HashiCorp Terraform 是一种基础设施即代码 (IaC) 工具,可让您预配和管理云基础设施。Terraform 提供了称为提供程序的插件,可让您与云服务提供商和其他 API 进行交互。您可以使用适用于 Google Cloud的 Terraform 提供程序来预配和管理 Google Cloud 资源,包括 Security Command Center。
本页面介绍了如何将 Terraform 与 Security Command Center 搭配使用,包括介绍了 Terraform 的工作原理,以及一些可帮助您开始将 Terraform 与 Google Cloud搭配使用的资源。您还可以找到一些链接,这些链接指向适用于 Security Command Center 的 Terraform 参考文档、代码示例以及有关如何使用 Terraform 预配 Security Command Center 资源的指南。
如需了解如何开始使用适用于 Google Cloud的 Terraform,请参阅安装和配置 Terraform 或适用于 Google Cloud 的 Terraform 快速入门。
Terraform 的工作原理
Terraform 具有面向配置的声明性语法,您可以使用它来描述要在 Google Cloud 项目中预配的基础设施。在一个或多个 Terraform 配置文件中编写此配置后,您可以使用 Terraform CLI 将此配置应用于 Security Command Center 资源。
以下步骤介绍了 Terraform 的工作原理:
- 在 Terraform 配置文件中描述您要预配的基础设施。您无需编写代码来描述如何预配基础设施。Terraform 会为您预配基础设施。
- 运行
terraform plan命令,以评估配置并生成执行计划。您可以查看计划并根据需要进行更改。 -
运行
terraform apply命令以执行以下操作:- 在后台调用相应的 Security Command Center API,以根据您的执行计划预配基础设施。
- 创建一个 Terraform 状态文件,该状态文件是一个 JSON 文件,用于将配置文件中的资源映射到实际基础设施中的资源。Terraform 使用此文件来记录基础设施的最新状态,并确定何时创建、更新和销毁资源。
-
当您运行
terraform apply时,Terraform 会使用状态文件中的映射将现有基础设施与代码进行比较,并根据需要进行更新:- 如果配置文件中定义了资源对象,但状态文件中不存在,则 Terraform 会创建该资源对象。
- 如果状态文件中存在资源对象,但其配置与配置文件不同,则 Terraform 会更新该资源以与配置文件匹配。
- 如果状态文件中的资源对象与配置文件匹配,则 Terraform 会使该资源保持不变。
适用于 Security Command Center 的 Terraform 资源
资源是 Terraform 语言中的基本元素。每个资源块描述一个或多个基础设施对象,例如虚拟网络或计算实例。
下表列出了适用于 Security Command Center 的 Terraform 资源:
适用于 Security Command Center 的基于 Terraform 的指南
下表列出了适用于 Security Command Center 的基于 Terraform 的方法指南和教程:
| 指南 | 详细信息 |
|---|---|
| 创建和管理 Event Threat Detection 的自定义模块 | 本指南介绍了如何管理 Event Threat Detection 的自定义模块。 借助自定义模块,您可以根据自己指定的参数检测威胁。 |
| 为 Pub/Sub 启用发现结果通知 | 本指南介绍了如何将有关新的和更新的 Security Command Center 发现结果的通知发送到 Pub/Sub 主题。 |
| 管理安全状况 | 本指南介绍了如何管理安全状况,以及如何监控在安全状况之外所做的更改(这些更改会导致漂移)。 |
| 在 Security Command Center 中忽略发现结果 | 本指南介绍了如何通过忽略发现结果来减少您收到的 Security Command Center 发现结果数量。 |
| 将发现结果流式传输到 BigQuery 进行分析 | 本指南介绍了如何将新的和更新后的 Security Command Center 发现结果流式传输到 BigQuery 数据集。 |
| 将自定义模块与 Security Health Analytics 搭配使用 | 本指南介绍了如何管理 Security Health Analytics 的自定义模块。 借助自定义模块,您可以根据自己指定的参数检测威胁。 |
适用于 Security Command Center 的 Terraform 模块和蓝图
模块和蓝图可帮助您大规模自动执行 Google Cloud 资源的预配和管理。模块是一组可重复使用的 Terraform 配置文件,用于创建 Terraform 资源的逻辑抽象。蓝图是一个可部署且可重复使用的模块和政策的软件包,用于实现和记录特定解决方案。
下表列出了与 Security Command Center 相关的模块和蓝图:
| 模块或蓝图 | 详细信息 |
|---|---|
iam
|
在 Google Cloud上管理资源的多个 IAM 角色 |
org-policy
|
管理 Google Cloud 组织政策 |
后续步骤
- 适用于 Security Command Center 的 Terraform 代码示例
- Terraform on Google Cloud 文档
- HashiCorp 中的Google Cloud 提供程序文档
- 适用于 Google Cloud的基础设施即代码