Crie uma conta de serviço e configure-a para uso com bibliotecas de cliente do Security Command Center.
Antes de começar
Para concluir este guia, você precisa do seguinte:
- O papel do IAM de administrador da conta de serviço. Para mais informações sobre os papéis do IAM do Security Command Center, consulte Controle de acesso.
- Um caminho de diretório atual em que uma chave privada de conta de serviço pode ser
armazenada. Esse caminho está no contexto do seu ambiente do Cloud Shell, como
/home/myuser/mykeys/. - O nível de ativação do Security Command Center: nível do projeto ou nível da organização. Dependendo do seu nível de ativação, alguns dos comandos usados para configurar o acesso ao SDK são diferentes. Para verificar seu nível de ativação, consulte Verificar o nível de ativação do Security Command Center.
Como acessar o Security Command Center
Para acessar o Security Command Center de maneira programática, use o Cloud Shell para acessar a biblioteca de cliente e autenticar uma conta de serviço.
configurar variáveis de ambiente
- Acesse o console do Google Cloud.
Acesse o Console do Google Cloud - Clique em Ativar o Cloud Shell.
Defina variáveis de ambiente executando:
Defina o nome da organização:
export ORG_ID=ORGANIZATION_ID
Substitua
ORGANIZATION_IDpelo ID da organização.Defina o ID do projeto:
export PROJECT_ID=CLOUD_SCC_ENABLED_PROJECT_ID
Substitua
CLOUD_SCC_ENABLED_PROJECT_IDpelo ID de um projeto em que o Security Command Center esteja ativo no nível do projeto ou em que as verificações estejam ativadas.Defina o ID personalizado que você quer usar para uma nova conta de serviço, como
scc-sa. O nome da conta de serviço precisa ter entre 6 e 30 caracteres, precisa começar com uma letra e ser todos caracteres minúsculos e hífens:export SERVICE_ACCOUNT=CUSTOM_ID
Substitua
CUSTOM_IDpor um ID de sua escolha.Defina o caminho em que a chave da conta de serviço precisa ser armazenada, como
export KEY_LOCATION=/home/$USER/mykeys/$SERVICE_ACCOUNT.json:export KEY_LOCATION=FULL_PATH # This is used by client libraries to find the key export GOOGLE_APPLICATION_CREDENTIALS=$KEY_LOCATION
Como configurar uma conta de serviço
Para acessar o Security Command Center programaticamente, é necessária uma chave privada de uma conta de serviço a ser usada pelo cliente.
Você também precisa conceder o papel securitycenter.admin do IAM à conta de serviço. Dependendo do nível de acesso que a conta de serviço precisa,
conceda o papel no nível do projeto, da pasta ou da organização.
Crie uma conta de serviço associada ao ID do projeto:
gcloud iam service-accounts create $SERVICE_ACCOUNT \ --display-name "Service Account for USER" \ --project $PROJECT_ID
Substitua
USERpelo nome de usuário da pessoa ou entidade que usará a conta de serviço.Crie uma chave para associar à conta de serviço. A chave é usada durante a vida da conta de serviço e armazenada de forma permanente no caminho atribuído a
KEY_LOCATION.gcloud iam service-accounts keys create $KEY_LOCATION \ --iam-account $SERVICE_ACCOUNT@$PROJECT_ID.iam.gserviceaccount.com
Conceda à conta de serviço o papel
securitycenter.adminpara a organização ou o projeto, dependendo do nível de ativação do Security Command Center.Para ativações no nível da organização:
gcloud organizations add-iam-policy-binding $ORG_ID \ --member="serviceAccount:$SERVICE_ACCOUNT@$PROJECT_ID.iam.gserviceaccount.com" \ --role='roles/securitycenter.admin'
Para ativações no nível do projeto:
gcloud projects add-iam-policy-binding $PROJECT_ID \ --member="serviceAccount:$SERVICE_ACCOUNT@$PROJECT_ID.iam.gserviceaccount.com" \ --role='roles/securitycenter.admin'
Como instalar bibliotecas de cliente do Security Command Center
Python
Para incluir a biblioteca do Python do Security Command Center como uma dependência no projeto, siga o processo abaixo:
Opcional: antes de instalar a biblioteca do Python, recomendamos usar o Virtualenv para criar um ambiente Python isolado.
virtualenv onboarding_example source onboarding_example/bin/activate
Instale o pip para gerenciar a instalação da biblioteca Python.
Execute os seguintes comandos para instalar a biblioteca Python:
pip install google-cloud-securitycenter
Java
Para incluir a biblioteca Java do Security Command Center como uma dependência em seu projeto, selecione um artefato no repositório Maven.
Go
Para fazer o download da biblioteca Go, execute:
go get cloud.google.com/go/securitycenter/apiv1
Node.js
Para instalar a biblioteca Node.js, execute:
npm install --save @google-cloud/security-center
A seguir
Como usar o SDK
Revise os guias de todos os recursos compatíveis com o Security Command Center:
- Como listar recursos
- Como listar descobertas de segurança
- Como criar, modificar e consultar marcações de segurança
- Como criar e atualizar descobertas de segurança
- Como criar, atualizar e listar fontes de descoberta
- Como definir as configurações da organização
Referências do SDK
Consulte as referências completas do SDK: