Crea un account di servizio e configuralo per l'utilizzo con le librerie client di Security Command Center.
Prima di iniziare
Per completare questa guida, hai bisogno di:
- Il ruolo IAM Amministratore account di servizio. Per ulteriori informazioni sui ruoli IAM di Security Command Center, consulta Controllo dell'accesso.
- Un percorso della directory esistente in cui è possibile archiviare una chiave privata dell'account di servizio. Questo percorso si trova nel contesto del tuo ambiente Cloud Shell, ad esempio
/home/myuser/mykeys/. - Il livello di attivazione di Security Command Center: a livello di progetto o organizzazione. Alcuni dei comandi che usi per configurare l'accesso all'SDK variano in base al livello di attivazione. Per controllare il livello di attivazione, consulta Controllare il livello di attivazione di Security Command Center.
Accesso a Security Command Center
Per accedere a Security Command Center in modo programmatico, utilizza Cloud Shell per ottenere la libreria client e autenticare un account di servizio.
Configurazione delle variabili di ambiente
- Vai alla console Google Cloud.
Vai alla console Google Cloud - Fai clic su Attiva Cloud Shell.
Imposta le variabili di ambiente eseguendo:
Imposta il nome della tua organizzazione:
export ORG_ID=ORGANIZATION_ID
Sostituisci
ORGANIZATION_IDcon l'ID della tua organizzazione.Imposta l'ID progetto:
export PROJECT_ID=CLOUD_SCC_ENABLED_PROJECT_ID
Sostituisci
CLOUD_SCC_ENABLED_PROJECT_IDcon l'ID di un progetto in cui Security Command Center è attivo a livello di progetto o per il quale sono abilitate le analisi.Imposta l'ID personalizzato che vuoi utilizzare per un nuovo account di servizio, ad esempio
scc-sa. Il nome dell'account di servizio deve essere compreso tra 6 e 30 caratteri, deve iniziare con una lettera e contenere solo caratteri alfanumerici minuscoli e trattini:export SERVICE_ACCOUNT=CUSTOM_ID
Sostituisci
CUSTOM_IDcon un ID a tua scelta.Imposta il percorso in cui archiviare la chiave dell'account di servizio, ad esempio
export KEY_LOCATION=/home/$USER/mykeys/$SERVICE_ACCOUNT.json:export KEY_LOCATION=FULL_PATH # This is used by client libraries to find the key export GOOGLE_APPLICATION_CREDENTIALS=$KEY_LOCATION
Configurazione di un account di servizio
Per accedere a Security Command Center in modo programmatico, è necessaria una chiave privata di un account di servizio che venga utilizzata dal client.
Devi inoltre concedere il ruolo IAM securitycenter.admin all'account di servizio. A seconda del livello di accesso necessario all'account di servizio, puoi concedere il ruolo a livello di progetto, cartella o organizzazione.
Crea un account di servizio associato al tuo ID progetto:
gcloud iam service-accounts create $SERVICE_ACCOUNT \ --display-name "Service Account for USER" \ --project $PROJECT_ID
Sostituisci
USERcon il nome utente della persona o entità che utilizzerà l'account di servizio.Crea una chiave da associare all'account di servizio. La chiave viene utilizzata per tutta la durata dell'account di servizio e viene archiviata in modo permanente nel percorso assegnato a
KEY_LOCATION.gcloud iam service-accounts keys create $KEY_LOCATION \ --iam-account $SERVICE_ACCOUNT@$PROJECT_ID.iam.gserviceaccount.com
Concedi all'account di servizio il ruolo
securitycenter.adminper l'organizzazione o il progetto, a seconda del livello di attivazione di Security Command Center.Per le attivazioni a livello di organizzazione:
gcloud organizations add-iam-policy-binding $ORG_ID \ --member="serviceAccount:$SERVICE_ACCOUNT@$PROJECT_ID.iam.gserviceaccount.com" \ --role='roles/securitycenter.admin'
Per le attivazioni a livello di progetto:
gcloud projects add-iam-policy-binding $PROJECT_ID \ --member="serviceAccount:$SERVICE_ACCOUNT@$PROJECT_ID.iam.gserviceaccount.com" \ --role='roles/securitycenter.admin'
Installazione delle librerie client per Security Command Center
Python
Per includere la libreria Python di Security Command Center come dipendenza nel progetto, segui il processo riportato di seguito:
Facoltativo: prima di installare la libreria Python, ti consigliamo di utilizzare Virtualenv per creare un ambiente Python isolato.
virtualenv onboarding_example source onboarding_example/bin/activate
Installa pip per gestire l'installazione della libreria Python.
Esegui questi comandi per installare la libreria Python:
pip install google-cloud-securitycenter
Java
Per includere la libreria Java di Security Command Center come dipendenza nel progetto, seleziona un artefatto dal repository Maven.
Go
Per scaricare la libreria Go, esegui:
go get cloud.google.com/go/securitycenter/apiv1
Node.js
Per installare la libreria Node.js, esegui:
npm install --save @google-cloud/security-center
Passaggi successivi
Utilizzo dell'SDK
Consulta le guide relative a tutte le funzionalità supportate da Security Command Center:
- Risorse scheda
- Elenco dei risultati sulla sicurezza
- Creazione, modifica ed esecuzione di query sui contrassegni di sicurezza
- Creazione e aggiornamento dei risultati sulla sicurezza
- Creare, aggiornare ed elencare le origini dei risultati
- Configurazione delle impostazioni dell'organizzazione
Riferimenti SDK
Consulta i riferimenti completi dell'SDK: