将 GCP 组织和项目纳入 Prisma Cloud 时需要哪些服务帐户权限？

• Prisma Cloud 企业版 (SaaS)

将 GCP 组织或项目加入 Prisma Cloud 时，需要向我们的服务帐户添加某些权限，以便 Prisma Cloud 可以提取数据并允许安全功能和权限以及附加功能等功能。

Prisma Cloud 服务帐户监视器您的 GCP 资源所需的权限取决于您的云保护需求：

• 如果您正在加入GCP 组织，则必须将角色分配给该组织的 IAM策略。

• 如果您正在加入GCP 项目，则必须将角色分配给每个项目的 IAM策略。

• 如果您使用主服务帐户 (MSA)，则有两个选择：

  • （推荐）向组织的 IAM策略添加权限。

  • 将角色分别分配给每个项目的 IAM策略

• 查看者？GCP 上的原始角色。

• Prisma Cloud Viewer？自定义角色。Prisma Cloud 需要此自定义角色来授予云存储桶权限，以读取存储桶元数据并更新存储桶 IAM 策略。此角色需要storage.buckets.get来检索您的存储桶列表，以及storage.buckets.getIampolicy来检索指定存储桶的 IAM策略。
  • 在这种情况下，您无法执行将创建具有必要权限的自定义角色的terraform 脚本。或者，您可以创建一个 YAML 文件并为自定义角色添加细粒度的权限。
  • 使用此 YAML 格式作为示例。您必须将上面的链接中有关加入 GCP 组织或项目的权限添加到此文件：

title: prisma-custom-role 
description: prisma-custom-role 
stage: beta 
includedPermissions: 
- compute.networks.list 
- compute.backendServices.list
.
.
.

• 计算安全管理员？GCP 上的预定义角色。这是一项可选特权，仅当您要启用自动修复时才需要。

• 组织角色查看者？GCP 上的预定义角色。加入 GCP 组织需要此角色。

• Dataflow Admin？GCP 上的预定义角色。使用 Dataflow 服务进行数据流日志压缩所需的可选权限。有关详细信息，请参阅GCP 上的流日志压缩。

• 文件夹查看者？GCP 上的预定义角色。这是一项可选权限，仅当您想要加入 GCP 文件夹元数据、选择特定文件夹（包括或排除文件夹）以及根据文件夹层次结构自动创建帐户组时才需要。

• 文档： 加入 GCP 组织和项目的先决条件