Sdílet prostřednictvím


Povolení nebo zakázání kontroleru po dokončení onboardingu

Pomocí kontroleru můžete rozhodnout, jakou úroveň přístupu se má udělit ve správě oprávnění.

  • Povolte udělení přístupu ke čtení a zápisu pro vaše prostředí. Oprávnění správné velikosti a nápravu můžete provést prostřednictvím správy oprávnění.

  • Zakažte udělení přístupu jen pro čtení k vašim prostředím.

Tento článek popisuje, jak po dokončení registrace povolit kontroler ve službách Amazon Web Services (AWS), Microsoft Azure a Google Cloud Platform (GCP).

Tento článek také popisuje, jak zakázat kontroler v Microsoft Azure a GCP (Google Cloud Platform). Jakmile povolíte kontroler v AWS, nemůžete ho zakázat.

Povolení kontroleru v AWS

Poznámka:

Pokud jste ho zakázali během onboardingu, můžete ho v AWS povolit. Jakmile povolíte kontroler v AWS, nemůžete ho zakázat.

  1. V samostatném okně prohlížeče se přihlaste ke konzole AWS člena účtu.

  2. Přejděte na domovskou stránku Správa oprávnění, vyberte Nastavení (ikona ozubeného kola) a pak vyberte podtabuť Kolekce dat.

  3. Na řídicím panelu Kolektory dat vyberte AWS a pak vyberte Vytvořit konfiguraci.

  4. Na stránce Podrobnosti o účtu člena AWS na stránce Správa oprávnění vyberte Spustit šablonu.

    Otevře se stránka pro vytvoření zásobníku AWS CloudFormation zobrazující šablonu.

  5. Do pole CloudTrailBucketName zadejte název.

    Název CloudTrailBucketName můžete zkopírovat a vložit ze stránky Trails v AWS.

    Poznámka:

    Cloudový kbelík shromažďuje všechny aktivity v jednom účtu, který monitoruje správu oprávnění. Sem zadejte název kontejneru cloudu, který poskytuje správu oprávnění s přístupem potřebným ke shromažďování dat aktivit.

  6. V poli EnableController v rozevíracím seznamu vyberte True, pokud chcete, aby správa oprávnění s přístupem pro čtení a zápis byla provedena automaticky, aby všechny nápravy, které chcete provést z platformy Správa oprávnění, bylo možné provést automaticky.

  7. Posuňte se do dolní části stránky a v poli Schopnosti vyberte Možnost potvrdit, že AWS CloudFormation může vytvářet prostředky IAM s vlastními názvy. Pak vyberte Vytvořit zásobník.

    Tento zásobník AWS CloudFormation vytvoří v členském účtu roli kolekce s potřebnými oprávněními (zásadami) pro shromažďování dat. Pro tuto roli je nastavená zásada důvěryhodnosti, která umožňuje přístup k roli OIDC vytvořenou ve vašem účtu AWS OIDC. Tyto entity jsou uvedené na kartě Prostředky ve vašem zásobníku CloudFormation.

  8. Vraťte se ke správě oprávnění a na stránce Podrobnosti o účtu člena AWS vyberte Další.

  9. On Permissions Management Onboarding - Summary page, review the information you'you's added, then select Verify Now &Save.

    Zobrazí se následující zpráva: Konfigurace byla úspěšně vytvořena.

Povolení nebo zakázání kontroleru v Azure

Kontroler můžete povolit nebo zakázat v Azure na úrovni předplatného skupin pro správu.

  1. Na domovské stránce Azure vyberte Skupiny pro správu.

  2. Vyhledejte skupinu, pro kterou chcete řadič povolit nebo zakázat, a pak výběrem šipky rozbalte nabídku skupiny a zobrazte svá předplatná. Případně můžete vybrat číslo total subscriptions uvedené pro vaši skupinu.

  3. Vyberte předplatné, pro které chcete řadič povolit nebo zakázat, a v navigační nabídce klikněte na Řízení přístupu (IAM ).

  4. V části Kontrola přístupu zadejte do pole Najít správu nároků na cloudovou infrastrukturu.

    Zobrazí se stránka přiřazení správy nároků na cloudovou infrastrukturu s přiřazenými rolemi.

    • Pokud máte oprávnění jen pro čtení, zobrazí se ve sloupci Role čtenář.
    • Pokud máte oprávnění správce, zobrazí se ve sloupci Role uživatelský přístup Správa istrator.
  5. Pokud chcete přidat přiřazení role pro správu, vraťte se na stránku Řízení přístupu (IAM) a pak vyberte Přidat přiřazení role.

  6. Přidejte nebo odeberte přiřazení role pro správu nároků cloudové infrastruktury.

  7. Přejděte na domovskou stránku Správa oprávnění, vyberte Nastavení (ikona ozubeného kola) a pak vyberte podtabuť Kolekce dat.

  8. Na řídicím panelu Kolekce dat vyberte Azure a pak vyberte Vytvořit konfiguraci.

  9. Na stránce Pro onboarding správy oprávnění – Podrobnosti předplatného Azure zadejte ID předplatného a pak vyberte Další.

  10. On Permissions Management Onboarding - Summary page, review the controller permissions, then select Verify Now &Save.

    Zobrazí se následující zpráva: Konfigurace byla úspěšně vytvořena.

Povolení nebo zakázání kontroleru v GCP

  1. Spusťte přihlašovací jméno ověřování gcloudu.

  2. Postupujte podle pokynů zobrazených na obrazovce a povolte přístup k vašemu účtu Google.

  3. Spuštěním sh mciem-workload-identity-pool.sh příkazu vytvořte fond identit úloh, zprostředkovatele a účet služby.

  4. sh mciem-member-projects.sh Spusťte oprávnění ke správě oprávnění pro přístup ke každému z členských projektů.

    • Pokud chcete spravovat oprávnění prostřednictvím správy oprávnění, vyberte Y a povolte kontroler.
    • Pokud chcete projekty připojit v režimu jen pro čtení, vyberte N a zakažte kontroler.
  5. Volitelně můžete povolit mciem-enable-gcp-api.sh všechna doporučená rozhraní API GCP.

  6. Přejděte na domovskou stránku Správa oprávnění, vyberte Nastavení (ikona ozubeného kola) a pak vyberte podtabuť Kolekce dat.

  7. Na řídicím panelu Kolektory dat vyberte GCP a pak vyberte Vytvořit konfiguraci.

  8. On the Permissions Management Onboarding - Microsoft Entra OIDC App Creation page, select Next.

  9. Na stránce Podrobnosti o účtu GCP OIDC a přístupové stránce Pro správu oprávnění zadejte číslo projektu OIDC a ID projektu OIDC a pak vyberte Další.

  10. Na stránce Registrace správy oprávnění – ID projektu GCP zadejte ID projektu a pak vyberte Další.

  11. Na stránce Onboarding Správa oprávnění – Souhrn zkontrolujte informace, které jste přidali, a pak vyberte Ověřit a uložit.

    Zobrazí se následující zpráva: Konfigurace byla úspěšně vytvořena.

Další kroky