本文提供逐步指南,說明如何在 Security Command Center Enterprise 方案中,為安全防護機制發現項目劇本啟用公開儲存空間修復功能。
總覽
Security Command Center 支援下列劇本中安全漏洞的額外補救措施:
- 防護機制發現事項 - 一般
- Jira 防護機制發現項目
- 透過 ServiceNow 取得姿勢發現
這些安全狀態發現項目劇本包含可修正 OPEN PORT、PUBLIC IP ADDRESS 和 PUBLIC BUCKET ACL 發現項目的區塊。如要進一步瞭解這些發現項目類型,請參閱「安全漏洞發現項目」。
教戰手冊已預先設定為處理 OPEN PORT 和 PUBLIC IP ADDRESS 發現項目。如要修正 PUBLIC_BUCKET_ACL 發現項目,您必須為教戰手冊啟用公開 bucket 修正功能。
啟用應對手冊的公開值區補救措施
安全狀態分析 (SHA) 偵測工具識別出可公開存取的 Cloud Storage bucket 並產生 PUBLIC_BUCKET_ACL 發現項目後,Security Command Center Enterprise 會擷取這些發現項目,並附加應對手冊。如要為安全狀態發現事項劇本啟用公開 bucket 補救措施,您必須建立自訂 IAM 角色、為該角色設定特定權限,並將建立的自訂角色授予現有主體。
事前準備
您必須設定並執行 Cloud Storage 整合的執行個體,才能修正公開 bucket 存取權。如要驗證整合設定,請參閱「更新 Enterprise 用途」。
建立自訂 IAM 角色
如要建立自訂 IAM 角色並為其設定特定權限,請完成下列步驟:
前往 Google Cloud 控制台的 IAM「角色」頁面。
按一下「建立角色」,建立具有整合所需權限的自訂角色。
如果是新的自訂角色,請提供「標題」、「說明」和專屬「ID」。
將「角色發布階段」設為「正式發布」。
將下列權限新增至建立的角色:
resourcemanager.organizations.setIamPolicy點選「建立」。
將自訂角色指派給現有主體
將新的自訂角色授予所選主體後,對方就能變更機構中任何使用者的權限。
如要將自訂角色授予現有主體,請完成下列步驟:
前往 Google Cloud 控制台的「IAM」(身分與存取權管理) 頁面。
在「Filter」(篩選條件) 欄位中,貼上您用於 Cloud Storage 整合的「Workload Identity Email」(工作負載身分電子郵件) 值,然後搜尋現有主體。
按一下「編輯主體」。系統會開啟「編輯『PROJECT』的存取權」對話方塊。
在「指派角色」下方,按一下「新增其他角色」。
選取您建立的自訂角色,然後按一下「儲存」。