Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

為機構啟用 Security Command Center Standard 級別

本文說明如何使用 Google Cloud 控制台，為機構啟用 Security Command Center Standard。

在機構層級啟用標準級，即可使用強化版標準級功能。

如要瞭解 Standard 方案的進階功能，請參閱「Security Command Center 服務方案」。
如要瞭解標準級和標準級 (舊版) 之間的差異，請參閱「部分客戶的標準級方案已自動啟用強化功能」。

如要啟用其他服務層級的 Security Command Center，請參閱下列文章：

如要為專案啟用 Security Command Center，請參閱「為專案啟用 Security Command Center」。

事前準備

為機構啟用 Security Command Center Standard 前，請先完成下列事項：

取得特定的 Identity and Access Management (IAM) 角色和權限。
選用：啟用 Security Center Management API。
查看貴機構的政策 (如適用)。
如要啟用資料落地功能，請參閱「規劃資料落地功能」，並決定要使用的位置。
如要使用客戶自行管理的加密金鑰 (CMEK)，請完成為 Security Command Center 啟用 CMEK 的必要工作。

必要的角色

如要取得為組織啟用 Security Command Center 所需的權限，請要求系統管理員授予您組織的下列 IAM 角色：

安全中心管理員 (roles/securitycenter.admin)
機構管理員 (roles/resourcemanager.organizationAdmin)

如要進一步瞭解如何授予角色，請參閱「管理專案、資料夾和組織的存取權」。

您或許也能透過自訂角色或其他預先定義的角色，取得必要權限。

啟用 Security Center Management API

如果您打算使用 Security Center Management API，請在要呼叫該 API 的專案中啟用此 API：

啟用 API 時所需的角色

如要啟用 API，您需要服務使用情形管理員 IAM 角色 (roles/serviceusage.serviceUsageAdmin)，其中包含 serviceusage.services.enable 權限。瞭解如何授予角色。

啟用 API

查看組織政策

如果組織政策設為依照網域設定身分限制，請確認下列事項：

您必須在允許的網域中，透過帳戶登入 Google Cloud 控制台。
服務帳戶必須位於允許的網域中，或是您網域中群組的成員。啟用網域限制共用功能後，您必須符合這項規定，才能允許使用 @*.gserviceaccount.com 服務帳戶的服務存取資源。

如果您的組織政策設為限制資源用量，請確認下列 API已獲政策允許：

securitycenter.googleapis.com
securitycentermanagement.googleapis.com

啟用 Security Command Center Standard

您可以透過Google Cloud 控制台，為機構啟用 Security Command Center Standard。

前往 Google Cloud 控制台的 Security Command Center 歡迎頁面。

前往 Security Command Center

重要事項： 您必須使用管轄區 Google Cloud 控制台，啟用 Security Command Center 及資料落地控管機制。詳情請參閱「關於管轄區控制台
」。Google Cloud
選取要啟用 Security Command Center Standard 的機構，然後按一下「取得 Standard」。
在歡迎頁面，按一下「選取」。
選用：如要啟用資料落地控管和資料加密功能，請按一下顯示更多。

注意：您必須在啟用 Security Command Center 時設定資料落地和資料加密。啟用 Security Command Center 後，就無法變更這些設定。

如要進一步瞭解資料落地，請參閱「規劃資料落地」。

注意：Security Command Center 不會根據任何強制執行資源位置限制的組織政策，驗證資料存放位置 gcp.resourceLocations。啟用 Security Command Center 時，您必須選取與組織政策一致的位置。

如要進一步瞭解資料加密，請參閱「為 Security Command Center 啟用 CMEK」。如果貴機構使用 CMEK 組織政策，您可能只能選擇 CMEK 或特定金鑰。如果您未使用 CMEK 搭配 Security Command Center，Google 會使用 Google-owned and Google-managed encryption keys加密靜態資料。
點按「Activate」(啟用)。

結果會顯示在控制台中。接著，您可以使用 Google Cloud 控制台，查看並修正 Google Cloud 安全性與資料風險。

Security Command Center 會在 24 小時內完成第一次完整掃描。部分服務可能需要稍候一段時間才會開始掃描。詳情請參閱「何時會在 Security Command Center 中看到發現項目」。

如果從 Security Command Center Standard 升級至 Premium，即可存取圖表，查看問題、威脅和架構等功能的掃描進度。現有圖表也會在取得結果後，使用進階版偵測工具的掃描結果進行更新。

Security Command Center Standard 服務

啟用 Security Command Center Standard 後，系統會自動啟用特定服務並建立服務代理程式，以便這些服務代表您執行動作。

Security Command Center 會使用偵測服務偵測安全性問題。啟用 Security Command Center Standard 時，系統會啟用下列服務：

如需使用和最佳化操作說明，請參閱各項服務的說明文件。

如要啟用其他服務，請按照「設定 Security Command Center 服務」一文中的步驟操作。

修改 Security Command Center 服務層級

如要進一步瞭解方案管理，請參閱為機構修改 Security Command Center Standard 方案。

後續步驟

瞭解如何設定 Security Command Center 服務。
瞭解如何在 Google Cloud 控制台中使用 Security Command Center。
瞭解如何使用 Security Command Center 發現項目。
瞭解Google Cloud 安全性來源。
瞭解 Model Armor 如何協助保護 AI 工作負載。