为组织激活 Security Command Center 标准方案层级

本文档介绍如何通过 Google Cloud 控制台为组织激活 Security Command Center 标准方案。

如需详细了解 Security Command Center 标准方案,请参阅 Security Command Center 服务层级

如需激活其他服务层级的 Security Command Center,请参阅以下内容:

如需为项目激活 Security Command Center,请参阅为项目激活 Security Command Center

准备工作

在为组织激活 Security Command Center 标准方案之前,您需要执行以下操作:

  • 获取特定的 Identity and Access Management (IAM) 角色和权限。
  • 查看您的组织政策(如果适用于您的组织)。
  • 如果您计划启用数据驻留,请查看规划数据驻留,并确定要使用的位置。
  • 如果您计划使用客户管理的加密密钥 (CMEK),请完成为 Security Command Center 启用 CMEK 所需的任务。

所需的角色

如需获取为组织激活 Security Command Center 所需的权限,请让您的管理员向您授予组织的以下 IAM 角色:

如需详细了解如何授予角色,请参阅管理对项目、文件夹和组织的访问权限

您也可以通过自定义角色或其他预定义角色来获取所需的权限。

查看组织政策

如果您的组织政策设置为按网域限制身份,请确认以下事项:

  • 您必须使用允许的网域中的账号登录 Google Cloud 控制台。
  • 您的服务账号必须位于允许的网域中,或是您网域内某个群组的成员。当启用了网域限制共享时,借助此要求,您就可以允许使用 @*.gserviceaccount.com 服务账号的服务访问资源。

如果您的组织政策设置为限制资源用量,请验证以下 API 是否受您的政策允许

  • securitycenter.googleapis.com
  • securitycentermanagement.googleapis.com

激活 Security Command Center 标准方案

您可以通过Google Cloud 控制台为组织激活 Security Command Center 标准方案。

  1. 在 Google Cloud 控制台中,前往 Security Command Center 欢迎页面。

    前往 Security Command Center

  2. 选择要为其启用 Security Command Center 标准方案的组织,然后点击获取标准方案

  3. 在欢迎页面上,点击选择

  4. 可选:如需启用数据驻留和数据加密,请点击显示更多

    如需详细了解数据驻留,请参阅规划数据驻留

    如需详细了解数据加密,请参阅为 Security Command Center 启用 CMEK。 如果您的组织使用 CMEK 组织政策,您可能只能选择 CMEK 或特定密钥。如果您不在 Security Command Center 中使用 CMEK,则 Google 会使用 Google-owned and Google-managed encryption keys对静态数据进行加密。

  5. 点击激活

结果可用后,会显示在控制台中。然后,您可以使用 Google Cloud 控制台审核并修复 Google Cloud 安全和数据风险。

Security Command Center 会在 24 小时内完成首次全面扫描。对某些服务开始扫描之前可能会有延迟。如需了解详情,请参阅何时会在 Security Command Center 中看到发现结果

如果您从 Security Command Center 标准方案升级到高级方案,则可以访问显示扫描进度的图表,这些图表适用于问题、威胁和框架等功能。现有图表也会随着结果的提供而更新,以显示高级方案检测器的扫描结果。

Security Command Center 标准方案的服务

激活 Security Command Center 标准方案会自动启用 Security Health Analytics,并向其服务智能体授予该服务正常运行所需的角色和权限。

您可以按照配置 Security Command Center 服务中的步骤启用附加服务。

停用 Security Command Center

如需停用 Security Command Center,请与 Cloud Customer Care 联系。

后续步骤