Google Cloud Platform (GCP) projekt előkészítése
Ez a cikk a Google Cloud Platform (GCP) projekt Microsoft Entra Engedélykezelés való előkészítését ismerteti.
Feljegyzés
A cikkben szereplő feladatok elvégzéséhez engedélykezelési Rendszergazda istratornak kell lennie.
Magyarázat
A GCP esetében az engedélyek kezelése egy GCP-projektre terjed ki. A GCP-projektek a GCP-ben lévő erőforrások logikai gyűjteményei, például az Azure-előfizetések, de további konfigurációkkal, például alkalmazásregisztrációkkal és OIDC-konfigurációkkal is elvégezhetők.
A GCP-ben és az Azure-ban számos mozgó alkatrész található, amelyeket az előkészítés előtt konfigurálni kell.
- Microsoft Entra OIDC-alkalmazás
- Számítási feladatok identitása a GCP-ben
- OAuth2 bizalmas ügyféltámogatások kihasználva
- GCP szolgáltatásfiók gyűjtéséhez szükséges engedélyekkel
GCP-projekt előkészítése
Ha az Adatgyűjtők irányítópult nem jelenik meg az Engedélyek kezelése indításakor:
- Az Engedélyek kezelése kezdőlapon válassza a Gépház (fogaskerék ikon), majd az Adatgyűjtők almenüt.
Az Adatgyűjtők lapon válassza a GCP, majd a Konfiguráció létrehozása lehetőséget.
1. Microsoft Entra OIDC-alkalmazás létrehozása.
Az Engedélyek kezelése előkészítés – Microsoft Entra OIDC alkalmazás létrehozása lapon adja meg az OIDC Azure-alkalmazás nevét.
Ez az alkalmazás openID Csatlakozás (OIDC) kapcsolatot állít be a GCP-projekthez. Az OIDC egy interoperábilis hitelesítési protokoll, amely az OAuth 2.0 specifikációcsaládon alapul. A létrehozott szkriptek a megfelelő konfigurációval hozzák létre a megadott név alkalmazását a Microsoft Entra-bérlőben.
Az alkalmazásregisztráció létrehozásához másolja ki a szkriptet, és futtassa a parancssori alkalmazásban.
Feljegyzés
- Az alkalmazás létrehozásának megerősítéséhez nyissa meg a Alkalmazásregisztrációk az Azure-ban, és a Minden alkalmazás lapon keresse meg az alkalmazást.
- Válassza ki az alkalmazás nevét az API-lap megnyitásához. Az Áttekintés lapon megjelenő alkalmazásazonosító URI a GCP-fiókkal való OIDC-kapcsolat létrehozásakor használt célközönségérték.
- Térjen vissza az Engedélyek kezelése ablakhoz, és az Engedélyek kezelése előkészítés – Microsoft Entra OIDC-alkalmazás létrehozása területen válassza a Tovább gombot.
2. Állítson be egy GCP OIDC-projektet.
Az Engedélyek kezelése előkészítés – GCP OIDC-fiók részletei & IDP Hozzáférési lapon adja meg annak a GCP-projektnek az OIDC-projektjének OIDC-projektszámát és OIDC-projektazonosítóját, amelyben az OIDC-szolgáltató és -készlet létrejön. A szerepkör nevét módosíthatja a követelményekre.
Feljegyzés
A GCP-projekt projektszámát és projektazonosítóját a projekt GCP-irányítópult lapján, a Projekt adatai panelen találja.
A követelményeknek megfelelően módosíthatja az OIDC számítási feladat identitáskészletének azonosítóját, az OIDC számítási feladat identitáskészletének szolgáltatói azonosítóját és az OIDC-szolgáltatásfiók nevét .
A G-Suite integrációjának engedélyezéséhez adja meg a G-Suite idP titkos nevét és a G-Suite idp felhasználói e-mail-címét .
Letöltheti és futtathatja a szkriptet ezen a ponton, vagy megteheti a Google Cloud Shellben.
A beállítási szkript sikeres futtatása után válassza a Tovább lehetőséget.
A GCP-projektek kezeléséhez három lehetőség közül választhat.
1. lehetőség: Automatikus kezelés
Az automatikus kezelés lehetőség lehetővé teszi a projektek automatikus észlelését és monitorozását további konfiguráció nélkül. A projektek listájának észlelésének és a gyűjtemény előkészítésének lépései:
- Adjon megtekintői és biztonsági felülvizsgáló szerepköröket egy, az előző lépésben létrehozott szolgáltatásfióknak projekt, mappa vagy szervezet szintjén.
Ha bármilyen projekthez engedélyezni szeretné a Vezérlő üzemmódot, adja hozzá ezeket a szerepköröket az adott projektekhez:
- Szerepkör-Rendszergazda istratorok
- Biztonsági rendszergazda
A Google Cloud Shellben való futtatáshoz szükséges parancsok a projekt, mappa vagy szervezet egyes hatóköreihez tartozó Engedélyezés kezelése képernyőn jelennek meg. Ez a GCP-konzolon is konfigurálva van.
- Válassza a Tovább lehetőséget.
2. lehetőség: Adja meg az engedélyezési rendszereket
Csak bizonyos GCP-tagprojekteket adhat meg az Engedélyek kezelése szolgáltatással felügyelni és figyelni (gyűjtőnként legfeljebb 100). Az alábbi lépéseket követve konfigurálhatja ezeket a GCP-tagprojekteket a monitorozáshoz:
Az Engedélyek kezelése előkészítés – GCP projektazonosítók lapon adja meg a projektazonosítókat.
Legfeljebb vesszővel tagolt 100 GCP-projektazonosítót adhat meg.
Ezen a ponton letöltheti és futtathatja a szkriptet, vagy a Google Cloud Shellen keresztül is megteheti.
A "Be" vezérlőmód bármely projekthez való engedélyezéséhez adja hozzá ezeket a szerepköröket az adott projektekhez:
- Szerepkör-Rendszergazda istratorok
- Biztonsági rendszergazda
Válassza a Tovább lehetőséget.
3. lehetőség: Engedélyezési rendszerek kiválasztása
Ez a beállítás észleli a felhőinfrastruktúra jogosultságkezelési alkalmazás által elérhető összes projektet.
- Adjon megtekintői és biztonsági felülvizsgáló szerepköröket egy, az előző lépésben létrehozott szolgáltatásfióknak projekt, mappa vagy szervezet szintjén.
Ha bármilyen projekthez engedélyezni szeretné a Vezérlő üzemmódot, adja hozzá ezeket a szerepköröket az adott projektekhez:
- Szerepkör-Rendszergazda istratorok
- Biztonsági rendszergazda
A Google Cloud Shellben való futtatáshoz szükséges parancsok a projekt, mappa vagy szervezet egyes hatóköreihez tartozó Engedélyezés kezelése képernyőn jelennek meg. Ez a GCP-konzolon is konfigurálva van.
- Válassza a Tovább lehetőséget.
3. Tekintse át és mentse.
Az Engedélyek kezelése előkészítés – Összegzés lapon tekintse át a hozzáadott adatokat, majd válassza az Ellenőrzés most > Mentés lehetőséget.
A következő üzenet jelenik meg: Sikeresen létrehozott konfiguráció.
Az Adatgyűjtők lapon a Legutóbb feltöltve oszlop a Gyűjtést jeleníti meg. A Legutóbb átalakítva oszlop a Feldolgozást jeleníti meg .
Az Engedélyek kezelése felhasználói felületen található állapotoszlop az adatgyűjtés melyik lépését mutatja be:
- Függőben: Az Engedélyek kezelése még nem kezdte el észlelni vagy előkészíteni.
- Felderítés: Az Engedélyek kezelése észleli az engedélyezési rendszereket.
- Folyamatban: Az Engedélyek kezelése befejezte az engedélyezési rendszerek észlelését, és előkészítés alatt áll.
- Előkészítés: Az adatgyűjtés befejeződött, és az összes észlelt engedélyezési rendszer be van kapcsolva az Engedélyek kezelése szolgáltatásba.
4. Az adatok megtekintése.
Az adatok megtekintéséhez válassza az Engedélyezési rendszerek lapot.
A tábla Állapot oszlopa az adatgyűjtést jeleníti meg .
Az adatgyűjtési folyamat a legtöbb esetben körülbelül 4–5 órás időközönként történik. Az időkeret a rendelkezésre álló engedélyezési rendszer méretétől és a gyűjtéshez rendelkezésre álló adatok mennyiségétől függ.
Következő lépések
- Ha az előkészítés befejezése után szeretné engedélyezni vagy letiltani a vezérlőt, olvassa el a vezérlő engedélyezése vagy letiltása című témakört.
- Ha az előkészítés befejezése után szeretne fiókot/előfizetést/projektet hozzáadni, olvassa el a Fiók/előfizetés/projekt hozzáadása az előkészítés befejezése után című témakört.