在加入完成后启用或禁用控制器

使用控制器,可以决定要在权限管理中授予哪些级别的访问权限。

  • 启用以授予对环境的读取和写入访问权限。 可以通过权限管理来调整权限和进行修正。

  • 启用以授予对环境的只读访问权限。

本文介绍了在加入完成后如何在 Amazon Web Services (AWS)、Microsoft Azure 和 Google Cloud Platform (GCP) 中启用控制器。

本文还介绍了如何在 Microsoft Azure 和 Google Cloud Platform (GCP) 中禁用控制器。 在 AWS 中启用控制器后,将无法禁用。

在 AWS 中启用控制器

注意

如果在加入期间禁用了控制器,则可以在 AWS 中启用它。 在 AWS 中启用控制器后,将无法禁用它。

  1. 在单独的浏览器窗口中,登录到成员帐户的 AWS 控制台。

  2. 转到“权限管理”主页,选择“设置”(齿轮图标),然后选择“数据收集器”子选项卡。

  3. 在“数据收集器”仪表板中,选择“AWS”,然后选择“创建配置”。

  4. 在“权限管理加入 - AWS 成员帐户详细信息”页,选择“启动模板”。

    “AWS CloudFormation 创建堆栈”页随即打开,显示模板。

  5. 在 CloudTrailBucketName 框中,输入名称。

    可以从 AWS 的“痕迹”页复制并粘贴 CloudTrailBucketName 名称。

    注意

    云 Bucket 收集权限管理监视的单个帐户中的所有活动。 在此处输入云 Bucket 的名称,为权限管理提供收集活动数据所需的访问权限。

  6. 在“EnableController”框中,从下拉列表中选择“True”,以向权限管理提供读写访问权限,以便可以自动完成你希望从权限管理平台执行的任何修正。

  7. 滚动到页面底部,在“功能”框中选择“我确认 AWS CloudFormation 可能会创建具有自定义名称的 IAM 资源”。 然后选择“创建堆栈”。

    此 AWS CloudFormation 堆栈在成员帐户中创建一个收集角色,该角色具有数据收集所需的权限(策略)。 为此角色设置了信任策略,以允许在 AWS OIDC 帐户中创建的 OIDC 角色访问它。 这些实体列在 CloudFormation 堆栈的“资源”选项卡中。

  8. 返回权限管理,并在“权限管理加入 - AWS成员账户详细信息”页面中,选择“下一步”。

  9. 在“权限管理加入 - 摘要”页上,查看已添加的信息,然后选择“立即验证并保存”

    此时将显示以下消息:已成功创建配置。

在 Azure 中启用或禁用控制器

在 Azure 中,可以在管理组的订阅级别启用或禁用控制器。

  1. Azure 主页中,选择“管理组”。

  2. 找到要为其启用或禁用控制器的组,然后选择箭头以展开组菜单并查看订阅。 或者,可以选择为组列出的总订阅数。

  3. 选择要为其启用或禁用控制器的订阅,然后在导航菜单中单击“访问控制(IAM)”。

  4. 在“检查访问权限”部分的“查找”框中,输入“云基础结构权利管理”。

    此时会显示“云基础结构权利管理分配”页,其中显示了分配给你的角色。

    • 如果你具有只读权限,则“角色”列会显示“读者”。
    • 如果你具有管理权限,则“角色”列会显示“用户访问管理员”。
  5. 若要添加管理角色分配,请返回到“访问控制(IAM)”页,然后选择“添加角色分配”。

  6. 添加或删除云基础结构权利管理的角色分配。

  7. 转到“权限管理”主页,选择“设置”(齿轮图标),然后选择“数据收集器”子选项卡。

  8. 在“数据收集器”仪表板中,选择“Azure”,然后选择“创建配置”。

  9. 在“权限管理加入 - Azure 订阅详细信息”页中,输入“订阅 ID”,然后选择“下一步”。

  10. 在“权限管理加入 - 摘要”页上,查看控制权限,然后选择“立即验证并保存”

    此时将显示以下消息:已成功创建配置。

在 GCP 中启用或禁用控制器

  1. 执行 gcloud auth login。

  2. 按照屏幕上显示的说明授权访问 Google 帐户。

  3. 执行 sh mciem-workload-identity-pool.sh 以创建工作负载标识池、提供程序和服务帐户。

  4. 执行 sh mciem-member-projects.sh 以授予权限管理访问每个成员项目的权限。

    • 如果要通过权限管理管理权限,请选择“Y”启用控制器。
    • 如果要在只读模式下加入项目,请选择“N”禁用控制器。
  5. 或者,执行 mciem-enable-gcp-api.sh 以启用所有推荐的 GCP API。

  6. 转到“权限管理”主页,选择“设置”(齿轮图标),然后选择“数据收集器”子选项卡。

  7. 在“数据收集器”仪表板中,选择“GCP”,然后选择“创建配置”。

  8. 在“权限管理加入 - Microsoft Entra OIDC 应用创建”页面中,选择“下一步”。

  9. 在“权限管理加入 - GCP OIDC 帐户详细信息和 IDP 访问”页上,输入“OIDC 项目编号”和“OIDC 项目 ID”,然后选择“下一步”

  10. 在“权限管理加入 - GCP 项目 ID”页上,输入“项目 ID”,然后选择“下一步”。

  11. 在“权限管理加入 - 摘要”页上,查看已添加的信息,然后选择“立即验证并保存”

    此时将显示以下消息:已成功创建配置。

后续步骤