Dienstkonto erstellen und für die Verwendung mit Security Command Center-Clientbibliotheken einrichten.
Hinweise
Zum Durcharbeiten dieser Anleitung benötigen Sie Folgendes:
- Die IAM-Rolle „Dienstkontoadministrator“. Weitere Informationen zu Rollen im Security Command Center finden Sie unter Zugriffssteuerung.
- Einen vorhandenen Verzeichnispfad, in dem der private Schlüssel des Dienstkontos gespeichert werden kann. Dieser Pfad befindet sich im Kontext Ihrer Cloud Shell-Umgebung, z. B.
/home/myuser/mykeys/. - Die Aktivierungsebene von Security Command Center: Projekt- oder Organisationsebene. Je nach Aktivierungsstufe unterscheiden sich einige der Befehle, die Sie zum Einrichten des SDK-Zugriffs verwenden. Informationen zum Prüfen Ihrer Aktivierungsstufe finden Sie unter Aktivierungsstufe von Security Command Center prüfen.
Auf Security Command Center zugreifen
Wenn Sie programmgesteuert auf Security Command Center zugreifen möchten, verwenden Sie Cloud Shell, um auf die Clientbibliothek zuzugreifen und ein Dienstkonto zu authentifizieren.
Umgebungsvariablen einrichten
- Öffnen Sie die Google Cloud Console.
Öffnen Sie die Google Cloud Console - Klicken Sie auf Google Cloud Shell aktivieren.
Legen Sie die Umgebungsvariablen mit dem folgenden Befehl fest:
Geben Sie den Namen Ihrer Organisation ein:
export ORG_ID=ORGANIZATION_ID
Ersetzen Sie
ORGANIZATION_IDdurch die ID Ihrer Organisation.Legen Sie die Projekt-ID fest:
export PROJECT_ID=CLOUD_SCC_ENABLED_PROJECT_ID
Ersetzen Sie
CLOUD_SCC_ENABLED_PROJECT_IDdurch die ID eines Projekts, in dem Security Command Center auf Projektebene oder Scans aktiviert ist.Legen Sie die benutzerdefinierte ID fest, die Sie für ein neues Dienstkonto verwenden möchten, z. B.
scc-sa. Der Name des Dienstkontos muss zwischen 6 und 30 Zeichen lang sein, mit einem Buchstaben beginnen und darf nur alphanumerische Zeichen in Kleinschreibung sowie Bindestriche enthalten:export SERVICE_ACCOUNT=CUSTOM_ID
Ersetzen Sie
CUSTOM_IDdurch eine ID Ihrer Wahl.Legen Sie den Pfad fest, unter dem der Dienstkontoschlüssel gespeichert werden soll, z. B.
export KEY_LOCATION=/home/$USER/mykeys/$SERVICE_ACCOUNT.json:export KEY_LOCATION=FULL_PATH # This is used by client libraries to find the key export GOOGLE_APPLICATION_CREDENTIALS=$KEY_LOCATION
Dienstkonto einrichten
Wenn Sie programmgesteuert auf Security Command Center zugreifen möchten, benötigen Sie einen privaten Schlüssel aus einem Dienstkonto, das vom Client verwendet werden soll.
Außerdem müssen Sie dem Dienstkonto die IAM-Rolle securitycenter.admin zuweisen. Je nach Zugriffsebene, die das Dienstkonto benötigt, können Sie die Rolle auf Projekt-, Ordner- oder Organisationsebene zuweisen.
Erstellen Sie ein Ihrer Projekt-ID zugeordnetes Dienstkonto:
gcloud iam service-accounts create $SERVICE_ACCOUNT \ --display-name "Service Account for USER" \ --project $PROJECT_ID
Ersetzen Sie
USERdurch den Nutzernamen der Person oder Entität, die das Dienstkonto verwenden wird.Erstellen Sie einen Schlüssel zur Verknüpfung mit dem Dienstkonto. Der Schlüssel wird für die gesamte Lebensdauer des Dienstkontos verwendet und dauerhaft in dem Pfad gespeichert, den Sie
KEY_LOCATIONzuweisen.gcloud iam service-accounts keys create $KEY_LOCATION \ --iam-account $SERVICE_ACCOUNT@$PROJECT_ID.iam.gserviceaccount.com
Gewähren Sie dem Dienstkonto je nach Aktivierungsstufe von Security Command Center die Rolle
securitycenter.adminfür die Organisation oder das Projekt.Für Aktivierungen auf Organisationsebene:
gcloud organizations add-iam-policy-binding $ORG_ID \ --member="serviceAccount:$SERVICE_ACCOUNT@$PROJECT_ID.iam.gserviceaccount.com" \ --role='roles/securitycenter.admin'
Für Aktivierungen auf Projektebene:
gcloud projects add-iam-policy-binding $PROJECT_ID \ --member="serviceAccount:$SERVICE_ACCOUNT@$PROJECT_ID.iam.gserviceaccount.com" \ --role='roles/securitycenter.admin'
Clientbibliotheken für Security Command Center installieren
Python
Führen Sie die folgenden Schritte aus, um die Python-Bibliothek des Security Command Center als Abhängigkeit in Ihr Projekt aufzunehmen:
Optional: Bevor Sie die Python-Bibliothek installieren, empfehlen wir Ihnen, mit Virtualenv eine isolierte Python-Umgebung zu erstellen.
virtualenv onboarding_example source onboarding_example/bin/activate
Installieren Sie pip, um die Installation der Python-Bibliothek zu verwalten.
Führen Sie folgende Befehle aus, um die Python-Bibliothek zu installieren:
pip install google-cloud-securitycenter
Java
Wenn Sie die Java-Bibliothek von Security Command Center als Abhängigkeit in Ihr Projekt aufnehmen möchten, wählen Sie ein Artefakt aus dem Maven-Repository aus.
Go
So laden Sie die Go-Bibliothek herunter:
go get cloud.google.com/go/securitycenter/apiv1
Node.js
So installieren Sie die Node.js-Bibliothek:
npm install --save @google-cloud/security-center
Nächste Schritte
SDK verwenden
Lesen Sie die Leitfäden zu allen Features, die von Security Command Center unterstützt werden:
- Assets auflisten
- Sicherheitsergebnisse auflisten
- Sicherheitsmarkierungen erstellen, ändern und abfragen
- Sicherheitsergebnisse erstellen und aktualisieren
- Ergebnisquellen erstellen, aktualisieren und auflisten
- Organisationseinstellungen konfigurieren
SDK-Referenzen
Vollständige SDK-Referenzen ansehen: