¿Qué permisos de cuenta de servicio se requieren al incorporar organizaciones y proyectos de GCP en Prisma Cloud?

¿Qué permisos de cuenta de servicio se requieren al incorporar organizaciones y proyectos de GCP en Prisma Cloud?

2215
Created On 09/15/23 08:33 AM - Last Modified 07/14/25 21:25 PM


Question


¿Qué permisos de cuenta de servicio se requieren al incorporar organizaciones y proyectos de GCP en Prisma Cloud?

Environment


  • Prisma Cloud Enterprise Edition (SaaS)

Answer


Al incorporar una organización o un proyecto de GCP a Prisma Cloud, es necesario agregar ciertos permisos a nuestra cuenta de servicio para que Prisma Cloud pueda ingerir datos y permitir capacidades como capacidades de seguridad y permisos y capacidades adicionales.

imagen.png

Los permisos que la cuenta de servicio Prisma Cloud necesita para supervisar sus recursos de GCP dependen de sus necesidades de protección en la nube:

  • Si está incorporando una organización de GCP , debe asignar los roles a la política de IAM para la organización.

  • Si está incorporando un proyecto de GCP , debe asignar los roles a la política de IAM para cada proyecto.

  • Si está utilizando una cuenta de servicio maestra (MSA), tiene dos opciones:

    • (Recomendado) Agregar permisos a la política de IAM para la organización.

    • Asignar los roles a la política de IAM para cada proyecto individualmente

The roles for read or read-write access permission that the service account requires are:
  • ¿Espectador? función primitiva en GCP.

image.png
  • ¿Prisma Cloud Viewer? función personalizado. Prisma Cloud necesita este función personalizado para otorgarle al depósito de almacenamiento en la nube permiso para leer metadatos del depósito de almacenamiento y actualizar políticas de IAM del depósito. Este función requiere storage.buckets.get para recuperar su lista de depósitos de almacenamiento y storage.buckets.getIampolicy para recuperar la política de IAM del depósito especificado.
    • En caso de que no pueda ejecutar el script de Terraform que creará el función personalizado con los permisos necesarios, puede crear un archivo YAML y agregar los permisos granulares para el función personalizado.
    • Utilice este formato YAML como ejemplo. Debe agregar los permisos para incorporar su organización o proyecto de GCP, desde el vínculo anterior, a este archivo:
title: prisma-custom-role 
description: prisma-custom-role 
stage: beta 
includedPermissions: 
- compute.networks.list 
- compute.backendServices.list
.
.
.
  • ¿Administrador de seguridad informática? función predefinida en GCP. Un privilegio opcional que solo se requiere si desea habilitar la corrección automática.

image.png
  • ¿Visor de roles de la organización? función predefinido en GCP. Este función es necesario para incorporar una organización de GCP.
image.png
  • ¿Administrador de flujo de datos? función predefinida en GCP. Privilegio opcional que se requiere para la compresión de registros de flujo de datos mediante el servicio de flujo de datos. Consulta Compresión de registros de flujo en GCP para obtener más información.
image.png
  • Visor de carpetas: función predefinida en GCP. Un privilegio opcional que se requiere solo si desea incorporar metadatos de carpetas de GCP, seleccionar carpetas específicas (incluir o excluir carpetas) y crear automáticamente grupos de cuentas según la jerarquía de carpetas.

image.png

Additional Information
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000XgVoCAK&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language