為機構啟用 Security Command Center Premium 級別

本文說明如何透過 Google Cloud 控制台,為機構啟用 Security Command Center Premium。啟用 Security Command Center 進階版後,系統會自動啟用多種服務

如要進一步瞭解 Security Command Center Premium,請參閱「Security Command Center 服務層級」。

如要啟用其他服務層級的 Security Command Center,請參閱下列文章:

如要只為專案啟用 Security Command Center,請參閱「為專案啟用 Security Command Center」。

事前準備

為機構啟用 Security Command Center Premium 前,請先完成下列事項:

  • 取得特定的身分與存取權管理 (IAM) 角色和權限。
  • 查看貴機構的政策 (如適用)。
  • 如要啟用資料落地功能,請參閱「規劃資料落地功能」,並決定要使用的位置。
  • 如要使用客戶自行管理的加密金鑰 (CMEK),請完成為 Security Command Center 啟用 CMEK 的必要工作。

必要的角色

如要取得為組織啟用 Security Command Center 所需的權限,請要求管理員在組織中授予下列 IAM 角色:

如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和組織的存取權」。

您或許也能透過自訂角色或其他預先定義的角色,取得必要權限。

查看機構政策

如果機構政策設為依照網域設定身分限制,請確認下列事項:

  • 您必須在允許的網域中,透過帳戶登入 Google Cloud 控制台。
  • 服務帳戶必須位於允許的網域中,或是您網域中群組的成員。啟用網域限制共用功能後,您必須符合這項規定,才能允許使用 @*.gserviceaccount.com 服務帳戶的服務存取資源。

如果機構政策設為限制資源用量,請確認下列 API符合政策規定

  • cloudsecuritycompliance.googleapis.com
  • securitycenter.googleapis.com
  • securitycentermanagement.googleapis.com

啟用 Security Command Center Premium

您可以透過 Google Cloud 控制台,為機構啟用 Security Command Center Premium。

  1. 前往 Google Cloud 控制台的 Security Command Center 歡迎頁面。

    前往 Security Command Center

    Google Cloud

  2. 選取要啟用 Security Command Center Premium 的機構,然後按一下「選取」

  3. 在歡迎頁面選取「開始免付費試用 Premium 方案」

  4. 選用:如要啟用資料落地控管機制和資料加密功能,請按一下「顯示更多」

    如要進一步瞭解資料落地,請參閱「規劃資料落地」。

    如要進一步瞭解資料加密,請參閱「為 Security Command Center 啟用 CMEK」。如果貴機構使用 CMEK 機構政策,您可能只能選擇 CMEK 或特定金鑰。如果您沒有搭配 Security Command Center 使用 CMEK,Google 會使用Google-owned and Google-managed encryption keys加密靜態資料。

  5. 點按「Activate」(啟用)。

結果會顯示在控制台中。接著,您可以使用 Google Cloud 控制台,查看並修正 Google Cloud 安全性與資料風險。

Security Command Center 會在 24 小時內完成第一次完整掃描。部分服務可能需要稍候一段時間才會開始掃描。詳情請參閱「何時會在 Security Command Center 中看到發現項目」。

Security Command Center Premium 服務

啟用 Security Command Center Premium 後,系統會自動啟用特定服務,並建立服務代理程式,以便這些服務代表您執行動作。

服務

Security Command Center 會使用偵測服務,偵測雲端環境中的安全性問題。啟用 Security Command Center Premium 時,系統會啟用下列服務:

如需使用和最佳化操作說明,請參閱各項服務的說明文件。 舉例來說,Event Threat Detection 會依據Google Cloud產生的記錄檔。部分記錄檔一律會啟用,因此啟用 Event Threat Detection 後,系統會立即開始掃描這些記錄檔。其他記錄 (例如大部分的資料存取稽核記錄) 必須先啟用,Event Threat Detection 才能掃描。

如要啟用或停用本節所述服務和其他服務,請按照「設定 Security Command Center 服務」一文中的步驟操作。

服務代理

服務代理人是由 Google Cloud 建立及管理的服務帳戶,可代表您存取資源。建立服務代理後,Security Command Center 會自動授予服務代理必要的 IAM 角色。啟用 Security Command Center Premium 時,系統會一併啟用下列服務代理程式:

修改 Security Command Center 服務

本節說明下列情境:

  • 從專案層級變更為機構層級啟用進階方案

  • 如果貴機構使用即將到期的 Premium 方案訂閱,並想改用即付即用計價模式

  • 從標準級升級至進階級

  • 從進階級降級至標準級

這些異動可能會影響價格。詳情請參閱 Security Command Center 計價方式

改為在機構層級啟用進階方案

如要從專案層級啟用改為在機構層級啟用,請按照「在機構層級啟用 Security Command Center 進階方案」一文中的操作說明進行。

改用進階層級的即付即用選項

如果貴機構訂閱的是 Security Command Center 進階方案,您可以在訂閱方案到期前註冊使用隨用隨付方案,確保能持續存取 Security Command Center 進階方案。

如要加入隨用隨付價格方案,請完成下列步驟:

  1. 前往 Google Cloud 控制台的「Tier Detail」(層級詳細資料) 頁面。

    前往層級詳細資料

  2. 選取要變更價格方案的機構,然後按一下「選取」

  3. 按一下「管理等級」

  4. 在「管理層級」窗格中,確認已選取「進階」,然後按一下「更新」

完成這些步驟後,訂閱方案就會在到期時改為隨用隨付價格。

從標準級升級至進階級

如要從 Security Command Center Standard 級別變更為 Security Command Center Premium 級別,請完成下列步驟。

  1. 前往 Google Cloud 控制台的「Tier Detail」(層級詳細資料) 頁面。

    前往層級詳細資料

  2. 選取要升級 Security Command Center 層級的機構,然後按一下「選取」

  3. 按一下「升級至 Premium 方案」

  4. 在「管理層級」窗格中,按一下「更新」

從進階級降級至標準級

如要將 Security Command Center 進階方案的隨用隨付付款選項變更為 Security Command Center Standard 方案,請完成下列步驟。根據預設,如果訂閱方案到期,系統會自動將你降級為 Standard 方案。

降級至 Security Command Center Standard 級後,您將無法使用 Premium 級服務和功能。變更前,請先確認貴機構的安全風險狀況不會受到負面影響。

即使 Security Command Center Standard 級為免費服務,您仍可能需要支付間接費用。詳情請參閱「可能與 Security Command Center 相關的間接費用」。

  1. 前往 Google Cloud 控制台的「Tier Detail」(層級詳細資料) 頁面。

    前往層級詳細資料

  2. 選取要降級 Security Command Center 方案的機構,然後按一下「選取」

  3. 按一下「管理等級」

  4. 在「管理層級」窗格中,按一下「標準」層級的「選取」,然後按一下「更新」

停用 Security Command Center

如要停用 Security Command Center,請與 Cloud Customer Care 聯絡。

後續步驟