Crea una cuenta de servicio y configúrala para usar con las bibliotecas cliente de Security Command Center.
Antes de comenzar
Para completar esta guía, necesitas lo siguiente:
- La función de IAM de Administrador de cuenta de servicio. Para obtener más información sobre las funciones de IAM de Security Command Center, consulta Control de acceso.
- Una ruta de directorio existente en la que se puede almacenar una clave privada de cuenta de servicio. Esta ruta está en el contexto de tu entorno de Cloud Shell, como
/home/myuser/mykeys/
. - El nivel de activación de Security Command Center: nivel de proyecto u organización. Según tu nivel de activación, algunos de los comandos que usas para configurar el acceso al SDK son diferentes. Para verificar tu nivel de activación, consulta Verifica el nivel de activación de Security Command Center.
Accede al Security Command Center
Si deseas acceder a Security Command Center de manera programática, usa Cloud Shell para obtener la biblioteca cliente y autenticar una cuenta de servicio.
Configura variables de entorno
- Ve a la consola de Google Cloud.
Ve a la consola de Google Cloud - Haz clic en Activate Cloud Shell (Activar Cloud Shell).
Ejecuta lo siguiente para configurar las variables de entorno:
Establece el nombre de la organización:
export ORG_ID=ORGANIZATION_ID
Reemplaza
ORGANIZATION_ID
por el ID de tu organización.Configure el ID del proyecto:
export PROJECT_ID=CLOUD_SCC_ENABLED_PROJECT_ID
Reemplaza
CLOUD_SCC_ENABLED_PROJECT_ID
por el ID de un proyecto en el que Security Command Center está activo a nivel de proyecto o para el que están habilitados los análisis.Configura el ID personalizado que deseas usar para una cuenta de servicio nueva, como
scc-sa
. El nombre de la cuenta de servicio debe tener entre 6 y 30 caracteres y debe comenzar con una letra y contener todos los caracteres alfanuméricos en minúsculas y guiones:export SERVICE_ACCOUNT=CUSTOM_ID
Reemplaza
CUSTOM_ID
por el ID que elijas.Configura la ruta en la que se debe almacenar la clave de la cuenta de servicio, como
export KEY_LOCATION=/home/$USER/mykeys/$SERVICE_ACCOUNT.json
:export KEY_LOCATION=FULL_PATH # This is used by client libraries to find the key export GOOGLE_APPLICATION_CREDENTIALS=$KEY_LOCATION
Configura una cuenta de servicio
Para acceder a Security Command Center de manera programática, necesitas una clave privada de una cuenta de servicio que el cliente use.
También debes otorgar el rol securitycenter.admin
de IAM a la cuenta de servicio. Según el nivel de acceso que necesite la cuenta de servicio, puedes otorgar la función a nivel de proyecto, organización o carpeta.
Crea una cuenta de servicio asociada a tu ID del proyecto:
gcloud iam service-accounts create $SERVICE_ACCOUNT \ --display-name "Service Account for USER" \ --project $PROJECT_ID
Reemplaza
USER
por el nombre de usuario de la persona o entidad que usará la cuenta de servicio.Crea una clave para asociar a la cuenta de servicio. La clave se usa durante la vida útil de la cuenta de servicio y se almacena de forma persistente en la ruta que le asignas a
KEY_LOCATION
.gcloud iam service-accounts keys create $KEY_LOCATION \ --iam-account $SERVICE_ACCOUNT@$PROJECT_ID.iam.gserviceaccount.com
Otorga a la cuenta de servicio la función
securitycenter.admin
para la organización o el proyecto, según el nivel de activación de Security Command Center.Para las activaciones a nivel de la organización:
gcloud organizations add-iam-policy-binding $ORG_ID \ --member="serviceAccount:$SERVICE_ACCOUNT@$PROJECT_ID.iam.gserviceaccount.com" \ --role='roles/securitycenter.admin'
Para las activaciones a nivel de proyecto:
gcloud projects add-iam-policy-binding $PROJECT_ID \ --member="serviceAccount:$SERVICE_ACCOUNT@$PROJECT_ID.iam.gserviceaccount.com" \ --role='roles/securitycenter.admin'
Instala las bibliotecas cliente para Security Command Center
Python
Para incluir la biblioteca de Python de Security Command Center como una dependencia en tu proyecto, sigue los pasos que se indican a continuación:
Opcional: Antes de instalar la biblioteca de Python, te recomendamos usar Virtualenv para crear un entorno aislado de Python.
virtualenv onboarding_example source onboarding_example/bin/activate
Instala pip para administrar la instalación de la biblioteca de Python.
Ejecuta los siguientes comandos para instalar la biblioteca de Python:
pip install google-cloud-securitycenter
Java
Para incluir la biblioteca de Java de Security Command Center como una dependencia en tu proyecto, selecciona un artefacto del repositorio de Maven.
Comienza a usarlo
Para descargar la biblioteca de Go, ejecuta el siguiente comando:
go get cloud.google.com/go/securitycenter/apiv1
Node.js
Para instalar la biblioteca Node.js, ejecuta el siguiente comando:
npm install --save @google-cloud/security-center
¿Qué sigue?
Usa el SDK
Revisa las guías para todas las funciones que admite Security Command Center:
- Mostrar recursos
- Mostrar una lista de hallazgos de seguridad
- Crea, modifica y consulta marcas de seguridad
- Crea y actualiza resultados de seguridad
- Crea, actualiza y enumera las fuentes de resultados
- Establece la configuración de la organización
Referencias del SDK
Consulta todas las referencias del SDK completas: