Creare un account di servizio e configurarlo per l'utilizzo con le librerie client di Security Command Center.
Prima di iniziare
Per completare questa guida, ti occorrono:
- Il ruolo IAM Amministratore account di servizio. Per ulteriori informazioni sui ruoli IAM di Security Command Center, consulta Controllo dell'accesso.
- Un percorso di directory esistente in cui è possibile archiviare una chiave privata di un account di servizio. Questo percorso è nel contesto del tuo ambiente Cloud Shell, ad esempio
/home/myuser/mykeys/
. - Il livello di attivazione di Security Command Center: a livello di progetto o organizzazione. A seconda del livello di attivazione, alcuni comandi che utilizzi per configurare l'accesso all'SDK sono diversi. Per controllare il livello di attivazione, vedi Controllare il livello di attivazione di Security Command Center.
Accesso a Security Command Center
Per accedere a Security Command Center in modo programmatico, utilizza Cloud Shell per recuperare la libreria client e autenticare un account di servizio.
Configurazione delle variabili di ambiente
- Vai alla console Google Cloud.
Vai alla console Google Cloud - Fai clic su Attiva Cloud Shell.
Imposta le variabili di ambiente eseguendo:
Imposta il nome della tua organizzazione:
export ORG_ID=ORGANIZATION_ID
Sostituisci
ORGANIZATION_ID
con l'ID della tua organizzazione.Imposta l'ID progetto:
export PROJECT_ID=CLOUD_SCC_ENABLED_PROJECT_ID
Sostituisci
CLOUD_SCC_ENABLED_PROJECT_ID
con l'ID di un progetto in cui Security Command Center è attivo a livello di progetto o per il quale sono abilitate le analisi.Imposta l'ID personalizzato che vuoi utilizzare per un nuovo account di servizio, ad esempio
scc-sa
. Il nome dell'account di servizio deve essere compreso tra 6 e 30 caratteri, deve iniziare con una lettera e deve essere composto solo da caratteri alfanumerici minuscoli e trattini:export SERVICE_ACCOUNT=CUSTOM_ID
Sostituisci
CUSTOM_ID
con un ID a tua scelta.Imposta il percorso in cui archiviare la chiave dell'account di servizio, ad esempio
export KEY_LOCATION=/home/$USER/mykeys/$SERVICE_ACCOUNT.json
:export KEY_LOCATION=FULL_PATH # This is used by client libraries to find the key export GOOGLE_APPLICATION_CREDENTIALS=$KEY_LOCATION
Configurazione di un account di servizio
Per accedere a Security Command Center in modo programmatico, è necessaria una chiave privata di un account di servizio che deve essere utilizzata dal client.
Devi inoltre concedere il ruolo IAM securitycenter.admin
all'account di servizio. A seconda del livello di accesso necessario all'account di servizio, puoi concedere il ruolo a livello di progetto, cartella o organizzazione.
Crea un account di servizio associato al tuo ID progetto:
gcloud iam service-accounts create $SERVICE_ACCOUNT \ --display-name "Service Account for USER" \ --project $PROJECT_ID
Sostituisci
USER
con il nome utente della persona o dell'entità che utilizzerà l'account di servizio.Crea una chiave da associare all'account di servizio. La chiave viene utilizzata per l'intera durata dell'account di servizio e viene archiviata in modo permanente nel percorso che assegni a
KEY_LOCATION
.gcloud iam service-accounts keys create $KEY_LOCATION \ --iam-account $SERVICE_ACCOUNT@$PROJECT_ID.iam.gserviceaccount.com
Concedi all'account di servizio il ruolo
securitycenter.admin
per l'organizzazione o per il progetto, a seconda del livello di attivazione di Security Command Center.Per le attivazioni a livello di organizzazione:
gcloud organizations add-iam-policy-binding $ORG_ID \ --member="serviceAccount:$SERVICE_ACCOUNT@$PROJECT_ID.iam.gserviceaccount.com" \ --role='roles/securitycenter.admin'
Per le attivazioni a livello di progetto:
gcloud projects add-iam-policy-binding $PROJECT_ID \ --member="serviceAccount:$SERVICE_ACCOUNT@$PROJECT_ID.iam.gserviceaccount.com" \ --role='roles/securitycenter.admin'
Installazione delle librerie client per Security Command Center
Python
Per includere la libreria Python di Security Command Center come dipendenza nel tuo progetto, segui la procedura riportata di seguito:
Facoltativo:prima di installare la libreria Python, ti consigliamo di utilizzare Virtualenv per creare un ambiente Python isolato.
virtualenv onboarding_example source onboarding_example/bin/activate
Installa pip per gestire l'installazione della libreria Python.
Esegui questi comandi per installare la libreria Python:
pip install google-cloud-securitycenter
Java
Per includere la libreria Java di Security Command Center come dipendenza nel progetto, seleziona un artefatto dal repository Maven.
Go
Per scaricare la libreria Go, esegui:
go get cloud.google.com/go/securitycenter/apiv1
Node.js
Per installare la libreria Node.js, esegui:
npm install --save @google-cloud/security-center
Passaggi successivi
Utilizzo dell'SDK
Consulta le guide per tutte le funzionalità supportate da Security Command Center:
- Asset scheda
- Elenco dei risultati sulla sicurezza
- Creare, modificare e interrogare i contrassegni di sicurezza
- Creazione e aggiornamento dei risultati sulla sicurezza
- Creare, aggiornare ed elencare le origini dei risultati
- Configurare le impostazioni dell'organizzazione
Riferimenti SDK
Vedi i riferimenti completi dell'SDK: