Welche Servicekontoberechtigungen werden beim Onboarding von GCP-Organisationen und -Projekten in Prisma Cloud benötigt?

• Prisma Cloud Enterprise Edition (SaaS)

Beim Onboarding einer GCP-Organisation oder eines GCP-Projekts in Prisma Cloud müssen unserem Servicekonto bestimmte Berechtigungen hinzugefügt werden, damit Prisma Cloud Daten aufnehmen und Funktionen wie Sicherheitsfunktionen und Berechtigungen sowie zusätzliche Funktionen zulassen kann.

Die Berechtigungen, die das Prisma Cloud-Dienstkonto zum überwachen Ihrer GCP-Ressourcen benötigt, hängen von Ihren Cloud-Schutzanforderungen ab:

• Wenn Sie eine GCP-Organisation integrieren, müssen Sie die Rollen der IAM- Richtlinie für die Organisation zuweisen.

• Wenn Sie ein GCP-Projekt integrieren , müssen Sie der IAM- Richtlinie für jedes Projekt die Rollen zuweisen.

• Wenn Sie ein Master-Dienstkonto (MSA) verwenden, haben Sie zwei Möglichkeiten:

  • (Empfohlen) Fügen Sie der IAM Richtlinie für die Organisation Berechtigungen hinzu.

  • Weisen Sie die Rollen der IAM Richtlinie für jedes Projekt einzeln zu

• Viewer? Primitive Rolle auf GCP.

• Prisma Cloud Viewer?Benutzerdefinierte Rolle. Prisma Cloud benötigt diese benutzerdefinierte Rolle , um Cloud Storage-Buckets die Berechtigung zum Lesen von Storage-Bucket-Metadaten und aktualisieren von Bucket-IAM-Richtlinien zu erteilen. Diese Rolle erfordert storage.buckets.get , um Ihre Liste von Storage-Buckets abzurufen, und storage.buckets.getIampolicy, um die IAM- Richtlinie für den angegebenen Bucket abzurufen.
  • Für den Fall, dass Sie das Terraform-Skript nicht ausführen können, das die benutzerdefinierte Rolle mit den erforderlichen Berechtigungen erstellt, können Sie alternativ eine YAML-Datei erstellen und die detaillierten Berechtigungen für die benutzerdefinierte Rolle hinzufügen.
  • Verwenden Sie dieses YAML-Format als Beispiel. Sie müssen die Berechtigungen für das Onboarding Ihrer GCP-Organisation oder Ihres GCP-Projekts über den obigen Link zu dieser Datei hinzufügen:

title: prisma-custom-role 
description: prisma-custom-role 
stage: beta 
includedPermissions: 
- compute.networks.list 
- compute.backendServices.list
.
.
.

• Compute Security Admin? Vordefinierte Rolle auf GCP. Ein optionales Privileg, das nur erforderlich ist, wenn Sie die automatische Behebung aktivieren möchten.

• Organisationsrollen-Viewer? Vordefinierte Rolle auf GCP. Diese Rolle ist für das Onboarding einer GCP-Organisation erforderlich.

• Dataflow-Administrator? Vordefinierte Rolle auf GCP. Ein optionales Privileg, das für die Komprimierung von Dataflow-Protokollen mithilfe des Dataflow-Dienstes erforderlich ist. Weitere Informationen finden Sie unter Komprimierung von Datenflussprotokollen auf GCP .

• Ordnerbetrachter? Vordefinierte Rolle auf GCP. Eine optionale Berechtigung, die nur erforderlich ist, wenn Sie GCP-Ordnermetadaten integrieren, bestimmte Ordner auswählen (Ordner einschließen oder ausschließen) und automatisch Kontogruppen basierend auf der Ordnerhierarchie erstellen möchten.

• Dokumentation: Voraussetzungen für das Onboarding von GCP-Organisationen und -Projekten