通過在阿里雲Security Center配置Google雲(Google Cloud Platform,簡稱GCP)服務帳號密鑰,可將GCP主機資產自動同步至阿里雲安全防護體系。本文詳解通過服務帳號密鑰方式完成GCP主機資產接入的具體配置流程,協助您實現跨雲資產的集中安全管控,降低多雲環境下的安全管理複雜度。
本文包含的所有在GCP控制台的操作步驟僅供參考,具體操作步驟請參見GCP官方文檔。
步驟一:建立服務帳號並擷取密鑰
登入GCP控制台。在控制台左上方選擇目標專案。
說明您需使用中國內地以外地區的網路登入GCP控制台,例如中國香港、新加坡等。
啟用Compute Engine API。
在左側導覽列選擇。
根據控制台提示啟用Compute Engine API。
建立服務帳號並授權。
在左側導覽列選擇。
在服務帳號頁面,單擊建立服務帳號。
在建立服務帳號頁面,輸入服務帳號名稱,單擊建立並繼續。
在許可權(可選)地區,選擇角色Compute Viewer,並單擊完成。
建立服務帳號的密鑰。
在服務帳號列表,單擊目標服務帳號操作列的
表徵圖,並單擊管理密鑰。
在該服務帳號的密鑰頁簽,單擊。
在建立私密金鑰對話方塊,鍵類型保持預設選項JSON,單擊建立。
下載並妥善儲存該私密金鑰檔案。
步驟二:關聯虛擬機器執行個體和服務帳號
Security Center僅支援同步與服務帳號關聯的GCP虛擬機器執行個體。您需要參考下述操作,關聯需接入Security Center的虛擬機器執行個體和接入使用的服務帳號。
新建立虛擬機器執行個體時
在GCP控制台建立執行個體頁面,在左側導覽列單擊安全性 ,在服務帳號處選擇步驟一:建立服務帳號並擷取密鑰中建立的服務帳號,完成執行個體的建立。
已建立的虛擬機器執行個體
在虛擬機器執行個體詳細資料頁面,單擊修改。
在Identity and API access地區,修改服務帳號為步驟一:建立服務帳號並擷取密鑰中建立的服務帳號,並單擊儲存。
重要您必須停止虛擬機器執行個體才能修改其服務帳號。
步驟三:提交服務帳號密鑰
- 重要
由於網路原因,僅支援在非中國內地地區接入Google雲資產。
在左側導覽列,選擇。在控制台左上方,選擇需防護資產所在的地區:中國內地或非中國內地。
在頁簽,單擊新增授权,在下拉式清單中選擇GCP。
您也可以在頁面,將滑鼠移動至多雲資產接入地區
表徵圖處,並單擊GCP下方的接入,開啟接入云外资产面板。在許可權說明地區選中主機資產,單擊下一步。
在擴充資訊下方,單擊上傳檔案,上傳通過步驟一:建立服務帳號並擷取密鑰擷取的私密金鑰檔案。
輸入帳號名稱,單擊下一步。
帳號名稱用於區分同一雲廠商下的不同賬戶,建議您根據其用途設定具有明確含義的名稱。
重要請勿刪除或禁用該密鑰,以免影響GCP資產接入。
步驟四:完成接入策略配置
在Security Center控制台接入云外资产面板的策略配置嚮導中,配置需接入的GCP資產的地區、資料同步頻率等,單擊確定。
配置項
說明
選擇地區
選擇需接入資產所屬地區。Security Center會將當前帳號下對應地區的資產接入非中國內地管理中心。
新增地區接入管理
選中該項後,當前GCP帳號下如果有新增地區,Security Center預設將新增地區的資產資料接入非中國內地資料管理中心。
不選中該項時,新增地區將不會被接入Security Center。
主機資產同步頻率
選擇Security Center自動同步GCP主機資產的時間間隔。選擇關閉,表示不同步。
AK服務狀態檢查
選擇Security Center自動檢測GCP服務帳號密鑰有效性的時間間隔。選擇關閉,表示不檢測。
單擊同步最新资产,將GCP服務帳號下的所有主機資產同步到Security Center。
步驟五:接入結果驗證
在Security Center控制台頁面,在多雲資產接入地區單擊表徵圖,可以查看到GCP資產列表時,表示接入成功。更多資訊,請參見主機資產。
後續操作
為GCP資產安裝Security Center用戶端。
為GCP資產綁定Security Center版本。建議您綁定Security Center付費版本,以擷取安全防護和加固能力。免費版僅支援基礎檢測,無防護能力。各版本的差異,請參見購買Security Center。