测试敏感操作服务

通过有意触发 Persistence: project SSH key added 检测器并检查发现结果，验证敏感操作服务是否正常运行。

如需详细了解敏感操作服务服务，请参阅 敏感操作服务概览。

准备工作

为完成本指南，您必须拥有 Identity and Access Management (IAM) 角色以及要执行测试的项目中的 compute.projects.setCommonInstanceMetadata 和 iam.serviceAccounts.actAs 权限，例如 Compute Admin 角色 (roles/compute.admin)。

测试 Sensitive Actions Service

如需测试 Sensitive Actions Service，请添加项目级 SSH 密钥，该密钥可能会授予 SSH 密钥访问项目中的所有实例。

如果项目已设置项目级 SSH 密钥，此检测器不会生成发现结果。选择一个尚未使用 任何项目级 SSH 密钥。

第 1 步：触发敏感操作服务检测器

如需触发检测器，您需要一个测试用户账号。您可以使用 gmail.com 电子邮件地址创建测试用户账号，也可以使用贵组织中的现有用户账号。您将测试用户账号添加到组织，并向其授予过多权限。

如需详细了解如何添加项目级 SSH 密钥，请参阅 将 SSH 密钥添加到项目元数据。 如需了解如何生成 SSH 密钥，请参阅创建 SSH 密钥。

1. 转到 Google Cloud 控制台中的 Compute Engine 元数据页面。

   转到元数据

2. 点击 SSH 密钥标签页。

3. 确认项目中当前未设置任何 SSH 密钥。如果设置了 SSH 密钥，您会在表中看到现有密钥，并且测试将无法正常运行。 选择一个没有任何现有项目级 SSH 密钥的项目 测试。

4. 点击添加 SSH 密钥。

5. 将公钥添加到文本框中。如需详细了解如何生成 SSH 密钥，请参阅创建 SSH 密钥。

6. 点击保存。

接下来，验证 Persistence: project SSH key added 检测器是否已写入发现结果。

第 2 步：在 Security Command Center 中查看发现结果

如需在控制台中查看敏感操作服务发现结果，请按以下步骤操作：

第 3 步：在 Cloud Logging 中查看发现结果

您可以使用 Cloud Logging 查看敏感操作日志条目。

1. 转到 Google Cloud 控制台中的日志浏览器。

   转到日志浏览器

2. 如有需要，请使用页面顶部的组织选择器切换到组织视图。

3. 点击查询构建器标签页。

4. 在资源下拉列表中，选择 sensitiveaction.googleapis.com/Location"。

5. 点击运行查询。查询结果表将根据您选择的日志进行更新。

6. 要查看日志，请点击表行，然后点击展开嵌套字段。

清理

完成测试后，移除项目级 SSH 密钥。

1. 转到 Google Cloud 控制台中的 Compute Engine 元数据页面。

   转到元数据

2. 点击修改。

3. 点击 SSH 密钥旁边的 delete删除一项。

4. 点击保存。

后续步骤

• 详细了解 敏感操作服务。
• 阅读 Sensitive Actions Service 概念的简要概览。
• 了解如何调查和制定威胁响应方案。