Habilitación o deshabilitación del controlador tras completar la incorporación

Con el controlador, puede decidir qué nivel de acceso proporcionar en la Administración de permisos.

• Habilitar para conceder acceso de lectura y escritura a sus entornos. Puede ajustar los permisos y corregirlos a través de la Administración de permisos.

• Desactivar para conceder acceso de solo lectura a sus entornos.

Este artículo describe cómo habilitar el controlador en Amazon Web Services (AWS), Microsoft Azure y Google Cloud Platform (GCP) una vez completada la incorporación.

Este artículo también describe cómo desactivar el controlador en Microsoft Azure y Google Cloud Platform (GCP). Una vez que habilite el controlador en AWS, no podrá deshabilitarlo.

Habilitación del controlador en AWS

Nota:

Puede habilitar el controlador en AWS si lo deshabilitó durante la incorporación. Una vez que habilite el controlador en AWS, no podrá deshabilitarlo.

1. En otra ventana del explorador, inicie sesión en la consola de AWS de la cuenta de miembro.

2. Vaya a la página principal de Administración de permisos, seleccione Configuración (el icono de engranaje) y después la subpestaña Recopiladores de datos.

3. En el panel Recopiladores de datos, seleccione AWS y, a continuación, seleccione Crear configuración.

4. En la página Permissions Management Onboarding - AWS Member Account Details (Incorporación de Permissions Management: Detalles de la cuenta de miembro de AWS), seleccione Launch Template (Iniciar plantilla).

   Se abre la página AWS CloudFormation create stack (AWS CloudFormation: Crear pila), en la que se muestra la plantilla.

5. En el cuadro CloudTrailBucketName, escriba un nombre.

   Puede copiar y pegar el nombre CloudTrailBucketName de la página Trails (Registros de seguimiento) de AWS.

   Nota:

   Un cubo en la nube recopila toda la actividad de una única cuenta supervisada por Permissions Management. Escriba aquí el nombre de un cubo en la nube para conceder a Permissions Management el acceso necesario para recopilar los datos de actividad.

6. En el cuadro EnableController, en la lista desplegable, seleccione True (Verdadero) a fin de proporcionar a Permissions Management acceso de lectura y escritura para que cualquier corrección que quiera realizar desde la plataforma Permissions Management se pueda realizar automáticamente.

7. Desplácese hasta la parte inferior de la página y, en el cuadro Capabilities (Capacidades), seleccione I acknowledge that AWS CloudFormation might create IAM resources with custom names (Acepto que AWS CloudFormation cree recursos de IAM con nombres personalizados). A continuación, seleccione Create stack (Crear pila).

   Esta pila de AWS CloudFormation crea un rol de recopilación en la cuenta de miembro con los permisos (directivas) necesarios para la recopilación de datos. Se establece una directiva de confianza en este rol para permitir que el rol de OIDC creado en la cuenta de OIDC de AWS acceda a ella. Estas entidades se muestran en la pestaña Resources (Recursos) de la pila de CloudFormation.

8. Vuelva a Permissions Management y, en la página Onboarding - AWS Member Account Details (Incorporación de Permissions Management: Detalles de la cuenta de miembro de AWS), seleccione Next (Siguiente).

9. En la página Incorporación de Permissions Management: resumen, revise la información que ha agregado y seleccione Comprobar ahora y guardar.

   Aparece el mensaje siguiente: Successfully created configuration (Configuración creada correctamente).

Habilitación o deshabilitación del controlador en Azure

Puede habilitar o deshabilitar el controlador en Azure en el nivel de suscripción de los grupos de administración.

1. En la página de Inicio de Azure, seleccione Grupos de administración.

2. Busque el grupo para el que quiere habilitar o deshabilitar el controlador y, luego, seleccione la flecha para expandir el menú de grupo y ver las suscripciones. Como alternativa, puede seleccionar el número total de suscripciones que aparece para el grupo.

3. Seleccione la suscripción para la que quiere habilitar o deshabilitar el controlador y, luego, haga clic en Control de acceso (IAM) en el menú de navegación.

4. En la sección Comprobación de acceso, en el cuadro Buscar, escriba Cloud Infrastructure Entitlement Management.

   Aparece la página Cloud Infrastructure Entitlement Management assignments (Asignaciones de Cloud Infrastructure Entitlement Management), en la que se muestran los roles que tiene asignados.

   • Si tiene permiso de solo lectura, en la columna Rol se muestra Lector.
   • Si tiene permiso administrativo, en la columna Rol se muestra Administrador de acceso de usuario.

5. Para agregar la asignación de roles administrativos, vuelva a la página Control de acceso (IAM) y, a continuación, seleccione Agregar asignación de roles.

6. Agregue o quite la asignación de roles para Cloud Infrastructure Entitlement Management.

7. Vaya a la página principal de Administración de permisos, seleccione Configuración (el icono de engranaje) y después la subpestaña Recopiladores de datos.

8. En el panel Recopiladores de datos, seleccione Azure y, a continuación, seleccione Crear configuración.

9. En la página Incorporación de Permissions Management: Detalles de la suscripción a Azure, escriba el identificador de la suscripción y, después, seleccione Siguiente.

10. En la página Incorporación de Permissions Management: resumen, revise los permisos del controlador y seleccione Comprobar ahora y guardar.

    Aparece el mensaje siguiente: Successfully Created Configuration (Configuración creada correctamente).

Habilitación o deshabilitación del controlador en GCP

1. Ejecute el comando gcloud auth login.

2. Siga las instrucciones que se muestran en la pantalla para autorizar el acceso a la cuenta de Google.

3. Ejecute el comando sh mciem-workload-identity-pool.sh para crear el grupo de identidades de carga de trabajo, el proveedor y la cuenta de servicio.

4. Ejecute el comando sh mciem-member-projects.sh a fin de conceder permisos a Permissions Management para acceder a todos los proyectos miembro.

   • Si quiere administrar los permisos desde Permissions Management, seleccione Y (Sí) para habilitar el controlador.
   • Si quiere incorporar los proyectos en modo de solo lectura, seleccione N para deshabilitar el controlador.

5. Opcionalmente, puede ejecutar el comando mciem-enable-gcp-api.sh para habilitar todas las API de GCP recomendadas.

6. Vaya a la página principal de Administración de permisos, seleccione Configuración (el icono de engranaje) y después la subpestaña Recopiladores de datos.

7. En el panel Data Collectors (Recopiladores de datos), seleccione GCP (GCP) y, a continuación, seleccione Create Configuration (Crear configuración).

8. En la página Incorporación de administración de permisos - Creación de aplicaciones OIDC de Microsoft Entra, seleccione Siguiente.

9. En la página Incorporación de Permissions Management: Acceso de IDP y detalles de la cuenta de OIDC de GCP, escriba el número de proyecto de OIDC y el identificador de proyecto de OIDC y, después, seleccione Siguiente.

10. En la página Incorporación de Permissions Management: Identificadores de proyecto de GCP, escriba los identificadores de proyecto y, después, seleccione Siguiente.

11. En la página Incorporación de Permissions Management: resumen, revise la información que ha agregado y seleccione Comprobar ahora y guardar.

    Aparece el mensaje siguiente: Successfully Created Configuration (Configuración creada correctamente).

Pasos siguientes

• Para obtener información sobre cómo agregar una cuenta, una suscripción o un proyecto una vez completada la incorporación, consulte Adición de una cuenta, suscripción o proyecto tras completar la incorporación.