啟用公開值區修復功能

本文提供逐步指南，說明如何在 Security Command Center Enterprise 方案中，為安全防護機制發現項目劇本啟用公開儲存空間修復功能。

總覽

Security Command Center 支援下列劇本中安全漏洞的額外補救措施：

• 防護機制發現項目 - 一般
• Jira 防護機制發現項目
• 透過 ServiceNow 取得防護機制調查結果

這些姿勢發現事項劇本包含可修正 OPEN PORT、PUBLIC IP ADDRESS 和 PUBLIC BUCKET ACL 發現事項的區塊。如要進一步瞭解這些發現類型，請參閱「安全漏洞發現」一文。

教戰手冊已預先設定，可處理 OPEN PORT 和 PUBLIC IP ADDRESS 發現項目。如要修正 PUBLIC_BUCKET_ACL 發現的問題，您必須為劇本啟用公開值區修正功能。

啟用應對手冊的公開值區補救措施

安全狀態分析 (SHA) 偵測器找出可公開存取的 Cloud Storage bucket 並產生 PUBLIC_BUCKET_ACL 發現項目後，Security Command Center Enterprise 會擷取這些發現項目，並附加劇本。如要為狀態發現事項劇本啟用公開儲存空間補救措施，您需要建立自訂 IAM 角色、為該角色設定特定權限，並將建立的自訂角色授予現有主體。

事前準備

如要修正公開 bucket 存取權，您必須設定並執行 Cloud Storage 整合的執行個體。如要驗證整合設定，請參閱「更新 Enterprise 用途」。

建立自訂 IAM 角色

如要建立自訂 IAM 角色並為其設定特定權限，請完成下列步驟：

1. 前往 Google Cloud 控制台的「IAM Roles」(IAM 角色) 頁面。

   前往「IAM Roles」(身分與存取權管理角色)

2. 按一下「建立角色」，建立具備整合項目所需權限的自訂角色。

3. 如果是新的自訂角色，請提供「標題」、「說明」和專屬「ID」。

4. 將「角色發布階段」設為「正式發布」。

5. 為建立的角色新增下列權限：

   resourcemanager.organizations.setIamPolicy
   

6. 點選「建立」。

將自訂角色指派給現有主體

將新的自訂角色授予所選主體後，該主體就能變更機構中任何使用者的權限。

如要將自訂角色授予現有主體，請完成下列步驟：

1. 前往 Google Cloud 控制台的「IAM」頁面。

   前往身分與存取權管理頁面

2. 在「Filter」(篩選條件) 欄位中，貼上您用於 Cloud Storage 整合的「Workload Identity Email」(工作負載身分電子郵件地址) 值，然後搜尋現有主體。

3. 按一下「Edit principal」(編輯主體)edit。系統會開啟「編輯『PROJECT』的存取權」對話方塊。

4. 在「指派角色」下方，按一下 add「新增其他角色」。

5. 選取您建立的自訂角色，然後按一下「儲存」。