Zugriff auf das Security Command Center mit einem SDK

Dienstkonto erstellen und für die Verwendung mit Security Command Center-Clientbibliotheken einrichten.

Hinweise

Zum Durcharbeiten dieser Anleitung benötigen Sie Folgendes:

  • Die IAM-Rolle „Dienstkontoadministrator“. Weitere Informationen zu Rollen im Security Command Center finden Sie unter Zugriffssteuerung.
  • Einen vorhandenen Verzeichnispfad, in dem der private Schlüssel des Dienstkontos gespeichert werden kann. Dieser Pfad befindet sich im Kontext Ihrer Cloud Shell-Umgebung, z. B. /home/myuser/mykeys/.
  • Die Aktivierungsebene von Security Command Center: Projekt- oder Organisationsebene. Je nach Aktivierungsstufe unterscheiden sich einige der Befehle, die Sie zum Einrichten des SDK-Zugriffs verwenden. Informationen zum Prüfen Ihrer Aktivierungsstufe finden Sie unter Aktivierungsstufe von Security Command Center prüfen.

Auf Security Command Center zugreifen

Wenn Sie programmgesteuert auf Security Command Center zugreifen möchten, verwenden Sie Cloud Shell, um auf die Clientbibliothek zuzugreifen und ein Dienstkonto zu authentifizieren.

Umgebungsvariablen einrichten

  1. Öffnen Sie die Google Cloud Console.
    Öffnen Sie die Google Cloud Console
  2. Klicken Sie auf Google Cloud Shell aktivieren
  3. Legen Sie die Umgebungsvariablen mit dem folgenden Befehl fest:

    1. Geben Sie den Namen Ihrer Organisation ein:

      export ORG_ID=ORGANIZATION_ID
      

      Ersetzen Sie ORGANIZATION_ID durch die ID Ihrer Organisation.

    2. Legen Sie die Projekt-ID fest:

      export PROJECT_ID=CLOUD_SCC_ENABLED_PROJECT_ID
      

      Ersetzen Sie CLOUD_SCC_ENABLED_PROJECT_ID durch die ID eines Projekts, in dem Security Command Center auf Projektebene oder Scans aktiviert ist.

    3. Legen Sie die benutzerdefinierte ID fest, die Sie für ein neues Dienstkonto verwenden möchten, z. B. scc-sa. Der Name des Dienstkontos muss zwischen 6 und 30 Zeichen lang sein, mit einem Buchstaben beginnen und darf nur alphanumerische Zeichen in Kleinschreibung sowie Bindestriche enthalten:

      export SERVICE_ACCOUNT=CUSTOM_ID
      

      Ersetzen Sie CUSTOM_ID durch eine ID Ihrer Wahl.

    4. Legen Sie den Pfad fest, unter dem der Dienstkontoschlüssel gespeichert werden soll, z. B. export KEY_LOCATION=/home/$USER/mykeys/$SERVICE_ACCOUNT.json:

      export KEY_LOCATION=FULL_PATH
      # This is used by client libraries to find the key
      export GOOGLE_APPLICATION_CREDENTIALS=$KEY_LOCATION
      

Dienstkonto einrichten

Wenn Sie programmgesteuert auf Security Command Center zugreifen möchten, benötigen Sie einen privaten Schlüssel aus einem Dienstkonto, das vom Client verwendet werden soll.

Außerdem müssen Sie dem Dienstkonto die IAM-Rolle securitycenter.admin zuweisen. Je nach Zugriffsebene, die das Dienstkonto benötigt, können Sie die Rolle auf Projekt-, Ordner- oder Organisationsebene zuweisen.

  1. Erstellen Sie ein Ihrer Projekt-ID zugeordnetes Dienstkonto:

    gcloud iam service-accounts create $SERVICE_ACCOUNT  \
    --display-name "Service Account for USER"  \
    --project $PROJECT_ID
    

    Ersetzen Sie USER durch den Nutzernamen der Person oder Entität, die das Dienstkonto verwenden wird.

  2. Erstellen Sie einen Schlüssel zur Verknüpfung mit dem Dienstkonto. Der Schlüssel wird für die gesamte Lebensdauer des Dienstkontos verwendet und dauerhaft in dem Pfad gespeichert, den Sie KEY_LOCATION zuweisen.

    gcloud iam service-accounts keys create $KEY_LOCATION  \
    --iam-account $SERVICE_ACCOUNT@$PROJECT_ID.iam.gserviceaccount.com
    
  3. Gewähren Sie dem Dienstkonto je nach Aktivierungsstufe von Security Command Center die Rolle securitycenter.admin für die Organisation oder das Projekt.

    • Für Aktivierungen auf Organisationsebene:

      gcloud organizations add-iam-policy-binding $ORG_ID \
      --member="serviceAccount:$SERVICE_ACCOUNT@$PROJECT_ID.iam.gserviceaccount.com" \
      --role='roles/securitycenter.admin'
      
    • Für Aktivierungen auf Projektebene:

      gcloud projects add-iam-policy-binding $PROJECT_ID \
      --member="serviceAccount:$SERVICE_ACCOUNT@$PROJECT_ID.iam.gserviceaccount.com" \
      --role='roles/securitycenter.admin'
      

Clientbibliotheken für Security Command Center installieren

Python

Führen Sie die folgenden Schritte aus, um die Python-Bibliothek des Security Command Center als Abhängigkeit in Ihr Projekt aufzunehmen:

  1. Optional: Bevor Sie die Python-Bibliothek installieren, empfehlen wir Ihnen, mit Virtualenv eine isolierte Python-Umgebung zu erstellen.

    virtualenv onboarding_example
    source onboarding_example/bin/activate
    
  2. Installieren Sie pip, um die Installation der Python-Bibliothek zu verwalten.

  3. Führen Sie folgende Befehle aus, um die Python-Bibliothek zu installieren:

    pip install google-cloud-securitycenter
    

Java

Wenn Sie die Java-Bibliothek von Security Command Center als Abhängigkeit in Ihr Projekt aufnehmen möchten, wählen Sie ein Artefakt aus dem Maven-Repository aus.

Go

So laden Sie die Go-Bibliothek herunter:

go get cloud.google.com/go/securitycenter/apiv1

Node.js

So installieren Sie die Node.js-Bibliothek:

npm install --save @google-cloud/security-center

Nächste Schritte

SDK verwenden

Lesen Sie die Leitfäden zu allen Features, die von Security Command Center unterstützt werden:

SDK-Referenzen

Vollständige SDK-Referenzen ansehen: