En esta página, se explica cómo habilitar las notificaciones de la API de Security Command Center.
Las notificaciones envían resultados y actualizaciones de resultados a un tema de Pub/Sub en cuestión de minutos. Las notificaciones de la API de Security Command Center incluyen toda la información de búsqueda que Security Command Center muestra en la consola de Google Cloud.
Puedes conectar las notificaciones de Security Command Center en Pub/Sub directamente a las acciones de las funciones de Cloud Run. Para ejemplos de funciones que pueden ayudar con la respuesta, el enriquecimiento y la corrección, consulta el repositorio de código abierto de Security Command Center del código de funciones de Cloud Run. El repositorio contiene soluciones que te ayudan a realizar acciones automatizadas con respecto a los resultados de seguridad.
Como alternativa, puedes exportar resultados a BigQuery o puedes configurar las exportaciones continuas para Pub/Sub en la consola de Google Cloud.
Antes de comenzar
Para configurar las notificaciones, debes tener las siguientes funciones de Identity and Access Management (IAM):
- Security Center Admin (
roles/securitycenter.Admin
): para habilitar las notificaciones de la API de Security Command Center - Visualizador administrador del centro de seguridad (
roles/securitycenter.adminViewer
): Para acceder a Security Command Center en la consola de Google Cloud - Para otorgar roles a la cuenta de servicio de notificaciones o
de gcloud CLI a nivel de la organización,
a nivel de carpeta o a nivel de proyecto, uno de los siguientes roles:
- Administrador de la organización (
roles/resourcemanager.organizationAdmin
) - Administrador de IAM de carpeta (
roles/resourcemanager.folderIamAdmin
) - Administrador de IAM de proyecto (
roles/resourcemanager.projectIamAdmin
)
- Administrador de la organización (
Los roles de IAM de Security Command Center se pueden otorgar a nivel de organización, carpeta o proyecto. Tu capacidad para ver, editar, crear o actualizar resultados, recursos, y las fuentes de seguridad dependen del nivel al que se te otorgue acceso. Para obtener más información Para conocer los roles de Security Command Center, consulta Control de acceso.
Configura las notificaciones de la API de Security Command Center
Para configurar las notificaciones, primero habilita la API de Security Command Center.
Habilita la API de Security Command Center
Para habilitar la API de Security Command Center, haz lo siguiente:
En la consola de Google Cloud, ve a la página Biblioteca de API.
Selecciona el proyecto en el que quieres habilitar la API de notificaciones.
En el cuadro Buscar, ingresa
Security Command Center
y, luego, haz clic en Security Command Center en los resultados de la búsqueda.En la página de la API que aparece, haz clic en Habilitar.
La API de Security Command Center ahora está habilitada para tu proyecto. A continuación, usa la CLI de gcloud o las bibliotecas cliente para suscribirte a un tema de Pub/Sub y configurar los permisos.
Residencia de los datos y notificaciones
Si la residencia de datos
para Security Command Center, los parámetros de configuración que definen
las exportaciones continuas a
Pub/Sub (notificationConfig
recursos) están sujetos
al control de residencia de datos y se almacenan en tu
Ubicación de Security Command Center.
Para exportar los resultados de una ubicación de Security Command Center a Pub/Sub, debes configurar la infraestructura exportar en la misma ubicación de Security Command Center que los resultados.
Debido a que los filtros que se usan en las las exportaciones pueden contener datos sujetos a controles de residencia, asegúrate de especificar la ubicación correcta antes de crearlos. Security Command Center no restringe la ubicación que creas exportarás.
Las exportaciones continuas se almacenan solo en la ubicación en las que se crean y no se pueden ver ni editar en otras ubicaciones.
Después de crear una exportación continua, no puedes cambiar su ubicación. Para cambiar la ubicación, debes borrar la exportación continua y volver a crearla en la nueva ubicación.
Para recuperar una exportación continua mediante llamadas a la API, haz lo siguiente:
debes especificar la ubicación en el nombre completo del recurso de la
notificationConfig
Por ejemplo:
GET https://securitycenter.googleapis.com/v2/{name=organizations/123/locations/eu/notificationConfigs/my-pubsub-export-01}
Del mismo modo, para recuperar una exportación continua usando
en gcloud CLI, debes especificar la ubicación
en el nombre completo del recurso de la configuración o mediante --locations
marca. Por ejemplo:
gcloud scc notifications describe myContinuousExport organizations/123 \ --location=locations/us
Configura un tema de Pub/Sub
En este paso, crearás y te suscribirás al tema de Pub/Sub al que desea enviar notificaciones. Si no necesitas llamar a la API de manera programática, se recomiendan los comandos de la CLI de gcloud.
gcloud
Para configurar la función de notificaciones de la API de Security Command Center con la CLI de gcloud, sigue estos pasos:
- Configura una suscripción y un tema de Pub/Sub
- Configura los permisos de la cuenta de la CLI de gcloud.
Paso 1: Configura Pub/Sub
Para configurar un tema de Pub/Sub y suscribirte a él, haz lo siguiente:
Ve a la consola de Google Cloud.
Ve a la consola de Google Cloud.
Selecciona el proyecto para el que habilitaste la API de Security Command Center.
Haz clic en Activate Cloud Shell (Activar Cloud Shell) .
Para crear un tema nuevo de Pub/Sub o usar un tema existente, ejecuta el siguiente comando:
gcloud pubsub topics create TOPIC_ID
Reemplaza
TOPIC_ID
por el nombre del tema.Establece la variable de entorno del ID del tema:
export TOPIC_ID=TOPIC_ID
Crea una suscripción al tema:
gcloud pubsub subscriptions create SUBSCRIPTION_ID --topic TOPIC_ID
Reemplaza
SUBSCRIPTION_ID
por tu suscripción. de la fuente de datos.
Para obtener más información sobre cómo configurar Pub/Sub, consulta Administra temas y suscripciones.
A continuación, configura los permisos para tu cuenta.
Paso 2: Configura los permisos de la cuenta de la CLI de gcloud
Para crear un NotificationConfig
, debes otorgar los siguientes roles
a tu cuenta de gcloud CLI:
- Administrador del centro de seguridad (
roles/securitycenter.admin
) o Editor de configuración de notificaciones del centro de seguridad (roles/securitycenter.notificationConfigEditor
). Este rol debe se otorguen en el mismo nivel: organización, carpeta proyecto, en el que se crea elNotificationConfig
. - Pub/Sub Admin (
roles/pubsub.admin
) en el tema de Pub/Sub que recibe notificaciones
a nivel de organización, carpeta o proyecto nivel
Para otorgar esos permisos, haz lo siguiente:
Ve a la consola de Google Cloud.
Ve a la consola de Google Cloud.
Selecciona el proyecto para el que habilitaste la API de Security Command Center.
Haz clic en Activate Cloud Shell (Activar Cloud Shell).
Establece el nombre de la organización:
export ORGANIZATION_ID=ORGANIZATION_ID
Reemplaza
ORGANIZATION_ID
por el ID de tu organización.Configura el ID del proyecto del proyecto al que pertenece el tema de Pub/Sub:
export PUBSUB_PROJECT=PROJECT_ID
Reemplaza
PROJECT_ID
con el ID del proyecto.Configura la cuenta de CLI de gcloud que usas:
export GCLOUD_ACCOUNT=EMAIL
Reemplaza
EMAIL
por la dirección de correo electrónico del cuenta que ejecuta comandos de gcloud CLI.Configura el ID del tema o usa el tema que configuraste antes.
export TOPIC_ID=TOPIC_ID
Reemplaza
TOPIC_ID
por el nombre del tema.Otorga a la cuenta de la CLI de gcloud un rol de Pub/Sub con el permiso
pubsub.topics.setIamPolicy
:gcloud pubsub topics add-iam-policy-binding \ projects/$PUBSUB_PROJECT/topics/$TOPIC_ID \ --member="user:$GCLOUD_ACCOUNT" \ --role='roles/pubsub.admin'
Otorga a la cuenta de la CLI de gcloud un rol que incluya todos los permisos de
securitycenter.notification
, comoroles/securitycenter.notificationConfigEditor
oroles/securitycenter.admin
. Puedes otorgar el rol a nivel del proyecto, a nivel de organización o carpeta.Para otorgar la función a nivel de proyecto, sigue estos pasos:
gcloud projects add-iam-policy-binding PROJECT_ID \ --member="user:$GCLOUD_ACCOUNT" \ --role='ROLE_NAME'
Reemplaza lo siguiente:
PROJECT_ID
: El ID del proyecto en el que Security Command Center está habilitadoROLE_NAME
: Es la función que se asignará.
Para otorgar la función a nivel de la organización, sigue estos pasos:
gcloud organizations add-iam-policy-binding $ORGANIZATION_ID \ --member="user:$GCLOUD_ACCOUNT" \ --role='ROLE_NAME'
Reemplaza
ROLE_NAME
por el rol que se asignará.
A continuación, crea una NotificationConfig.
Bibliotecas cliente
Para configurar la función de notificaciones de la API de Security Command Center con las bibliotecas cliente, sigue estos pasos:
- Configura una cuenta de servicio
- Descarga las bibliotecas cliente de la API.
- Configura un entorno de desarrollo.
- Configura una suscripción y un tema de Pub/Sub
Paso 1: Configura una cuenta de servicio
La función de notificaciones de la API de Security Command Center usa una cuenta de servicio con los permisos adecuados para configurar las notificaciones. Esta cuenta de servicio solo se usa para la configuración inicial de una configuración; puedes usarla a fin de crear más archivos de configuración de notificaciones más adelante. Esta cuenta de servicio es independiente de la que se creó para configurar Security Command Center.
Para crear una cuenta de servicio, haz lo siguiente:
Ve a la consola de Google Cloud.
Ve a la consola de Google Cloud.
Selecciona el proyecto para el que habilitaste la API de Security Command Center.
Haz clic en Activate Cloud Shell (Activar Cloud Shell).
Establece las variables de entorno:
Establece el nombre de la organización:
export ORGANIZATION_ID=ORGANIZATION_ID
Reemplazar
ORGANIZATION_ID
por tu organización ID.Establece el ID del proyecto en el que deseas habilitar la API de notificaciones:
export PROJECT_ID=PROJECT_ID
Reemplaza
PROJECT_ID
con el ID del proyecto.Configura el ID personalizado que deseas usar para la cuenta de servicio nueva, como
scc-notifications
. El nombre de la cuenta de servicio debe tener entre 6 y 30 caracteres, debe comenzar con una letra y contener todos los caracteres alfanuméricos en minúscula y guiones:export SERVICE_ACCOUNT=CUSTOM_ID
Reemplaza
CUSTOM_ID
por el nombre personalizado de la cuenta de servicio.Configura la ruta en la que se debe almacenar la clave de la cuenta de servicio, como
export KEY_LOCATION=/home/$USER/mykeys/$SERVICE_ACCOUNT.json
:export KEY_LOCATION=FULL_KEY_LOCATION_PATH # This is used by client libraries to find the key export GOOGLE_APPLICATION_CREDENTIALS=$KEY_LOCATION
Reemplaza
FULL_KEY_LOCATION_PATH
por la ruta de acceso completa a la clave de tu cuenta de servicio.
Crea una cuenta de servicio asociada a tu ID del proyecto:
gcloud iam service-accounts create $SERVICE_ACCOUNT --display-name \ "Service Account for [USER]" --project $PROJECT_ID
Crea una clave para asociar a la cuenta de servicio. La clave se usa cuando creas un
NotificationConfig
y se almacena de forma persistente en elKEY_LOCATION
que especificaste en los pasos anteriores.gcloud iam service-accounts keys create $KEY_LOCATION --iam-account \ $SERVICE_ACCOUNT@$PROJECT_ID.iam.gserviceaccount.com
Otorga a la cuenta de servicio un rol que incluya todos los permisos de
securitycenter.notification
, comoroles/securitycenter.notificationConfigEditor
oroles/securitycenter.admin
. Puedes otorgar el rol a nivel del proyecto, la carpeta o la organización.Para otorgar el rol a nivel del proyecto, sigue estos pasos:
gcloud projects add-iam-policy-binding $PROJECT_ID \ --member="serviceAccount:$SERVICE_ACCOUNT@$PROJECT_ID.iam.gserviceaccount.com" \ --role='ROLE_NAME'
Reemplaza
ROLE_NAME
por el rol que se asignará.Para otorgar la función a nivel de la organización, sigue estos pasos:
gcloud organizations add-iam-policy-binding $ORGANIZATION_ID \ --member="serviceAccount:$SERVICE_ACCOUNT@$PROJECT_ID.iam.gserviceaccount.com" \ --role='ROLE_NAME'
Reemplaza
ROLE_NAME
por el rol que se asignará.
La cuenta de servicio ya está configurada para usarse con notificaciones
la clave de la cuenta se almacena en la KEY_LOCATION
que
especificada. Para obtener más información sobre las cuentas de servicio, consulta
crear y administrar claves de cuentas de servicio.
Paso 2: Configura un entorno de desarrollo
Para usar la característica de notificaciones de la API de Security Command Center, puedes usar la CLI de gcloud o descargar las bibliotecas cliente y configurar tu entorno de desarrollo para el lenguaje que elijas.
Python
Opcional: Antes de instalar la biblioteca de Python, te recomendamos usar Virtualenv para crear un entorno aislado de Python.
virtualenv YOUR_ENV source YOUR_ENV/bin/activate
Reemplaza
YOUR_ENV
por el nombre del entorno virtual.Instala pip para administrar la instalación de la biblioteca de Python.
Ejecuta los siguientes comandos para instalar la biblioteca de Python:
pip install google-cloud-securitycenter
Java
Para incluir la biblioteca de Java de Security Command Center como una dependencia en tu proyecto, selecciona un artefacto del repositorio de Maven.
Se incluyen las notificaciones en la versión de la biblioteca 0.119.0
y versiones posteriores.
Si usas IntelliJ, configura la variable de entorno GOOGLE_APPLICATION_CREDENTIALS
como la ruta absoluta de la clave de la cuenta de servicio de notificaciones que descargaste en los pasos anteriores:
- En IntelliJ, haz clic en Run (Ejecutar) > Edit Configurations (Editar configuraciones).
Configura la siguiente variable en Aplicación > Run_Configuration_For_Sample > Variables de entorno:
GOOGLE_APPLICATION_CREDENTIALS=ABSOLUTE_PATH_TO_SERVICE_ACCOUNT_KEY
Reemplazar
ABSOLUTE_PATH_TO_SERVICE_ACCOUNT_KEY
con la ruta de acceso completa a la clave de tu cuenta de servicio.
Go
Para instalar las dependencias de Go de la API de notificaciones, descarga la biblioteca de Go:
go get cloud.google.com/go/securitycenter/apiv1
Node.js
En la carpeta del proyecto, usa npm
para instalar las dependencias necesarias de la API de notificaciones:
npm install --save @google-cloud/security-center/
Paso 3: Configura Pub/Sub
Para entregar notificaciones a Pub/Sub, debes suscribirte a un tema de Pub/Sub y otorgar a la cuenta de servicio de notificaciones una función de IAM que incluya el permiso pubsub.topics.setIamPolicy
:
Crea un tema nuevo de Pub/Sub o usa uno existente:
gcloud pubsub topics create TOPIC_ID
Reemplaza
TOPIC_ID
por el ID del tema.Establece las variables de entorno:
Configura el ID del tema:
export TOPIC_ID=TOPIC_ID
Configura el ID del proyecto para el proyecto en el que habilitaste la API de notificaciones:
export CONSUMER_PROJECT=PROJECT_ID
Reemplaza
PROJECT_ID
con el ID del proyecto.Configura el correo electrónico de la cuenta de servicio que creaste en los pasos anteriores:
export SERVICE_ACCOUNT_EMAIL=SERVICE_ACCOUNT_NAME@$CONSUMER_PROJECT.iam.gserviceaccount.com
Reemplaza
SERVICE_ACCOUNT_NAME
por el nombre de la cuenta de servicio.
Crea una suscripción al tema:
gcloud pubsub subscriptions create SUBSCRIPTION_ID --topic TOPIC_ID
Reemplaza
SUBSCRIPTION_ID
por el ID de la suscripción.Otorga a la cuenta de servicio de notificaciones una función con el permiso
pubsub.topics.setIamPolicy
:gcloud pubsub topics add-iam-policy-binding \ projects/$CONSUMER_PROJECT/topics/$TOPIC_ID \ --member="serviceAccount:$SERVICE_ACCOUNT_EMAIL" \ --role='roles/pubsub.admin'
Para obtener más información sobre cómo configurar Pub/Sub, consulta Administra temas y suscripciones. En el paso siguiente, completa el proceso con la creación de un NotificationConfig
.
Crea un NotificationConfig
Antes de crear un NotificationConfig
, ten en cuenta que cada organización
puede tener una cantidad limitada de archivos NotificationConfig
. Para obtener más información, consulta Cuotas y límites.
El NotificationConfig
incluye un campo filter
que limita las notificaciones a eventos útiles. Este campo acepta todos los filtros disponibles en la
API de Security Command Center findings.list
.
Cuando creas un NotificationConfig
, especificas un elemento superior para el
NotificationConfig
de la jerarquía de recursos de Google Cloud,
una organización, una carpeta o un proyecto. Si necesitas recuperar,
actualizar o borrar la NotificationConfig
más tarde, deberás incluir
el ID numérico de la organización, la carpeta o el proyecto superior cuando
hacer referencia a él.
Para crear el NotificationConfig
con el lenguaje o la plataforma
que elijas:
gcloud
gcloud scc notifications create NOTIFICATION_NAME \ --PARENT=PARENT_ID \ --location=LOCATION --description="NOTIFICATION_DESCRIPTION" \ --pubsub-topic=PUBSUB_TOPIC \ --filter="FILTER"
Reemplaza lo siguiente:
NOTIFICATION_NAME
: Es el nombre de la notificación. Debe tener entre 1 y 128 caracteres, y contener caracteres alfanuméricos solo caracteres, guiones bajos o guiones.PARENT
: Es el permiso en la jerarquía de recursos. a la que se aplica la notificación,organization
,folder
oproject
.PARENT_ID
: El ID de la organización, la carpeta o el proyecto superior, especificado en el formatoorganizations/123
,folders/456
oprojects/789
.LOCATION
: Si la residencia de datos está habilitada, especifica el Ubicación de Security Command Center en la que se creará la notificación. ElnotificationConfig
resultante recurso se almacena solo en esta ubicación. Solo se envían a Pub/Sub los resultados que se emiten en esta ubicación.Especifica la marca
--location
si la residencia de datos no está habilitada crea la notificación con la API de Security Command Center v2 el único valor válido para la marca esglobal
.NOTIFICATION_DESCRIPTION
: Es una descripción de la de no más de 1,024 caracteres.PUBSUB_TOPIC
: el Pub/Sub que recibirá notificaciones. Su formato esprojects/PROJECT_ID/topics/TOPIC
.FILTER
: Es la expresión que defines para seleccionar. qué resultados se envían a Pub/Sub. Por ejemplo,state="ACTIVE"
Python
En el siguiente ejemplo, se usa la API de v1. Para modificar
la muestra para la v2, reemplaza v1
por v2
y agrega
/locations/LOCATION
para el nombre del recurso
Para la mayoría de los recursos, agrega /locations/LOCATION
al
el nombre del recurso después de /PARENT/PARENT_ID
, donde
PARENT
es organizations
, folders
,
o projects
.
Para los hallazgos, agrega /locations/LOCATION
al nombre del recurso después de /sources/SOURCE_ID
, donde SOURCE_ID
es el ID del servicio de Security Command Center que emitió el hallazgo.
Java
En el siguiente ejemplo, se usa la API de v1. Para modificar
la muestra para la v2, reemplaza v1
por v2
y agrega
/locations/LOCATION
para el nombre del recurso
Para la mayoría de los recursos, agrega /locations/LOCATION
al nombre del recurso después de /PARENT/PARENT_ID
, donde PARENT
es organizations
, folders
o projects
.
Para los resultados, agrega /locations/LOCATION
al recurso
nombre después de /sources/SOURCE_ID
, donde SOURCE_ID
es el ID del
Servicio de Security Command Center
que emitió el hallazgo.
Go
En el siguiente ejemplo, se usa la API v1. Para modificar
la muestra para v2, reemplaza v1
por v2
y agrega
/locations/LOCATION
al nombre del recurso.
Para la mayoría de los recursos, agrega /locations/LOCATION
al
el nombre del recurso después de /PARENT/PARENT_ID
, donde
PARENT
es organizations
, folders
,
o projects
.
Para los resultados, agrega /locations/LOCATION
al recurso
nombre después de /sources/SOURCE_ID
, donde SOURCE_ID
es el ID del
Servicio de Security Command Center
que emitió el hallazgo.
Node.js
En el siguiente ejemplo, se usa la API v1. Para modificar
la muestra para la v2, reemplaza v1
por v2
y agrega
/locations/LOCATION
para el nombre del recurso
Para la mayoría de los recursos, agrega /locations/LOCATION
al
el nombre del recurso después de /PARENT/PARENT_ID
, donde
PARENT
es organizations
, folders
,
o projects
.
Para los hallazgos, agrega /locations/LOCATION
al nombre del recurso después de /sources/SOURCE_ID
, donde SOURCE_ID
es el ID del servicio de Security Command Center que emitió el hallazgo.
PHP
En el siguiente ejemplo, se usa la API v1. Para modificar
la muestra para la v2, reemplaza v1
por v2
y agrega
/locations/LOCATION
para el nombre del recurso
Para la mayoría de los recursos, agrega /locations/LOCATION
al
el nombre del recurso después de /PARENT/PARENT_ID
, donde
PARENT
es organizations
, folders
,
o projects
.
Para los resultados, agrega /locations/LOCATION
al recurso
nombre después de /sources/SOURCE_ID
, donde SOURCE_ID
es el ID del
Servicio de Security Command Center
que emitió el hallazgo.
Ruby
En el siguiente ejemplo, se usa la API v1. Para modificar
la muestra para la v2, reemplaza v1
por v2
y agrega
/locations/LOCATION
para el nombre del recurso
Para la mayoría de los recursos, agrega /locations/LOCATION
al nombre del recurso después de /PARENT/PARENT_ID
, donde PARENT
es organizations
, folders
o projects
.
Para los resultados, agrega /locations/LOCATION
al recurso
nombre después de /sources/SOURCE_ID
, donde SOURCE_ID
es el ID del
Servicio de Security Command Center
que emitió el hallazgo.
C#
En el siguiente ejemplo, se usa la API v1. Para modificar
la muestra para v2, reemplaza v1
por v2
y agrega
/locations/LOCATION
al nombre del recurso.
Para la mayoría de los recursos, agrega /locations/LOCATION
al nombre del recurso después de /PARENT/PARENT_ID
, donde PARENT
es organizations
, folders
o projects
.
Para los hallazgos, agrega /locations/LOCATION
al nombre del recurso después de /sources/SOURCE_ID
, donde SOURCE_ID
es el ID del servicio de Security Command Center que emitió el hallazgo.
Las notificaciones ahora se publican en el tema de Pub/Sub que especificaste.
Para publicar notificaciones, se crea una cuenta de servicio para ti con el formato service-org-ORGANIZATION_ID@gcp-sa-scc-notification.iam.gserviceaccount.com
.
Esta cuenta de servicio se crea cuando creas tu primer NotificationConfig
y se le otorga automáticamente el rol de securitycenter.notificationServiceAgent
en la política de IAM de PUBSUB_TOPIC cuando se crea la configuración de notificaciones.
Este rol de la cuenta de servicio es obligatorio para que funcionen las notificaciones.
Otorga acceso al perímetro en los Controles del servicio de VPC
Si usas los Controles del servicio de VPC y tu tema de Pub/Sub forma parte de un proyecto dentro de un perímetro de servicio, debes otorgar acceso a los proyectos para crear notificaciones.
A fin de otorgar acceso a los proyectos, crea reglas de entrada y salida para las principales.
y proyectos
que se usan para crear notificaciones. Las reglas permiten el acceso a los recursos protegidos y permiten que Pub/Sub verifique que los usuarios tengan el permiso setIamPolicy
en el tema de Pub/Sub.
Antes de crear una NotificationConfig
Antes de completar los pasos de Crea una NotificationConfig, haz lo siguiente:
Ve a la página Controles del servicio de VPC en la consola de Google Cloud.
Si es necesario, selecciona tu organización.
Haz clic en el nombre del perímetro de servicio que deseas cambiar.
Para encontrar el perímetro de servicio que necesitas modificar, puedes revisar los registros en busca de entradas que muestren incumplimientos de
RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER
. En esas entradas, verifica el camposervicePerimeterName
:accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME
.Haz clic en Editar perímetro.
En el menú de navegación, haz clic en Política de entrada.
Si quieres configurar reglas de entrada para usuarios o cuentas de servicio, usa los siguientes parámetros:
- DESDE atributos del cliente de la API:
- En el menú desplegable Fuente, selecciona Todas las fuentes.
- En el menú desplegable Identidades, elige Identidades seleccionadas.
- Haz clic en Seleccionar y, luego, ingresa el principal que se usa para llamar a la API de Security Command Center.
- HACIA atributos de los servicios o recursos de Google Cloud:
- En el menú desplegable Proyecto, elige Proyectos seleccionados.
- Haz clic en Seleccionar y, luego, ingresa el proyecto que contiene el tema de Pub/Sub.
- En el menú desplegable Servicios, selecciona Servicios seleccionados y, luego, selecciona API de Cloud Pub/Sub.
- En el menú desplegable Métodos, selecciona Todas las acciones.
- DESDE atributos del cliente de la API:
Haz clic en Guardar.
En el menú de navegación, haz clic en Política de salida.
Haz clic en Agregar regla.
A fin de configurar reglas de salida para cuentas de usuario o servicio, ingresa los siguientes parámetros:
- DESDE atributos del cliente de la API:
- En el menú desplegable Identidades, elige Identidades seleccionadas.
- Haz clic en Seleccionar y, luego, ingresa la principal que se usará para lo siguiente: llamar a la API de Security Command Center.
- HACIA atributos de los servicios o recursos de Google Cloud:
- En el menú desplegable Proyecto, selecciona Todos los proyectos.
- En el menú desplegable Servicios, selecciona Servicios seleccionados y, luego, selecciona API de Cloud Pub/Sub.
- En el menú desplegable Métodos, selecciona Todas las acciones.
- DESDE atributos del cliente de la API:
Haz clic en Guardar.
Crea una regla de entrada para la NotificationConfig
A fin de crear una regla de entrada para una NotificationConfig
, haz lo siguiente:
- Completa las instrucciones de Crea una NotificationConfig.
- Vuelve a abrir el perímetro de servicio de la sección anterior.
- Haz clic en Política de entrada.
- Haz clic en Agregar regla.
- Para configurar la regla de entrada de la cuenta de servicio
NotificationConfig
que creaste, ingresa los siguientes parámetros:- DESDE atributos del cliente de la API:
- En el menú desplegable Fuente, selecciona Todas las fuentes.
- En el menú desplegable Identidades, elige Identidades seleccionadas.
- Haz clic en Seleccionar y, luego, ingresa el nombre de la cuenta de servicio
NotificationConfig
:service-org-ORGANIZATION_ID@gcp-sa-scc-notification.iam.gserviceaccount.com
- HACIA atributos de los servicios o recursos de GCP:
- En el menú desplegable Proyecto, elige Proyectos seleccionados.
- Haz clic en Seleccionar y, luego, selecciona el proyecto que contiene el tema de Pub/Sub.
- En el menú desplegable Servicios, selecciona Servicios seleccionados y, luego, selecciona API de Cloud Pub/Sub.
- En el menú desplegable Métodos, selecciona Todas las acciones.
- DESDE atributos del cliente de la API:
- En el menú de navegación, haz clic en Guardar.
Los proyectos, los usuarios y las cuentas de servicio seleccionados ahora pueden acceder a los recursos protegidos y crear notificaciones.
Si seguiste todos los pasos de esta guía y las notificaciones funcionan de forma correcta, ahora puedes borrar lo siguiente:
- La regla de entrada para la principal
- La regla de salida del principal
Esas reglas solo eran necesarias para configurar la NotificationConfig
. Sin embargo, para que las notificaciones continúen funcionando, debes conservar la regla de entrada de la NotificationConfig
, que le permite publicar notificaciones en tu tema de Pub/Sub detrás del perímetro de servicio.
¿Qué sigue?
- Más información sobre habilitar las notificaciones de chat y correo electrónico en tiempo real.
- Aprende a hacer lo siguiente: administrar la API de notificaciones.
- Más información sobre filtrar notificaciones.