Włączanie lub wyłączanie kontrolera po zakończeniu dołączania

Za pomocą kontrolera możesz zdecydować, jaki poziom dostępu ma być udzielany w usłudze Zarządzanie uprawnieniami.

• Włącz, aby udzielić dostępu do odczytu i zapisu w środowiskach. Uprawnienia i korygowanie można właściwego rozmiaru za pomocą funkcji Zarządzanie uprawnieniami.

• Wyłącz, aby udzielić dostępu tylko do odczytu w środowiskach.

W tym artykule opisano sposób włączania kontrolera w usługach Amazon Web Services (AWS), Microsoft Azure i Google Cloud Platform (GCP) po zakończeniu dołączania.

W tym artykule opisano również sposób wyłączania kontrolera na platformie Microsoft Azure i platformie Google Cloud Platform (GCP). Po włączeniu kontrolera na platformie AWS nie można go wyłączyć.

Włączanie kontrolera na platformie AWS

Uwaga

Kontroler w usłudze AWS można włączyć, jeśli wyłączysz go podczas dołączania. Po włączeniu kontrolera na platformie AWS nie można go wyłączyć.

1. W osobnym oknie przeglądarki zaloguj się do konsoli platformy AWS konta członkowskiego.

2. Przejdź do strony głównej Zarządzanie uprawnieniami, wybierz pozycję Ustawienia (ikona koła zębatego), a następnie wybierz podtabę Moduły zbierające dane.

3. Na pulpicie nawigacyjnym Moduły zbierające dane wybierz pozycję AWS, a następnie wybierz pozycję Utwórz konfigurację.

4. Na stronie Dołączanie do zarządzania uprawnieniami — szczegóły konta członka platformy AWS wybierz pozycję Uruchom szablon.

   Zostanie otwarta strona tworzenia stosu platformy AWS CloudFormation z wyświetlonym szablonem.

5. W polu CloudTrailBucketName wprowadź nazwę.

   Możesz skopiować i wkleić nazwę CloudTrailBucketName ze strony Szlaki na platformie AWS.

   Uwaga

   Zasobnik chmury zbiera wszystkie działania na jednym koncie, które monitoruje zarządzanie uprawnieniami. W tym miejscu wprowadź nazwę zasobnika w chmurze, aby zapewnić usłudze Permissions Management dostęp wymagany do zbierania danych działań.

6. W polu EnableController z listy rozwijanej wybierz pozycję True, aby zapewnić zarządzanie uprawnieniami z dostępem do odczytu i zapisu, aby można było wykonać automatyczne korygowanie z platformy Zarządzanie uprawnieniami.

7. Przewiń do dołu strony, a następnie w polu Możliwości i wybierz pozycję Potwierdzam, że platforma AWS CloudFormation może tworzyć zasoby IAM z nazwami niestandardowymi. Następnie wybierz pozycję Utwórz stos.

   Ten stos AWS CloudFormation tworzy rolę kolekcji na koncie członkowskim z niezbędnymi uprawnieniami (zasadami) do zbierania danych. Zasady zaufania są ustawione na tej roli, aby zezwolić na dostęp do roli OIDC utworzonej na koncie usługi AWS OIDC. Te jednostki są wyświetlane na karcie Zasoby stosu CloudFormation.

8. Wróć do pozycji Zarządzanie uprawnieniami, a następnie na stronie Dołączanie do zarządzania uprawnieniami — Szczegóły konta członka platformy AWS wybierz pozycję Dalej.

9. Na stronie Dołączanie do zarządzania uprawnieniami — podsumowanie przejrzyj dodane informacje, a następnie wybierz pozycję Weryfikuj teraz i zapisz.

   Zostanie wyświetlony następujący komunikat: Pomyślnie utworzono konfigurację.

Włączanie lub wyłączanie kontrolera na platformie Azure

Kontroler można włączyć lub wyłączyć na platformie Azure na poziomie subskrypcji grup zarządzania.

1. Na stronie głównej platformy Azure wybierz pozycję Grupy zarządzania.

2. Znajdź grupę, dla której chcesz włączyć lub wyłączyć kontroler, a następnie wybierz strzałkę, aby rozwinąć menu grupy i wyświetlić subskrypcje. Alternatywnie możesz wybrać numer Total Subscriptions (Łączna liczba subskrypcji) wymieniony dla grupy.

3. Wybierz subskrypcję, dla której chcesz włączyć lub wyłączyć kontroler, a następnie kliknij pozycję Kontrola dostępu (Zarządzanie dostępem i tożsamościami) w menu nawigacji.

4. W sekcji Sprawdzanie dostępu w polu Znajdź wprowadź pozycję Zarządzanie upoważnieniami infrastruktury w chmurze.

   Zostanie wyświetlona strona Przypisania zarządzania upoważnieniami infrastruktury chmurowej z wyświetlonymi rolami przypisanymi do Ciebie.

   • Jeśli masz uprawnienie tylko do odczytu, w kolumnie Rola zostanie wyświetlony tekst Czytelnik.
   • Jeśli masz uprawnienia administracyjne, w kolumnie Rola zostanie wyświetlona Administracja istrator dostępu użytkowników.

5. Aby dodać przypisanie roli administracyjnej , wróć do strony Kontrola dostępu (zarządzanie dostępem i tożsamościami), a następnie wybierz pozycję Dodaj przypisanie roli.

6. Dodaj lub usuń przypisanie roli do zarządzania upoważnieniami infrastruktury w chmurze.

7. Przejdź do strony głównej Zarządzanie uprawnieniami, wybierz pozycję Ustawienia (ikona koła zębatego), a następnie wybierz podtabę Moduły zbierające dane.

8. Na pulpicie nawigacyjnym Moduły zbierające dane wybierz pozycję Azure, a następnie wybierz pozycję Utwórz konfigurację.

9. Na stronie Dołączanie do zarządzania uprawnieniami — Szczegóły subskrypcji platformy Azure wprowadź identyfikator subskrypcji, a następnie wybierz pozycję Dalej.

10. Na stronie Dołączanie do zarządzania uprawnieniami — podsumowanie przejrzyj uprawnienia kontrolera, a następnie wybierz pozycję Weryfikuj teraz i zapisz.

    Zostanie wyświetlony następujący komunikat: Pomyślnie utworzono konfigurację.

Włączanie lub wyłączanie kontrolera w GCP

1. Wykonaj identyfikator logowania do uwierzytelniania usługi gcloud.

2. Postępuj zgodnie z instrukcjami wyświetlanymi na ekranie, aby autoryzować dostęp do konta Google.

3. Wykonaj polecenie , sh mciem-workload-identity-pool.sh aby utworzyć pulę tożsamości obciążenia, dostawcę i konto usługi.

4. Wykonaj polecenie , sh mciem-member-projects.sh aby przyznać uprawnienia do zarządzania uprawnieniami w celu uzyskania dostępu do każdego z projektów członkowskich.

   • Jeśli chcesz zarządzać uprawnieniami za pomocą zarządzania uprawnieniami, wybierz pozycję Y, aby włączyć kontroler.
   • Jeśli chcesz dołączyć projekty w trybie tylko do odczytu, wybierz pozycję N, aby wyłączyć kontroler.

5. Opcjonalnie wykonaj polecenie mciem-enable-gcp-api.sh , aby włączyć wszystkie zalecane interfejsy API GCP.

6. Przejdź do strony głównej Zarządzanie uprawnieniami, wybierz pozycję Ustawienia (ikona koła zębatego), a następnie wybierz podtabę Moduły zbierające dane.

7. Na pulpicie nawigacyjnym Moduły zbierające dane wybierz pozycję GCP, a następnie wybierz pozycję Utwórz konfigurację.

8. Na stronie Dołączanie do zarządzania uprawnieniami — Tworzenie aplikacji Microsoft Entra OIDC wybierz pozycję Dalej.

9. Na stronie Dołączanie do zarządzania uprawnieniami — szczegóły konta GCP OIDC i dostęp do dostawcy tożsamości wprowadź numer projektu OIDC i identyfikator projektu OIDC, a następnie wybierz przycisk Dalej.

10. Na stronie Dołączanie do zarządzania uprawnieniami — identyfikatory projektów GCP wprowadź identyfikatory projektów, a następnie wybierz przycisk Dalej.

11. Na stronie Dołączanie do zarządzania uprawnieniami — podsumowanie przejrzyj dodane informacje, a następnie wybierz pozycję Weryfikuj teraz i zapisz.

    Zostanie wyświetlony następujący komunikat: Pomyślnie utworzono konfigurację.

Następne kroki

• Aby uzyskać informacje na temat dodawania konta/subskrypcji/projektu po zakończeniu dołączania, zobacz Dodawanie konta/subskrypcji/projektu po zakończeniu dołączania.