Activer le niveau Premium de Security Command Center pour une organisation

Ce document explique comment activer Security Command Center Premium pour une organisation dans la console Google Cloud . L'activation de Security Command Center Premium active automatiquement divers services.

Pour en savoir plus sur Security Command Center Premium, consultez Niveaux de service Security Command Center.

Pour activer Security Command Center pour un autre niveau de service, consultez les pages suivantes :

Pour activer Security Command Center pour un projet uniquement, consultez Activer Security Command Center pour un projet.

Avant de commencer

Avant d'activer Security Command Center Premium pour une organisation, vous devez effectuer les opérations suivantes :

  • Obtenez des rôles et des autorisations IAM (Identity and Access Management) spécifiques.
  • Facultatif : Activez d'autres API.
  • Examinez les règles d'administration de votre organisation, le cas échéant.
  • Si vous prévoyez d'activer la résidence des données, consultez Planifier la résidence des données et déterminez l'emplacement à utiliser.
  • Si vous prévoyez d'utiliser une clé de chiffrement gérée par le client (CMEK), effectuez les tâches requises pour activer les CMEK pour Security Command Center.

Vous pouvez configurer la résidence et le chiffrement des données lorsque vous activez Security Command Center. Pour modifier ces paramètres après avoir activé Security Command Center Standard ou Premium, consultez Modifier la configuration de la résidence ou du chiffrement des données.

Rôles requis

Pour obtenir les autorisations nécessaires pour activer Security Command Center pour une organisation, demandez à votre administrateur de vous accorder les rôles IAM suivants dans votre organisation :

Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.

Vous pouvez également obtenir les autorisations requises avec des rôles personnalisés ou d'autres rôles prédéfinis.

Activer l'API Security Center Management

Si vous prévoyez d'utiliser l'API Security Center Management, activez-la dans le projet dans lequel vous prévoyez de l'appeler :

Rôles requis pour activer les API

Pour activer les API, vous avez besoin du rôle IAM Administrateur Service Usage (roles/serviceusage.serviceUsageAdmin), qui contient l'autorisation serviceusage.services.enable. Découvrez comment attribuer des rôles.

Activer l'API

Examiner les règles d'administration

Si les règles de votre organisation sont configurées pour restreindre les identités par domaine, vérifiez les points suivants :

  • Vous devez être connecté à la console Google Cloud avec un compte appartenant à un domaine autorisé.
  • Vos comptes de service doivent appartenir à un domaine autorisé ou être des membres d'un groupe au sein de votre domaine. Cela vous permet d'autoriser les services qui utilisent le compte de service @*.gserviceaccount.com à accéder aux ressources lorsque le partage limité au domaine est activé.

Si les règles de votre organisation sont configurées pour restreindre l'utilisation des ressources, vérifiez que les API suivantes sont autorisées par vos règles :

  • cloudsecuritycompliance.googleapis.com
  • securitycenter.googleapis.com
  • securitycentermanagement.googleapis.com

Activer Security Command Center Premium

Vous pouvez activer Security Command Center Premium pour une organisation dans la console Google Cloud .

  1. Dans la console Google Cloud , accédez à la page d'accueil de Security Command Center.

    Accéder à Security Command Center

  2. Si vous souhaitez activer la résidence des données, ouvrez une console juridictionnelle à l'aide de l'URL correspondant à l'emplacement que vous prévoyez de configurer.

    Vous devez utiliser la console juridictionnelle Google Cloud pour activer Security Command Center avec les contrôles de résidence des données et modifier la configuration de la résidence des données après l'activation. Pour en savoir plus, consultez À propos de la consoleGoogle Cloud juridictionnelle.

  3. Sélectionnez l'organisation pour laquelle vous souhaitez activer Security Command Center Premium, puis cliquez sur Sélectionner.

  4. Sur la page d'accueil, sélectionnez Démarrer un essai sans frais de Premium.

    Pour résilier votre essai Premium et éviter les frais de paiement à l'utilisation, vous devez passer au forfait Standard avant la fin de la période d'essai. Vous pouvez passer à un forfait inférieur à tout moment pendant la période d'essai. Pour obtenir des instructions détaillées, consultez Passer du niveau Premium au niveau Standard.

    Pour souscrire un abonnement Premium, consultez Niveau Premium : tarification par abonnement pour en savoir plus.

  5. Facultatif : Pour confirmer la configuration de la résidence des données ou modifier la configuration du chiffrement des données, cliquez sur Afficher plus.

    • Si vous utilisez une console juridictionnelle, le champ Résidence des données affiche Activer et le champ Emplacement affiche le même emplacement que la console juridictionnelle. Pour modifier l'emplacement, ouvrez la console à l'aide d'une URL correspondant à l'emplacement que vous souhaitez configurer.
    • La configuration de chiffrement des données par défaut utilise Google-owned and Google-managed encryption keys. Pour utiliser une clé Cloud Key Management Service, cliquez sur Modifier le chiffrement des données, puis procédez comme suit :
      1. Sélectionnez Clé Cloud KMS.
      2. Sélectionnez un projet.
      3. Sélectionnez une clé. Vous pouvez sélectionner une clé à partir de n'importe quel Google Cloud projet, y compris les projets d'autres organisations. Seules les clés situées dans des emplacements compatibles sont affichées dans la liste.

      Pour savoir quelles zones clés sont compatibles avec Security Command Center, consultez Déterminer la zone clé.

      Si votre organisation utilise des règles d'administration CMEK, vous ne pourrez peut-être choisir que la CMEK ou des clés spécifiques.

      Lors du processus d'activation, Security Command Center attribue le rôle Chiffreur/Déchiffreur de CryptoKey Cloud KMS (roles/cloudkms.cryptoKeyEncrypterDecrypter) à l'agent de service Cloud Security Command Center sur la clé Cloud KMS.

  6. Cliquez sur Activer.

Les résultats s'affichent dans la console au fur et à mesure qu'ils sont disponibles. Vous pouvez ensuite utiliser la console Google Cloud pour examiner et corriger les risques liés à la sécurité Google Cloud et aux données.

Security Command Center effectue sa première analyse complète sous 24 heures. Le lancement des analyses de certains services peut prendre quelques instants. Pour en savoir plus, consultez Quand attendre les résultats dans Security Command Center.

Services pour Security Command Center Premium

Après avoir activé Security Command Center Premium, des services spécifiques sont automatiquement activés et des agents de service sont créés pour que ces services puissent agir en votre nom.

Services

Security Command Center utilise des services de détection pour détecter les problèmes de sécurité dans vos environnements cloud. Les services suivants sont activés lorsque vous activez Security Command Center Premium :

Consultez la documentation de chaque service pour obtenir des instructions sur l'utilisation et l'optimisation. Par exemple, Event Threat Detection s'appuie sur les journaux générés parGoogle Cloud. Certains journaux sont toujours activés. Event Threat Detection peut donc commencer à les analyser dès qu'il est activé. D'autres journaux, tels que la plupart des journaux d'audit d'accès aux données, doivent être activés pour qu'Event Threat Detection puisse les analyser.

Les services décrits dans cette section, ainsi que d'autres services, peuvent être activés ou désactivés en suivant les étapes décrites dans Configurer les services Security Command Center.

Agents de service

Un agent de service est un compte de service créé et géré par Google Cloud pour accéder aux ressources en votre nom. Une fois l'agent de service créé, Security Command Center lui attribue automatiquement les rôles IAM requis. L'activation de Security Command Center Premium inclut les agents de service suivants :

Modifier votre service Security Command Center

Pour en savoir plus sur la gestion des niveaux, consultez Modifier le niveau Premium de Security Command Center pour une organisation.

Étapes suivantes