Prisma Cloud에 GCP 조직 및 프로젝트를 온보딩할 때 필요한 서비스 계정 권한은 무엇입니까?

• Prisma Cloud Enterprise Edition(SaaS)

GCP 조직이나 프로젝트를 Prisma Cloud에 온보딩할 때 서비스 계정에 특정 권한을 추가해야 Prisma Cloud가 데이터를 수집하고 보안 기능, 권한, 추가 기능 등의 기능을 사용할 수 있습니다.

Prisma Cloud 서비스 계정이 GCP 리소스를 모니터 데 필요한 권한은 클라우드 보호 요구 사항에 따라 달라집니다.

• GCP 조직에 온보딩하는 경우 조직의 IAM 정책 에 역할을 할당해야 합니다.

• GCP 프로젝트 에 온보딩하는 경우 각 프로젝트의 IAM 정책 에 역할을 할당해야 합니다.

• 마스터 서비스 계정(MSA)을 사용하는 경우 두 가지 옵션이 있습니다.

  • (권장) 조직의 IAM 정책 에 권한을 추가합니다.

  • 각 프로젝트에 대해 IAM 정책 에 역할을 개별적으로 할당합니다.

• 뷰어?GCP의 기본 역할(role) .

• Prisma Cloud Viewer?사용자 정의 역할(role) . Prisma Cloud는 클라우드 스토리지 버킷에 스토리지 버킷 메타데이터를 읽고 버킷 IAM 정책을 업데이트하다 권한을 부여하기 위해 이 사용자 정의 역할(role) 필요합니다. 이 역할(role) 스토리지 버킷 목록을 검색하기 위해 storage.buckets.get이 필요하고, 지정된 버킷에 대한 IAM 정책 검색하기 위해 storage.buckets.getIampolicy가 필요합니다.
  • 이 경우 필요한 권한이 있는 사용자 지정 역할(role) 만드는 Terraform 스크립트를 실행할 수 없습니다. 대신 YAML 파일을 만들고 사용자 지정 역할(role) 에 대한 세부 권한을 추가할 수 있습니다.
  • 이 YAML 형식을 예로 들어 보겠습니다. 위의 링크에서 GCP 조직이나 프로젝트를 온보딩하기 위한 권한을 이 파일에 추가해야 합니다.

title: prisma-custom-role 
description: prisma-custom-role 
stage: beta 
includedPermissions: 
- compute.networks.list 
- compute.backendServices.list
.
.
.

• Compute Security Admin?GCP에서 미리 정의된 역할(role) 입니다. 자동 수정을 활성화하려는 경우에만 필요한 선택적 권한입니다.

• 조직 역할 뷰어?GCP에서 미리 정의된 역할(role) 입니다. 이 역할(role) GCP 조직을 온보딩하는 데 필요합니다.

• Dataflow Admin?GCP에서 미리 정의된 역할(role) . Dataflow 서비스를 사용하여 데이터플로우 로그 압축에 필요한 선택적 권한입니다. 자세한 내용은 GCP에서 Flow Logs Compression을 참조하세요.

• 폴더 뷰어?GCP에서 미리 정의된 역할(role) 입니다. GCP 폴더 메타데이터를 온보딩하고, 특정 폴더를 선택하고(폴더를 포함하거나 제외) 폴더 계층 구조에 따라 계정 그룹을 자동으로 생성하려는 경우에만 필요한 선택적 권한입니다.

• 문서: GCP 조직 및 프로젝트 온보딩을 위한 전제 조건