使用 SDK 访问 Security Command Center

创建一个服务帐号，并将其设置为与 Security Command Center 客户端库配合使用。

准备工作

如需完成本指南，您需要以下各项：

• Service Account Admin IAM 角色。如需详细了解 Security Command Center IAM 角色，请参阅访问权限控制。
• 可以存储服务帐号私钥的现有目录路径。此路径位于 Cloud Shell 环境的上下文中，例如 /home/myuser/mykeys/。

访问 Security Command Center

如需以编程方式访问 Security Command Center，请使用 Cloud Shell 获取客户端库并对服务帐号进行身份验证。

设置环境变量

1. 转到 Google Cloud Console。
   转到 Google Cloud Console
   
2. 点击激活 Cloud Shell。

3. 通过运行以下命令设置环境变量：

   1. 设置您的组织名称：

      export ORG_ID=[YOUR_ORGANIZATION_ID]
      

   2. 设置项目 ID。

      export PROJECT_ID=[CLOUD_SCC_ENABLED_PROJECT_ID]
      

   3. 设置要用于新服务帐号的自定义 ID，如 scc-sa。服务帐号名称的长度必须介于 6 到 30 个字符之间、必须以字母开头，且必须全部为小写字母数字字符和连字符：

      export SERVICE_ACCOUNT=[CUSTOM_ID]
      

   4. 设置应存储服务帐号密钥的路径，例如 export KEY_LOCATION=/home/$USER/mykeys/$SERVICE_ACCOUNT.json：

      export KEY_LOCATION=[FULL_PATH]
      # This is used by client libraries to find the key
      export GOOGLE_APPLICATION_CREDENTIALS=$KEY_LOCATION
      

设置服务帐号

如需以编程方式访问 Security Command Center，您需要来自服务帐号的私钥，以便客户端使用。该服务帐号必须具有组织级层角色 securitycenter.admin。

1. 创建与您的项目 ID 关联的服务帐号：

   gcloud iam service-accounts create $SERVICE_ACCOUNT  --display-name \
    "Service Account for [USER]"  --project $PROJECT_ID
   

2. 创建密钥以与服务帐号关联。该密钥用于服务的生命周期，并永久存储在您指定的 [KEY_LOCATION] 中。

   gcloud iam service-accounts keys create $KEY_LOCATION  --iam-account \
    $SERVICE_ACCOUNT@$PROJECT_ID.iam.gserviceaccount.com
   

3. 向服务帐号授予组织的 securitycenter.admin 角色。

   gcloud organizations add-iam-policy-binding $ORG_ID \
     --member="serviceAccount:$SERVICE_ACCOUNT@$PROJECT_ID.iam.gserviceaccount.com" \
     --role='roles/securitycenter.admin'
   

为 Security Command Center 安装客户端库

go get -u cloud.google.com/go/securitycenter/apiv1

npm install --save @google-cloud/security-center

后续步骤

使用 SDK

查看有关 Security Command Center 支持的所有功能的指南：

• 列出资产
• 列出安全问题
• 创建、修改和查询安全标记
• 创建和更新安全性发现结果
• 创建、更新和列出发现结果来源
• 配置组织设置

SDK 参考

请参阅完整的 SDK 参考文档：