为组织激活 Security Command Center 高级方案层级

本文档介绍了如何通过 Google Cloud 控制台为组织激活 Security Command Center 高级方案。激活 Security Command Center 高级方案会自动启用各种服务。

如需详细了解 Security Command Center 高级方案，请参阅 Security Command Center 服务层级。

如需激活其他服务层级的 Security Command Center，请参阅以下内容：

• 为组织激活 Security Command Center 标准方案层级
• 激活 Security Command Center 企业方案

如需仅为项目激活 Security Command Center，请参阅为项目激活 Security Command Center。

准备工作

在为组织激活 Security Command Center 高级方案之前，您需要执行以下操作：

• 获取特定的 Identity and Access Management (IAM) 角色和权限。
• 查看您的组织政策（如果适用于您的组织）。
• 如果您计划启用数据驻留，请查看规划数据驻留，并确定要使用的位置。
• 如果您计划使用客户管理的加密密钥 (CMEK)，请完成为 Security Command Center 启用 CMEK 所需的任务。

所需的角色

如需获取为组织激活 Security Command Center 所需的权限，请让您的管理员向您授予组织的以下 IAM 角色：

• Security Center Admin (roles/securitycenter.admin)
• Organization Administrator (roles/resourcemanager.organizationAdmin)

如需详细了解如何授予角色，请参阅管理对项目、文件夹和组织的访问权限。

您也可以通过自定义角色或其他预定义角色来获取所需的权限。

查看组织政策

如果您的组织政策设置为按网域限制身份，请确认以下事项：

• 您必须使用允许的网域中的账号登录 Google Cloud 控制台。
• 您的服务账号必须位于允许的网域中，或是您网域内某个群组的成员。此要求让您能够在启用“网域限定共享”时，允许使用 @*.gserviceaccount.com 服务账号的服务访问资源。

如果您的组织政策设置为限制资源用量，请验证以下 API 是否受您的政策允许：

• cloudsecuritycompliance.googleapis.com
• securitycenter.googleapis.com
• securitycentermanagement.googleapis.com

激活 Security Command Center 高级方案

您可以通过 Google Cloud 控制台为组织激活 Security Command Center 高级方案。

1. 在 Google Cloud 控制台中，前往 Security Command Center 欢迎页面。

   前往 Security Command Center

2. 选择要为其启用 Security Command Center 高级方案的组织，然后点击选择。

3. 在欢迎页面上，选择开始免费试用高级方案。

4. 可选：如需启用数据驻留和数据加密，请点击显示更多。

   如需详细了解数据驻留，请参阅规划数据驻留。

   如需详细了解数据加密，请参阅为 Security Command Center 启用 CMEK。 如果您的组织使用 CMEK 组织政策，您可能只能选择 CMEK 或特定密钥。如果您不在 Security Command Center 中使用 CMEK，则 Google 会使用Google-owned and Google-managed encryption keys对静态数据进行加密。

5. 点击激活。

结果可用后，会显示在控制台中。然后，您可以使用 Google Cloud 控制台查看并修复 Google Cloud 安全和数据风险。

Security Command Center 会在 24 小时内完成首次全面扫描。对某些服务开始扫描之前可能会有延迟。如需了解详情，请参阅何时会在 Security Command Center 中看到发现结果。

Security Command Center 高级方案的服务

激活 Security Command Center 高级方案后，系统会自动启用特定服务并创建服务代理，以便这些服务能够代表您执行操作。

服务

Security Command Center 使用检测服务来检测云环境中的安全问题。激活 Security Command Center 高级方案后，系统会启用以下服务：

• Compliance Manager

• Container Threat Detection

  为使 Container Threat Detection 正常运行，请确保集群采用了受支持的 Google Kubernetes Engine (GKE) 版本，并且 GKE 集群已正确配置。如需了解详情，请参阅使用 Container Threat Detection。

• Data Security Posture Management (DSPM)

• Event Threat Detection

  Event Threat Detection 依赖于 Google Cloud生成的日志。如需使用 Event Threat Detection，请为组织、文件夹和项目启用日志。

• Security Health Analytics

• 安全状况

• Virtual Machine Threat Detection

• 漏洞评估

• Web Security Scanner

请参阅各项服务的文档以获取使用和优化说明。例如，Event Threat Detection 依赖于Google Cloud生成的日志。某些日志始终处于开启状态，因此 Event Threat Detection 在启用后即可立即开始扫描这些日志。其他日志（例如大多数数据访问审核日志）必须先激活，然后 Event Threat Detection 才能对其进行扫描。

您可以按照配置 Security Command Center 服务中的步骤启用或停用本部分中列出的服务以及其他服务。

服务代理

服务代理是由 Google Cloud 创建和管理的服务账号，可代表您访问资源。创建服务代理后，Security Command Center 会自动向该服务代理授予所需的 IAM 角色。Security Command Center 高级方案激活包括以下服务代理：

• 用于 Security Health Analytics 和漏洞评估的 Cloud Security Command Center Service Agent
• 用于 Compliance Manager 的 Cloud Security Compliance Service Agent
• 用于 Container Threat Detection 的 Container Threat Detection Service Agent
• 用于 DSPM 的 Data Security Posture Management Service Agent

修改 Security Command Center 服务

本部分介绍了以下场景：

• 将高级层级由项目级激活更改为组织级激活

• 对于使用即将过期的高级层级订阅的组织，更改为随用随付价格方案

• 从标准层级升级到高级层级

• 从高级层级降级到标准层级

任何此类更改都可能会影响价格。如需了解详情，请参阅 Security Command Center 价格。

更改为组织级高级层级激活

如需从项目级激活更改为组织级激活，请按照在组织级激活 Security Command Center 高级方案中的说明进行操作。

更改为高级层级的随用随付方案

如果您的组织使用的是 Security Command Center 高级方案层级订阅，则可以在订阅到期之前注册随用随付价格方案，以便不间断地使用 Security Command Center 高级方案。

如需注册随用随付价格方案，请完成以下步骤：

1. 在 Google Cloud 控制台中，前往层级详情页面。

   前往“层级详情”

2. 选择要更改其价格方案的组织，然后点击选择。

3. 点击管理层级。

4. 在管理层级窗格中，验证是否选择了高级，然后点击更新。

完成上述步骤后，在您的订阅到期时，即会开始采用随用随付价格方案。

从标准层级升级到高级层级

如需从 Security Command Center 标准方案层级更改为 Security Command Center 高级方案层级，请完成以下步骤。

1. 在 Google Cloud 控制台中，前往层级详情页面。

   前往“层级详情”

2. 选择要为其升级 Security Command Center 层级的组织，然后点击选择。

3. 点击升级到高级层级。

4. 在管理层级窗格中，点击更新。

从高级层级降级到标准层级

如需从 Security Command Center 高级方案层级的随用随付方式更改为 Security Command Center 标准方案层级，请完成以下步骤。默认情况下，如果您有一项订阅，当订阅到期时，系统会自动将您降级为标准层级。

降级到 Security Command Center 标准层级后，您将无法再使用高级层级服务和功能。在进行此更改之前，请验证您组织的安全风险状况不会受到负面影响。

即使 Security Command Center 标准方案层级是免费的，您可能仍会产生间接费用。如需了解详情，请参阅与 Security Command Center 相关的可能间接费用。

1. 在 Google Cloud 控制台中，前往层级详情页面。

   前往“层级详情”

2. 选择要为其降级 Security Command Center 层级的组织，然后点击选择。

3. 点击管理层级。

4. 在管理层级窗格中，点击标准层级对应的选择，然后点击更新。

停用 Security Command Center

如需停用 Security Command Center，请与 Cloud Customer Care 联系。

后续步骤

• 了解如何配置 Security Command Center 服务
• 了解如何在 Google Cloud 控制台中使用 Security Command Center。
• 了解如何处理 Security Command Center 发现结果。
• 了解 Google Cloud 安全来源。
• 了解 Model Armor 如何帮助保护您的 AI 工作负载。
• 启用 Sensitive Data Protection，以帮助保护您的敏感数据。
• 了解如何使用 Cloud Billing 监控费用。