Como acessar o Security Command Center usando um SDK

Crie uma conta de serviço e configure-a para uso com bibliotecas de cliente do Security Command Center.

Antes de começar

Para concluir este guia, você precisa do seguinte:

  • O papel do IAM de administrador da conta de serviço. Para mais informações sobre os papéis do IAM do Security Command Center, consulte Controle de acesso.
  • Um caminho de diretório atual em que uma chave privada de conta de serviço pode ser armazenada. Esse caminho está no contexto do seu ambiente do Cloud Shell, como /home/myuser/mykeys/.
  • O nível de ativação do Security Command Center: nível do projeto ou nível da organização. Dependendo do seu nível de ativação, alguns dos comandos usados para configurar o acesso ao SDK são diferentes. Para verificar seu nível de ativação, consulte Verificar o nível de ativação do Security Command Center.

Como acessar o Security Command Center

Para acessar o Security Command Center de maneira programática, use o Cloud Shell para acessar a biblioteca de cliente e autenticar uma conta de serviço.

configurar variáveis de ambiente

  1. Acesse o console do Google Cloud.
    Acesse o Console do Google Cloud
  2. Clique em Ativar o Cloud Shell.
  3. Defina variáveis de ambiente executando:

    1. Defina o nome da organização:

      export ORG_ID=ORGANIZATION_ID
      

      Substitua ORGANIZATION_ID pelo ID da organização.

    2. Defina o ID do projeto:

      export PROJECT_ID=CLOUD_SCC_ENABLED_PROJECT_ID
      

      Substitua CLOUD_SCC_ENABLED_PROJECT_ID pelo ID de um projeto em que o Security Command Center esteja ativo no nível do projeto ou em que as verificações estejam ativadas.

    3. Defina o ID personalizado que você quer usar para uma nova conta de serviço, como scc-sa. O nome da conta de serviço precisa ter entre 6 e 30 caracteres, precisa começar com uma letra e ser todos caracteres minúsculos e hífens:

      export SERVICE_ACCOUNT=CUSTOM_ID
      

      Substitua CUSTOM_ID por um ID de sua escolha.

    4. Defina o caminho em que a chave da conta de serviço precisa ser armazenada, como export KEY_LOCATION=/home/$USER/mykeys/$SERVICE_ACCOUNT.json:

      export KEY_LOCATION=FULL_PATH
      # This is used by client libraries to find the key
      export GOOGLE_APPLICATION_CREDENTIALS=$KEY_LOCATION
      

Como configurar uma conta de serviço

Para acessar o Security Command Center programaticamente, é necessária uma chave privada de uma conta de serviço a ser usada pelo cliente.

Você também precisa conceder o papel securitycenter.admin do IAM à conta de serviço. Dependendo do nível de acesso que a conta de serviço precisa, conceda o papel no nível do projeto, da pasta ou da organização.

  1. Crie uma conta de serviço associada ao ID do projeto:

    gcloud iam service-accounts create $SERVICE_ACCOUNT  \
    --display-name "Service Account for USER"  \
    --project $PROJECT_ID
    

    Substitua USER pelo nome de usuário da pessoa ou entidade que usará a conta de serviço.

  2. Crie uma chave para associar à conta de serviço. A chave é usada durante a vida da conta de serviço e armazenada de forma permanente no caminho atribuído a KEY_LOCATION.

    gcloud iam service-accounts keys create $KEY_LOCATION  \
    --iam-account $SERVICE_ACCOUNT@$PROJECT_ID.iam.gserviceaccount.com
    
  3. Conceda à conta de serviço o papel securitycenter.admin para a organização ou o projeto, dependendo do nível de ativação do Security Command Center.

    • Para ativações no nível da organização:

      gcloud organizations add-iam-policy-binding $ORG_ID \
      --member="serviceAccount:$SERVICE_ACCOUNT@$PROJECT_ID.iam.gserviceaccount.com" \
      --role='roles/securitycenter.admin'
      
    • Para ativações no nível do projeto:

      gcloud projects add-iam-policy-binding $PROJECT_ID \
      --member="serviceAccount:$SERVICE_ACCOUNT@$PROJECT_ID.iam.gserviceaccount.com" \
      --role='roles/securitycenter.admin'
      

Como instalar bibliotecas de cliente do Security Command Center

Python

Para incluir a biblioteca do Python do Security Command Center como uma dependência no projeto, siga o processo abaixo:

  1. Opcional: antes de instalar a biblioteca do Python, recomendamos usar o Virtualenv para criar um ambiente Python isolado.

    virtualenv onboarding_example
    source onboarding_example/bin/activate
    
  2. Instale o pip para gerenciar a instalação da biblioteca Python.

  3. Execute os seguintes comandos para instalar a biblioteca Python:

    pip install google-cloud-securitycenter
    

Java

Para incluir a biblioteca Java do Security Command Center como uma dependência em seu projeto, selecione um artefato no repositório Maven.

Go

Para fazer o download da biblioteca Go, execute:

go get cloud.google.com/go/securitycenter/apiv1

Node.js

Para instalar a biblioteca Node.js, execute:

npm install --save @google-cloud/security-center

A seguir

Como usar o SDK

Revise os guias de todos os recursos compatíveis com o Security Command Center:

Referências do SDK

Consulte as referências completas do SDK: