 |
重要您現在可以使用雲端帳戶將您的 Google Cloud 專案添加到 Trend Vision One。要獲取最新的雲端安全功能以保護您的環境,請前往 開始使用。
如需更多資訊,請參閱 Google 雲端專案。
以下內容供您參考。將 Google 雲端專案新增至 伺服器與工作負載保護 的功能預計將很快被停用。
|
以下是您需要用於伺服器與工作負載保護創建 Google 雲端平台 (GCP) 服務帳戶的所有資訊。
 |
秘訣如需了解為什麼您可能需要建立 GCP 服務帳戶以搭配 伺服器與工作負載保護 使用,請參閱 新增 GCP 帳戶的好處是什麼?
|
先決條件:啟用 Google API 
在您為伺服器與工作負載保護建立 GCP 服務帳戶之前,您需要在現有的 GCP 帳戶下啟用一些 Google API。
請按照以下步驟在您每個專案中啟用這些 API:
步驟
- 使用您現有的 GCP 帳戶登入 Google 雲端平台。此帳戶必須能夠存取所有包含您想用 伺服器與工作負載保護 保護的虛擬機的 GCP 專案。
- 在頂部,選擇一個包含您想要添加到 伺服器與工作負載保護 的虛擬機的專案。如果您有多個專案,您可以稍後選擇它們。例如:
Project01
- 點選上方的Google Cloud Platform以確保您在主畫面。
- 從左側的樹狀視圖中,選擇。
- 點選 + ENABLE APIS AND SERVICES。
- 在搜尋框中,輸入雲端資源管理 API,然後點選Cloud Resource Manager API框。
- 點選 ENABLE。
- 重複此程序的步驟 5 - 7,輸入 compute engine API 並點擊 Compute Engine API 框。
- 對於任何其他包含您想要添加到伺服器與工作負載保護的虛擬機的項目,重複此程序的步驟1 - 9。
接下來需執行的動作
如需有關如何在 GCP 中啟用或關閉 API 的詳細資訊,請參閱 Google 的此頁面:
建立 GCP 服務帳戶
 |
注意服務帳戶是一種特殊類型的 Google 帳戶,與應用程式或虛擬機器 (VM) 相關聯,而不是與個別終端使用者相關聯。伺服器與工作負載保護 會假設服務帳戶的身份來調用 Google API,因此使用者不會直接參與。
|
請按照以下步驟為伺服器與工作負載保護建立服務帳戶:
步驟
- 在開始之前,請確保您已啟動 GCP API。請參閱 先決條件:啟用 Google API。
- 使用您現有的 GCP 帳戶登入 Google 雲端平台。
- 在頂部選擇一個專案。如果您有多個專案,您可以選擇任何一個。例如:
Project01。 - 點選上方的Google Cloud Platform以確保您在主畫面。
- 從左側的樹狀視圖中,選擇。
- 點選 + CREATE SERVICE ACCOUNT。
- 請輸入服務帳號名稱、ID 和描述。
例如:
- 服務帳號名稱:
GCP 伺服器與工作負載保護 - 服務帳號 ID:
gcp-deep-security@<your_project_ID>.iam.gserviceaccount.com - 服務帳戶描述:
用於將 伺服器與工作負載保護 連接到 GCP 的 GCP 服務帳戶。
- 服務帳號名稱:
- 點選 Create。
- 在 Select a role 下拉清單中,選擇 角色,或點選 Type to filter 區域並輸入 compute viewer 來查找。
- 點選 CONTINUE。
您現在已分配了 Compute Viewer 角色。
- 點選 + CREATE KEY。
- 選擇JSON並點選CREATE。
密鑰已生成並放置在 JSON 文件中。 - 將金鑰(JSON 檔案)儲存到安全的地方。
- 請將 JSON 檔案放置在可供稍後上傳的位置資訊。如果您需要移動或分發該檔案,請確保使用安全的方法進行。
- 點選DONE。您現在已經建立了一個具有必要角色的 GCP 服務帳戶,以及一個 JSON 格式的服務帳戶金鑰。該服務帳戶是在所選專案 (Project01) 下建立的,但可以與其他專案關聯。詳情請參閱以下部分。
注意
需要 60 秒至 7 分鐘的時間,IAM 權限才能在系統中傳播。詳情請參閱 這篇 Google 文章。
將更多專案新增至 GCP 服務帳戶
如果您在 GCP 中有多個專案,您必須將它們與您剛剛建立的服務帳戶關聯。當您稍後將服務帳戶新增到 伺服器與工作負載保護 時,所有您的專案(及其底層的虛擬機)將會在 伺服器與工作負載保護 控制台中顯示。
|
注意如果您有許多專案,您可能會發現將它們分散到多個 GCP 帳戶中比將它們全部添加到一個帳戶中更容易,如下所述。關於多 GCP 帳戶設置的詳細資訊,請參閱 建立多個 GCP 服務帳戶。
|
按照以下步驟將其他專案與 1 個服務帳戶關聯:
步驟
- 在開始之前,請確保您已完成 先決條件:啟用 Google API 和 建立 GCP 服務帳戶 中的程序。
- 確定您剛剛建立的 GCP 服務帳戶的電子郵件,如下所示:
- 在 Google 雲端平台中,從頂部的下拉列表中選擇您創建 GCP 服務帳戶的專案(在我們的例子中,Project01)。
- 在左側,展開。
- 在主窗格中,查看 電子郵件 欄以找到 GCP 服務帳戶電子郵件。例如:gcp-deep-security@project01.iam.gserviceaccount.com 服務帳戶電子郵件包含其創建時所屬專案的名稱。
- 請記下此地址或將其複製到剪貼簿。
- 仍在 Google 雲端平台中,從頂部的下拉列表中選擇 另一個 專案。例如:
Project02。
- 點選上方的Google Cloud Platform以確保您在主畫面。
- 從左側的樹狀視圖中,點選。
- 點選主窗格頂部的 ADD。
- 在 New members 欄位中,貼上 Project01 GCP 服務帳戶電子郵件地址。例如:
gcp-deep-security@project01.iam.gserviceaccount.com秘訣
您也可以開始輸入電子郵件地址以自動填充該欄位。 - 在 Select a role 下拉選單中,選擇 角色,或點選 Type to filter 區域並輸入
compute viewer來查找它。
您已將具有 Compute Viewer 角色的服務帳戶新增至Project02。 - 點選 SAVE。
- 對於每個您想要與 GCP 服務帳戶關聯的專案,重複此程序中的步驟 1 到 9。
接下來需執行的動作
如需有關如何建立服務帳戶的詳細資訊,請參閱 Google 的以下頁面:https://cloud.google.com/compute/docs/access/create-enable-service-accounts-for-instances
您現在已準備好將剛剛建立的 GCP 帳戶新增到 伺服器與工作負載保護。請前往 新增 Google 雲端平台帳戶。
建立多個 GCP 服務帳戶
通常,您會為 伺服器與工作負載保護 建立單一的 GCP 服務帳戶,並將所有專案與其關聯。此配置簡單明瞭,適用於專案較少的小型組織。然而,如果您有大量專案,將它們全部放在同一個 GCP 服務帳戶下可能會使管理變得困難。在這種情況下,您可以將專案分配到多個
GCP 服務帳戶中。假設您的專案分佈在組織的財務和行銷部門,以下是設置方法:
步驟
- 為 伺服器與工作負載保護 建立一個
Finance GCP 伺服器與工作負載保護GCP 服務帳戶。 - 將財務相關專案新增至
Finance GCP 伺服器與工作負載保護。 - 為 伺服器與工作負載保護 建立一個
Marketing GCP 伺服器與工作負載保護GCP 服務帳戶。 - 將行銷相關專案新增至
行銷 GCP 伺服器與工作負載保護。詳細說明請參閱建立 Google 雲端平台服務帳戶和將更多專案新增至服務帳戶。 - 在建立 GCP 服務帳戶後,請按照說明將它們一一新增到 伺服器與工作負載保護 中 新增 Google 雲端平台帳戶。