使用 SDK 访问 Security Command Center

>

创建一个服务帐号,并将其设置为与 Security Command Center 客户端库配合使用。

准备工作

如需完成本指南,您需要以下各项:

  • Service Account Admin IAM 角色。如需详细了解 Security Command Center IAM 角色,请参阅访问权限控制
  • 可以存储服务帐号私钥的现有目录路径。此路径位于 Cloud Shell 环境的上下文中,例如 /home/myuser/mykeys/

访问 Security Command Center

如需以编程方式访问 Security Command Center,请使用 Cloud Shell 获取客户端库并对服务帐号进行身份验证。

设置环境变量

  1. 转到 Google Cloud Console。
    转到 Google Cloud Console
  2. 点击激活 Cloud Shell
  3. 通过运行以下命令设置环境变量:

    1. 设置您的组织名称:

      export ORG_ID=[YOUR_ORGANIZATION_ID]
      
    2. 项目 ID

      export PROJECT_ID=[CLOUD_SCC_ENABLED_PROJECT_ID]
      
    3. 设置要用于新服务帐号的自定义 ID,如 scc-sa。服务帐号名称的长度必须介于 6 到 30 个字符之间、必须以字母开头,且必须全部为小写字母数字字符和连字符:

      export SERVICE_ACCOUNT=[CUSTOM_ID]
      
    4. 设置应存储服务帐号密钥的路径,例如 export KEY_LOCATION=/home/$USER/mykeys/$SERVICE_ACCOUNT.json

      export KEY_LOCATION=[FULL_PATH]
      # This is used by client libraries to find the key
      export GOOGLE_APPLICATION_CREDENTIALS=$KEY_LOCATION
      

设置服务帐号

如需以编程方式访问 Security Command Center,您需要来自服务帐号的私钥,以便客户端使用。该服务帐号必须具有组织级层角色 securitycenter.admin

  1. 创建与您的项目 ID 关联的服务帐号:

    gcloud iam service-accounts create $SERVICE_ACCOUNT  --display-name \
     "Service Account for [USER]"  --project $PROJECT_ID
    
  2. 创建密钥以与服务帐号关联。该密钥用于服务的生命周期,并永久存储在您指定的 [KEY_LOCATION] 中。

    gcloud iam service-accounts keys create $KEY_LOCATION  --iam-account \
     $SERVICE_ACCOUNT@$PROJECT_ID.iam.gserviceaccount.com
    
  3. 向服务帐号授予组织的 securitycenter.admin 角色。

    gcloud organizations add-iam-policy-binding $ORG_ID \
      --member="serviceAccount:$SERVICE_ACCOUNT@$PROJECT_ID.iam.gserviceaccount.com" \
      --role='roles/securitycenter.admin'
    

为 Security Command Center 安装客户端库

Python

要将 Security Command Center Python 库作为依赖项包含在项目中,请按照以下流程操作:

  1. 可选:在安装 Python 库之前,建议您使用 Virtualenv 来创建独立的 Python 环境。

    virtualenv onboarding_example
    source onboarding_example/bin/activate
    
  2. 安装 pip 以管理 Python 库安装。

  3. 运行以下命令以安装 Python 库:

    pip install google-cloud-securitycenter
    

Java

要将 Security Command Center Java 库作为依赖项添加到项目中,请从 Maven 代码库中选择一个工件。

Go

如需下载 Go 库,请运行以下命令:

go get -u cloud.google.com/go/securitycenter/apiv1

Node.js

如需安装 Node.js 库,请运行以下命令:

npm install --save @google-cloud/security-center

后续步骤

使用 SDK

查看有关 Security Command Center 支持的所有功能的指南:

SDK 参考

请参阅完整的 SDK 参考文档: