Abilitare o disabilitare il controller al termine dell'onboarding

Con il controller è possibile decidere il livello di accesso da concedere in Gestione autorizzazioni.

• Abilitare per concedere l'accesso in lettura e scrittura agli ambienti. È possibile modificare le autorizzazioni e correggere le dimensioni corrette tramite Gestione autorizzazioni.

• Disabilitare per concedere l'accesso in sola lettura agli ambienti.

Questo articolo descrive come abilitare il controller in Amazon Web Services (AWS), Microsoft Azure e Google Cloud Platform (GCP) al termine dell'onboarding.

Questo articolo descrive anche come disabilitare il controller in Microsoft Azure e Google Cloud Platform (GCP). Dopo aver abilitato il controller in AWS, non è possibile disabilitarlo.

Abilitare il controller in AWS

Nota

È possibile abilitare il controller in AWS se è stato disabilitato durante l'onboarding. Dopo aver abilitato il controller in AWS, non è possibile disabilitarlo.

1. In una finestra separata del browser accedere alla console AWS dell'account membro.

2. Passare alla home page Gestione autorizzazioni, selezionare Impostazioni (icona a forma di ingranaggio), quindi selezionare la sottoscheda Raccolta dati.

3. Nel dashboard Agenti di raccolta dati selezionare AWS, quindi selezionare Crea configurazione.

4. Nella pagina Permissions Management Onboarding - AWS Member Account Details (Onboarding gestione autorizzazioni - Dettagli account membro AWS) selezionare Launch Template (Avvia modello).

   Viene visualizzata la pagina AWS CloudFormation create stack , che visualizza il modello.

5. Nella casella CloudTrailBucketName immettere un nome.

   È possibile copiare e incollare il nome CloudTrailBucketName dalla pagina Trail in AWS.

   Nota

   Un bucket cloud raccoglie tutte le attività in un singolo account monitorato da Gestione autorizzazioni. Immettere il nome di un bucket cloud qui per fornire a Gestione autorizzazioni l'accesso necessario per raccogliere i dati delle attività.

6. Nell'elenco a discesa della casella EnableController selezionare True per fornire a Gestione autorizzazioni con accesso in lettura e scrittura in modo che qualsiasi correzione da eseguire dalla piattaforma Gestione autorizzazioni possa essere eseguita automaticamente.

7. Scorrere fino alla fine della pagina e nella casella Funzionalità e selezionare Conferma che AWS CloudFormation potrebbe creare risorse IAM con nomi personalizzati. Selezionare quindi Crea stack.

   Questo stack AWS CloudFormation crea un ruolo di raccolta nell'account membro con autorizzazioni (criteri) necessarie per la raccolta dei dati. Un criterio di attendibilità è impostato su questo ruolo per consentire al ruolo OIDC creato nell'account OIDC AWS di accedervi. Queste entità sono elencate nella scheda Risorse dello stack CloudFormation.

8. Tornare a Gestione autorizzazioni e nella pagina Autorizzazioni Management Onboarding - Dettagli account membro AWS selezionare Avanti.

9. Nella pagina Caricamento gestione autorizzazioni - Riepilogo esaminare le informazioni aggiunte, quindi selezionare Verifica ora e salva.

   Viene visualizzato il messaggio seguente: Configurazione creata correttamente.

Abilitare o disabilitare il controller in Azure

È possibile abilitare o disabilitare il controller in Azure a livello di sottoscrizione dei gruppi di gestione.

1. Nella home page di Azure selezionare Gruppi di gestione.

2. Individuare il gruppo per il quale si vuole abilitare o disabilitare il controller, quindi selezionare la freccia per espandere il menu di gruppo e visualizzare le sottoscrizioni. In alternativa, è possibile selezionare il numero Totale sottoscrizioni elencate per il gruppo.

3. Selezionare la sottoscrizione per cui si vuole abilitare o disabilitare il controller, quindi fare clic su Controllo di accesso (IAM) nel menu di spostamento.

4. Nella sezione Controlla l'accesso immettere Gestione entitlement dell'infrastruttura cloud nella casella Trova.

   Viene visualizzata la pagina Assegnazioni di gestione entitlement dell'infrastruttura cloud, che visualizza i ruoli assegnati all'utente.

   • Se si dispone dell'autorizzazione di sola lettura, nella colonna Ruolo viene visualizzato Lettore.
   • Se si dispone dell'autorizzazione amministrativa, nella colonna Ruolo viene visualizzato accesso utente Amministrazione istrator.

5. Per aggiungere l'assegnazione di ruolo amministrativo, tornare alla pagina Controllo di accesso (IAM) e quindi selezionare Aggiungi assegnazione di ruolo.

6. Aggiungere o rimuovere l'assegnazione di ruolo per La gestione entitlement dell'infrastruttura cloud.

7. Passare alla home page Gestione autorizzazioni, selezionare Impostazioni (icona a forma di ingranaggio), quindi selezionare la sottoscheda Raccolta dati.

8. Nel dashboard Agenti di raccolta dati selezionare Azure, quindi selezionare Crea configurazione.

9. Nella pagina Autorizzazioni Management Onboarding - Dettagli sottoscrizione di Azure immettere l'ID sottoscrizione e quindi selezionare Avanti.

10. Nella pagina Caricamento gestione autorizzazioni - Riepilogo esaminare le autorizzazioni del controller, quindi selezionare Verifica ora e Salva.

    Viene visualizzato il messaggio seguente: Configurazione creata correttamente.

Abilitare o disabilitare il controller in GCP

1. Eseguire l'account di accesso dell'autenticazione gcloud.

2. Segui le istruzioni visualizzate sullo schermo per autorizzare l'accesso al tuo account Google.

3. sh mciem-workload-identity-pool.sh Eseguire per creare il pool di identità del carico di lavoro, il provider e l'account del servizio.

4. sh mciem-member-projects.sh Eseguire per concedere le autorizzazioni di gestione delle autorizzazioni per accedere a ognuno dei progetti membro.

   • Per gestire le autorizzazioni tramite Gestione autorizzazioni, selezionare Y per Abilitare il controller.
   • Se si vuole eseguire l'onboarding dei progetti in modalità di sola lettura, selezionare N per Disabilitare il controller.

5. Facoltativamente, eseguire mciem-enable-gcp-api.sh per abilitare tutte le API GCP consigliate.

6. Passare alla home page Gestione autorizzazioni, selezionare Impostazioni (icona a forma di ingranaggio), quindi selezionare la sottoscheda Raccolta dati.

7. Nel dashboard Agenti di raccolta dati selezionare GCP e quindi crea configurazione.

8. Nella pagina Permissions Management Onboarding - Microsoft Entra OIDC App Creation (Onboarding gestione autorizzazioni - Creazione di app OIDC) selezionare Avanti.

9. Nella pagina Permissions Management Onboarding - GCP OIDC Account Details & IDP Access (Onboarding di gestione delle autorizzazioni - GCP OIDC Account Details & IDP Access) immettere il numero di progetto OIDC e l'ID progetto OIDC e quindi selezionare Avanti.

10. Nella pagina Permissions Management Onboarding - GCP Project ID (Onboarding gestione autorizzazioni - ID progetto GCP) immettere gli ID progetto e quindi selezionare Avanti.

11. Nella pagina Permissions Management Onboarding – Summary (Caricamento gestione autorizzazioni - Riepilogo ) esaminare le informazioni aggiunte e quindi selezionare Verify Now &Save (Verifica ora e salva).

    Viene visualizzato il messaggio seguente: Configurazione creata correttamente.

Passaggi successivi

• Per informazioni su come aggiungere un account/sottoscrizione/progetto al termine dell'onboarding, vedere Aggiungere un account/sottoscrizione/progetto al termine dell'onboarding.