Accesso a Security Command Center tramite un SDK

Creare un account di servizio e configurarlo per l'utilizzo con le librerie client di Security Command Center.

Prima di iniziare

Per completare questa guida, ti occorrono:

  • Il ruolo IAM Amministratore account di servizio. Per ulteriori informazioni sui ruoli IAM di Security Command Center, consulta Controllo dell'accesso.
  • Un percorso di directory esistente in cui è possibile archiviare una chiave privata di un account di servizio. Questo percorso è nel contesto del tuo ambiente Cloud Shell, ad esempio /home/myuser/mykeys/.
  • Il livello di attivazione di Security Command Center: a livello di progetto o organizzazione. A seconda del livello di attivazione, alcuni comandi che utilizzi per configurare l'accesso all'SDK sono diversi. Per controllare il livello di attivazione, vedi Controllare il livello di attivazione di Security Command Center.

Accesso a Security Command Center

Per accedere a Security Command Center in modo programmatico, utilizza Cloud Shell per recuperare la libreria client e autenticare un account di servizio.

Configurazione delle variabili di ambiente

  1. Vai alla console Google Cloud.
    Vai alla console Google Cloud
  2. Fai clic su Attiva Cloud Shell.
  3. Imposta le variabili di ambiente eseguendo:

    1. Imposta il nome della tua organizzazione:

      export ORG_ID=ORGANIZATION_ID
      

      Sostituisci ORGANIZATION_ID con l'ID della tua organizzazione.

    2. Imposta l'ID progetto:

      export PROJECT_ID=CLOUD_SCC_ENABLED_PROJECT_ID
      

      Sostituisci CLOUD_SCC_ENABLED_PROJECT_ID con l'ID di un progetto in cui Security Command Center è attivo a livello di progetto o per il quale sono abilitate le analisi.

    3. Imposta l'ID personalizzato che vuoi utilizzare per un nuovo account di servizio, ad esempio scc-sa. Il nome dell'account di servizio deve essere compreso tra 6 e 30 caratteri, deve iniziare con una lettera e deve essere composto solo da caratteri alfanumerici minuscoli e trattini:

      export SERVICE_ACCOUNT=CUSTOM_ID
      

      Sostituisci CUSTOM_ID con un ID a tua scelta.

    4. Imposta il percorso in cui archiviare la chiave dell'account di servizio, ad esempio export KEY_LOCATION=/home/$USER/mykeys/$SERVICE_ACCOUNT.json:

      export KEY_LOCATION=FULL_PATH
      # This is used by client libraries to find the key
      export GOOGLE_APPLICATION_CREDENTIALS=$KEY_LOCATION
      

Configurazione di un account di servizio

Per accedere a Security Command Center in modo programmatico, è necessaria una chiave privata di un account di servizio che deve essere utilizzata dal client.

Devi inoltre concedere il ruolo IAM securitycenter.admin all'account di servizio. A seconda del livello di accesso necessario all'account di servizio, puoi concedere il ruolo a livello di progetto, cartella o organizzazione.

  1. Crea un account di servizio associato al tuo ID progetto:

    gcloud iam service-accounts create $SERVICE_ACCOUNT  \
    --display-name "Service Account for USER"  \
    --project $PROJECT_ID
    

    Sostituisci USER con il nome utente della persona o dell'entità che utilizzerà l'account di servizio.

  2. Crea una chiave da associare all'account di servizio. La chiave viene utilizzata per l'intera durata dell'account di servizio e viene archiviata in modo permanente nel percorso che assegni a KEY_LOCATION.

    gcloud iam service-accounts keys create $KEY_LOCATION  \
    --iam-account $SERVICE_ACCOUNT@$PROJECT_ID.iam.gserviceaccount.com
    
  3. Concedi all'account di servizio il ruolo securitycenter.admin per l'organizzazione o per il progetto, a seconda del livello di attivazione di Security Command Center.

    • Per le attivazioni a livello di organizzazione:

      gcloud organizations add-iam-policy-binding $ORG_ID \
      --member="serviceAccount:$SERVICE_ACCOUNT@$PROJECT_ID.iam.gserviceaccount.com" \
      --role='roles/securitycenter.admin'
      
    • Per le attivazioni a livello di progetto:

      gcloud projects add-iam-policy-binding $PROJECT_ID \
      --member="serviceAccount:$SERVICE_ACCOUNT@$PROJECT_ID.iam.gserviceaccount.com" \
      --role='roles/securitycenter.admin'
      

Installazione delle librerie client per Security Command Center

Python

Per includere la libreria Python di Security Command Center come dipendenza nel tuo progetto, segui la procedura riportata di seguito:

  1. Facoltativo:prima di installare la libreria Python, ti consigliamo di utilizzare Virtualenv per creare un ambiente Python isolato.

    virtualenv onboarding_example
    source onboarding_example/bin/activate
    
  2. Installa pip per gestire l'installazione della libreria Python.

  3. Esegui questi comandi per installare la libreria Python:

    pip install google-cloud-securitycenter
    

Java

Per includere la libreria Java di Security Command Center come dipendenza nel progetto, seleziona un artefatto dal repository Maven.

Go

Per scaricare la libreria Go, esegui:

go get cloud.google.com/go/securitycenter/apiv1

Node.js

Per installare la libreria Node.js, esegui:

npm install --save @google-cloud/security-center

Passaggi successivi

Utilizzo dell'SDK

Consulta le guide per tutte le funzionalità supportate da Security Command Center:

Riferimenti SDK

Vedi i riferimenti completi dell'SDK: