Включение или отключение контроллера после завершения подключения

В этой статье описано, как включить или отключить контроллер в Microsoft Azure и Google Cloud Platform (GCP) после завершения подключения.

В этой статье также описано, как включить контроллер в Amazon Web Services (AWS), если вы отключили его во время подключения. В настоящее время в AWS контроллер можно только включить — отключить его нельзя.

Включение контроллера в AWS

Примечание

В настоящее время в AWS контроллер можно только включить — отключить его нельзя.

  1. Войдите в консоль AWS учетной записи члена в отдельном окне браузера.

  2. На домашней странице службы "Управление разрешениями" выберите Параметры (значок шестеренки), а затем перейдите на вложенную вкладку Сборщики данных.

  3. На панели мониторинга Сборщики данных выберите AWS и нажмите Создать конфигурацию.

  4. На странице Подключение службы "Управление разрешениями" — сведения об учетной записи участника AWS выберите Запустить шаблон.

    Откроется страница Создание стека AWS CloudFormation, на которой отобразится шаблон.

  5. В поле CloudTrailBucketName введите имя.

    Вы можете скопировать и вставить имя CloudTrailBucketName со страницы Trails (Журналы) в AWS.

    Примечание

    Облачный контейнер собирает все действия в одной учетной записи, которую отслеживает служба "Управление разрешениями". Введите имя облачного контейнера, чтобы предоставить службе "Управление разрешениями" доступ, необходимый для получения данных о действиях.

  6. В поле EnableController в раскрывающемся списке выберите True, чтобы предоставить Управлению разрешениями доступ на чтение и запись — тогда любое исправление, которое вы делаете из платформы Управления разрешениями, будет выполняться автоматически.

  7. Прокрутите страницу вниз и в поле Capabilities (Возможности) выберите I acknowledge that AWS CloudFormation might create IAM resources with custom names (Я подтверждаю, что AWS CloudFormation может создавать ресурсы IAM с пользовательскими именами). Затем выберите Create stack (Создать стек).

    Этот стек AWS CloudFormation создаст роль коллекции в учетной записи участника с необходимыми разрешениями (политиками) для сбора данных. Для этой роли задана политика доверия, которая разрешает роли OIDC, созданной в учетной записи OIDC AWS, для доступа к нему. Эти сущности перечислены на вкладке Resources (Ресурсы) в стеке CloudFormation.

  8. Вернитесь в службу "Управление разрешениями" и на странице Подключение службы "Управление разрешениями" — сведения об учетной записи участника AWS нажмите кнопку Далее.

  9. На странице Подключение управления разрешениями — сводка просмотрите информацию, которую вы добавили, а затем выберите Проверить сейчас & Сохранить.

    Появится следующее сообщение: Конфигурация успешно создана.

Включение или отключение контроллера в Azure

  1. В Azure откройте страницу Управление доступом (IAM).

  2. В разделе Проверка доступа в поле Поиск введите Управление правами облачной инфраструктуры.

    Откроется страница Назначения Управления правами облачной инфраструктуры, в которой отображаются назначенные вам роли.

    • Если у вас есть разрешение только на чтение, в столбце Роль отображается Читатель.
    • При наличии административных разрешений в столбце Роль отображается Административный доступ пользователя.
  3. Чтобы добавить назначение административной роли, вернитесь на страницу Управление доступом (IAM), а затем выберите Добавить назначение роли.

  4. Добавление или удаление назначения ролей для Управления правами облачной инфраструктуры.

  5. На домашней странице службы "Управление разрешениями" выберите Параметры (значок шестеренки), а затем перейдите на вложенную вкладку Сборщики данных.

  6. На вкладке Сборщики данных выберите Azure и нажмите Создать конфигурацию.

  7. На странице Подключение управления разрешениями — сведения о подписке Azure введите идентификаторы подписок, а затем нажмите Далее.

  8. На странице Подключение Управления разрешениями — Сводка проверьте разрешения контроллера, а затем выберите Проверить сейчас & Сохранить.

    Появится следующее сообщение: Конфигурация успешно создана.

Включение или отключение контроллера в GCP

  1. Выполните Вход с проверкой подлинности, используя команду gcloud.

  2. Следуйте инструкциям на экране, чтобы авторизовать доступ к учетной записи Google.

  3. Выполните скрипт sh mciem-workload-identity-pool.sh, чтобы создать пул удостоверений рабочей нагрузки, поставщика и учетную запись службы.

  4. Выполните команду sh mciem-member-projects.sh, чтобы предоставить Управлению разрешениями разрешения на доступ к каждому из проектов-членов.

    • Если вы хотите управлять разрешениями через Управление разрешениями, выберите Y, чтобы включить контроллер.
    • Если вы хотите подключать проекты в режиме "только для чтения", выберите N, чтобы отключить контроллер.
  5. При необходимости выполните mciem-enable-gcp-api.sh, чтобы включить все рекомендуемые API-интерфейсы GCP.

  6. На домашней странице службы "Управление разрешениями" выберите Параметры (значок шестеренки), а затем перейдите на вложенную вкладку Сборщики данных.

  7. На панели мониторинга Сборщики данных выберите GCP и нажмите Создать конфигурацию.

  8. На странице Подключение службы "Управление разрешениями" — создание приложения Azure AD OIDC выберите Далее.

  9. На странице Подключение Управления разрешениями — Сведения об аккаунте OIDC GCP & Доступ IDP введите Номер проекта OIDC и Идентификатор проекта OIDC, а затем нажмите кнопку Далее.

  10. На странице Подключение Управления разрешениями — идентификаторы проекта GCP введите сведения в поле Идентификаторы проекта, а затем нажмите кнопку Далее.

  11. На странице Подключение управления разрешениями — сводка просмотрите информацию, которую вы добавили, а затем выберите Проверить сейчас & Сохранить.

    Появится следующее сообщение: Конфигурация успешно создана.

Дальнейшие шаги