本文档提供了有关如何在 Security Command Center 的企业版层级中为态势发现结果手册启用公共存储桶补救措施的分步指南。
概览
Security Command Center 支持针对以下 Playbook 中的漏洞执行其他补救措施:
- 安全状况调查结果 - 常规
- 通过 Jira 查看安全状况发现结果
- 使用 ServiceNow 生成的状况发现结果
这些状态信号发现 Playbook 包含用于修复 OPEN PORT
、PUBLIC IP ADDRESS
和 PUBLIC BUCKET ACL
发现的块。如需详细了解这些发现结果类型,请参阅漏洞发现结果。
预配置了 Playbook 来处理 OPEN PORT
和 PUBLIC IP ADDRESS
发现结果。若要解决 PUBLIC_BUCKET_ACL
发现的问题,您需要为 Playbook 启用公开存储桶修复措施。
为 Playbook 启用公开存储桶修复
Security Health Analytics (SHA) 检测器识别出可公开访问的 Cloud Storage 存储分区并生成 PUBLIC_BUCKET_ACL
发现结果后,Security Command Center Enterprise 会提取这些发现结果并为其附加 Playbook。如需为配置项发现结果 Playbook 启用公开存储桶修复功能,您需要创建一个自定义 IAM 角色,为其配置特定权限,并将您创建的自定义角色授予现有主账号。
准备工作
您需要配置并运行 Cloud Storage 集成实例,才能解决公开存储桶访问权限问题。如需验证集成配置,请参阅更新企业版用例。
创建自定义 IAM 角色
如需创建自定义 IAM 角色并为其配置特定权限,请完成以下步骤:
在 Google Cloud 控制台中,前往 IAM 角色页面。
点击创建角色,创建具有集成所需权限的自定义角色。
对于新的自定义角色,请提供标题、说明和唯一的 ID。
将角色发布阶段设置为正式版。
向新创建的角色添加以下权限:
resourcemanager.organizations.setIamPolicy
点击创建。
向现有主账号授予自定义角色
向所选主账号授予新自定义角色后,该主账号便可以更改贵组织中任何用户的权限。
如需向现有主账号授予自定义角色,请完成以下步骤:
在 Google Cloud 控制台中,转到 IAM 页面。
在过滤条件字段中,粘贴您用于 Cloud Storage 集成的工作负载身份电子邮件地址值,然后搜索现有正文。
点击
修改主账号。系统随即会打开修改“PROJECT”的访问权限对话框。在分配角色下,点击
添加其他角色。选择您创建的自定义角色,然后点击保存。