Подключение проекта Google Cloud Platform (GCP)

В этой статье описывается, как подключить проект Google Cloud Platform (GCP) в Управление разрешениями Microsoft Entra.

Примечание.

Для выполнения задач, описанных в этой статье, необходимо назначить роль глобального Администратор istrator.

Описание

Для GCP управление разрешениями область в проект GCP. Проект GCP — это логическая коллекция ресурсов в GCP, например подписка в Azure, но с дополнительными конфигурациями, которые можно выполнить, например регистрации приложений и конфигурации OIDC.

Перед подключением необходимо настроить несколько перемещающихся частей в GCP и Azure.

• Приложение Microsoft Entra OIDC
• Удостоверение рабочей нагрузки в GCP
• Конфиденциальные клиентские гранты OAuth2, используемые
• Учетная запись службы GCP с разрешениями на сбор

Подключение проекта GCP

1. Выполните указанные ниже действия, если панель мониторинга Сборщики данных не отображается при запуске службы "Управление разрешениями":

   • На домашней странице службы "Управление разрешениями" выберите Параметры (значок шестеренки), а затем перейдите на вложенную вкладку Сборщики данных.

2. На вкладке "Сборщики данных" выберите GCP, а затем нажмите кнопку "Создать конфигурацию".

1. Создание приложения Microsoft Entra OIDC.

1. На странице создания приложений Microsoft Entra OIDC введите имя приложение Azure OIDC.

   Это приложение используется для настройки подключения по протоколу OpenID Connect (OIDC) к проекту GCP. OIDC — это протокол проверки подлинности с возможностью взаимодействия на основе семейства спецификаций OAuth 2.0. Созданные скрипты создают приложение указанного имени в клиенте Microsoft Entra с правильной конфигурацией.

2. Чтобы создать регистрацию приложения, скопируйте сценарий и запустите его в приложении командной строки.

   Примечание.

   1. Чтобы подтвердить создание приложения, откройте Регистрация приложений в Azure и на вкладке "Все приложения" найдите приложение.
   2. Выберите имя приложения, чтобы открыть страницу Предоставление API. URI идентификатора приложения, отображаемый на странице Обзор, — это значение аудитории, используемое при создании подключения OIDC к вашей учетной записи GCP.
   3. Вернитесь в окно "Управление разрешениями" и в разделе "Подключение управления разрешениями" — создание приложения Microsoft Entra OIDC нажмите кнопку "Далее".

2. Настройка проекта GCP по OIDC.

1. На странице сведений об учетной записи GCP OIDC и доступе к поставщику удостоверений введите номер проекта OIDC и идентификатор проекта OIDC проекта GCP, в котором создается поставщик и пул OIDC. Имя роли можно изменить по необходимости соответствия вашим стандартам именования.

   Примечание.

   Номер проекта и Идентификатор проекта для проекта GCP можно найти на странице панели мониторинга проекта GCP на панели Сведения о проекте.

2. Вы можете изменить Идентификатор пула удостоверений рабочей нагрузки OIDC, Идентификатор поставщика пула удостоверений рабочей нагрузки OIDC и Имя учетной записи службы OIDC в соответствии с вашими требованиями.

   При необходимости укажите имя секрета поставщика удостоверений G-Suite и Адрес электронной почты пользователя поставщика удостоверений G-Suite, чтобы включить интеграцию G-Suite.

3. Вы можете скачать и запустить скрипт на этом этапе или сделать это в Google Cloud Shell.

4. Нажмите кнопку "Далее" после успешного выполнения скрипта установки.

Выберите один из трех вариантов управления проектами GCP.

Вариант 1. Автоматическое управление

Параметр автоматического управления позволяет автоматически обнаруживать и отслеживать проекты без дополнительной настройки. Действия по обнаружению списка проектов и подключения к коллекции:

1. Предоставьте роли средства просмотра и рецензента безопасности учетной записи службы, созданной на предыдущем шаге на уровне проекта, папки или организации.

Чтобы включить режим контроллера для любых проектов, добавьте эти роли в определенные проекты:

• Роли Администратор istrator
• администратор безопасности;

Необходимые команды для запуска в Google Cloud Shell перечислены на экране "Управление авторизацией" для каждого область проекта, папки или организации. Это также настраивается в консоли GCP.

3. Выберите Далее.

Вариант 2. Ввод систем авторизации

У вас есть возможность указать только определенные проекты участников GCP для управления разрешениями и мониторинга с помощью управления разрешениями (до 100 на сборщик). Выполните действия, чтобы настроить мониторинг этих проектов участников GCP:

1. На странице Permissions Management Onboarding - GCP Project Ids (Подключение Управления разрешениями — идентификаторы проекта GCP) введите сведения в поле Идентификаторы проекта.

   Можно ввести до идентификаторов проектов GCP с разделив запятыми 100 GCP.

2. Вы можете скачать и запустить скрипт на этом этапе или сделать это с помощью Google Cloud Shell.

   Чтобы включить режим контроллера для всех проектов, добавьте эти роли в определенные проекты:

   • Роли Администратор istrator
   • администратор безопасности;

3. Выберите Далее.

Вариант 3. Выбор систем авторизации

Этот параметр обнаруживает все проекты, доступные приложением управления правами облачной инфраструктуры.

1. Предоставьте роли средства просмотра и рецензента безопасности учетной записи службы, созданной на предыдущем шаге на уровне проекта, папки или организации.

Чтобы включить режим контроллера для любых проектов, добавьте эти роли в определенные проекты:

• Роли Администратор istrator
• администратор безопасности;

Необходимые команды для запуска в Google Cloud Shell перечислены на экране "Управление авторизацией" для каждого область проекта, папки или организации. Это также настраивается в консоли GCP.

3. Выберите Далее.

3. Просмотр и сохранение.

1. На странице "Подключение управления разрешениями" — сводка просмотрите добавленные сведения и нажмите кнопку "Проверить сейчас и сохранить".

   Появится следующее сообщение: Конфигурация успешно создана.

   На вкладке Сборщики данных в столбце Недавно отправлено отображается значение Сбор. В столбце Недавно преобразовано отображается Обработка.

   Столбец состояния в пользовательском интерфейсе управления разрешениями показывает, на каком этапе сбора данных вы находитесь:

   • Ожидание. Управление разрешениями еще не начало обнаруживать или подключиться.
   • Обнаружение. Управление разрешениями обнаруживает системы авторизации.
   • В ходе выполнения: управление разрешениями завершило обнаружение систем авторизации и подключение.
   • Подключено: сбор данных завершен, и все обнаруженные системы авторизации подключены к управлению разрешениями.

4. Просмотр данных.

1. Чтобы просмотреть данные, перейдите на вкладку Системы авторизации.

   В столбце Состояние в таблице отображается сообщение Сбор данных.

   Процесс сбора данных занимает некоторое время и в большинстве случаев выполняется примерно через 4–5 часов. Интервал времени зависит от размера используемой системы авторизации и объема данных, доступных для сбора.

Следующие шаги

• Чтобы включить или отключить контроллер после завершения подключения, см. раздел "Включить" или отключить контроллер.
• Чтобы добавить учетную запись, подписку или проект после завершения подключения, см. статью "Добавить учетную запись/подписку/проект" после завершения подключения.