您可以激活不同层级的 Security Command Center:标准层级、高级层级或企业层级。如果您选择标准层级或高级层级 您可以为整个组织启用 Security Command Center (组织级激活)或为单个项目(项目级激活) 激活)。如果您选择 Enterprise 层级,则可以在以下位置激活 Security Command Center: 组织级别的权限。
激活流程因层级而异。此外,在项目级层激活 Security Command Center 时,由于 Security Command Center 的访问权限范围缩小,某些检测模块和服务集成不可用。
如果您需要数据驻留控制(目前已发布 预览、 您必须在激活 Security Command Center 时将其启用。只有在标准层级或高级层级的组织级层激活后,才支持数据驻留控制。
组织级激活概览
在组织级层激活 Security Command Center 被视为最佳实践,因为它允许 Security Command Center 访问和扫描组织所有文件夹和项目中的资源和资产,从而为企业提供最完整的保护。
使用 相应的 IAM 权限, 您可以启用 标准层级 管理整个组织
如需为组织激活高级层级,您需要采用随用随付价格。通过随用随付价格,您可以灵活地根据 Google Cloud 服务的用量支付 Security Command Center 费用。您的使用费将计入结算账号 与贵组织中的项目相关联。拥有了适当的 IAM 权限后,您便可以使用 Google Cloud 控制台,自行通过按需付费方案激活高级层级。
要启用 企业版层级 对于组织,您必须从 Google Cloud 销售人员或您的 Google Cloud 合作伙伴。
有关适用于 Enterprise 层级或 高级层级,请参阅价格。
您需要使用 Google Cloud 控制台启用和配置 Security Command Center。如果您是首次启用 Security Command Center,Google Cloud 控制台会引导您完成设置。
如需了解为组织启用和配置 Security Command Center 的分步说明,请参阅以下内容之一:
项目级激活概览
在单个项目上激活 Security Command Center 您可以灵活地将 Security Command Center 用于 Security Command Center 计费依据 该项目中的资源用量。
对于项目级激活,您可以激活 标准层级或优质层级 Security Command Center 只要您拥有 相应的 IAM 权限。您无需先行联系销售人员。
进行项目级激活时,高级层级的费用基于项目中某些 Google Cloud 资源的使用量,并使用随用随付模式在项目中结算。
在项目级层激活 Security Command Center 时,Security Command Center 对日志、数据和其他资源的访问权限仅限于激活它的项目。因此,任何需要项目外部数据的服务都不可用,或者它们无法生成完整的发现结果。如需详细了解项目级激活不支持的发现结果和服务,请参阅项目级激活的功能可用性。
项目级激活不支持数据驻留控制 Security Command Center
在组织级层激活标准层级以优化项目级激活
为了优化高级层级的项目级激活,我们建议您在组织级层激活 Security Command Center 的标准层级。
在组织级别激活标准层级后,您可以 在全球范围内管理多个项目级激活,并确保 标准层级检测模块或服务集成 这些项目可以在组织级别进行激活。
如需了解详情,请参阅需要组织级激活的标准层级功能。
何时使用项目级激活
通常,在以下情况下,您可以为某个项目激活 Security Command Center:
- 您的组织目前在任何层级都不使用 Security Command Center。 在这种情况下,您可以为项目激活 Security Command Center 标准层级或高级层级。
- 组织目前使用的是标准层级。 在这种情况下,您只能为 因为组织中的每个项目都可以 请使用标准层级
- 组织目前正在使用高级层级,但您只需要为特定项目激活 Security Command Center 高级层级。在这种情况下 必须 将组织级激活降级到标准层级 让项目级专业版层级激活生效。如果您使用的是 组织级订阅,那么此更改只有在 订阅到期。
查看您当前的激活类型
Security Command Center 的激活类型决定了 Security Command Center 在项目级层还是组织级层激活、层级以及价格方案。
在 Google Cloud 控制台中打开项目时,您无法立即看出 Security Command Center 的激活级层(项目级或组织级),因为项目有可能从其父级组织中继承了 Security Command Center 的使用。
如需确定 Security Command Center 是否已激活以及查看 Security Command Center 的当前激活类型,请完成以下操作:
在 Google Cloud 控制台中,前往 Security Command Center:
选择您要检查的组织或项目。
如果组织或项目中已激活 Security Command Center,则系统会显示 Security Command Center 概览页面。如果组织或项目中未激活 Security Command Center,则系统会显示获取 Security Command Center 页面。激活 相关说明,请参阅 为组织激活 Security Command Center 或为项目激活 Security Command Center。
在组织或项目的 Security Command Center 概览页面上,选择设置。
在设置页面上,选择层级详情标签页。
在层级详情标签页上,通过检查层级和结算状态行来确定激活类型:
层级:显示组织或项目的层级(企业版、高级层级或标准层级)。如果组织设置为企业或高级层级,所有项目都会自动继承企业版或高级层级,并且 Google Cloud 控制台会显示一个横幅,说明这种继承情况。将组织设置为企业版或高级层级后,此设置会在项目级层显示将组织层级降级为标准层级时项目使用的层级。
结算行:以下项之一:
已激活:表示高级层级价格使用组织或项目的随用随付方案。
已暂停:表示企业版或高级层级处于活跃状态 组织级别且由此项目继承。
到期日期:表示在组织级激活的企业版或高级层级使用的是订阅。
如果未显示结算行:表示已为组织或项目激活标准层级。项目可以继承组织的标准层级。
Google Cloud 控制台中的管理层级按钮上方的文本说明了您可以使用的层级和激活方案。
- 插件:显示已通过订阅其他 Google Cloud 产品授予的任何 Security Command Center 插件。这些插件会自动授予对有限数量的相关高级层级服务和检测模块的访问权限。
查看 Security Command Center 的激活时间
如需了解 Security Command Center 的激活时间,您可以使用 Cloud Logging 查询。如果在 log 期间完成激活,此查询会返回结果 保留期限。
- 在 Google Cloud 控制台中,转到 Logs Explorer 页面。
- 选择您已在其中启用 Security Command Center 的组织。
- 请运行以下查询:
protoPayload.serviceName="securitycenter.googleapis.com" protoPayload.request.securityHealthAnalyticsSettings.serviceEnablementState="ENABLED"