Konfigurasikan kunci akun layanan Google Cloud Platform (GCP) di Security Center untuk secara otomatis menyinkronkan aset host GCP Anda guna manajemen keamanan multi-cloud terpusat.
Langkah-langkah konsol GCP dalam dokumen ini hanya bersifat referensi. Untuk prosedur resmi, lihat dokumentasi GCP yang berlaku.
Cara kerja
Security Center menggunakan kunci akun layanan GCP untuk mengotentikasi ke API GCP dan menarik inventaris aset host ke konsol Security Center. Akun layanan diberikan akses read-only (peran Compute Viewer) ke proyek GCP Anda. Security Center kemudian secara berkala menyinkronkan instans mesin virtual (VM) yang terkait dengan akun layanan tersebut, sehingga muncul bersama aset Alibaba Cloud Anda.
Hanya instans VM yang secara eksplisit dikaitkan dengan akun layanan yang disinkronkan — instans lain dalam proyek GCP yang sama tidak termasuk.
Prasyarat
Sebelum memulai, pastikan Anda telah memiliki:
Proyek GCP dengan setidaknya satu instans VM Compute Engine
Akses jaringan ke konsol GCP dari luar Tiongkok daratan (misalnya, dari China (Hong Kong) atau Singapura)
Wilayah konsol Security Center diatur ke Outside Chinese Mainland — aset GCP hanya dapat ditambahkan di wilayah ini karena pembatasan jaringan
Peran Compute Viewer tersedia untuk ditetapkan di pengaturan IAM proyek GCP Anda
Langkah 1: Buat akun layanan dan peroleh kunci
Masuk ke konsol GCP. Di pojok kiri atas, pilih proyek target.
Aktifkan Compute Engine API.
Di panel navigasi, pilih API & Services > Enabled APIs & Services.
Ikuti petunjuk di layar untuk mengaktifkan Compute Engine API.
Buat akun layanan dan tetapkan peran.
Di panel navigasi, pilih IAM & Admin > Service Accounts.
Di halaman Service Accounts, klik Create Service Account.
Masukkan nama akun layanan dan klik Create and Continue.
Di bagian Permissions (Optional), pilih peran Compute Viewer dan klik Done.
Buat kunci untuk akun layanan.
Di daftar akun layanan, klik ikon
di kolom Actions untuk akun layanan tersebut, lalu klik Manage Keys.
Di tab Keys, pilih Add Key > Create New Key.
Di dialog Create Private Key, pertahankan Key Type default: JSON, lalu klik Create.
Unduh dan simpan file kunci privat. Anda akan mengunggah file ini ke Security Center pada Langkah 3.
Langkah 2: Kaitkan instans VM dengan akun layanan
Security Center hanya menyinkronkan instans VM GCP yang dikaitkan dengan akun layanan yang Anda buat di Langkah 1. Kaitkan semua instans yang ingin Anda kelola di Security Center.
Untuk instans VM baru
Di halaman Create an Instance, klik Security di panel navigasi. Di bawah Service account, pilih akun layanan yang dibuat di Langkah 1, lalu buat instans tersebut.
Untuk instans VM yang sudah ada
Di halaman detail instans VM, klik Edit.
Di bagian Identity and API access, ubah akun layanan menjadi akun yang dibuat di Langkah 1, lalu klik Save.
PentingHentikan instans VM sebelum mengubah akun layanannya.
Langkah 3: Kirim kunci akun layanan
Masuk ke konsol Security Center.
Di panel navigasi, pilih System Settings > Feature Settings. Di pojok kiri atas konsol, pilih Outside Chinese Mainland sebagai wilayah Anda.
PentingAset GCP hanya dapat ditambahkan di wilayah Outside Chinese Mainland.
Buka panel onboarding GCP melalui salah satu jalur berikut:
Di tab Multi-cloud Configuration Management > Multi-cloud Assets, klik Grant Permission dan pilih GCP dari daftar drop-down.
Di halaman Assets > Host, arahkan kursor ke ikon
di area Add Multi-cloud Asset dan klik Add di bawah GCP.
Di bagian Permission Description, pilih Host dan klik Next.
Di bagian Extended Information, klik Upload File dan unggah file kunci privat yang diunduh di Langkah 1.
Masukkan Account Name dan klik Next.
Gunakan nama deskriptif — ini membedakan akun GCP ini dari akun lain dari penyedia cloud yang sama.
PentingJangan menghapus atau menonaktifkan kunci setelah mengirimkannya. Jika tidak, provisioning aset GCP mungkin terganggu.
Langkah 4: Konfigurasi kebijakan provisioning
Di wizard Policy Configuration pada panel Add Assets Outside Cloud, atur opsi berikut dan klik OK.
| Item konfigurasi | Deskripsi |
|---|---|
| Select region | Wilayah GCP tempat aset Anda berada. Security Center menambahkan aset dari wilayah yang dipilih ke Management Center untuk Outside Chinese Mainland. |
| Region Management | Jika dipilih, wilayah baru yang ditambahkan ke akun GCP Anda akan secara otomatis dimasukkan ke Security Center. Jika tidak dipilih, wilayah baru diabaikan. |
| Host Asset Synchronization Frequency | Seberapa sering Security Center menyinkronkan aset host GCP. Pilih Shutdown untuk menonaktifkan sinkronisasi. |
| AK Service Status Check | Seberapa sering Security Center memeriksa validitas kunci akun layanan. Pilih Shutdown untuk menonaktifkan pemeriksaan. |
Setelah mengklik OK, klik Synchronize Assets untuk menyinkronkan semua aset host dari akun layanan GCP ke Security Center.
Langkah 5: Verifikasi koneksi
Di konsol Security Center, buka Assets > Host. Klik ikon di bagian Add Multi-cloud Asset. Jika daftar aset GCP Anda muncul, koneksi berhasil. Untuk informasi lebih lanjut, lihat Server assets.
Jika daftar aset GCP tidak muncul, periksa hal berikut:
Tidak ada aset yang terdaftar: Pastikan instans VM Anda dikaitkan dengan akun layanan (lihat Langkah 2). Instans yang tidak dikaitkan dengan akun layanan tidak disinkronkan.
Galat kunci: Pastikan kunci akun layanan belum dihapus atau dinonaktifkan di GCP.
Ketidaksesuaian wilayah: Pastikan konsol Security Center Anda diatur ke Outside Chinese Mainland dan wilayah yang dipilih di Langkah 4 sesuai dengan lokasi aset GCP Anda.
Langkah selanjutnya
Instal klien Security Center pada aset GCP Anda.
Lampirkan edisi Security Center ke aset GCP Anda. Edisi berbayar menyediakan perlindungan keamanan dan kemampuan hardening. Edisi Gratis hanya mencakup deteksi dasar dan tidak menyediakan kemampuan mitigasi. Untuk detail edisi, lihat Purchase Security Center.