Een GCP-project (Google Cloud Platform) onboarden

In dit artikel wordt beschreven hoe u een GCP-project (Google Cloud Platform) onboardt in Microsoft Entra-machtigingsbeheer.

Notitie

U moet een machtigingsbeheer-Beheer istrator zijn om de taken in dit artikel uit te voeren.

Uitleg

Voor GCP is machtigingenbeheer gericht op een GCP-project. Een GCP-project is een logische verzameling van uw resources in GCP, zoals een abonnement in Azure, maar met verdere configuraties kunt u bijvoorbeeld toepassingsregistraties en OIDC-configuraties uitvoeren.

Er zijn verschillende bewegende onderdelen in GCP en Azure, die moeten worden geconfigureerd voordat de onboarding wordt uitgevoerd.

• Een Microsoft Entra OIDC-app
• Een workloadidentiteit in GCP
• OAuth2 Confidential Client verleent gebruik
• Een GCP-serviceaccount met machtigingen om te verzamelen

Een GCP-project onboarden

1. Als het dashboard Gegevensverzamelaars niet wordt weergegeven wanneer Machtigingenbeheer wordt gestart:

   • Ga naar de startpagina van Machtigingenbeheer, selecteer Instellingen (het tandwielpictogram) en selecteer vervolgens het subtabblad Gegevensverzamelaars.

2. Selecteer GCP op het tabblad Gegevensverzamelaars en selecteer vervolgens Configuratie maken.

1. Maak een Microsoft Entra OIDC-app.

1. Voer op de pagina Onboarding voor machtigingenbeheer - Microsoft Entra OIDC-app maken de OIDC-Azure-app-naam in.

   Deze app wordt gebruikt voor het instellen van een OpenID Verbinding maken -verbinding (OIDC) met uw GCP-project. OIDC is een interoperabel verificatieprotocol op basis van de OAuth 2.0-serie specificaties. De scripts die zijn gegenereerd, maken de app van deze opgegeven naam in uw Microsoft Entra-tenant met de juiste configuratie.

2. Als u de app-registratie wilt maken, kopieert u het script en voert u het uit in uw opdrachtregel-app.

   Notitie

   1. Als u wilt bevestigen dat de app is gemaakt, opent u App-registraties in Azure en zoekt u uw app op het tabblad Alle toepassingen.
   2. Selecteer de naam van de app om de pagina Een API beschikbaar maken te openen. De URI van de toepassings-id die wordt weergegeven op de pagina Overzicht is de doelgroepwaarde die wordt gebruikt tijdens het maken van een OIDC-verbinding met uw GCP-account.
   3. Ga terug naar het venster Machtigingenbeheer en selecteer volgende in het onboarding voor machtigingenbeheer - Microsoft Entra OIDC-app maken.

2. Stel een GCP OIDC-project in.

1. Voer op de pagina Onboarding voor machtigingenbeheer - GCP OIDC-accountdetails en IDP-toegang de OIDC-projectnummer en OIDC-project-id in van het GCP-project waarin de OIDC-provider en -pool worden gemaakt. U kunt de rolnaam wijzigen in uw vereisten.

   Notitie

   U vindt het projectnummer en de project-id van uw GCP-project op de pagina GCP-dashboardvan uw project in het deelvenster Projectgegevens.

2. U kunt de id van de id-id van de OIDC-workloadidentiteitsgroep, de id van de id-provider van de workload en de naam van het OIDC-serviceaccount wijzigen om aan uw vereisten te voldoen.

   Geef desgewenst G-Suite IDP Secret Name en G-Suite IDP User Email op om G-Suite-integratie in te schakelen.

3. U kunt het script op dit moment downloaden en uitvoeren of u kunt dit doen in Google Cloud Shell.

4. Selecteer Volgende nadat het installatiescript is uitgevoerd.

Kies uit drie opties voor het beheren van GCP-projecten.

Optie 1: Automatisch beheren

Met de optie voor automatisch beheren kunt u projecten automatisch detecteren en bewaken zonder extra configuratie. Stappen voor het detecteren van een lijst met projecten en onboarding voor verzameling:

1. Verdeel viewer - en beveiligingsrevisorrollen aan een serviceaccount dat in de vorige stap is gemaakt op project-, map- of organisatieniveau.

Als u controllermodus voor projecten wilt inschakelen, voegt u deze rollen toe aan de specifieke projecten:

• Rol Beheer istrators
• Beveiligingsbeheerder

De vereiste opdrachten die moeten worden uitgevoerd in Google Cloud Shell, worden weergegeven in het scherm Autorisatie beheren voor elk bereik van een project, map of organisatie. Dit is ook geconfigureerd in de GCP-console.

3. Selecteer Volgende.

Optie 2: Autorisatiesystemen invoeren

U hebt de mogelijkheid om alleen bepaalde GCP-lidprojecten op te geven die moeten worden beheerd en bewaakt met Permissions Management (maximaal 100 per collector). Volg de stappen om deze GCP-lidprojecten te configureren die moeten worden bewaakt:

1. Voer op de pagina Onboarding voor machtigingenbeheer - GCP-project-id's de project-id's in.

   U kunt maximaal 100 GCP-project-id's opgeven die door komma's worden gescheiden.

2. U kunt ervoor kiezen om het script op dit moment te downloaden en uit te voeren, of u kunt dit doen via Google Cloud Shell.

   Als u controllermodus 'Aan' wilt inschakelen voor projecten, voegt u deze rollen toe aan de specifieke projecten:

   • Rol Beheer istrators
   • Beveiligingsbeheerder

3. Selecteer Volgende.

Optie 3: Autorisatiesystemen selecteren

Met deze optie worden alle projecten gedetecteerd die toegankelijk zijn voor de Cloud Infrastructure Entitlement Management-toepassing.

1. Verdeel viewer - en beveiligingsrevisorrollen aan een serviceaccount dat in de vorige stap is gemaakt op project-, map- of organisatieniveau.

Als u controllermodus voor projecten wilt inschakelen, voegt u deze rollen toe aan de specifieke projecten:

• Rol Beheer istrators
• Beveiligingsbeheerder

De vereiste opdrachten die moeten worden uitgevoerd in Google Cloud Shell, worden weergegeven in het scherm Autorisatie beheren voor elk bereik van een project, map of organisatie. Dit is ook geconfigureerd in de GCP-console.

3. Selecteer Volgende.

3. Controleren en opslaan.

1. Controleer op de pagina Onboarding voor machtigingenbeheer - Samenvatting de informatie die u hebt toegevoegd en selecteer Nu verifiëren en opslaan.

   Het volgende bericht wordt weergegeven: De configuratie is gemaakt.

   Op het tabblad Gegevensverzamelaars wordt in de kolom Onlangs geüpload opVerzamelen weergegeven. In de kolom Onlangs getransformeerd op wordt Verwerken weergegeven.

   In de statuskolom in de gebruikersinterface voor machtigingenbeheer ziet u in welke stap gegevensverzameling u zich bevindt:

   • In behandeling: Het beheer van machtigingen is nog niet gestart met detecteren of onboarden.
   • Detecteren: Machtigingenbeheer detecteert de autorisatiesystemen.
   • Wordt uitgevoerd: Machtigingenbeheer is klaar met het detecteren van de autorisatiesystemen en onboarding.
   • Onboarding: het verzamelen van gegevens is voltooid en alle gedetecteerde autorisatiesystemen worden toegevoegd aan Machtigingsbeheer.

4. Bekijk de gegevens.

1. Als u de gegevens wilt weergeven, selecteert u het tabblad Autorisatiesystemen.

   In de kolom Status in de tabel wordt Gegevens verzamelen weergegeven.

   Het proces voor het verzamelen van gegevens duurt enige tijd en vindt plaats in de meeste gevallen in ongeveer 4-5 uursintervallen. Het tijdsbestek is afhankelijk van de grootte van het autorisatiesysteem dat u hebt en hoeveel gegevens beschikbaar zijn voor verzameling.

Volgende stappen

• Als u de controller wilt in- of uitschakelen nadat de onboarding is voltooid, raadpleegt u De controller in- of uitschakelen.
• Als u een account/abonnement/project wilt toevoegen nadat de onboarding is voltooid, raadpleegt u Een account/abonnement/project toevoegen nadat de onboarding is voltooid.