本文提供逐步指南,說明如何在 Security Command Center Enterprise 方案中,為安全防護機制發現項目劇本啟用公開儲存空間修復功能。
總覽
Security Command Center 支援下列劇本中安全漏洞的額外補救措施:
- 防護機制發現項目 - 一般
- Jira 防護機制發現項目
- 透過 ServiceNow 取得防護機制調查結果
這些姿勢發現事項劇本包含可修正 OPEN PORT、PUBLIC IP ADDRESS 和 PUBLIC BUCKET ACL 發現事項的區塊。如要進一步瞭解這些發現類型,請參閱「安全漏洞發現」一文。
教戰手冊已預先設定,可處理 OPEN PORT 和 PUBLIC IP ADDRESS 發現項目。如要修正 PUBLIC_BUCKET_ACL 發現的問題,您必須為劇本啟用公開值區修正功能。
啟用應對手冊的公開值區補救措施
安全狀態分析 (SHA) 偵測器找出可公開存取的 Cloud Storage bucket 並產生 PUBLIC_BUCKET_ACL 發現項目後,Security Command Center Enterprise 會擷取這些發現項目,並附加劇本。如要為狀態發現事項劇本啟用公開儲存空間補救措施,您需要建立自訂 IAM 角色、為該角色設定特定權限,並將建立的自訂角色授予現有主體。
事前準備
如要修正公開 bucket 存取權,您必須設定並執行 Cloud Storage 整合的執行個體。如要驗證整合設定,請參閱「更新 Enterprise 用途」。
建立自訂 IAM 角色
如要建立自訂 IAM 角色並為其設定特定權限,請完成下列步驟:
前往 Google Cloud 控制台的「IAM Roles」(IAM 角色) 頁面。
按一下「建立角色」,建立具備整合項目所需權限的自訂角色。
如果是新的自訂角色,請提供「標題」、「說明」和專屬「ID」。
將「角色發布階段」設為「正式發布」。
為建立的角色新增下列權限:
resourcemanager.organizations.setIamPolicy點選「建立」。
將自訂角色指派給現有主體
將新的自訂角色授予所選主體後,該主體就能變更機構中任何使用者的權限。
如要將自訂角色授予現有主體,請完成下列步驟:
前往 Google Cloud 控制台的「IAM」頁面。
在「Filter」(篩選條件) 欄位中,貼上您用於 Cloud Storage 整合的「Workload Identity Email」(工作負載身分電子郵件地址) 值,然後搜尋現有主體。
按一下「Edit principal」(編輯主體)。系統會開啟「編輯『PROJECT』的存取權」對話方塊。
在「指派角色」下方,按一下 「新增其他角色」。
選取您建立的自訂角色,然後按一下「儲存」。