Quelles autorisations de compte de service sont requises lors de l’intégration d’organisations et de projets GCP dans Prisma Cloud ?
Question
Quelles autorisations de compte de service sont requises lors de l’intégration d’organisations et de projets GCP dans Prisma Cloud ?
Environment
- Prisma Cloud Enterprise Edition (SaaS)
Answer
Lors de l'intégration d'une organisation ou d'un projet GCP dans Prisma Cloud, il est nécessaire d'ajouter certaines autorisations à notre compte de service, afin que Prisma Cloud puisse ingérer des données et autoriser des fonctionnalités telles que les capacités de sécurité et les autorisations et capacités supplémentaires.
Les autorisations dont le compte de service Prisma Cloud a besoin pour surveiller vos ressources GCP dépendent de vos besoins en matière de protection du cloud :
-
Si vous intégrez une organisation GCP , vous devez attribuer les rôles à la politique, règle, mesures IAM de l'organisation.
-
Si vous intégrez un projet GCP , vous devez attribuer les rôles à la politique, règle, mesures IAM pour chaque projet.
-
Si vous utilisez un compte de service principal (MSA), vous avez deux options :
-
(Recommandé) Ajoutez des autorisations à la politique, règle, mesures IAM pour l’organisation.
-
Attribuer les rôles à la politique, règle, mesures IAM pour chaque projet individuellement
-
- Téléspectateur ? rôle primitif sur GCP.
- Prisma Cloud Viewer ? rôle personnalisé. Prisma Cloud a besoin de ce rôle personnalisé pour accorder au compartiment de stockage cloud l'autorisation de lire les métadonnées du compartiment de stockage et de mettre à jour les stratégies IAM du compartiment. Ce rôle nécessite storage.buckets.get pour récupérer votre liste de compartiments de stockage et storage.buckets.getIampolicy pour récupérer la politique, règle, mesures IAM du compartiment spécifié.
- Dans ce cas, vous ne pouvez pas exécuter le script Terraform qui créera le rôle personnalisé avec les autorisations nécessaires. Vous pouvez également créer un fichier YAML et ajouter les autorisations détaillées pour le rôle personnalisé.
- Utilisez ce format YAML comme exemple. Vous devez ajouter les autorisations pour intégrer votre organisation ou projet GCP, à partir du lien ci-dessus, à ce fichier :
title: prisma-custom-role description: prisma-custom-role stage: beta includedPermissions: - compute.networks.list - compute.backendServices.list . . .
- Administrateur de Compute Security ? rôle prédéfini sur GCP. Privilège facultatif requis uniquement si vous souhaitez activer la correction automatique.
- Rôle de spectateur d'organisation ? rôle prédéfini sur GCP. Ce rôle est requis pour intégrer une organisation GCP.
- Administrateur de flux de données ? rôle prédéfini sur GCP. Privilège facultatif requis pour la compression des journaux de flux de données à l'aide du service Dataflow. Pour plus d'informations, consultez Compression des journaux de flux sur GCP .
- Visionneuse de dossiers ? rôle prédéfini sur GCP. Privilège facultatif requis uniquement si vous souhaitez intégrer les métadonnées des dossiers GCP, sélectionner des dossiers spécifiques (inclure ou exclure des dossiers) et créer automatiquement des groupes de comptes en fonction de la hiérarchie des dossiers.