激活 Security Command Center 概览

您可以为整个组织(组织级激活)或个别项目(项目级激活)激活 Security Command Center

每个激活级别的激活过程各不相同。此外,当您在项目级别激活 Security Command Center 时,由于 Security Command Center 的访问范围缩小,某些检测模块和服务集成不可用。

每个激活级层都支持两个 Security Command Center 服务层级:标准层级(免费提供有限的功能集)或高级层级(提供完整的功能集)。

如果您需要数据驻留控制(目前已发布为预览版),则必须在激活 Security Command Center 时启用。只有在组织级激活 Security Command Center 后,系统才支持数据驻留控制。

组织级激活概览

在组织级层激活 Security Command Center 被视为最佳实践,因为它允许 Security Command Center 访问和扫描组织所有文件夹和项目中的资源和资产,从而为企业提供最完整的保护。

在具有相应 IAM 权限的情况下,您可以使用 Google Cloud 控制台自行为组织激活标准层级。

若要为组织激活高级层级,您必须选择基于用量的价格或订阅方案。通过基于用量的价格,您可以灵活地根据用量支付 Security Command Center 费用。用量会计入与您的组织中的项目关联的结算账号。拥有了适当的 IAM 权限后,您便可以使用 Google Cloud 控制台,自行通过基于用量的方案激活高级层级。 如需购买订阅而不是基于用量的方案,您可以与 Google Cloud 销售团队或您的 Google Cloud 合作伙伴联系。如需详细了解价格方案,请参阅价格

您需要使用 Google Cloud 控制台启用和配置 Security Command Center。如果您是首次启用 Security Command Center,Google Cloud 控制台会引导您完成设置。

如需了解为组织启用和配置 Security Command Center 的分步说明,请参阅为组织激活 Security Command Center

项目级激活概览

您可以在单个项目上激活 Security Command Center,从而灵活地将 Security Command Center 仅用于最重要的项目,并仅根据该项目中的资源用量来支付 Security Command Center 费用。

对于项目级激活,只要您拥有适当的 IAM 权限,便可以在 Google Cloud 控制台中自行激活 Security Command Center 标准或高级层级。您无需先行联系销售人员。

使用项目级激活时,高级层级的费用基于项目中某些 Google Cloud 资源的用量,并通过使用基于用量的模式计入项目。

在项目级层激活 Security Command Center 时,Security Command Center 对日志、数据和其他资源的访问权限仅限于激活它的项目。因此,任何需要项目外部数据的服务都不可用,或者它们无法生成完整的发现结果。如需详细了解项目级激活不支持的发现结果和服务,请参阅项目级激活的功能可用性

启用 Security Command Center 的项目级后,不支持控制数据驻留。

在组织级层激活标准层级以优化项目级激活

为了优化高级层级的项目级激活,我们建议您在组织级层激活 Security Command Center 的标准层级。

通过在组织级层激活标准层级,您可以全局管理多个项目级激活,并确保所有需要组织级激活的标准层级检测模块或服务集成都可供项目使用。

如需了解详情,请参阅需要组织级激活的标准层级功能

何时使用项目级激活

通常,在以下情况下,您可以为某个项目激活 Security Command Center:

  • 您的组织目前在任何层级都不使用 Security Command Center。 在这种情况下,您可以为项目激活 Security Command Center 标准层级或高级层级。
  • 该组织目前正在使用标准层级。 在这种情况下,您可以只为项目激活高级层级,因为组织中的每个项目都可以使用标准层级。
  • 组织目前正在使用高级层级,但您只需要为特定项目激活 Security Command Center 高级层级。在这种情况下,您必须将组织级激活降级为标准层级,项目级高级层级激活才会生效。如果您使用的是组织级订阅,则此更改仅在订阅到期后才会生效。

查看您当前的启用类型

Security Command Center 的激活类型决定了 Security Command Center 在项目级层还是组织级层激活、层级以及价格方案。

在 Google Cloud 控制台中打开项目时,您无法立即看出 Security Command Center 的激活级层(项目级或组织级),因为项目有可能从其父级组织中继承了 Security Command Center 的使用。

如需确定 Security Command Center 是否已激活并查看 Security Command Center 的当前激活类型,请完成以下步骤:

  1. 在 Google Cloud 控制台中,打开 Security Command Center 信息中心:

    进入 Security Command Center

  2. 选择要检查的组织或项目。

  3. 如果组织或项目中已激活 Security Command Center,则系统会显示 Security Command Center 概览页面。如果组织或项目中未激活 Security Command Center,则系统会显示获取 Security Command Center 页面。如需查看激活说明,请参阅为组织激活 Security Command Center为项目激活 Security Command Center

  4. 在组织或项目的 Security Command Center 概览页面上,选择设置

  5. 设置页面上,选择层级详情标签页。

  6. 层级详情标签页上,通过检查层级结算状态行来确定激活类型:

    • 层级:显示组织或项目的层级(高级或标准)。如果将组织设置为高级层级,则所有项目都会自动继承高级层级,并且 Google Cloud 控制台会显示描述此继承的横幅。将组织设置为高级层级后,此设置会在项目级层显示将组织层级降级为标准层级时项目使用的层级。

    • 结算行:以下其中之一:

      • 已激活:表示高级层级价格使用组织或项目基于用量的方案。

      • 已暂停:表示高级层级已在组织级层激活,并由此项目继承。

      • 到期日期:表示高级层级的组织级激活使用的是订阅。

      • 如果未显示结算行:表示已为组织或项目激活标准层级。项目可以继承组织的标准层级。

    Google Cloud 控制台中的管理层级按钮上方的文本说明了您可以使用的层级和激活方案。