本文說明如何設定 Google Cloud 機構,以便首次使用 Cyber Insurance Hub。這些步驟是 Cyber Insurance Hub 中大多數工作的事前準備。
設定所需的權限
如要取得設定 Cyber Insurance Hub 所需的權限,請要求管理員授予您組織的下列 IAM 角色:
如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和組織的存取權」。
這些預先定義的角色具備設定 Cyber Insurance Hub 所需的權限。如要查看確切的必要權限,請展開「Required permissions」(必要權限) 部分:
所需權限
如要設定 Cyber Insurance Hub,必須具備下列權限:
-
riskmanager.serviceAccount.create -
resourcemanager.organizations.getIamPolicy -
resourcemanager.organizations.setIamPolicy
授予 Risk Manager 服務代理貴機構的存取權
在 Google Cloud 控制台中開始設定 Cyber Insurance Hub 時,系統會建立服務代理程式。建立後,這個服務代理沒有任何權限,也無法執行任何動作。
必須為 Risk Manager 服務代理授予 Risk Manager 服務代理角色 (roles/riskmanager.serviceAgent),才能讀取安全性發現項目及建立報表。
如要授予服務專員角色,請按照下列步驟操作:
前往 Cyber Insurance Hub 設定頁面:
選取您的機構。
按一下「授予角色」。
確認「授予角色」已更新為「已授予角色」。
註冊 Cyber Insurance Hub
註冊 Cyber Insurance Hub 即可啟用必要的後端服務,讓 Cyber Insurance Hub 正常運作。
如要成功註冊,機構必須啟用 Security Command Center,並在 Security Command Center 中啟用安全狀態分析服務。如需 Security Command Center 和安全狀態分析啟用程序的詳細說明,請參閱Cyber Insurance Hub 啟用頁面。
如要加入 Cyber Insurance Hub,請按照下列步驟操作:
前往 Cyber Insurance Hub 設定頁面:
選取您的機構。
按一下 [註冊]。
確認「註冊」已更新為「已註冊」。
註冊 Cyber Insurance Hub 後,系統會定期掃描貴機構的 Google Cloud 資源,產生 Cyber Insurance Hub 報告中的資料。初始掃描最多可能需要 24 小時才能完成。
授予 Cyber Insurance Hub 存取權
使用者必須具備適當的 IAM 權限,才能建立、查看、分享或傳送報表。您可以授予一或多個預先定義的角色,也可以建立及授予自訂角色。如要進一步瞭解,包括 Cyber Insurance Hub 的預先定義角色清單,請參閱「使用 IAM 控管存取權」。
如要授予角色,請按照下列步驟操作:
控制台
選取已加入 Cyber Insurance Hub 的機構。
在「IAM」頁面中,找出要授予角色的使用者名稱,然後按一下「Edit principal」(編輯主體) 。
在顯示的「Edit permissions」(編輯權限) 窗格中,新增必要角色。
按一下「新增其他角色」。選取要新增的角色,例如「Risk Manager 報告審查者」。
如要新增更多角色,請重複上一個步驟。按一下 [儲存]。
gcloud
執行下列指令:
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member=user:USERNAME --role=roles/ROLE更改下列內容:
ORGANIZATION_ID:您註冊 Cyber Insurance Hub 的組織數字 ID。USERNAME:要授予這個角色的主體。這必須是貴機構的成員,例如test-user@example.com。ROLE:要授予的 Cyber Insurance Hub 角色名稱,例如riskmanager.reportReviewer。