Security Command Center Standard-Stufe für eine Organisation aktivieren

In diesem Dokument wird beschrieben, wie Sie Security Command Center Standard für eine Organisation über die Google Cloud Console aktivieren.

Durch Aktivierungen der Standardstufe auf Organisationsebene werden die erweiterten Funktionen der Standardstufe aktiviert.

Informationen zum Aktivieren von Security Command Center für eine andere Dienststufe finden Sie unter:

Informationen zum Aktivieren von Security Command Center für ein Projekt finden Sie unter Security Command Center für ein Projekt aktivieren.

Hinweis

Bevor Sie Security Command Center Standard für eine Organisation aktivieren, müssen Sie Folgendes tun:

  • Bestimmte IAM-Rollen und -Berechtigungen (Identity and Access Management, Identitäts- und Zugriffsverwaltung) erhalten.
  • Optional: Security Center Management API aktivieren.
  • Organisationsrichtlinien überprüfen, falls sie für Ihre Organisation gelten.
  • Wenn Sie den Datenstandort aktivieren möchten, lesen Sie den Artikel Datenstandort planen und bestimmen Sie den zu verwendenden Standort.
  • Wenn Sie einen kundenverwalteten Verschlüsselungsschlüssel (Customer-managed Encryption Key, CMEK) verwenden möchten, führen Sie die erforderlichen Aufgaben zum Aktivieren von CMEK für Security Command Center aus.

    Sie können den Datenstandort und die Datenverschlüsselung konfigurieren, wenn Sie Security Command Center aktivieren. Informationen zum Ändern dieser Einstellungen nach der Aktivierung von Security Command Center Standard oder Premium finden Sie unter Konfiguration des Datenstandorts oder der Datenverschlüsselung ändern.

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für Ihre Organisation zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Aktivieren von Security Command Center für eine Organisation benötigen:

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Security Center Management API aktivieren

Wenn Sie die Security Center Management API verwenden möchten, aktivieren Sie sie in dem Projekt, in dem Sie sie aufrufen möchten:

Rollen, die zum Aktivieren von APIs erforderlich sind

Zum Aktivieren von APIs benötigen Sie die IAM-Rolle „Service Usage-Administrator“ (roles/serviceusage.serviceUsageAdmin), die die Berechtigung serviceusage.services.enable enthält. Informationen zum Zuweisen von Rollen.

API aktivieren

Organisationsrichtlinien überprüfen

Wenn Ihre Organisationsrichtlinien so konfiguriert sind, dass die Identitäten nach Domain eingeschränkt werden, bestätigen Sie Folgendes:

  • Sie müssen in der Google Cloud Console mit einem Konto angemeldet sein, das zu einer zulässigen Domain gehört.
  • Ihre Dienstkonten müssen sich in einer zulässigen Domain befinden oder Mitglieder einer Gruppe innerhalb Ihrer Domain sein. Mit dieser Anforderung können Sie Diensten, die das Dienstkonto @*.gserviceaccount.com verwenden, den Zugriff auf Ressourcen gewähren, wenn die domaineingeschränkte Freigabe aktiviert ist.

Wenn Ihre Organisationsrichtlinien so konfiguriert sind, dass die Ressourcennutzung eingeschränkt wird, prüfen Sie, ob die folgenden APIs durch Ihre Richtlinie zugelassen sind:

  • securitycenter.googleapis.com
  • securitycentermanagement.googleapis.com

Security Command Center Standard aktivieren

Sie können Security Command Center Standard für eine Organisation über die Google Cloud Console aktivieren.

  1. Rufen Sie in der Google Cloud Console die Security Command Center-Begrüßungsseite auf.

    Zum Security Command Center

  2. Wenn Sie den Datenstandort aktivieren möchten, öffnen Sie eine Console für den entsprechenden Rechtsraum mit der URL, die dem Standort entspricht, den Sie konfigurieren möchten.

    Sie müssen die Console für den entsprechenden Rechtsraum verwenden, um Security Command Center mit Datenstandortkontrollen zu aktivieren und die Konfiguration des Datenstandorts nach der Aktivierung zu ändern. Google Cloud Weitere Informationen finden Sie unter Console für den entsprechenden Rechtsraum Google Cloud .

  3. Wählen Sie die Organisation aus, für die Sie Security Command Center Standard aktivieren möchten, und klicken Sie dann auf Standard erhalten.

  4. Klicken Sie auf der Begrüßungsseite auf Auswählen.

  5. Optional: Wenn Sie die Konfiguration des Datenstandorts bestätigen oder die Konfiguration der Datenverschlüsselung ändern möchten, klicken Sie auf Mehr anzeigen.

    • Wenn Sie eine Console für den entsprechenden Rechtsraum verwenden, wird im Feld Datenstandort die Option Aktivieren und im Feld Standort derselbe Standort wie in der Console für den entsprechenden Rechtsraum angezeigt. Wenn Sie den Standort ändern möchten, öffnen Sie die Console mit einer URL, die dem Standort entspricht, den Sie konfigurieren möchten.
    • Bei der Standardkonfiguration der Datenverschlüsselung wird verwendet Google-owned and Google-managed encryption keys. Wenn Sie einen Cloud Key Management Service-Schlüssel verwenden möchten, klicken Sie auf Datenverschlüsselung bearbeiten und gehen Sie dann so vor:
      1. Wählen Sie Cloud KMS-Schlüssel aus.
      2. Wählen Sie ein Projekt aus.
      3. Wählen Sie einen Schlüssel aus. Sie können einen Schlüssel aus einem beliebigen Google Cloud Projekt, einschließlich Projekten in anderen Organisationen auswählen. In der Liste werden nur Schlüssel an kompatiblen Standorten angezeigt.

      Informationen dazu, welche Schlüsselstandorte mit Security Command Center kompatibel sind, finden Sie unter Schlüsselstandort bestimmen.

      Wenn Ihre Organisation Organisationsrichtlinien für CMEK verwendet, haben Sie möglicherweise nur die Möglichkeit, CMEK oder bestimmte Schlüssel auszuwählen.

      Während der Aktivierung gewährt Security Command Center dem Security Command Center-Dienst-Agent für die Cloud die Rolle „Cloud KMS CryptoKey-Verschlüsseler/Entschlüsseler“ (roles/cloudkms.cryptoKeyEncrypterDecrypter) für den Cloud KMS-Schlüssel.

  6. Klicken Sie auf Aktivieren.

Sobald Ergebnisse verfügbar sind, werden sie in der Console angezeigt. Anschließend können Sie in der Console Google Cloud Sicherheits- und Datenrisiken überprüfen und beheben. Google Cloud

Security Command Center führt den ersten vollständigen Scan innerhalb von 24 Stunden durch. Bei einigen Diensten kann es zu Verzögerungen kommen, bevor Scans gestartet werden. Weitere Informationen finden Sie unter Wann sind Ergebnisse in Security Command Center zu erwarten?.

Wenn Sie von Security Command Center Standard auf Premium upgraden, erhalten Sie Zugriff auf Diagramme, in denen der Scanfortschritt für Funktionen wie Probleme, Bedrohungen und Frameworks dargestellt wird. Vorhandene Diagramme werden auch mit Scanergebnissen von Premium-Detektoren aktualisiert, sobald Ergebnisse verfügbar sind.

Dienste für Security Command Center Standard

Nachdem Sie Security Command Center Standard aktiviert haben, werden bestimmte Dienste automatisch aktiviert und Dienst-Agents erstellt, damit diese Dienste in Ihrem Namen handeln können.

Security Command Center verwendet Erkennungsdienste um Sicherheitsprobleme zu erkennen. Die folgenden Dienste werden aktiviert, wenn Sie Security Command Center Standard aktivieren:

Nutzungs- und Optimierungsanleitungen finden Sie in der Dokumentation der einzelnen Dienste.

Sie können zusätzliche Dienste aktivieren, indem Sie die Schritte unter Security Command Center-Dienste konfigurierenausführen.

Security Command Center-Dienststufe ändern

Weitere Informationen zur Stufenverwaltung finden Sie unter Security Command Center Standard-Stufe für eine Organisation ändern.

Nächste Schritte