Share via

將Google Cloud Platform (GCP) 項目上線

  • 發行項

本文說明如何在 Microsoft Entra 權限管理 中上架 Google Cloud Platform (GCP) 專案。

注意

您必須是許可權管理 管理員 istrator,才能執行本文中的工作。

說明

針對 GCP,許可權管理的範圍是 GCP 專案。 GCP 專案是 GCP 中資源的邏輯集合,例如 Azure 中的訂用帳戶,但您可以執行進一步的設定,例如應用程式註冊和 OIDC 組態。

GCP 和 Azure 之間有數個行動元件,應該在上線之前設定。

  • Microsoft Entra OIDC 應用程式
  • GCP 中的工作負載身分識別
  • 使用 OAuth2 機密用戶端授與
  • 具有收集許可權的 GCP 服務帳戶

將 GCP 專案上線

  1. 如果 [資料收集器] 儀表板未在 [許可權管理] 啟動時顯示:

    • 在 [許可權管理] 首頁中,選取 [設定 (齒輪圖示),然後選取 [數據收集器] 子索引標籤。

  2. 在 [ 數據收集器] 索引 標籤上,選取 [GCP],然後選取 [ 建立組態]。

1.建立 Microsoft Entra OIDC 應用程式。

  1. 在 [ 許可權管理上線 - Microsoft Entra OIDC 應用程式建立 ] 頁面上,輸入 OIDC Azure 應用程式名稱

    此應用程式可用來設定與 GCP 專案的 OpenID 連線 (OIDC) 連線。 OIDC是以 OAuth 2.0 系列規格為基礎的互通驗證通訊協定。 產生的腳本會在具有正確組態的 Microsoft Entra 租使用者中建立此指定名稱的應用程式。

  2. 若要建立應用程式註冊,請複製腳本並在命令行應用程式中執行。

    注意

    1. 若要確認應用程式已建立,請在 Azure 中開啟 應用程式註冊,然後在 [所有應用程式] 索引標籤上找出您的應用程式。
    2. 選取應用程式名稱以開啟 [公開 API ] 頁面。 [概觀] 頁面中顯示的應用程式識別碼 URI與 GCP 帳戶建立 OIDC 連線時所使用的物件值
    3. 返回 [許可權管理] 視窗,然後在 [許可權管理上線 - Microsoft Entra OIDC 應用程式建立] 中,選取 [下一步]。

2.設定 GCP OIDC 專案。

  1. 在 [ 許可權管理上線 - GCP OIDC 帳戶詳細數據和 IDP 存取 ] 頁面中,輸入 建立 OIDC 提供者和集區之 GCP 專案的 OIDC 專案編號OIDC 專案識別符 。 您可以將角色名稱變更為需求。

    注意

    您可以在 [項目資訊] 面板的 [GCP 儀錶板] 頁面上,找到 GCP 專案的項目編號專案標識符

  2. 您可以變更 OIDC 工作負載身分識別集區識別碼OIDC 工作負載識別集區提供者識別碼OIDC 服務帳戶名稱 ,以符合您的需求。

    選擇性地指定 G-Suite IDP 秘密名稱和G-Suite IDP 使用者電子郵件 ,以啟用 G-Suite 整合。

  3. 您可以在此時下載並執行腳本,也可以在Google CloudShell中執行腳本。

  4. 成功執行安裝腳本之後,選取 [下一步 ]。

從三個選項中選擇來管理 GCP 專案。

選項 1:自動管理

自動管理選項可讓您自動偵測和監視專案,而不需要額外的設定。 偵測專案清單並上線以進行集合的步驟:

  1. 將查看器和安全性檢閱者角色授在專案、資料夾或組織層級上一個步驟中建立的服務帳戶。

若要針對任何項目啟用 [開啟控制器] 模式,請將這些角色新增至特定專案:

  • 角色 管理員 istrators
  • 安全性系統管理員

在 Google Cloud Shell 中執行的必要命令會列在專案、資料夾或組織之每個範圍的 [管理授權] 畫面中。 這也會在 GCP 控制台中設定。

  1. 選取 [下一步]。

選項 2:輸入授權系統

您只能指定特定 GCP 成員專案,以許可權管理及監視許可權管理(每個收集器最多 100 個)。 請遵循下列步驟來設定要監視的 GCP 成員專案:

  1. 在 [ 許可權管理上線 - GCP 專案識別符 ] 頁面中,輸入 專案標識碼

    您可以輸入最多以逗號分隔的 100 GCP 項目識別碼。

  2. 您可以選擇此時下載並執行腳本,或透過Google Cloud Shell 執行腳本。

    若要啟用任何專案的控制器模式 『On』,請將這些角色新增至特定專案:

    • 角色 管理員 istrators
    • 安全性系統管理員

  3. 選取 [下一步]。

選項 3:選取授權系統

此選項會偵測 Cloud Infrastructure Entitlement Management 應用程式可存取的所有專案。

  1. 將查看器和安全性檢閱者角色授在專案、資料夾或組織層級上一個步驟中建立的服務帳戶。

若要針對任何項目啟用 [開啟控制器] 模式,請將這些角色新增至特定專案:

  • 角色 管理員 istrators
  • 安全性系統管理員

在 Google Cloud Shell 中執行的必要命令會列在專案、資料夾或組織之每個範圍的 [管理授權] 畫面中。 這也會在 GCP 控制台中設定。

  1. 選取 [下一步]。

3.檢閱並儲存。

  1. 在 [ 許可權管理上線 – 摘要 ] 頁面中,檢閱您已新增的信息,然後選取 [ 立即驗證和儲存]。

    出現下列訊息: 已成功建立組態

    在 [ 數據收集器] 索引 標籤上,[ 最近上傳的 On ] 資料行會顯示 [收集]。 [ 最近轉換的 On] 資料行會顯示 [處理]。

    [許可權管理] UI 中的 [狀態] 資料行會顯示您位於的數據收集步驟:

    • 置:許可權管理尚未開始偵測或上線。
    • 探索:許可權管理正在偵測授權系統。
    • 進行中:許可權管理已完成偵測授權系統並上線。
    • 上線:數據收集已完成,且所有偵測到的授權系統都會上線至許可權管理。

4.檢視數據。

  1. 若要檢視數據,請選取 [ 授權系統] 索引標籤

    數據表中的 [ 狀態 ] 資料行會顯示 [收集數據]。

    在大部分情況下,數據收集程式需要一些時間,並以大約 4-5 小時間隔發生。 時間範圍取決於您擁有的授權系統大小,以及可供收集的數據量。

下一步

  • 若要在上線完成後啟用或停用控制器,請參閱 啟用或停用控制器
  • 若要在上架完成後新增帳戶/訂用帳戶/專案,請參閱 完成上線之後新增帳戶/訂用帳戶/專案。