Google Cloud Platform (GCP) projekt előkészítése

  • Cikk

Ez a cikk a Google Cloud Platform (GCP) projekt Microsoft Entra Engedélykezelés való előkészítését ismerteti.

Megjegyzés:

A cikkben szereplő feladatok elvégzéséhez globális Rendszergazda istrator szerepkör-hozzárendeléssel kell rendelkeznie.

Magyarázat

A GCP esetében az engedélyek kezelése egy GCP-projektre terjed ki. A GCP-projektek a GCP-ben lévő erőforrások logikai gyűjteményei, például az Azure-előfizetések, de további konfigurációkkal, például alkalmazásregisztrációkkal és OIDC-konfigurációkkal is elvégezhetők.

A GCP-ben és az Azure-ban számos mozgó alkatrész található, amelyeket az előkészítés előtt konfigurálni kell.

  • Microsoft Entra OIDC-alkalmazás
  • Számítási feladatok identitása a GCP-ben
  • OAuth2 bizalmas ügyféltámogatások kihasználva
  • GCP szolgáltatásfiók gyűjtéséhez szükséges engedélyekkel

GCP-projekt előkészítése

  1. Ha az Adatgyűjtők irányítópult nem jelenik meg az Engedélyek kezelése indításakor:

    • Az Engedélyek kezelése kezdőlapon válassza a Gépház (fogaskerék ikon), majd az Adatgyűjtők almenüt.

  2. Az Adatgyűjtők lapon válassza a GCP, majd a Konfiguráció létrehozása lehetőséget.

1. Microsoft Entra OIDC-alkalmazás létrehozása.

  1. Az Engedélyek kezelése előkészítés – Microsoft Entra OIDC alkalmazás létrehozása lapon adja meg az OIDC Azure-alkalmazás nevét.

    Ez az alkalmazás openID Csatlakozás (OIDC) kapcsolatot állít be a GCP-projekthez. Az OIDC egy interoperábilis hitelesítési protokoll, amely az OAuth 2.0 specifikációcsaládon alapul. A létrehozott szkriptek ennek a megadott névnek az alkalmazását a Megfelelő konfigurációval hozza létre a Microsoft Entra-bérlőben.

  2. Az alkalmazásregisztráció létrehozásához másolja ki a szkriptet, és futtassa a parancssori alkalmazásban.

    Megjegyzés:

    1. Az alkalmazás létrehozásának megerősítéséhez nyissa meg a Alkalmazásregisztrációk az Azure-ban, és a Minden alkalmazás lapon keresse meg az alkalmazást.
    2. Válassza ki az alkalmazás nevét az API-lap megnyitásához. Az Áttekintés lapon megjelenő alkalmazásazonosító URI a GCP-fiókkal való OIDC-kapcsolat létrehozásakor használt célközönségérték.
    3. Térjen vissza az Engedélyek kezelése ablakhoz, és az Engedélyek kezelése előkészítés – Microsoft Entra OIDC-alkalmazás létrehozása területen válassza a Tovább gombot.

2. Állítson be egy GCP OIDC-projektet.

  1. Az Engedélyek kezelése előkészítés – GCP OIDC-fiók részletei & IDP Hozzáférési lapon adja meg annak a GCP-projektnek az OIDC-projektjének OIDC-projektszámát és OIDC-projektazonosítóját, amelyben az OIDC-szolgáltató és -készlet létrejön. A szerepkör nevét módosíthatja a követelményekre.

    Megjegyzés:

    A GCP-projekt projektszámát és projektazonosítóját a projekt GCP-irányítópult lapján, a Projekt adatai panelen találja.

  2. A követelményeknek megfelelően módosíthatja az OIDC számítási feladat identitáskészletének azonosítóját, az OIDC számítási feladat identitáskészletének szolgáltatói azonosítóját és az OIDC-szolgáltatásfiók nevét .

    A G-Suite integrációjának engedélyezéséhez adja meg a G-Suite idP titkos nevét és a G-Suite idp felhasználói e-mail-címét .

  3. Letöltheti és futtathatja a szkriptet ezen a ponton, vagy megteheti a Google Cloud Shellben.

  4. A beállítási szkript sikeres futtatása után válassza a Tovább lehetőséget.

A GCP-projektek kezeléséhez három lehetőség közül választhat.

1. lehetőség: Automatikus kezelés

Az automatikus kezelés lehetőség lehetővé teszi a projektek automatikus észlelését és monitorozását további konfiguráció nélkül. A projektek listájának észlelésének és a gyűjtemény előkészítésének lépései:

  1. Adjon megtekintői és biztonsági felülvizsgáló szerepköröket egy, az előző lépésben létrehozott szolgáltatásfióknak projekt, mappa vagy szervezet szintjén.

Ha bármilyen projekthez engedélyezni szeretné a Vezérlő üzemmódot, adja hozzá ezeket a szerepköröket az adott projektekhez:

  • Szerepkör-Rendszergazda istratorok
  • Security Admin

A Google Cloud Shellben való futtatáshoz szükséges parancsok a projekt, mappa vagy szervezet egyes hatóköreihez tartozó Engedélyezés kezelése képernyőn jelennek meg. Ez a GCP-konzolon is konfigurálva van.

  1. Válassza a Következő lehetőséget.

2. lehetőség: Adja meg az engedélyezési rendszereket

Csak bizonyos GCP-tagprojekteket adhat meg az Engedélyek kezelése szolgáltatással felügyelni és figyelni (gyűjtőnként legfeljebb 100). Az alábbi lépéseket követve konfigurálhatja ezeket a GCP-tagprojekteket a monitorozáshoz:

  1. Az Engedélyek kezelése előkészítés – GCP projektazonosítók lapon adja meg a projektazonosítókat.

    Legfeljebb vesszővel tagolt 100 GCP-projektazonosítót adhat meg.

  2. Ezen a ponton letöltheti és futtathatja a szkriptet, vagy a Google Cloud Shellen keresztül is megteheti.

    A "Be" vezérlőmód bármely projekthez való engedélyezéséhez adja hozzá ezeket a szerepköröket az adott projektekhez:

    • Szerepkör-Rendszergazda istratorok
    • Security Admin

  3. Válassza a Következő lehetőséget.

3. lehetőség: Engedélyezési rendszerek kiválasztása

Ez a beállítás észleli a felhőinfrastruktúra jogosultságkezelési alkalmazás által elérhető összes projektet.

  1. Adjon megtekintői és biztonsági felülvizsgáló szerepköröket egy, az előző lépésben létrehozott szolgáltatásfióknak projekt, mappa vagy szervezet szintjén.

Ha bármilyen projekthez engedélyezni szeretné a Vezérlő üzemmódot, adja hozzá ezeket a szerepköröket az adott projektekhez:

  • Szerepkör-Rendszergazda istratorok
  • Security Admin

A Google Cloud Shellben való futtatáshoz szükséges parancsok a projekt, mappa vagy szervezet egyes hatóköreihez tartozó Engedélyezés kezelése képernyőn jelennek meg. Ez a GCP-konzolon is konfigurálva van.

  1. Válassza a Következő lehetőséget.

3. Tekintse át és mentse.

  1. Az Engedélyek kezelése előkészítés – Összegzés lapon tekintse át a hozzáadott adatokat, majd válassza az Ellenőrzés most > Mentés lehetőséget.

    A következő üzenet jelenik meg: Sikeresen létrehozott konfiguráció.

    Az Adatgyűjtők lapon a Legutóbb feltöltve oszlop a Gyűjtést jeleníti meg. A Legutóbb átalakítva oszlop a Feldolgozást jeleníti meg .

    Az Engedélyek kezelése felhasználói felületen található állapotoszlop az adatgyűjtés melyik lépését mutatja be:

    • Függőben: Az Engedélyek kezelése még nem kezdte el észlelni vagy előkészíteni.
    • Felderítés: Az Engedélyek kezelése észleli az engedélyezési rendszereket.
    • Folyamatban: Az Engedélyek kezelése befejezte az engedélyezési rendszerek észlelését, és előkészítés alatt áll.
    • Előkészítés: Az adatgyűjtés befejeződött, és az összes észlelt engedélyezési rendszer be van kapcsolva az Engedélyek kezelése szolgáltatásba.

4. Az adatok megtekintése.

  1. Az adatok megtekintéséhez válassza az Engedélyezési rendszerek lapot.

    A tábla Állapot oszlopa az adatgyűjtést jeleníti meg .

    Az adatgyűjtési folyamat a legtöbb esetben körülbelül 4–5 órás időközönként történik. Az időkeret a rendelkezésre álló engedélyezési rendszer méretétől és a gyűjtéshez rendelkezésre álló adatok mennyiségétől függ.

További lépések

  • Ha az előkészítés befejezése után szeretné engedélyezni vagy letiltani a vezérlőt, olvassa el a vezérlő engedélyezése vagy letiltása című témakört.
  • Ha az előkészítés befejezése után szeretne fiókot/előfizetést/projektet hozzáadni, olvassa el a Fiók/előfizetés/projekt hozzáadása az előkészítés befejezése után című témakört.