分享方式:

完成上線後啟用或停用控制器

  • 文章

您可以透過控制器決定要在「權限管理」中授與哪個層級的存取權。

  • 啟用以授與環境的讀取和寫入存取權。 您可透過「權限管理」來調整權限大小並進行補救。

  • 停用以授與對環境的唯讀存取權。

本文說明如何在上線完成之後,在 Amazon Web Services (AWS)、Microsoft Azure 和 Google Cloud Platform (GCP) 中啟用控制器。

本文也說明如何在 Microsoft Azure 和 Google Cloud Platform (GCP) 中停用控制器。 在 AWS 中啟用控制器之後,就無法將其停用。

在 AWS 中啟用控制器

注意

如果您在上架期間將其停用,則可以在 AWS 中啟用控制器。 在 AWS 中啟用控制器之後,就無法將其停用。

  1. 在不同的瀏覽器視窗中,登入成員帳戶的 AWS 主控台。

  2. 移至權限管理首頁中,選取 [設定] (齒輪圖示),然後選取 [資料收集器] 子索引標籤。

  3. 在 [資料收集器] 儀表板上,選取 [AWS],然後選取 [建立設定]

  4. 在 [權限管理上線 - AWS 成員帳戶詳細資料] 頁面上,選取 [啟動範本]

    [AWS CloudFormation 建立堆疊] 頁面即會開啟,其中並顯示範本。

  5. 在 [CloudTrailBucketName] 方塊中,輸入名稱。

    您可以從 AWS 中的 [線索] 頁面複製並貼上CloudTrailBucketName 名稱。

    注意

    雲端貯體會收集單一帳戶中權限管理所監視的所有活動。 在這裡輸入雲端貯體的名稱,以提供權限管理收集活動資料所需的存取權。

  6. 在 [EnableController] 方塊中,從下拉式清單選取 [True],為權限管理提供讀取和寫入存取權,以便您想要從權限管理平台執行的任何補救都可以自動完成。

  7. 捲動到頁面底部,然後在 [功能] 方塊中,並選取 [我確認 AWS CloudFormation 可能會使用自訂名稱建立 IAM 資源]。 然後,選取 [建立堆疊]

    此 AWS CloudFormation 堆疊會在成員帳戶中建立具有必要權限 (原則) 的集合角色,以進行資料收集。 此角色上會設定信任原則,以允許在 AWS OIDC 帳戶中建立的 OIDC 角色存取此信任原則。 這些實體會列示在 CloudFormation 堆疊的 [資源] 索引標籤中。

  8. 返回 [權限管理],然後在 [權限管理 - AWS 成員帳戶詳細資料] 頁面上選取 [下一步]

  9. 在 [權限管理上線 - 摘要] 頁面上,檢閱您已新增的資訊,然後選取 [立即驗證和儲存]

    下列訊息即會出現:已成功建立設定。

在 Azure 中啟用或停用控制器

您可以在管理群組的訂用帳戶層級,啟用或停用 Azure 中的控制器。

  1. 從 Azure 的 [首頁],選取 [管理群組]

  2. 找出您要啟用或停用控制器的群組,然後選取箭號以展開群組功能表,並檢視您的訂用帳戶。 或者,您可以選取為群組列出 [訂用帳戶總數]

  3. 選取您要啟用或停用控制器的訂用帳戶,然後按一下瀏覽功能表中的 [存取控制 (IAM)]

  4. 在 [檢查存取權] 區段中的 [尋找] 方塊中,輸入雲端基礎結構權利管理

    [雲端基礎結構權利管理指派] 頁面會隨即出現,其中顯示指派給您的角色。

    • 如果您有唯讀權限,[角色] 資料行會顯示 [讀取者]
    • 如果您有系統管理權限,[角色] 資料行會顯示 [使用者存取管理]

  5. 若要新增系統管理角色指派,請返回 [存取控制 (IAM)] 頁面,然後選取 [新增角色指派]

  6. 新增或移除雲端基礎結構權利管理的角色指派。

  7. 移至權限管理首頁中,選取 [設定] (齒輪圖示),然後選取 [資料收集器] 子索引標籤。

  8. 在 [資料收集器] 儀表板上,選取 [Azure],然後選取 [建立設定]

  9. 在 [權限管理上線 - Azure 訂用帳戶詳細資料] 頁面上,輸入訂用帳戶識別碼,然後按一下 [下一步]

  10. 在 [權限管理上線 - 摘要] 頁面上,檢閱控制器權限,然後選取 [立即驗證和儲存]

    下列訊息即會出現:已成功建立設定。

在 GCP 中啟用或停用控制器

  1. 執行 gcloud auth login

  2. 請遵循畫面上顯示的指示來授與 Google 帳戶的存取權。

  3. 執行 sh mciem-workload-identity-pool.sh,以建立工作負載身分識別集區、提供者和服務帳戶。

  4. 執行 sh mciem-member-projects.sh,讓權限管理有權存取每個成員專案。

    • 如果您想要透過權限管理來管理權限,請選取 [Y],以 [啟用控制器]
    • 如果您想要以唯讀模式將專案上線,請選取 [N] 以 [停用控制器]

  5. 或者,執行 mciem-enable-gcp-api.sh,以啟用所有建議的 GCP API。

  6. 移至權限管理首頁中,選取 [設定] (齒輪圖示),然後選取 [資料收集器] 子索引標籤。

  7. 在 [資料收集器] 儀表板上,選取 [GCP],然後選取 [建立設定]

  8. 在 [權限管理上線 - Microsoft Entra OIDC 應用程式建立] 頁面上,選取 [下一步]

  9. 在 [權限管理上線 - GCP OIDC 帳戶詳細資料和 IDP 存取] 頁面上,輸入 [OIDC 專案編號] 和 [OIDC 專案識別碼],然後選取 [下一步]

  10. 在 [權限管理上線 - GCP 專案識別碼] 頁面上,輸入專案識別碼,接著選取 [下一步]

  11. 在 [權限管理上線 - 摘要] 頁面上,檢閱您已新增的資訊,然後選取 [立即驗證和儲存]

    下列訊息即會出現:已成功建立設定。

下一步