Melakukan onboarding proyek Google Cloud Platform (GCP)
Artikel ini menjelaskan cara onboarding proyek Google Cloud Platform (GCP) di Manajemen Izin Microsoft Entra.
Catatan
Anda harus menjadi Administrator Manajemen Izin untuk melakukan tugas dalam artikel ini.
Penjelasan
Untuk GCP, Manajemen Izin dilingkupkan ke proyek GCP. Proyek GCP adalah kumpulan logis sumber daya Anda di GCP, seperti langganan di Azure, tetapi dengan konfigurasi lebih lanjut, Anda dapat melakukan seperti pendaftaran aplikasi dan konfigurasi OIDC.
Ada beberapa bagian yang bergerak di seluruh GCP dan Azure, yang harus dikonfigurasi sebelum onboarding.
- Aplikasi Microsoft Entra OIDC
- Identitas Beban Kerja di GCP
- Pemberian klien rahasia OAuth2 yang digunakan
- Akun layanan GCP dengan izin untuk mengumpulkan
Onboarding proyek GCP
Jika dasbor pengumpul data dasbor tidak ditampilkan saat CloudKnox diluncurkan:
- Di halaman beranda Manajemen Perizinan, pilih Pengaturan (ikon roda gigi), lalu pilih sub tab Pengumpul Data.
Pada tab Pengumpul Data, pilih GCP, lalu pilih Buat Konfigurasi.
1. Buat aplikasi Microsoft Entra OIDC.
Pada halaman Onboarding Manajemen Izin - Pembuatan Aplikasi Microsoft Entra OIDC, masukkan Nama Aplikasi Azure OIDC.
Aplikasi ini digunakan untuk menyiapkan koneksi OpenID Connect (OIDC) ke proyek GCP Anda. OIDC adalah protokol autentikasi yang dapat dioperasikan berdasarkan spesifikasi OAuth 2.0. Skrip yang dihasilkan membuat aplikasi dari nama yang ditentukan ini di penyewa Microsoft Entra Anda dengan konfigurasi yang tepat.
Untuk membuat pendaftaran aplikasi, salin skrip dan jalankan di aplikasi baris perintah Anda.
Catatan
- Untuk mengonfirmasi aplikasi dibuat, buka Pendaftaran aplikasi di Azure dan, pada tab Semua aplikasi, temukan aplikasi Anda.
- Pilih nama aplikasi untuk membuka halaman Ekspos API. URI ID Aplikasi yang ditampilkan di halaman Ringkasan adalah nilai audiens yang digunakan saat membuat koneksi OIDC dengan akun GCP Anda.
- Kembali ke jendela Manajemen Izin, dan di Onboarding Manajemen Izin - Pembuatan Aplikasi Microsoft Entra OIDC, pilih Berikutnya.
2. Menyiapkan proyek GCP OIDC.
Di halaman Permissions Management Onboarding - GCP OIDC Account Details &IDP Access, masukkan Nomor Proyek OIDC dan ID Proyek OIDC dari proyek GCP tempat penyedia dan kumpulan OIDC dibuat. Anda dapat mengubah nama peran sesuai kebutuhan Anda.
Catatan
Anda dapat menemukan Nomor Proyek dan ID Proyek dari proyek GCP Anda di halaman Dasbor GCP proyek Anda di panel Info Proyek.
Anda dapat mengubah Id Kumpulan Identitas Beban Kerja OIDC, Id Penyedia Kumpulan Identitas Beban Kerja OIDC, dan Nama Akun Layanan OIDC untuk memenuhi kebutuhan Anda.
Jika ingin, tentukan Nama Rahasia IDP G-Suite dan Email Pengguna IDP G-Suite untuk mengaktifkan integrasi G-Suite.
Anda dapat mengunduh dan menjalankan skrip pada saat ini atau Anda dapat melakukannya di Google Cloud Shell.
Pilih Berikutnya setelah berhasil menjalankan skrip penyetelan.
Pilih dari tiga opsi untuk mengelola proyek GCP.
Opsi 1: Kelola secara otomatis
Opsi kelola secara otomatis memungkinkan Anda mendeteksi dan memantau proyek secara otomatis tanpa konfigurasi tambahan. Langkah-langkah untuk mendeteksi daftar proyek dan onboard untuk koleksi:
- Berikan peran Peninjau Penampil dan Keamanan ke akun layanan yang dibuat pada langkah sebelumnya di tingkat proyek, folder, atau organisasi.
Untuk mengaktifkan mode Pengontrol Aktif untuk proyek apa pun, tambahkan peran ini ke proyek tertentu:
- Administrator Peran
- Admin Keamanan
Perintah yang diperlukan untuk dijalankan di Google Cloud Shell tercantum di layar Kelola Otorisasi untuk setiap cakupan proyek, folder, atau organisasi. Ini juga dikonfigurasi di konsol GCP.
- Pilih Selanjutnya.
Opsi 2: Masukkan sistem otorisasi
Anda hanya dapat menentukan proyek anggota GCP tertentu untuk mengelola dan memantau dengan Manajemen Izin (hingga 100 per pengumpul). Ikuti langkah-langkah untuk mengonfigurasi proyek anggota GCP ini untuk dipantau:
Pada halaman Manajemen izin akses - ID Proyek GCP, halaman, masukkan ID Proyek.
Anda dapat memasukkan hingga ID proyek GCP 100 yang dipisahkan koma.
Anda dapat memilih untuk mengunduh dan menjalankan skrip pada saat ini, atau Anda dapat melakukannya melalui Google Cloud Shell.
Untuk mengaktifkan mode pengontrol 'Aktif' untuk proyek apa pun, tambahkan peran ini ke proyek tertentu:
- Administrator Peran
- Admin Keamanan
Pilih Selanjutnya.
Opsi 3: Pilih sistem otorisasi
Opsi ini mendeteksi semua proyek yang dapat diakses oleh aplikasi Cloud Infrastructure Entitlement Management.
- Berikan peran Peninjau Penampil dan Keamanan ke akun layanan yang dibuat pada langkah sebelumnya di tingkat proyek, folder, atau organisasi.
Untuk mengaktifkan mode Pengontrol Aktif untuk proyek apa pun, tambahkan peran ini ke proyek tertentu:
- Administrator Peran
- Admin Keamanan
Perintah yang diperlukan untuk dijalankan di Google Cloud Shell tercantum di layar Kelola Otorisasi untuk setiap cakupan proyek, folder, atau organisasi. Ini juga dikonfigurasi di konsol GCP.
- Pilih Selanjutnya.
3. Tinjau dan simpan.
Di halaman Onboarding Manajemen Izin – Ringkasan , tinjau informasi yang telah Anda tambahkan, lalu pilih Verifikasi Sekarang & Simpan.
Pesan berikut muncul: Berhasil Membuat Konfigurasi.
Pada tab Pengumpul Data, kolom Baru Diunggah Pada menampilkan Mengumpulkan. Kolom Baru Diubah Pada menampilkan Memproses.
Kolom status di UI Manajemen Izin memperlihatkan kepada Anda langkah pengumpulan data mana yang Anda gunakan:
- Tertunda: Manajemen Izin belum mulai mendeteksi atau onboarding.
- Penemuan: Manajemen Izin mendeteksi sistem otorisasi.
- Sedang berlangsung: Manajemen Izin telah selesai mendeteksi sistem otorisasi dan sedang onboarding.
- Onboarded: Pengumpulan data selesai, dan semua sistem otorisasi yang terdeteksi di-onboard ke Manajemen Izin.
4. Lihat data.
Untuk melihat data, pilih tab Sistem Otorisasi.
Kolom Status dalam tabel menampilkan Mengumpulkan Data.
Proses pengumpulan data membutuhkan waktu dan terjadi dalam interval sekitar 4-5 jam dalam banyak kasus. Jangka waktu tergantung pada ukuran sistem otorisasi yang Anda miliki dan berapa banyak data yang tersedia untuk pengumpulan.
Langkah berikutnya
- Untuk mengaktifkan atau menonaktifkan pengontrol setelah onboarding selesai, lihat Mengaktifkan atau menonaktifkan pengontrol.
- Untuk menambahkan akun/langganan/proyek setelah onboarding selesai, lihat Menambahkan akun/langganan/proyek setelah onboarding selesai.