通过有意触发 Persistence: project SSH key added 检测器并检查发现结果,验证敏感操作服务是否正常运行。
如需详细了解敏感操作服务,请参阅敏感操作服务概览。
准备工作
为完成本指南,您必须拥有 Identity and Access Management (IAM) 角色以及要执行测试的项目中的 compute.projects.setCommonInstanceMetadata 和 iam.serviceAccounts.actAs 权限,例如 Compute Admin 角色 (roles/compute.admin)。
测试敏感操作服务
如需测试敏感操作服务,请添加一个项目级 SSH 密钥,该密钥可能会向项目中的所有实例授予 SSH 密钥访问权限。
如果项目上已设置项目级 SSH 密钥,则此检测器不会生成发现结果。选择一个尚无任何项目级 SSH 密钥的项目。
第 1 步:触发敏感操作服务检测器
要触发检测器,您需要一个测试用户帐号。您可以使用 gmail.com 电子邮件地址创建测试用户帐号,也可以使用组织中的现有用户帐号。您将测试用户帐号添加到组织中,并向其授予过多的权限。
如需详细了解如何添加项目级 SSH 密钥,请参阅将 SSH 密钥添加到项目元数据。如需了解如何生成 SSH 密钥,请参阅创建 SSH 密钥。
前往 Google Cloud 控制台中的 Compute Engine 元数据页面。
点击 SSH 密钥标签页。
确认项目中当前未设置任何 SSH 密钥。如果设置了 SSH 密钥,您会在表中看到现有密钥,并且测试不会运行。 选择一个尚不存在任何项目级 SSH 密钥的项目。
点击添加 SSH 密钥。
将公钥添加到文本框中。如需详细了解如何生成 SSH 密钥,请参阅创建 SSH 密钥。
点击保存。
接下来,验证 Persistence: project SSH key added 检测器是否已写入发现结果。
第 2 步:在 Security Command Center 中查看发现结果
如需在 Google Cloud 控制台中查看敏感操作服务发现结果,请按照以下步骤操作:
进入 Google Cloud 控制台中的发现结果页面。
在快速过滤条件下,向下滚动到来源显示名称,然后点击敏感操作服务。查找结果查询结果会更新为仅显示由敏感操作服务生成的发现结果。
如需查看特定发现结果的详细信息,请点击类别下的发现结果名称。系统随即会打开发现结果详情面板。
- 如需查看发现结果详细信息摘要(默认视图),请点击发现结果名称下的摘要。
- 如需查看发现结果的完整详细信息,请点击发现结果名称下的 JSON。
第 3 步:在 Cloud Logging 中查看发现结果
您可以使用 Cloud Logging 查看敏感操作日志条目。
转到 Google Cloud 控制台中的日志浏览器。
如果需要,使用页面顶部的组织选择器切换到组织视图。
点击查询构建器标签页。
在 Resource 下拉列表中,选择 sensitiveaction.googleapis.com/Location"。
点击运行查询。查询结果表将根据您选择的日志进行更新。
要查看日志,请点击表行,然后点击展开嵌套字段。
清理
完成测试后,移除项目级 SSH 密钥。
转到 Google Cloud 控制台中的 Compute Engine 元数据页面。
点击修改。
点击 SSH 密钥旁边的 删除项目。
点击保存。