本文档介绍了如何首次配置 Google Cloud 组织以使用网络保险中心。这些步骤是网络保险中心中大多数任务的前提条件。
所需的设置权限
如需获得配置网络保险中心的权限,请让管理员向您授予组织的以下 IAM 角色:
-
Risk Manager Admin (
roles/riskmanager.admin) -
Organization Administrator (
roles/resourcemanager.organizationAdmin)
如需详细了解如何授予角色,请参阅管理对项目、文件夹和组织的访问权限。
这些预定义角色包含配置网络保险中心所需的权限。如需查看所需的确切权限,请展开所需权限部分:
所需权限
如需配置网络保险中心,您需要具备以下权限:
-
riskmanager.serviceAccount.create -
resourcemanager.organizations.getIamPolicy -
resourcemanager.organizations.setIamPolicy
向 Risk Manager 服务代理授予对您组织的访问权限
当您开始在 Google Cloud 控制台中设置网络保险中心时,系统会创建服务代理。创建后,此服务代理没有任何权限,无法执行任何操作。
必须为 Risk Manager 服务代理授予 Risk Manager 服务代理角色 (roles/riskmanager.serviceAgent),才能读取安全发现结果并生成报告。
如需向服务代理授予该角色,请按以下步骤操作:
前往网络保险中心设置页面:
选择您的组织。
点击授予角色。
验证授予角色是否已更新为已授予的角色。
加入网络保险中心
注册网络保险中心会启用网络保险中心正常运行所需的所有后端服务。
若要成功注册,组织必须启用 Security Command Center,并在 Security Command Center 内启用 Security Health Analytics 服务。网络保险中心初始配置页面详细介绍了 Security Command Center 和 Security Health Analytics 的启用流程。
如需加入网络保险中心,请按以下步骤操作:
前往网络保险中心设置页面:
选择您的组织。
点击注册。
验证注册是否已更新为已注册。
加入网络保险中心后,该中心会定期扫描贵组织的 Google Cloud 资源,以生成网络保险中心报告中包含的数据。初始扫描最多可能需要 24 小时才能完成。
授予对网络保险中心的访问权限
用户必须具备适当的 IAM 权限,才能创建、查看、共享或发送报告。您可以授予一个或多个预定义角色,也可以创建和授予自定义角色。如需了解详情(包括 Cyber Insurance Hub 的预定义角色列表),请参阅使用 IAM 进行访问权限控制。
如需授予角色,请按以下步骤操作:
控制台
gcloud
运行以下命令:
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member=user:USERNAME --role=roles/ROLE替换以下内容:
ORGANIZATION_ID:您为之注册网络保险中心的组织的数字 ID。USERNAME:您要向其授予此角色的主账号。此电子邮件地址必须是您组织的成员,例如test-user@example.com。ROLE:您要授予的网络保险中心角色的名称,例如riskmanager.reportReviewer。