本文档提供了一份分步指南,介绍了如何在 Security Command Center 的 Enterprise 层级中针对安全状况发现结果 playbook 启用公开存储桶补救功能。
概览
Security Command Center 支持以下 playbook 中漏洞的其他补救措施:
- 安全状况发现结果 - 常规
- 通过 Jira 查看安全状况发现结果
- 通过 ServiceNow 发现的姿态问题
这些姿势发现剧本包含一个可修正 OPEN PORT、PUBLIC IP ADDRESS 和 PUBLIC BUCKET ACL 发现结果的块。如需详细了解这些发现结果类型,请参阅漏洞发现结果。
playbook 已预先配置为处理 OPEN PORT 和 PUBLIC IP ADDRESS 发现结果。如需修正 PUBLIC_BUCKET_ACL 发现结果,您需要为 playbook 启用公开存储桶修正功能。
为 Playbook 启用公开存储桶补救功能
Security Health Analytics (SHA) 检测器识别出可公开访问的 Cloud Storage 存储分区并生成 PUBLIC_BUCKET_ACL 发现结果后,Security Command Center Enterprise 会提取这些发现结果并为其附加剧本。如需为姿态发现结果 playbook 启用公开存储桶补救功能,您需要创建自定义 IAM 角色,为其配置特定权限,并将您创建的自定义角色授予现有主账号。
准备工作
如需修正公开存储桶访问权限,您需要配置并运行 Cloud Storage 集成实例。如需验证集成配置,请参阅更新 Enterprise 应用场景。
创建自定义 IAM 角色
如需创建自定义 IAM 角色并为其配置特定权限,请完成以下步骤:
在 Google Cloud 控制台中,前往 IAM 角色页面。
点击创建角色,以创建具有集成所需权限的自定义角色。
对于新的自定义角色,请提供标题、说明和唯一的 ID。
将角色发布阶段设置为正式版。
向创建的角色添加以下权限:
resourcemanager.organizations.setIamPolicy点击创建。
向现有主账号授予自定义角色
向所选主账号授予新的自定义角色后,该主账号便可以更改组织中任何用户的权限。
如需向现有主账号授予自定义角色,请完成以下步骤:
在 Google Cloud 控制台中,前往 IAM 页面。
在过滤条件字段中,粘贴您用于 Cloud Storage 集成的工作负载身份电子邮件地址值,然后搜索现有正文。
点击 修改主账号。系统会打开修改对“PROJECT”的访问权限对话框。
在分配角色下,点击 添加其他角色。
选择您创建的自定义角色,然后点击保存。