Dienstkonto erstellen und für die Verwendung mit Security Command Center-Clientbibliotheken einrichten.
Hinweis
Zum Durcharbeiten dieser Anleitung benötigen Sie Folgendes:
- IAM-Rolle "Dienstkontoadministrator" Weitere Informationen zu IAM-Rollen von Security Command Center finden Sie unter Zugriffssteuerung.
- Ein vorhandener Verzeichnispfad, in dem ein privater Dienstkontoschlüssel gespeichert werden kann. Dieser Pfad befindet sich im Kontext Ihrer Cloud Shell-Umgebung, z. B.
/home/myuser/mykeys/
.
Auf Security Command Center zugreifen
Für den programmatischen Zugriff auf das Security Command Center rufen Sie die Clientbibliothek mit Cloud Shell ab und authentifizieren Sie ein Dienstkonto.
Umgebungsvariablen einrichten
- Rufen Sie die Google Cloud Console auf.
Zur Google Cloud Console - Klicken Sie auf Google Cloud Shell aktivieren.
So legen Sie Umgebungsvariablen fest:
Geben Sie den Namen Ihrer Organisation ein:
export ORG_ID=[YOUR_ORGANIZATION_ID]
Legen Sie die Projekt-ID fest:
export PROJECT_ID=[CLOUD_SCC_ENABLED_PROJECT_ID]
Legen Sie die benutzerdefinierte ID fest, die Sie für ein neues Dienstkonto verwenden möchten, z. B.
scc-sa
. Der Name des Dienstkontos muss zwischen 6 und 30 Zeichen lang sein, mit einem Buchstaben beginnen und darf nur alphanumerische Zeichen in Kleinschreibung sowie Bindestriche enthalten:export SERVICE_ACCOUNT=[CUSTOM_ID]
Legen Sie den Pfad fest, unter dem der Dienstkontoschlüssel gespeichert werden soll, z. B.
export KEY_LOCATION=/home/$USER/mykeys/$SERVICE_ACCOUNT.json
:export KEY_LOCATION=[FULL_PATH] # This is used by client libraries to find the key export GOOGLE_APPLICATION_CREDENTIALS=$KEY_LOCATION
Dienstkonto einrichten
Für den programmgesteuerten Zugriff auf das Security Command Center benötigen Sie einen privaten Schlüssel aus einem Dienstkonto, der vom Client verwendet werden soll. Das Dienstkonto muss die Rolle securitycenter.admin
auf Organisationsebene haben.
Erstellen Sie ein Ihrer Projekt-ID zugeordnetes Dienstkonto:
gcloud iam service-accounts create $SERVICE_ACCOUNT --display-name \ "Service Account for [USER]" --project $PROJECT_ID
Erstellen Sie einen Schlüssel, der mit dem Dienstkonto verknüpft wird. Der Schlüssel wird für die Lebensdauer des Dienstes verwendet und dauerhaft unter dem von Ihnen angegebenen
[KEY_LOCATION]
gespeichert.gcloud iam service-accounts keys create $KEY_LOCATION --iam-account \ $SERVICE_ACCOUNT@$PROJECT_ID.iam.gserviceaccount.com
Gewähren Sie dem Dienstkonto die Rolle
securitycenter.admin
für die Organisation.gcloud organizations add-iam-policy-binding $ORG_ID \ --member="serviceAccount:$SERVICE_ACCOUNT@$PROJECT_ID.iam.gserviceaccount.com" \ --role='roles/securitycenter.admin'
Clientbibliotheken für Security Command Center installieren
Python
So fügen Sie die Python-Bibliothek des Security Command Center als Abhängigkeit in Ihr Projekt ein:
Optional: Bevor Sie die Python-Bibliothek installieren, empfehlen wir Ihnen, mit Virtualenv eine isolierte Python-Umgebung zu erstellen.
virtualenv onboarding_example source onboarding_example/bin/activate
Installieren Sie pip, um die Installation der Python-Bibliothek zu verwalten.
Führen Sie folgende Befehle aus, um die Python-Bibliothek zu installieren:
pip install google-cloud-securitycenter
Java
Wenn Sie die Java-Bibliothek von Security Command Center als Abhängigkeit in Ihr Projekt aufnehmen möchten, wählen Sie ein Artefakt aus dem Maven-Repository aus.
Go
So laden Sie die Go-Bibliothek herunter:
go get -u cloud.google.com/go/securitycenter/apiv1
Node.js
So installieren Sie die Node.js-Bibliothek:
npm install --save @google-cloud/security-center
Nächste Schritte
SDK verwenden
Lesen Sie die Leitfäden zu allen Features, die von Security Command Center unterstützt werden:
- Assets auflisten
- Sicherheitsergebnisse auflisten
- Sicherheitsmarkierungen erstellen, ändern und abfragen
- Sicherheitsergebnisse erstellen und aktualisieren
- Ergebnisquellen erstellen, aktualisieren und auflisten
- Organisationseinstellungen konfigurieren
SDK-Referenzen
Vollständige SDK-Referenzen: