Erforderliche Google Cloud-Berechtigungen

Ansichten:

Überprüfen Sie die Berechtigungen erforderlich, um Ressourcen bereitzustellen, und die Berechtigungen, die gewährt werden, wenn Google Cloud-Projekte und -Organisationen mit Trend Vision One verbunden werden.

Trend Micro empfiehlt, auf das Projekt mit einem Anmelden zuzugreifen, das die Rolle Besitzer hat. Wenn Sie eine Google Cloud-Organisation hinzufügen, muss das Anmelden auch die Rolle Organization Administrator haben. Stellen Sie sicher, dass Ihr Konto und Ihre Rolle die folgenden Anforderungen erfüllen, um Trend Vision One Cloud-Sicherheitsressourcen erfolgreich in Ihrem Projekt bereitstellen zu können.

Das zugehörige Google-Konto muss ein gültiges Abrechnungskonto sein.
Die Benutzerrolle muss Zugriff auf die folgenden Google Cloud-Dienste und -Funktionen haben:
- Cloud-Shell
- Cloud-Speicher
- Dienstkonto
- Arbeitslast-Identitätspool
- Workload-Identitätspool-Anbieter
- IAM
- Tag-Schlüssel
- Kennzeichenwert
- GCP-API aktivieren

Der Terraform-Prozess weist sich selbst bestimmte Berechtigungen zu, um die Verbindung mit Cloud-Konten und Trend Vision One Cloud-Sicherheitsdiensten herzustellen. Diese Berechtigungen umfassen die Aktivierung der Cloud-Konten-App und Sicherheitsdienste, um temporäre Anmeldedaten zu erhalten und Aufgaben in Ihrer Google Cloud-Umgebung abzuschließen. Die erforderlichen Berechtigungen sind in der folgenden Tabelle aufgeführt:

Erforderliche Google Cloud-Berechtigungen

Funktion	Erforderliche Berechtigungen
Kernfunktionen	`compute.regions.list` `iam.roles.create` `iam.roles.delete` `iam.roles.get` `iam.serviceAccounts.actAs` `iam.serviceAccounts.create` `iam.serviceAccounts.delete` `iam.serviceAccounts.get` `iam.serviceAccounts.getIamPolicy` `iam.serviceAccounts.setIamPolicy` `iam.workloadIdentityPoolProviderKeys.delete` `iam.workloadIdentityPoolProviders.create` `iam.workloadIdentityPoolProviders.delete` `iam.workloadIdentityPoolProviders.get` `iam.workloadIdentityPools.create` `iam.workloadIdentityPools.delete` `iam.workloadIdentityPools.get` `iam.workloadIdentityPools.update` `iam.workloadIdentityPools.list` `resourcemanager.projects.get` `resourcemanager.projects.getIamPolicy` `resourcemanager.projects.setIamPolicy` `resourcemanager.tagKeys.create` `resourcemanager.tagKeys.delete` `resourcemanager.tagKeys.get` `resourcemanager.tagKeys.list` `resourcemanager.tagValues.create` `resourcemanager.tagValues.delete` `resourcemanager.tagValues.get` `resourcemanager.tagValues.list` `serviceusage.services.enable` `serviceusage.services.list` `serviceusage.services.use` `storage.buckets.create` `storage.buckets.delete` `storage.buckets.get` `storage.objects.update` `storage.buckets.getIamPolicy` `storage.buckets.setIamPolicy` `storage.buckets.list` `storage.buckets.update` `storage.objects.create` `storage.objects.delete` `storage.objects.get` `storage.objects.getIamPolicy` `storage.objects.list` `storage.objects.move` `storage.objects.setIamPolicy`
Cloud Security Posture	Aktionen: `accessapproval.settings.get` `alloydb.clusters.list` `alloydb.instances.list` `apigateway.locations.get` `apigateway.gateways.list` `apigateway.gateways.getIamPolicy` `apigateway.apis.list` `apigateway.apis.get` `apigateway.apis.getIamPolicy` `apigateway.apiconfigs.list` `apigateway.apiconfigs.getIamPolicy` `apigee.apiproducts.list` `apigee.deployments.list` `apigee.envgroupattachments.list` `apigee.envgroups.list` `apigee.environments.getStats` `apigee.instanceattachments.list` `apigee.instances.list` `apigee.proxies.list` `apigee.proxyrevisions.get` `apikeys.keys.list` `artifactregistry.repositories.list` `bigtable.instances.list` `bigtable.clusters.list` `bigtable.instances.getIamPolicy` `bigquery.datasets.get` `bigquery.tables.get` `bigquery.tables.list` `bigquery.tables.getIamPolicy` `cloudkms.cryptoKeys.getIamPolicy` `cloudkms.cryptoKeys.list` `cloudkms.keyRings.list` `cloudkms.locations.list` `cloudsql.instances.list` `cloudsql.instances.listServerCas` `cloudsql.instances.listServerCas` `compute.backendServices.getIamPolicy` `compute.backendServices.list` `compute.disks.getIamPolicy` `compute.disks.list` `compute.regionBackendServices.getIamPolicy` `compute.regionBackendServices.list` `compute.regionSslPolicies.list` `compute.firewalls.list` `compute.globalForwardingRules.list` `compute.images.getIamPolicy` `compute.images.list` `compute.instances.list` `compute.instances.getIamPolicy` `compute.machineImages.getIamPolicy` `compute.machineImages.list` `compute.networks.list` `compute.subnetworks.list` `compute.subnetworks.getIamPolicy` `compute.projects.get` `compute.targetHttpsProxies.list` `compute.targetSslProxies.list` `compute.sslPolicies.list` `compute.urlMaps.list` `compute.targetVpnGateways.list` `compute.vpnGateways.list` `compute.instanceGroups.list` `compute.zones.list` `container.clusters.list` `container.clusters.get` `dataproc.clusters.list` `dataproc.clusters.getIamPolicy` `_{datastore.databases}.list` `dns.policies.list` `dns.managedZones.list` `file.instances.list` `iam.serviceAccounts.get` `iam.serviceAccounts.list` `iam.serviceAccounts.getIamPolicy` `iam.serviceAccountKeys.list` `iam.roles.list` `logging.logEntries.list` `logging.logMetrics.list` `logging.sinks.list` `memcache.instances.list` `monitoring.alertPolicies.list` `orgpolicy.policy.get` `pubsub.topics.get` `pubsub.topics.getIamPolicy` `pubsub.topics.list` `pubsub.subscriptions.get` `pubsublite.topics.list` `pubsublite.topics.listSubscriptions` `redis.clusters.list` `redis.instances.list` `resourcemanager.projects.get` `resourcemanager.projects.getIamPolicy` `servicemanagement.services.get` `serviceusage.services.list` `spanner.instances.getIamPolicy` `spanner.instances.list` `storage.buckets.getIamPolicy` `storage.buckets.list` `certificatemanager.certs.list` `compute.routers.list` `cloudfunctions.functions.list` `cloudfunctions.functions.getIamPolicy` `networkconnectivity.hubs.list` `networkconnectivity.hubs.listSpokes` `networkconnectivity.hubs.getIamPolicy` `notebooks.instances.list` `notebooks.instances.getIamPolicy` `artifactregistry.dockerimages.list`
Agentenlose Sicherheitslücken- und Bedrohungserkennung	Control Plane Service Account Purpose: Verwaltet Steuerungsebenenoperationen Berechtigungen für Kundenprojekte: Artifact Registry-Leser (`roles/artifactregistry.reader`) Cloud-Funktionen-Viewer (`roles/cloudfunctions.viewer`) Dienstkontobenutzer (`roles/iam.serviceAccountUser`) Benutzerdefinierte Rolle mit `compute.disks.createSnapshot`-Berechtigung Sidecar-Projektberechtigungen: Artifact Registry-Leser (`roles/artifactregistry.reader`) Cloud-Funktionen-Viewer (`roles/cloudfunctions.viewer`) Dienstkontobenutzer (`roles/iam.serviceAccountUser`) Compute Viewer (`roles/compute.viewer`) Workflows-Viewer (`roles/workflows.viewer`) Protokollierungs-Schreiber (`roles/logging.logWriter`) Benutzerdefinierte Rolle mit Berechtigungen für Snapshot- und Festplattenverwaltung
	Customer Role Service Account Purpose: Verwaltet kundenspezifische Operationen Berechtigungen für Kundenprojekte: Artifact Registry-Leser (`roles/artifactregistry.reader`) Compute Viewer (`roles/compute.viewer`) Dienstkontobenutzer (`roles/iam.serviceAccountUser`) Service-Konto-Token-Ersteller (`roles/iam.serviceAccountTokenCreator`) Sidecar-Projektberechtigungen: Cloud Run-Aufrufer (`roles/run.invoker`)
	Data Plane Service Account Purpose: Führt Datentarif-Operationen aus Sidecar-Projektberechtigungen: Speicherobjekt-Viewer (`roles/storage.objectViewer`) Artifact Registry-Leser (`roles/artifactregistry.reader`) Cloud-Funktionen-Viewer (`roles/cloudfunctions.viewer`) Dienstkontobenutzer (`roles/iam.serviceAccountUser`) Protokollierungs-Schreiber (`roles/logging.logWriter`) Workflows-Aufrufer (`roles/workflows.invoker`) und Viewer Eventarc-Ereignisempfänger (`roles/eventarc.eventReceiver`) Service-Konto-Token-Ersteller (`roles/iam.serviceAccountTokenCreator`) Benutzerdefinierte Rolle mit Berechtigungen für die Verwaltung von VM und Datenträgern Berechtigungen für Kundenprojekte: Compute Viewer (`roles/compute.viewer`)
Echtzeit-Haltungskontrolle	Keine Berechtigungen erforderlich.