Cette page explique comment activer les notifications de l'API Security Command Center.
Les notifications envoient des résultats et des mises à jour de résultats à un sujet Pub/Sub en quelques minutes. Les notifications de l'API Security Command Center incluent tous les résultats informations affichées par Security Command Center console Google Cloud.
Vous pouvez directement associer des notifications Security Command Center dans Pub/Sub aux actions Cloud Functions. Pour obtenir des exemples de fonctions capables de réponse, d'enrichissement et de résolution, consultez le dépôt Open Source Security Command Center contenant le code Cloud Functions. Le dépôt contient des solutions permettant d'effectuer des actions automatisées sur les résultats de sécurité.
Vous pouvez également exporter les résultats vers BigQuery. ou configurer des exportations continues pour Pub/Sub dans la console Google Cloud.
Avant de commencer
Pour configurer des notifications, vous devez disposer des rôles IAM (Identity and Access Management) suivants :
- Administrateur du centre de sécurité (
roles/securitycenter.Admin
) pour activer les notifications de l'API Security Command Center - Lecteur administrateur du centre de sécurité (
roles/securitycenter.adminViewer
) : accéder à Security Command Center dans la console Google Cloud - Pour attribuer des rôles au compte de service des notifications ou
gcloud CLI au niveau de l'organisation,
au niveau du dossier ou du projet, l'un des rôles suivants:
<ph type="x-smartling-placeholder">
- </ph>
- Administrateur de l'organisation (
roles/resourcemanager.organizationAdmin
) - Administrateur IAM de dossier (
roles/resourcemanager.folderIamAdmin
) - Administrateur de projet IAM (
roles/resourcemanager.projectIamAdmin
)
- Administrateur de l'organisation (
Les rôles IAM pour Security Command Center peuvent être attribués au niveau de l'organisation, d'un dossier ou d'un projet. Votre capacité à afficher, modifier, créer ou mettre à jour des résultats, des éléments, et les sources de sécurité dépendent du niveau d'accès accordé. Pour apprendre Pour en savoir plus sur les rôles de Security Command Center, consultez la page Contrôle des accès.
Configurer les notifications de l'API Security Command Center
Pour configurer les notifications, commencez par activer l'API Security Command Center.
Activer l'API Security Command Center
Pour activer l'API Security Command Center, procédez comme suit :
Accédez à la page "Bibliothèque d'API" de la console Google Cloud.
Sélectionnez le projet pour lequel vous souhaitez activer l'API de notifications.
Dans le champ de recherche, saisissez
Security Command Center
, puis cliquez sur Security Command Center dans les résultats de recherche.Dans la page de l'API qui s'affiche, cliquez sur Activer.
L'API Security Command Center est désormais activée pour votre projet. Utilisez ensuite gcloud CLI ou les bibliothèques clientes pour vous abonner à un sujet Pub/Sub et configurer les autorisations.
Résidence des données et notifications
Si la résidence des données
est activé pour Security Command Center, les configurations qui définissent
des exportations continues vers
Pub/Sub : notificationConfig
ressources, sont soumises
au contrôle de résidence des données et sont stockées
Emplacement Security Command Center.
Pour exporter des résultats depuis un emplacement Security Command Center vers ou Pub/Sub, vous devez configurer au même emplacement Security Command Center que les résultats.
Comme les filtres utilisés dans l'analyse continue peuvent contenir des données soumises à des contrôles de résidence, veillez à spécifier le bon emplacement avant de les créer. Security Command Center ne limite pas l'emplacement que vous créez pour l'exportation.
Les exportations continues ne sont stockées que dans l'emplacement de dans lequel elles ont été créées et ne peuvent pas être visualisées ni modifiées dans d'autres emplacements.
Une fois que vous avez créé une exportation continue, vous ne pouvez plus modifier son emplacement. Pour modifier le lieu, vous devez supprimer l'exportation continue et la recréer dans le nouvel emplacement.
Pour récupérer une exportation continue à l'aide d'appels d'API,
vous devez spécifier l'emplacement dans le nom complet de la ressource
notificationConfig
Exemple :
GET https://securitycenter.googleapis.com/v2/{name=organizations/123/locations/eu/notificationConfigs/my-pubsub-export-01}
De même, pour récupérer une exportation continue en utilisant
dans la gcloud CLI, vous devez spécifier l'emplacement
dans le nom de ressource complet de la configuration ou à l'aide de l'--locations
. Exemple :
gcloud scc notifications describe myContinuousExport organizations/123 \ --location=locations/us
Configurer un sujet Pub/Sub
Lors de cette étape, vous allez créer et vous abonner au sujet Pub/Sub auquel vous souhaitez envoyer des notifications. Si vous n'avez pas besoin d'appeler l'API par programmation, les commandes de gcloud CLI sont recommandées.
gcloud
Pour configurer la fonctionnalité de notifications de l'API Security Command Center à l'aide de gcloud CLI, procédez comme suit :
- Configurez un sujet et un abonnement Pub/Sub.
- Configurez les autorisations du compte de gcloud CLI.
Étape 1 : Configurer Pub/Sub
Pour configurer un sujet Pub/Sub et vous y abonner, procédez comme suit :
Accédez à Google Cloud Console.
Accédez à Google Cloud Console.
Sélectionnez le projet pour lequel vous avez activé l'API Security Command Center.
Cliquez sur Activer Cloud Shell.
Pour créer un sujet Pub/Sub ou utiliser un sujet existant, exécutez la commande suivante :
gcloud pubsub topics create TOPIC_ID
Remplacez
TOPIC_ID
par le nom de votre sujet.Définissez la variable d'environnement correspondant à l'ID du sujet :
export TOPIC_ID=TOPIC_ID
Créez un abonnement associé au sujet :
gcloud pubsub subscriptions create SUBSCRIPTION_ID --topic TOPIC_ID
Remplacez
SUBSCRIPTION_ID
par votre abonnement son nom.
Pour en savoir plus sur la configuration de Pub/Sub, consultez la page Gérer les sujets et les abonnements.
Vous devez ensuite définir des autorisations pour votre compte.
Étape 2 : Configurer les autorisations du compte de la CLI gcloud
Pour créer un NotificationConfig
, vous devez accorder les rôles suivants
à votre compte de gcloud CLI:
- Administrateur du centre de sécurité (
roles/securitycenter.admin
) ou Éditeur des configurations de notifications du centre de sécurité (roles/securitycenter.notificationConfigEditor
). Ce rôle doit être accordées au même niveau (organisation, dossier ou projet, dans lequel vous créez leNotificationConfig
. - Administrateur Pub/Sub (
roles/pubsub.admin
) sur le sujet Pub/Sub qui reçoit les notifications
au niveau de l'organisation, du dossier ou du projet niveau
Pour accorder ces autorisations, procédez comme suit :
Accédez à Google Cloud Console.
Accédez à Google Cloud Console.
Sélectionnez le projet pour lequel vous avez activé l'API Security Command Center.
Cliquez sur Activer Cloud Shell.
Définissez le nom de votre organisation :
export ORGANIZATION_ID=ORGANIZATION_ID
Remplacer
ORGANIZATION_ID
par votre organisation ID.Définissez l'ID du projet auquel appartient le sujet Pub/Sub :
export PUBSUB_PROJECT=PROJECT_ID
en remplaçant
PROJECT_ID
par l'ID de votre projet :Définissez le compte de gcloud CLI que vous utilisez :
export GCLOUD_ACCOUNT=EMAIL
Remplacez
EMAIL
par l'adresse e-mail du exécutant des commandes gcloud CLI.Définissez l'ID du sujet ou utilisez le sujet que vous avez configuré précédemment.
export TOPIC_ID=TOPIC_ID
Remplacez
TOPIC_ID
par le nom de votre sujet.Attribuez au compte de gcloud CLI un rôle Pub/Sub disposant de l'autorisation
pubsub.topics.setIamPolicy
:gcloud pubsub topics add-iam-policy-binding \ projects/$PUBSUB_PROJECT/topics/$TOPIC_ID \ --member="user:$GCLOUD_ACCOUNT" \ --role='roles/pubsub.admin'
Attribuez au compte de gcloud CLI un rôle comprenant toutes les autorisations
securitycenter.notification
, commeroles/securitycenter.notificationConfigEditor
ouroles/securitycenter.admin
Vous pouvez attribuer ce rôle au niveau du projet, d'un dossier ou d'une organisation.Pour accorder le rôle au niveau d'un projet:
gcloud projects add-iam-policy-binding PROJECT_ID \ --member="user:$GCLOUD_ACCOUNT" \ --role='ROLE_NAME'
Remplacez les éléments suivants :
PROJECT_ID
: ID du projet dans lequel Security Command Center est activéROLE_NAME
: rôle à attribuer
Pour attribuer le rôle au niveau de l'organisation:
gcloud organizations add-iam-policy-binding $ORGANIZATION_ID \ --member="user:$GCLOUD_ACCOUNT" \ --role='ROLE_NAME'
Remplacez
ROLE_NAME
par le rôle à attribuer.
Vous devez ensuite créer un objet NotificationConfig.
Bibliothèques clientes
Pour configurer la fonctionnalité de notifications de l'API Security Command Center à l'aide des bibliothèques clientes, procédez comme suit :
- Configurez un compte de service.
- Téléchargez les bibliothèques clientes de l'API.
- Configurez un environnement de développement.
- Configurez un sujet et un abonnement Pub/Sub.
Étape 1 : Configurer un compte de service
La fonctionnalité de notifications de l'API Security Command Center utilise un compte de service disposant des autorisations appropriées pour configurer les notifications. Ce compte de service n'est utilisé que pour la mise en place initiale d'une configuration. Vous pouvez le réutiliser pour créer d'autres configurations de notifications ultérieurement. Ce compte est distinct du compte de service qui a été créé lors de la configuration de Security Command Center.
Pour créer un compte de service, procédez comme suit :
Accédez à Google Cloud Console.
Accédez à Google Cloud Console.
Sélectionnez le projet pour lequel vous avez activé l'API Security Command Center.
Cliquez sur Activer Cloud Shell.
Définissez les variables d'environnement :
Définissez le nom de votre organisation :
export ORGANIZATION_ID=ORGANIZATION_ID
Remplacer
ORGANIZATION_ID
par votre organisation ID.Définissez l'ID du projet dans lequel vous souhaitez activer l'API de notifications :
export PROJECT_ID=PROJECT_ID
en remplaçant
PROJECT_ID
par l'ID de votre projet :Définissez l'ID personnalisé que vous souhaitez utiliser pour le nouveau compte de service, par exemple
scc-notifications
. Le nom du compte de service doit comporter entre 6 et 30 caractères, commencer par une lettre, et ne se composer que de caractères alphanumériques et de tirets :export SERVICE_ACCOUNT=CUSTOM_ID
Remplacez
CUSTOM_ID
par le nom personnalisé de le compte de service.Définissez le chemin d'accès à la clé du compte de service, par exemple
export KEY_LOCATION=/home/$USER/mykeys/$SERVICE_ACCOUNT.json
:export KEY_LOCATION=FULL_KEY_LOCATION_PATH # This is used by client libraries to find the key export GOOGLE_APPLICATION_CREDENTIALS=$KEY_LOCATION
Remplacez
FULL_KEY_LOCATION_PATH
par le chemin d'accès complet à votre clé de compte de service.
Créez un compte de service associé à votre ID de projet :
gcloud iam service-accounts create $SERVICE_ACCOUNT --display-name \ "Service Account for [USER]" --project $PROJECT_ID
Créez une clé à associer au compte de service. La clé est utilisée lorsque vous créez un objet
NotificationConfig
et est stockée de manière permanente à l'emplacementKEY_LOCATION
que vous avez spécifié lors des étapes précédentes.gcloud iam service-accounts keys create $KEY_LOCATION --iam-account \ $SERVICE_ACCOUNT@$PROJECT_ID.iam.gserviceaccount.com
Attribuer un rôle au compte de service qui inclut toutes les autorisations
securitycenter.notification
, commeroles/securitycenter.notificationConfigEditor
ouroles/securitycenter.admin
. Vous pouvez attribuer le rôle au niveau du projet, du dossier ou de l'organisation.Pour accorder le rôle au niveau du projet:
gcloud projects add-iam-policy-binding $PROJECT_ID \ --member="serviceAccount:$SERVICE_ACCOUNT@$PROJECT_ID.iam.gserviceaccount.com" \ --role='ROLE_NAME'
Remplacez
ROLE_NAME
par le rôle à attribuer.Pour attribuer le rôle au niveau de l'organisation:
gcloud organizations add-iam-policy-binding $ORGANIZATION_ID \ --member="serviceAccount:$SERVICE_ACCOUNT@$PROJECT_ID.iam.gserviceaccount.com" \ --role='ROLE_NAME'
Remplacez
ROLE_NAME
par le rôle à attribuer.
Le compte de service est maintenant configuré pour être utilisé avec les notifications et le service
clé de compte est stockée dans votre KEY_LOCATION
spécifié. Pour en savoir plus sur les comptes de service, consultez
créer et gérer des clés de compte de service.
Étape 2 : Configurer un environnement de développement
Pour utiliser la fonctionnalité de notifications de l'API Security Command Center, vous pouvez utiliser gcloud CLI ou télécharger les bibliothèques clientes et configurer votre environnement de développement pour le langage de votre choix.
Python
Facultatif:Avant d'installer la bibliothèque Python, nous vous recommandons d'utiliser Environnement virtuel pour créer un environnement Python isolé.
virtualenv YOUR_ENV source YOUR_ENV/bin/activate
Remplacez
YOUR_ENV
par le nom de votre environnement virtuel.Installez pip pour gérer l'installation de la bibliothèque Python.
Exécutez les commandes suivantes pour installer la bibliothèque Python :
pip install google-cloud-securitycenter
Java
Pour inclure la bibliothèque Java Security Command Center en tant que dépendance dans votre projet, sélectionnez un artefact dans le dépôt Maven.
Les notifications sont incluses dans la version 0.119.0
et ultérieures de la bibliothèque.
Si vous utilisez Intellij, définissez la variable d'environnement GOOGLE_APPLICATION_CREDENTIALS
sur le chemin absolu de la clé du compte de service des notifications que vous avez téléchargé lors des étapes précédentes :
- Dans Intellij, cliquez sur Exécuter > Modifier les configurations.
Définissez la variable suivante sous Application > Run_Configuration_For_Sample > Variables d'environnement :
GOOGLE_APPLICATION_CREDENTIALS=ABSOLUTE_PATH_TO_SERVICE_ACCOUNT_KEY
Remplacer
ABSOLUTE_PATH_TO_SERVICE_ACCOUNT_KEY
en indiquant le chemin d'accès complet à la clé de votre compte de service.
Go
Pour installer les dépendances Go de l'API de notifications, téléchargez la bibliothèque Go :
go get cloud.google.com/go/securitycenter/apiv1
Node.js
Dans le dossier du projet, utilisez npm
pour installer les dépendances nécessaires à l'API de notifications :
npm install --save @google-cloud/security-center/
Étape 3 : Configurer Pub/Sub
Pour envoyer des notifications à Pub/Sub, vous devez vous abonner à un sujet Pub/Sub et attribuer au compte de service des notifications un rôle IAM incluant l'autorisation pubsub.topics.setIamPolicy
:
Créez un sujet Pub/Sub ou utilisez un sujet existant :
gcloud pubsub topics create TOPIC_ID
Remplacez
TOPIC_ID
par votre ID de sujet.Définissez les variables d'environnement :
Définissez l'ID du sujet :
export TOPIC_ID=TOPIC_ID
Définissez l'ID de projet du projet dans lequel vous avez activé l'API Notifications :
export CONSUMER_PROJECT=PROJECT_ID
en remplaçant
PROJECT_ID
par l'ID de votre projet :Définissez l'adresse e-mail du compte de service que vous avez créé lors des étapes précédentes :
export SERVICE_ACCOUNT_EMAIL=SERVICE_ACCOUNT_NAME@$CONSUMER_PROJECT.iam.gserviceaccount.com
Remplacez
SERVICE_ACCOUNT_NAME
par le nom. du compte de service.
Créez un abonnement associé au sujet :
gcloud pubsub subscriptions create SUBSCRIPTION_ID --topic TOPIC_ID
Remplacez
SUBSCRIPTION_ID
par l'abonnement. ID.Attribuez au compte de service des notifications un rôle doté de l'autorisation
pubsub.topics.setIamPolicy
:gcloud pubsub topics add-iam-policy-binding \ projects/$CONSUMER_PROJECT/topics/$TOPIC_ID \ --member="serviceAccount:$SERVICE_ACCOUNT_EMAIL" \ --role='roles/pubsub.admin'
Pour en savoir plus sur la configuration de Pub/Sub, consultez la page Gérer les sujets et les abonnements. À l'étape suivante, vous allez terminer la configuration en créant un objet NotificationConfig
.
Créer un objet NotificationConfig
Avant de créer un NotificationConfig
, notez que chaque organisation
peut contenir un nombre limité de fichiers NotificationConfig
. Pour en savoir plus, consultez la page Quotas et limites.
L'objet NotificationConfig
inclut un champ filter
qui limite les notifications aux événements utiles. Ce champ accepte tous les filtres disponibles dans la méthode findings.list
de l'API Security Command Center.
Lorsque vous créez un NotificationConfig
, vous spécifiez un parent pour le
NotificationConfig
de la hiérarchie des ressources Google Cloud,
une organisation, un dossier ou un projet. Si vous avez besoin de récupérer,
mettre à jour ou supprimer le NotificationConfig
ultérieurement, vous devez inclure
l'ID numérique de l'organisation, du dossier ou du projet parent lorsque vous
les référencer.
Créer le NotificationConfig
à l'aide du langage ou de la plate-forme
de votre choix:
gcloud
gcloud scc notifications create NOTIFICATION_NAME \ --PARENT=PARENT_ID \ --location=LOCATION --description="NOTIFICATION_DESCRIPTION" \ --pubsub-topic=PUBSUB_TOPIC \ --filter="FILTER"
Remplacez les éléments suivants :
NOTIFICATION_NAME
: nom de la notification. Doit comporter entre 1 et 128 caractères alphanumériques caractères, traits de soulignement ou traits d'union uniquement.PARENT
: champ d'application dans la hiérarchie des ressources auquel la notification s'applique,organization
,folder
ouproject
.PARENT_ID
: ID de l'organisation parente. dossier ou projet, spécifié au formatorganizations/123
,folders/456
ouprojects/789
.LOCATION
: si la résidence des données est activée, spécifiez l'emplacement Security Command Center. pour créer la notification. LenotificationConfig
obtenu est stockée uniquement dans cet emplacement. Seuls les résultats qui sont émises dans cet emplacement sont envoyées à Pub/Sub.Spécifier l'option
--location
si la résidence des données n'est pas activée crée la notification à l'aide de l'API Security Command Center version 2 ; La seule valeur valide pour l'indicateur estglobal
.NOTIFICATION_DESCRIPTION
: description du notification ne dépassant pas 1 024 caractères.PUBSUB_TOPIC
: Pub/Sub sujet qui recevra les notifications. Son format estprojects/PROJECT_ID/topics/TOPIC
FILTER
: expression que vous définissez pour sélectionner quels résultats sont envoyés à Pub/Sub. Exemple :state="ACTIVE"
.
Python
L'exemple suivant utilise l'API v1. Pour modifier
l'exemple pour la version 2, remplacez v1
par v2
, puis ajoutez
/locations/LOCATION
au nom de la ressource.
Pour la plupart des ressources, ajoutez /locations/LOCATION
au
nom de la ressource après /PARENT/PARENT_ID
, où
"PARENT
" correspond à organizations
, folders
,
ou projects
.
Pour les résultats, ajoutez /locations/LOCATION
à la ressource
nom après /sources/SOURCE_ID
, où SOURCE_ID
est l'identifiant
Service Security Command Center
à l'origine des résultats.
Java
L'exemple suivant utilise l'API v1. Pour modifier
l'exemple pour la version 2, remplacez v1
par v2
, puis ajoutez
/locations/LOCATION
au nom de la ressource.
Pour la plupart des ressources, ajoutez /locations/LOCATION
au
nom de la ressource après /PARENT/PARENT_ID
, où
"PARENT
" correspond à organizations
, folders
,
ou projects
.
Pour les résultats, ajoutez /locations/LOCATION
à la ressource
nom après /sources/SOURCE_ID
, où SOURCE_ID
est l'identifiant
Service Security Command Center
à l'origine des résultats.
Go
L'exemple suivant utilise l'API v1. Pour modifier
l'exemple pour la version 2, remplacez v1
par v2
, puis ajoutez
/locations/LOCATION
au nom de la ressource.
Pour la plupart des ressources, ajoutez /locations/LOCATION
au
nom de la ressource après /PARENT/PARENT_ID
, où
"PARENT
" correspond à organizations
, folders
,
ou projects
.
Pour les résultats, ajoutez /locations/LOCATION
à la ressource
nom après /sources/SOURCE_ID
, où SOURCE_ID
est l'identifiant
Service Security Command Center
à l'origine des résultats.
Node.js
L'exemple suivant utilise l'API v1. Pour modifier
l'exemple pour la version 2, remplacez v1
par v2
, puis ajoutez
/locations/LOCATION
au nom de la ressource.
Pour la plupart des ressources, ajoutez /locations/LOCATION
au
nom de la ressource après /PARENT/PARENT_ID
, où
"PARENT
" correspond à organizations
, folders
,
ou projects
.
Pour les résultats, ajoutez /locations/LOCATION
à la ressource
nom après /sources/SOURCE_ID
, où SOURCE_ID
est l'identifiant
Service Security Command Center
à l'origine des résultats.
PHP
L'exemple suivant utilise l'API v1. Pour modifier
l'exemple pour la version 2, remplacez v1
par v2
, puis ajoutez
/locations/LOCATION
au nom de la ressource.
Pour la plupart des ressources, ajoutez /locations/LOCATION
au
nom de la ressource après /PARENT/PARENT_ID
, où
"PARENT
" correspond à organizations
, folders
,
ou projects
.
Pour les résultats, ajoutez /locations/LOCATION
à la ressource
nom après /sources/SOURCE_ID
, où SOURCE_ID
est l'identifiant
Service Security Command Center
à l'origine des résultats.
Ruby
L'exemple suivant utilise l'API v1. Pour modifier
l'exemple pour la version 2, remplacez v1
par v2
, puis ajoutez
/locations/LOCATION
au nom de la ressource.
Pour la plupart des ressources, ajoutez /locations/LOCATION
au
nom de la ressource après /PARENT/PARENT_ID
, où
"PARENT
" correspond à organizations
, folders
,
ou projects
.
Pour les résultats, ajoutez /locations/LOCATION
à la ressource
nom après /sources/SOURCE_ID
, où SOURCE_ID
est l'identifiant
Service Security Command Center
à l'origine des résultats.
C#
L'exemple suivant utilise l'API v1. Pour modifier
l'exemple pour la version 2, remplacez v1
par v2
, puis ajoutez
/locations/LOCATION
au nom de la ressource.
Pour la plupart des ressources, ajoutez /locations/LOCATION
au
nom de la ressource après /PARENT/PARENT_ID
, où
"PARENT
" correspond à organizations
, folders
,
ou projects
.
Pour les résultats, ajoutez /locations/LOCATION
à la ressource
nom après /sources/SOURCE_ID
, où SOURCE_ID
est l'identifiant
Service Security Command Center
à l'origine des résultats.
Les notifications sont maintenant publiées sur le thème Pub/Sub que vous avez spécifié.
Pour publier des notifications, un compte de service de la forme service-org-ORGANIZATION_ID@gcp-sa-scc-notification.iam.gserviceaccount.com
est créé pour vous.
Ce compte de service est créé lorsque vous créez votre premier NotificationConfig
et se voit automatiquement attribuer le rôle securitycenter.notificationServiceAgent
sur la stratégie IAM pour PUBSUB_TOPIC lors de la création de la configuration de notification.
Ce rôle de compte de service est nécessaire pour que les notifications fonctionnent.
Accorder l'accès à un périmètre dans VPC Service Controls
Si vous utilisez VPC Service Controls et que votre sujet Pub/Sub fait partie d'un projet dans un périmètre de service, vous devez accorder l'accès aux projets afin de créer des notifications.
Pour accorder l'accès aux projets, créez des règles d'entrée et de sortie pour les comptes principaux.
et projets permettant de créer des notifications. Les règles autorisent l'accès aux ressources protégées et permettent à Pub/Sub de vérifier que les utilisateurs disposent de l'autorisation setIamPolicy
sur le sujet Pub/Sub.
Créer un objet NotificationConfig
Pour suivre la procédure décrite dans la section Créer un objet NotificationConfig, procédez comme suit :
Accédez à la page "VPC Service Controls" dans Google Cloud Console.
Si nécessaire, sélectionnez votre organisation.
Cliquez sur le nom du périmètre de service que vous souhaitez modifier.
Pour trouver le périmètre de service que vous devez modifier, vous pouvez rechercher dans vos journaux les entrées indiquant des cas de non-respect de
RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER
. Dans ces entrées, vérifiez le champservicePerimeterName
:accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME
.Cliquez sur Modifier le périmètre.
Dans le menu de navigation, cliquez sur Règle d'entrée.
Pour configurer des règles d'entrée pour les utilisateurs ou les comptes de service, utilisez les paramètres suivants :
- Attributs "FROM" du client API :
- Dans le menu déroulant Source, sélectionnez Toutes les sources.
- Dans le menu déroulant Identités, choisissez Identités sélectionnées.
- Cliquez sur Sélectionner, puis saisissez le compte principal utilisé pour appeler l'API Security Command Center.
- Attributs "TO" des services/ressources Google Cloud:
- Dans le menu déroulant Projet, choisissez Projets sélectionnés.
- Cliquez sur Sélectionner, puis saisissez le projet contenant le sujet Pub/Sub.
- Dans le menu déroulant Services, choisissez Services sélectionnés, puis API Cloud Pub/Sub.
- Dans le menu déroulant Méthodes, choisissez Toutes les actions.
- Attributs "FROM" du client API :
Cliquez sur Enregistrer.
Dans le menu de navigation, cliquez sur Règle de sortie.
Cliquez sur Add Rule (Ajouter une règle).
Pour configurer des règles de sortie pour les comptes utilisateur ou de service, saisissez les paramètres suivants :
- Attributs "FROM" du client API :
- Dans le menu déroulant Identités, choisissez Identités sélectionnées.
- Cliquez sur Sélectionner, puis saisissez le compte principal utilisé pour à appeler l'API Security Command Center.
- Attributs "TO" des services/ressources Google Cloud:
- Dans le menu déroulant Projet, choisissez Tous les projets.
- Dans le menu déroulant Services, choisissez Sélectionner des services, puis API Cloud Pub/Sub.
- Dans le menu déroulant Méthodes, choisissez Toutes les actions.
- Attributs "FROM" du client API :
Cliquez sur Enregistrer.
Créer une règle d'entrée pour l'objet NotificationConfig
Pour créer une règle d'entrée pour un objet NotificationConfig
, procédez comme suit :
- Suivez les instructions de la section Créer un objet NotificationConfig.
- Ouvrez à nouveau le périmètre de service de la section précédente.
- Cliquez sur Règle d'entrée.
- Cliquez sur Add Rule (Ajouter une règle).
- Pour configurer la règle d'entrée du compte de service
NotificationConfig
que vous avez créé, saisissez les paramètres suivants :- Attributs "FROM" du client API :
- Dans le menu déroulant Source, sélectionnez Toutes les sources.
- Dans le menu déroulant Identités, choisissez Identités sélectionnées.
- Cliquez sur Sélectionner, puis saisissez le nom du compte de service
NotificationConfig
:service-org-ORGANIZATION_ID@gcp-sa-scc-notification.iam.gserviceaccount.com
- Attributs "TO" des services/ressources GCP :
- Dans le menu déroulant Projet, choisissez Projets sélectionnés.
- Cliquez sur Sélectionner, puis sélectionnez le projet contenant le sujet Pub/Sub.
- Dans le menu déroulant Services, choisissez Sélectionner des services, puis API Cloud Pub/Sub.
- Dans le menu déroulant Méthodes, choisissez Toutes les actions.
- Attributs "FROM" du client API :
- Dans le menu de navigation, cliquez sur Enregistrer.
Les projets, utilisateurs et comptes de service sélectionnés peuvent désormais accéder aux ressources protégées et créer des notifications.
Si vous avez suivi toutes les étapes de ce guide et que les notifications fonctionnent correctement, vous pouvez maintenant supprimer les éléments suivants :
- Règle d'entrée pour le compte principal
- Règle de sortie pour le compte principal
Ces règles n'étaient nécessaires que pour configurer l'objet NotificationConfig
. Toutefois, pour que les notifications continuent de fonctionner, vous devez conserver la règle d'entrée pour NotificationConfig
qui permet de publier des notifications dans votre sujet Pub/Sub derrière le périmètre de service.
Étapes suivantes
- Découvrez comment activer les notifications par e-mail et de chat en temps réel.
- Découvrez comment gérer l'API de notifications.
- Découvrez le filtrage des notifications.