通过在阿里云云安全中心配置谷歌云(Google Cloud Platform,简称GCP)服务账号密钥,可将GCP主机资产自动同步至阿里云安全防护体系。本文详解通过服务账号密钥方式完成GCP主机资产接入的具体配置流程,帮助您实现跨云资产的集中安全管控,降低多云环境下的安全管理复杂度。
本文包含的所有在GCP控制台的操作步骤仅供参考,具体操作步骤请参见GCP官方文档。
步骤一:创建服务账号并获取密钥
登录GCP控制台。在控制台左上角选择目标项目。
说明您需使用中国内地以外地域的网络登录GCP控制台,例如中国香港、新加坡等。
启用Compute Engine API。
在左侧导航栏选择。
根据控制台提示启用Compute Engine API。
创建服务账号并授权。
在左侧导航栏选择。
在服务账号页面,单击创建服务账号。
在创建服务账号页面,输入服务账号名称,单击创建并继续。
在权限(可选)区域,选择角色Compute Viewer,并单击完成。
创建服务账号的密钥。
在服务账号列表,单击目标服务账号操作列的
图标,并单击管理密钥。
在该服务账号的密钥页签,单击。
在创建私钥对话框,键类型保持默认选项JSON,单击创建。
下载并妥善保存该私钥文件。
步骤二:关联虚拟机实例和服务账号
云安全中心仅支持同步与服务账号关联的GCP虚拟机实例。您需要参考下述操作,关联需接入云安全中心的虚拟机实例和接入使用的服务账号。
新创建虚拟机实例时
在GCP控制台创建实例页面,在左侧导航栏单击安全性 ,在服务账号处选择步骤一:创建服务账号并获取密钥中创建的服务账号,完成实例的创建。
已创建的虚拟机实例
在虚拟机实例详细信息页面,单击修改。
在Identity and API access区域,修改服务账号为步骤一:创建服务账号并获取密钥中创建的服务账号,并单击保存。
重要您必须停止虚拟机实例才能修改其服务账号。
步骤三:提交服务账号密钥
登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域全球(不含中国)。
重要由于网络原因,仅支持在全球(不含中国)区域接入谷歌云资产。
在左侧导航栏,选择。
在页签,单击新增授权,在下拉列表中选择GCP。
您也可以在页面,将鼠标移动至多云资产接入区域
图标处,并单击GCP下方的接入,打开接入云外资产面板。在权限说明区域选中主机资产,单击下一步。
在扩展信息下方,单击上传文件,上传通过步骤一:创建服务账号并获取密钥获取的私钥文件。
输入账号名称,单击下一步。
账号名称用于区分同一云厂商下的不同账户,建议您根据其用途设置具有明确含义的名称。
重要请勿删除或禁用该密钥,以免影响GCP资产接入。
步骤四:完成接入策略配置
在云安全中心控制台接入云外资产面板的策略配置向导中,配置需接入的GCP资产的地域、数据同步频率等,单击确定。
配置项
说明
选择地域
选择需接入资产所属地域。云安全中心会将当前账号下对应地域的资产接入全球(不含中国)管理中心。
新增地域接入管理
选中该项后,当前GCP账号下如果有新增地域,云安全中心默认将新增地域的资产数据接入全球(不含中国)数据管理中心。
不选中该项时,新增地域将不会被接入云安全中心。
主机资产同步频率
选择云安全中心自动同步GCP主机资产的时间间隔。选择关闭,表示不同步。
AK服务状态检查
选择云安全中心自动检测GCP服务账号密钥有效性的时间间隔。选择关闭,表示不检测。
单击同步最新资产,将GCP服务账号下的所有主机资产同步到云安全中心。
步骤五:接入结果验证
在云安全中心控制台页面,在多云资产接入区域单击图标,可以查看到GCP资产列表时,表示接入成功。更多信息,请参见主机资产。
后续操作
为GCP资产安装云安全中心客户端。
为GCP资产绑定云安全中心版本。建议您绑定云安全中心付费版本,以获取安全防护和加固能力。免费版仅支持基础检测,无防护能力。各版本的差异,请参见版本对比。