完成上線後啟用或停用控制器
您可以透過控制器決定要在「權限管理」中授與哪個層級的存取權。
啟用以授與環境的讀取和寫入存取權。 您可透過「權限管理」來調整權限大小並進行補救。
停用以授與對環境的唯讀存取權。
本文說明如何在上線完成之後,在 Amazon Web Services (AWS)、Microsoft Azure 和 Google Cloud Platform (GCP) 中啟用控制器。
本文也說明如何在 Microsoft Azure 和 Google Cloud Platform (GCP) 中停用控制器。 在 AWS 中啟用控制器之後,就無法將其停用。
在 AWS 中啟用控制器
注意
如果您在上架期間將其停用,則可以在 AWS 中啟用控制器。 在 AWS 中啟用控制器之後,就無法將其停用。
在不同的瀏覽器視窗中,登入成員帳戶的 AWS 主控台。
移至權限管理首頁中,選取 [設定] (齒輪圖示),然後選取 [資料收集器] 子索引標籤。
在 [資料收集器] 儀表板上,選取 [AWS],然後選取 [建立設定]。
在 [權限管理上線 - AWS 成員帳戶詳細資料] 頁面上,選取 [啟動範本]。
[AWS CloudFormation 建立堆疊] 頁面即會開啟,其中並顯示範本。
在 [CloudTrailBucketName] 方塊中,輸入名稱。
您可以從 AWS 中的 [線索] 頁面複製並貼上CloudTrailBucketName 名稱。
注意
雲端貯體會收集單一帳戶中權限管理所監視的所有活動。 在這裡輸入雲端貯體的名稱,以提供權限管理收集活動資料所需的存取權。
在 [EnableController] 方塊中,從下拉式清單選取 [True],為權限管理提供讀取和寫入存取權,以便您想要從權限管理平台執行的任何補救都可以自動完成。
捲動到頁面底部,然後在 [功能] 方塊中,並選取 [我確認 AWS CloudFormation 可能會使用自訂名稱建立 IAM 資源]。 然後,選取 [建立堆疊]。
此 AWS CloudFormation 堆疊會在成員帳戶中建立具有必要權限 (原則) 的集合角色,以進行資料收集。 此角色上會設定信任原則,以允許在 AWS OIDC 帳戶中建立的 OIDC 角色存取此信任原則。 這些實體會列示在 CloudFormation 堆疊的 [資源] 索引標籤中。
返回 [權限管理],然後在 [權限管理 - AWS 成員帳戶詳細資料] 頁面上選取 [下一步]。
在 [權限管理上線 - 摘要] 頁面上,檢閱您已新增的資訊,然後選取 [立即驗證和儲存]。
下列訊息即會出現:已成功建立設定。
在 Azure 中啟用或停用控制器
您可以在管理群組的訂用帳戶層級,啟用或停用 Azure 中的控制器。
從 Azure 的 [首頁],選取 [管理群組]。
找出您要啟用或停用控制器的群組,然後選取箭號以展開群組功能表,並檢視您的訂用帳戶。 或者,您可以選取為群組列出 [訂用帳戶總數]。
選取您要啟用或停用控制器的訂用帳戶,然後按一下瀏覽功能表中的 [存取控制 (IAM)]。
在 [檢查存取權] 區段中的 [尋找] 方塊中,輸入雲端基礎結構權利管理。
[雲端基礎結構權利管理指派] 頁面會隨即出現,其中顯示指派給您的角色。
- 如果您有唯讀權限,[角色] 資料行會顯示 [讀取者]。
- 如果您有系統管理權限,[角色] 資料行會顯示 [使用者存取管理]。
若要新增系統管理角色指派,請返回 [存取控制 (IAM)] 頁面,然後選取 [新增角色指派]。
新增或移除雲端基礎結構權利管理的角色指派。
移至權限管理首頁中,選取 [設定] (齒輪圖示),然後選取 [資料收集器] 子索引標籤。
在 [資料收集器] 儀表板上,選取 [Azure],然後選取 [建立設定]。
在 [權限管理上線 - Azure 訂用帳戶詳細資料] 頁面上,輸入訂用帳戶識別碼,然後按一下 [下一步]。
在 [權限管理上線 - 摘要] 頁面上,檢閱控制器權限,然後選取 [立即驗證和儲存]。
下列訊息即會出現:已成功建立設定。
在 GCP 中啟用或停用控制器
執行 gcloud auth login。
請遵循畫面上顯示的指示來授與 Google 帳戶的存取權。
執行
sh mciem-workload-identity-pool.sh
,以建立工作負載身分識別集區、提供者和服務帳戶。執行
sh mciem-member-projects.sh
,讓權限管理有權存取每個成員專案。- 如果您想要透過權限管理來管理權限,請選取 [Y],以 [啟用控制器]。
- 如果您想要以唯讀模式將專案上線,請選取 [N] 以 [停用控制器]。
或者,執行
mciem-enable-gcp-api.sh
,以啟用所有建議的 GCP API。移至權限管理首頁中,選取 [設定] (齒輪圖示),然後選取 [資料收集器] 子索引標籤。
在 [資料收集器] 儀表板上,選取 [GCP],然後選取 [建立設定]。
在 [權限管理上線 - Microsoft Entra OIDC 應用程式建立] 頁面上,選取 [下一步]。
在 [權限管理上線 - GCP OIDC 帳戶詳細資料和 IDP 存取] 頁面上,輸入 [OIDC 專案編號] 和 [OIDC 專案識別碼],然後選取 [下一步]。
在 [權限管理上線 - GCP 專案識別碼] 頁面上,輸入專案識別碼,接著選取 [下一步]。
在 [權限管理上線 - 摘要] 頁面上,檢閱您已新增的資訊,然後選取 [立即驗證和儲存]。
下列訊息即會出現:已成功建立設定。
下一步
- 如需如何在上線完成之後新增帳戶/訂用帳戶/專案的相關資訊,請參閱在上線完成之後新增帳戶/訂用帳戶/專案。