Google Cloud Platform (GCP) projekt előkészítése

Ez a cikk azt ismerteti, hogyan lehet a Google Cloud Platform (GCP) projektet előkészíteni az engedélyek kezelésével kapcsolatban.

Megjegyzés

A globális rendszergazda vagy felügyelő ( az összes engedélyezési rendszertípus rendszergazdája) elvégezheti az ebben a cikkben szereplő feladatokat, miután a globális rendszergazda először elvégezte az Engedélyek kezelése engedélyezése az Azure Active Directory-bérlőn című szakasz lépéseit.

Magyarázat

A GCP esetében az engedélyek kezelése egy GCP-projektre terjed ki. A GCP-projektek a GCP-ben található erőforrások logikai gyűjteményei, például az Azure-előfizetések, azonban további konfigurációkkal, például alkalmazásregisztrációkkal és OIDC-konfigurációkkal is elvégezhetők.

A GCP és az Azure számos mozgó alkatrészt tartalmaz, amelyeket az előkészítés előtt konfigurálni kell.

• Egy Azure AD OIDC-alkalmazás
• Számítási feladatok identitása a GCP-ben
• OAuth2 bizalmas ügyféltámogatások kihasználva
• GCP-szolgáltatásfiók gyűjtéséhez szükséges engedélyekkel

GCP-projekt előkészítése

1. Ha az Adatgyűjtők irányítópult nem jelenik meg az Engedélyek kezelése indításakor:

   • Az Engedélyek kezelése kezdőlapon válassza a Beállítások (fogaskerék ikon), majd az Adatgyűjtők almenüt.

2. Az Adatgyűjtők lapon válassza a GCP, majd a Konfiguráció létrehozása lehetőséget.

1. Hozzon létre egy Azure AD OIDC-alkalmazást.

1. Az Engedélyek kezelése előkészítés – Azure AD OIDC-alkalmazás létrehozása lapon adja meg az OIDC Azure-alkalmazás Nevét.

   Ezzel az alkalmazással openID Connect-kapcsolatot (OIDC) állíthat be a GCP-projekthez. Az OIDC egy interoperábilis hitelesítési protokoll, amely az OAuth 2.0 specifikációcsaládon alapul. A létrehozott szkriptek a megfelelő konfigurációval hozzák létre a megadott nevű alkalmazást a Azure AD bérlőben.

2. Az alkalmazásregisztráció létrehozásához másolja ki a szkriptet, és futtassa a parancssori alkalmazásban.

   Megjegyzés

   1. Az alkalmazás létrehozásának ellenőrzéséhez nyissa meg a Alkalmazásregisztrációk az Azure-ban, és a Minden alkalmazás lapon keresse meg az alkalmazást.
   2. Válassza ki az alkalmazás nevét az API-k közzététele lap megnyitásához. Az Áttekintés lapon megjelenő alkalmazásazonosító URI a GCP-fiókkal létesített OIDC-kapcsolat során használt célközönségérték.
   3. Térjen vissza az Engedélyek kezelése ablakba, és az Engedélyek kezelése előkészítés – Azure AD OIDC-alkalmazás létrehozása területen válassza a Tovább gombot.

2. GCP OIDC-projekt beállítása.

A GCP-projektek kezeléséhez 3 lehetőség közül választhat.

1. lehetőség: Automatikus kezelés

Az automatikus kezelés lehetőség lehetővé teszi a projektek automatikus észlelését és monitorozását további konfiguráció nélkül. A projektek listájának észlelésének és a begyűjtés előkészítésének lépései:

Először adjon Megtekintő és biztonsági felülvizsgáló szerepkört a szervezet, mappa vagy projekt hatókörében az előző lépésben létrehozott szolgáltatásfióknak.

Ha végzett, a lépések megjelennek a képernyőn, amely bemutatja, hogyan konfigurálható tovább a GPC-konzolon, vagy programozott módon a gcloud CLI-vel.

Miután minden konfigurálva lett, kattintson a tovább gombra, majd a "Mentés ellenőrzése & " elemre.

A talált aktuális vagy jövőbeli projekteket automatikusan előkészíti a rendszer.

Az előkészítés állapotának megtekintése a konfiguráció mentése után:

• Navigáljon az Adatgyűjtők lapra
• Kattintson az adatgyűjtő állapotára
• Projektek megtekintése a Folyamatban lapon

2. lehetőség: Engedélyezési rendszerek megadása

1. Az Engedélyek kezelése előkészítés – GCP OIDC-fiók adatainak & azonosítójához való hozzáférés lapon adja meg annak a GCP-projektnek az OIDC-projekt azonosítóját és OIDC-projektszámát , amelyben az OIDC-szolgáltató és -készlet létrejön. A szerepkör nevét módosíthatja a követelményekre.

   Megjegyzés

   A GCP-projekt projektszámát és projektazonosítóját a projekt GCP-irányítópult lapján, a Projekt adatai panelen találja.

2. A követelményeknek megfelelően módosíthatja az OIDC számítási feladat identitáskészlet-azonosítóját, az OIDC számítási feladat identitáskészletének szolgáltatóazonosítóját és az OIDC-szolgáltatásfiók nevét .

   Ha szeretné, adja meg a G-Suite IDP titkos kódnevét és a G-Suite IDP felhasználói Email a G-Suite integrációjának engedélyezéséhez.

   Letöltheti és futtathatja a szkriptet ezen a ponton, vagy megteheti a Google Cloud Shell, a cikk későbbi részében leírtak szerint.

3. Kattintson a Tovább gombra.

3. lehetőség: Engedélyezési rendszerek kiválasztása

Ez a beállítás észleli a felhőinfrastruktúra jogosultságkezelési alkalmazás által elérhető összes projektet.

• Először is adjon Megtekintő és biztonsági felülvizsgáló szerepkört a szervezet, mappa vagy projekt hatókörében az előző lépésben létrehozott szolgáltatásfióknak
• Ha végzett, a lépések a képernyőn jelennek meg, és manuálisan konfigurálhatók a GPC-konzolon, vagy programozott módon a gcloud parancssori felülettel
• Kattintson a Next (Tovább) gombra.
• Kattintson a "Mentés ellenőrzése & " gombra
• Lépjen az újonnan létrehozott adatgyűjtő sorra a GCP-adatgyűjtők alatt
• Kattintson az Állapot oszlopra, ha a sor "Függőben" állapotú
• A gyűjtemény előkészítéséhez és elindításához válasszon ki konkrétakat az észlelt listából, és adja meg a gyűjtés jóváhagyását

3. GCP-tagprojektek beállítása.

1. Az Engedélyek kezelése előkészítés – GCP-projektazonosítók lapon adja meg a Projektazonosítókat.

   Legfeljebb 10 GCP-projektazonosítót adhat meg. A szövegdoboz melletti plusz ikonra kattintva további projektazonosítókat szúrhat be.

2. Ezen a ponton letöltheti és futtathatja a szkriptet, vagy a Google Cloud Shell keresztül is elvégezheti a következő lépésben leírtak szerint.

4. Futtassa a szkripteket a Cloud Shell. (Nem kötelező, ha még nincs végrehajtva)

1. Az Engedélyek kezelése előkészítés – GCP-projektazonosítók lapon válassza az SSH indítása lehetőséget.

2. Ha az összes szkriptet az aktuális könyvtárba szeretné másolni, a Megnyitás Cloud Shell területen válassza a Megbízhatósági adattár lehetőséget, majd válassza a Megerősítés lehetőséget.

   A Cloud Shell kiépíti a Cloud Shell gépet, és kapcsolatot létesít a Cloud Shell-példánysal.

   Megjegyzés

   Kövesse a böngésző utasításait, mivel ezek eltérhetnek az itt megadottaktól.

   Megjelenik az Üdvözli az Engedélyek kezelése – GCP előkészítési képernyő, amely megjeleníti a GCP-projekt előkészítéséhez szükséges lépéseket.

5. Illessze be a környezeti változókat az Engedélyek kezelése portálról.

1. Térjen vissza az Engedélyek kezelése területre, és válassza az Exportálási változók másolása lehetőséget.

2. A GCP Előkészítési felület szerkesztőjében illessze be a másolt változókat, majd nyomja le az Enter billentyűt.

3. Hajtsa végre a gcloud hitelesítési bejelentkezést.

4. A Google-fiókjához való hozzáférés engedélyezéséhez kövesse a képernyőn megjelenő utasításokat.

5. Futtassa az sh mciem-workload-identity-pool.sh a számítási feladat identitáskészletének, szolgáltatójának és szolgáltatásfiókjának létrehozásához.

6. Futtassa az sh mciem-member-projects.sh , hogy Engedélyek kezelése engedélyeket adjon az egyes tagprojektekhez való hozzáféréshez.

   • Ha engedélyeket szeretne kezelni az Engedélyek kezelése szolgáltatással, válassza az Y lehetőséget a vezérlő engedélyezéséhez.

   • Ha írásvédett módban szeretné előkészíteni a projekteket, válassza az N lehetőséget a vezérlő letiltásához.

7. Igény szerint hajtsa végre a mciem-enable-gcp-api.sh az összes ajánlott GCP API engedélyezéséhez.

8. Térjen vissza az Engedélyek kezelése előkészítés – GCP-projektazonosítók területre, majd válassza a Tovább gombot.

6. Tekintse át és mentse a fájlt.

1. Az Engedélyek kezelése előkészítés – Összegzés lapon tekintse át a hozzáadott adatokat, majd válassza a Mentés ellenőrzése &lehetőséget.

   A következő üzenet jelenik meg: Sikerült létrehozni a konfigurációt.

   Az Adatgyűjtők lapon a Legutóbb feltöltve oszlop a Gyűjtést jeleníti meg. A Legutóbb átalakítva oszlop a Feldolgozást jeleníti meg.

   Ezzel befejezte a GCP előkészítését, és az Engedélyek kezelése megkezdte az adatok gyűjtését és feldolgozását.

7. Az adatok megtekintése.

• Az adatok megtekintéséhez válassza az Engedélyezési rendszerek lapot.

  A tábla Állapot oszlopa az Adatgyűjtést jeleníti meg.

  Az adatgyűjtési folyamat eltarthat egy ideig a fiók méretétől és az adatgyűjtéshez rendelkezésre álló adatok mennyiségétől függően.

Következő lépések

• Az Amazon Web Services- (AWS-) fiókok előkészítésével kapcsolatos információkért lásd: Amazon Web Services-fiók (AWS- (AWS-) fiók előkészítése.
• A Microsoft Azure-előfizetések előkészítésével kapcsolatos információkért lásd: Microsoft Azure-előfizetés előkészítése.
• A vezérlő engedélyezésével vagy letiltásával kapcsolatos információkért az előkészítés befejezése után lásd: A vezérlő engedélyezése vagy letiltása.
• További információ arról, hogyan adhat hozzá fiókot/előfizetést/projektet az előkészítés befejezése után: Fiók/előfizetés/projekt hozzáadása az előkészítés befejezése után.