时项目将使用的层级。
结算行:将显示以下项之一:
已激活:表示高级层级价格使用组织或项目的随用随付方案。
已暂停:表示 Enterprise 层级或高级层级已在组织级激活,并被此项目继承。
到期日期:表示 Enterprise 层级或高级层级的组织级激活使用的是订阅。
如果未显示结算行:表示已为组织或项目激活标准层级。项目可以从组织继承标准层级。
Google Cloud 控制台中的管理层级按钮上方的文本说明了您可以使用的层级和激活方案。
- 加购项:显示通过订阅其他 Google Cloud 产品获得的任何 Security Command Center 加购项。这些加购项会自动授予对有限数量的相关高级层级服务和检测模块的访问权限。
查看 Security Command Center 的激活时间
如需了解 Security Command Center 的激活时间,您可以使用 Cloud Logging 查询。如果激活是在日志保留期限内完成的,此查询会返回结果。
- 在 Google Cloud 控制台中,转到 Logs Explorer 页面:
- 选择您已在其中激活 Security Command Center 的组织。
- 请运行以下查询:
protoPayload.serviceName="securitycenter.googleapis.com" protoPayload.request.securityHealthAnalyticsSettings.serviceEnablementState="ENABLED"