Este documento fornece um guia passo a passo para ativar a correção do bucket público para os manuais de soluções de conclusões de postura no nível Enterprise do Security Command Center.
Vista geral
O Security Command Center suporta remediação adicional para as vulnerabilidades nos seguintes manuais de procedimentos:
- Posture Findings – Generic
- Resultados da postura com o Jira
- Resultados da postura com o ServiceNow
Estes manuais de soluções de postura incluem um bloco que corrige as conclusões OPEN PORT, PUBLIC IP ADDRESS e PUBLIC BUCKET ACL. Para mais informações
acerca destes tipos de resultados, consulte Resultados
de vulnerabilidades.
Os guias interativos estão pré-configurados para processar as conclusões OPEN PORT e PUBLIC IP ADDRESS. A correção das conclusões PUBLIC_BUCKET_ACL requer que ative a correção de contentores públicos para manuais de soluções.
Ative a correção de contentores públicos para manuais de procedimentos
Depois de o detetor do Security Health Analytics (SHA) identificar os contentores do Cloud Storage acessíveis publicamente e gerar as conclusões PUBLIC_BUCKET_ACL, o Security Command Center Enterprise carrega as conclusões e anexa manuais de soluções às mesmas. Para ativar a correção de contentores públicos para manuais de procedimentos de
descobertas de postura, tem de criar uma função de IAM personalizada,
configurar uma autorização específica para a mesma e conceder a função personalizada que
criou a um principal existente.
Antes de começar
É necessária uma instância configurada e em execução da integração do Cloud Storage para corrigir o acesso público ao contentor. Para validar a configuração da integração, consulte o artigo Atualize o exemplo de utilização empresarial.
Crie uma função do IAM personalizada
Para criar uma função do IAM personalizada e configurar uma autorização específica para esta, conclua os seguintes passos:
Na Google Cloud consola, aceda à página Funções do IAM.
Clique em Criar função para criar uma função personalizada com as autorizações necessárias para a integração.
Para uma nova função personalizada, indique o Título, a Descrição e um ID exclusivo.
Defina o Role Launch Stage como General Availability.
Adicione a seguinte autorização à função criada:
resourcemanager.organizations.setIamPolicyClique em Criar.
Conceda uma função personalizada a um principal existente
Depois de conceder a nova função personalizada a um principal selecionado, este pode alterar as autorizações de qualquer utilizador na sua organização.
Para conceder a função personalizada a um principal existente, conclua os seguintes passos:
Na Google Cloud consola, aceda à página IAM.
No campo Filtro, cole o valor do Email de identidade da carga de trabalho que usa para a integração do Cloud Storage e pesquise o principal existente.
Clique em Editar principal. A caixa de diálogo Editar acesso a "PROJECT" é aberta.
Em Atribuir funções, clique em Adicionar outra função.
Selecione a função personalizada que criou e clique em Guardar.