Aktivera eller inaktivera kontrollanten när registreringen är klar

Med kontrollanten kan du bestämma vilken åtkomstnivå som ska beviljas i Behörighetshantering.

• Aktivera för att bevilja läs- och skrivåtkomst till dina miljöer. Du kan ändra storlek på behörigheter och åtgärda dem via Behörighetshantering.

• Inaktivera om du vill bevilja skrivskyddad åtkomst till dina miljöer.

Den här artikeln beskriver hur du aktiverar kontrollanten i Amazon Web Services (AWS), Microsoft Azure och Google Cloud Platform (GCP) när registreringen är klar.

Den här artikeln beskriver också hur du inaktiverar kontrollanten i Microsoft Azure och Google Cloud Platform (GCP). När du har aktiverat kontrollanten i AWS kan du inte inaktivera den.

Aktivera kontrollanten i AWS

Kommentar

Du kan aktivera styrenheten i AWS om du inaktiverade den under registreringen. När du har aktiverat kontrollanten i AWS kan du inte inaktivera den.

1. I ett separat webbläsarfönster loggar du in på AWS-konsolen för medlemskontot.

2. Gå till startsidan behörighetshantering, välj Inställningar (kugghjulsikonen) och välj sedan underfliken Datainsamlare.

3. På instrumentpanelen Datainsamlare väljer du AWS och sedan Skapa konfiguration.

4. På sidan Behörighetshanteringsregistrering – AWS-medlemskontoinformation väljer du Starta mall.

   Sidan skapa stack för AWS CloudFormation öppnas och mallen visas.

5. I rutan CloudTrailBucketName anger du ett namn.

   Du kan kopiera och klistra in Namnet CloudTrailBucketName från sidan Trails i AWS.

   Kommentar

   En molnhink samlar in all aktivitet i ett enda konto som Behörighetshantering övervakar. Ange namnet på en moln bucket här för att ge Behörighetshantering den åtkomst som krävs för att samla in aktivitetsdata.

6. I rutan EnableController går du till listrutan och väljer Sant för att ge behörighetshantering läs- och skrivåtkomst så att eventuella åtgärder som du vill göra från behörighetshanteringsplattformen kan utföras automatiskt.

7. Rulla längst ned på sidan och i rutan Funktioner och välj Jag bekräftar att AWS CloudFormation kan skapa IAM-resurser med anpassade namn. Välj sedan Skapa stack.

   Den här AWS CloudFormation-stacken skapar en samlingsroll i medlemskontot med nödvändiga behörigheter (principer) för datainsamling. En förtroendeprincip har angetts för den här rollen så att OIDC-rollen som skapats i ditt AWS OIDC-konto kan komma åt den. Dessa entiteter visas på fliken Resurser i din CloudFormation-stack.

8. Gå tillbaka till Behörighetshantering och välj Nästa på sidan Information om behörighetshanteringsregistrering – AWS-medlemskonto.

9. På sidan För registrering av behörighetshantering – Sammanfattning granskar du den information som du har lagt till och väljer sedan Verifiera nu och spara.

   Följande meddelande visas: Konfigurationen har skapats.

Aktivera eller inaktivera kontrollanten i Azure

Du kan aktivera eller inaktivera kontrollanten i Azure på prenumerationsnivå för dina hanteringsgrupp(er).

1. På sidan Azure-start väljer du Hanteringsgrupper.

2. Leta upp den grupp som du vill aktivera eller inaktivera kontrollanten för. Välj sedan pilen för att expandera gruppmenyn och visa dina prenumerationer. Du kan också välja det totala antalet prenumerationer som anges för din grupp.

3. Välj den prenumeration som du vill aktivera eller inaktivera styrenheten för och klicka sedan på Åtkomstkontroll (IAM) i navigeringsmenyn.

4. I avsnittet Kontrollera åtkomst går du till rutan Sök och anger Berättigandehantering för molninfrastruktur.

   Sidan Tilldelningar av berättigandehantering för molninfrastruktur visas och visar de roller som tilldelats dig.

   • Om du har skrivskyddad behörighet visar kolumnen Roll läsare.
   • Om du har administratörsbehörighet visar kolumnen Roll administratör för användaråtkomst.

5. Om du vill lägga till den administrativa rolltilldelningen går du tillbaka till sidan Åtkomstkontroll (IAM) och väljer sedan Lägg till rolltilldelning.

6. Lägg till eller ta bort rolltilldelningen för hanteringen av molninfrastrukturrättigheter.

7. Gå till startsidan behörighetshantering, välj Inställningar (kugghjulsikonen) och välj sedan underfliken Datainsamlare.

8. På instrumentpanelen Datainsamlare väljer du Azure och sedan Skapa konfiguration.

9. På sidan Behörighetshanteringsregistrering – Azure-prenumerationsinformation anger du prenumerations-ID :t och väljer sedan Nästa.

10. På sidan Onboarding för behörighetshantering – Sammanfattning granskar du behörigheterna för kontrollanten och väljer sedan Verifiera nu och Spara.

    Följande meddelande visas: Konfigurationen har skapats.

Aktivera eller inaktivera kontrollanten i GCP

1. Kör gcloud-autentiseringsinloggningen.

2. Följ anvisningarna som visas på skärmen för att auktorisera åtkomst till ditt Google-konto.

3. sh mciem-workload-identity-pool.sh Kör för att skapa arbetsbelastningsidentitetspoolen, providern och tjänstkontot.

4. sh mciem-member-projects.sh Kör för att ge Behörighetshantering behörighet att komma åt vart och ett av medlemsprojekten.

   • Om du vill hantera behörigheter via Behörighetshantering väljer du Y för att aktivera kontrollant.
   • Om du vill publicera dina projekt i skrivskyddat läge väljer du N för att inaktivera styrenhet.

5. Du kan också köra mciem-enable-gcp-api.sh för att aktivera alla rekommenderade GCP-API:er.

6. Gå till startsidan behörighetshantering, välj Inställningar (kugghjulsikonen) och välj sedan underfliken Datainsamlare.

7. På instrumentpanelen Datainsamlare väljer du GCP och sedan Skapa konfiguration.

8. På sidan Behörighetshanteringsregistrering – Skapa Microsoft Entra OIDC-app väljer du Nästa.

9. På sidan Behörighetshanteringsregistrering – GCP OIDC-kontoinformation och IDP-åtkomst anger du OIDC-projektnummer och OIDC-projekt-ID och väljer sedan Nästa.

10. På sidan Behörighetshanteringsregistrering – GCP-projekt-ID anger du projekt-ID:t och väljer sedan Nästa.

11. På sidan Behörighetshanteringsregistrering – sammanfattning granskar du den information som du har lagt till och väljer sedan Verifiera nu och spara.

    Följande meddelande visas: Konfigurationen har skapats.

Nästa steg

• Information om hur du lägger till ett konto/prenumeration/projekt när registreringen är klar finns i Lägga till ett konto/prenumeration/projekt när registreringen är klar.