Ansichten:

Überprüfen Sie die Berechtigungen erforderlich, um Ressourcen bereitzustellen, und die während des Terraform-Prozesses gewährten Berechtigungen.

Trend Micro empfiehlt, auf das Projekt mit einem Anmelden zuzugreifen, das die Rolle Besitzer hat. Wenn Sie eine Google Cloud-Organisation hinzufügen, muss das Anmelden auch die Rolle Organization Administrator haben. Stellen Sie sicher, dass Ihr Konto und Ihre Rolle die folgenden Anforderungen erfüllen, um Trend Vision One Cloud-Sicherheitsressourcen erfolgreich in Ihrem Projekt bereitzustellen.
  • Das zugehörige Google-Konto muss ein gültiges Abrechnungskonto sein.
  • Die Benutzerrolle muss Zugriff auf die folgenden Google Cloud-Dienste und -Funktionen haben:
    • Cloud-Shell
    • Cloud-Speicher
    • Dienstkonto
    • Workload-Identitätspool
    • Workload-Identitätspool-Anbieter
    • IAM
    • Tag-Schlüssel
    • Kennzeichenwert
    • GCP-API aktivieren
Der Terraform-Prozess weist sich selbst bestimmte Berechtigungen zu, um die Verbindung mit Cloud-Konten und Trend Vision One Cloud-Sicherheitsdiensten herzustellen. Diese Berechtigungen umfassen die Aktivierung der Cloud-Konten-App und Sicherheitsdienste, um temporäre Anmeldeinformationen zu erhalten und Aufgaben innerhalb Ihrer Google Cloud-Umgebung zu erledigen. Die erforderlichen Berechtigungen und APIs sind in den folgenden Tabellen aufgeführt:

Erforderliche APIs und Berechtigungen

Funktion
Dienst
Erforderliche APIs
Erforderliche Berechtigungen
Kernfunktionen (Conformity)
AlloyDB
  • AlloyDB-API
  • alloydb.clusters.list
  • alloydb.instances.list
ApiGateway
  • API-Gateway
  • Service-Management-API
  • apigateway.gateways.list
  • apigateway.gateways.getIamPolicy
  • apigateway.standorte.erhalten
  • apigateway.apis.list
  • apigateway.apis.getIamPolicy
  • apigateway.apis.get
  • apigateway.apiconfigs.list
  • apigateway.apiconfigs.getIamPolicy
  • servicemanagement.services.get
Apigee
  • Apigee-API
  • apigee.apiprodukte.liste
  • apigee.deployments.list
  • apigee.envgroupattachments.liste
  • apigee.envgroups.list
  • apigee.environments.getStats
  • apigee.instanceattachments.list
  • apigee.instances.list
  • apigee.proxies.liste
  • apigee.proxyrevisions.get
ArtifactRegistry
  • Artifact Registry-API
  • artifactregistry.dockerimages.list
  • artifactregistry.repositories.getIamPolicy
  • artifactregistry.repositories.list
BigQuery
  • BigQuery-API
  • bigquery.datasets.get
  • bigquery.tables.get
  • bigquery.tables.list
  • bigquery.tables.getIamPolicy
Bigtable
-
  • bigtable.instances.list
  • bigtable.clusters.list
  • bigtable.instances.getIamPolicy
Zertifikatsmanager
  • Zertifikat-Manager-API
  • certificatemanager.zertifikate.liste
CloudAPI
  • API-Schlüssel API
  • apikeys.keys.list
  • serviceusage.services.list
CloudDNS
  • Cloud-DNS-API
  • dns.managedZones.list
  • dns.policies.list
CloudFunktionen
  • Cloud-Funktionen-API
  • cloudfunctions.functions.getIamPolicy
  • cloudfunctions.functions.list
CloudIAM
  • Zugriffsfreigabe-API
  • Cloud-Ressourcen-Manager-API
  • Identitäts- und Zugriffsverwaltungs-API
  • accessapproval.settings.get
  • iam.roles.list
  • iam.serviceAccountKeys.list
  • iam.serviceAccounts.get
  • iam.serviceAccounts.getIamPolicy
  • iam.serviceAccounts.list
  • resourcemanager.projects.get
  • resourcemanager.projects.getIamPolicy
CloudKMS
  • Cloud-Schlüsselverwaltungsdienst (KMS) API
  • cloudkms.cryptoKeys.getIamPolicy
  • cloudkms.cryptoKeys.list
  • cloudkms.keyRings.list
  • cloudkms.standorte.liste
CloudLoadBalancing
  • Compute Engine API
  • compute.backendServices.getIamPolicy
  • compute.backendServices.list
  • compute.globalForwardingRules.list
  • compute.regionBackendServices.getIamPolicy
  • compute.regionBackendServices.list
  • compute.sslPolicies.list
  • compute.targetHttpsProxies.list
  • compute.targetSslProxies.list
  • compute.urlMaps.list
CloudLogging
  • Cloud-Logging-API
  • logging.logEntries.list
  • logging.logMetrics.list
  • logging.sinks.list
  • überwachung.alarmrichtlinien.liste
CloudSQL
  • Cloud SQL Admin API
  • cloudSql.instances.list
  • cloudsql.instances.listServerCas
CloudSpeicher
  • Cloud-Speicher-API
  • storage.buckets.getIamPolicy
  • storage.buckets.list
CloudVPC
  • Compute Engine API
  • compute.firewalls.list
  • compute.networks.list
  • compute.subnetworks.getIamPolicy
  • compute.subnetworks.list
ComputeEngine
  • Compute Engine API
  • compute.disks.getIamPolicy
  • compute.disks.list
  • compute.instanceGroups.list
  • compute.instances.getIamPolicy
  • compute.instances.list
  • compute.images.getIamPolicy
  • compute.images.list
  • compute.machineImages.getIamPolicy
  • compute.machineImages.list
  • compute.projects.get
  • compute.zonen.liste
Dataproc
  • Cloud Dataproc-API
  • dataproc.clusters.getIamPolicy
  • dataproc.clusters.list
Dateispeicher
  • Cloud Filestore-API
  • file.instances.liste
Firestore
  • Cloud Firestore-API
  • datastore.datenbanken.liste
GKE
  • Kubernetes-Engine-API
  • container.clusters.liste
Memorystore
  • Cloud Memorystore für Memcached API
  • Google Cloud Memorystore für Redis API
  • memcache.instances.list
  • redis.clusters.list
  • redis.instances.liste
Netzwerkverbindung
  • Compute Engine API
  • Netzwerkverbindungs-API
  • compute.routers.list
  • compute.targetVpnGateways.list
  • compute.vpnGateways.list
  • networkconnectivity.hubs.list
  • networkconnectivity.hubs.listSpokes
PubSub
  • Cloud Pub/Sub-API
  • pubsub.topics.get
  • pubsub.topics.getIamPolicy
  • pubsub.themen.liste
  • pubsublite.themen.liste
  • pubsublite.topics.listSubscriptions
Ressourcenmanager
  • Cloud-Ressourcen-Manager-API
  • orgpolicy.policy.get
  • resourcemanager.projects.get
Schlüssel
  • Cloud Spanner-API
  • spanner.instances.getIamPolicy
  • spanner.instances.list
VertexAI
  • Notebooks-API
  • notebooks.instances.getIamPolicy
  • notebooks.instanzen.liste
Agentenlose Sicherheitslücken- und Bedrohungserkennung
Cloud-Abrechnung
  • Cloud-Billing-API
  • billing.accounts.get
  • billing.accounts.getIamPolicy
  • abrechnung.konten.liste
  • abrechnung.konten.einlösenPromotion
  • abrechnung.guthaben.liste
  • billing.resourceAssociations.create
CloudIAM
-
  • iam.roles.erstellen
  • iam.roles.delete
  • iam.roles.get
  • iam.serviceAccounts.create
  • iam.serviceAccounts.delete
  • iam.serviceAccounts.get
CloudLogging
-
  • logging.sinks.erstellen
  • logging.sinks.löschen
Cloud-Ausführung
  • Cloud Run Admin-API
  • run.jobs.erstellen
  • run.jobs.löschen
  • run.jobs.get
  • run.jobs.list
  • run.jobs.setIamPolicy
  • run.operations.löschen
  • run.operations.list
  • run.services.erstellen
  • run.services.löschen
  • run.services.get
  • run.services.getIamPolicy
  • run.services.setIamPolicy
Cloud-Planer
-
  • cloudscheduler.jobs.erstellen
  • cloudscheduler.jobs.delete
  • cloudscheduler.jobs.enable
CloudSpeicher
-
  • storage.buckets.erstellen
  • storage.buckets.löschen
Compute Engine
-
  • compute.firewalls.erstellen
  • compute.firewalls.delete
  • compute.firewalls.get
  • compute.networks.erstellen
  • compute.networks.löschen
  • compute.networks.get
  • compute.subnetworks.erstellen
  • compute.subnetworks.löschen
Eventarc
  • Eventarc-API
  • eventarc.operations.löschen
  • eventarc.operations.get
  • eventarc.operations.list
  • eventarc.triggers.erstellen
  • eventarc.triggers.löschen
  • eventarc.triggers.get
PubSub
-
  • pubsub.subscriptions.erstellen
  • pubsub.subscriptions.löschen
  • pubsub.subscriptions.get
  • pubsub.subscriptions.getIamPolicy
  • pubsub.subscriptions.setIamPolicy
  • pubsub.subscriptions.update
  • pubsub.themen.erstellen
  • pubsub.themen.löschen
  • pubsub.topics.get
  • pubsub.topics.getIamPolicy
  • pubsub.themen.setIamPolicy
Ressourcenmanager
-
  • resourcemanager.projects.delete
  • resourcemanager.projects.get
  • resourcemanager.projects.getIamPolicy
  • resourcemanager.projects.setIamPolicy
Geheimnis-Manager
-
  • secretmanager.secrets.erstellen
  • secretmanager.secrets.löschen
  • secretmanager.secrets.get
  • secretmanager.secrets.getIamPolicy
  • secretmanager.secrets.setIamPolicy
Workflows
  • Workflow-Ausführungs-API
  • workflows.workflows.erstellen
  • workflows.workflows.löschen
  • workflows.workflows.get
  • workflows.workflows.liste