以下是您需要用於Server & Workload Security保護創建 Google 雲端平台 (GCP) 服務帳戶的所有資訊。
 |
秘訣如需了解為什麼您可能需要建立 GCP 服務帳戶以搭配 Server & Workload Security保護 使用,請參閱 新增 GCP 帳戶的好處是什麼?
|
先決條件:啟用 Google API 
在您為Server & Workload Security保護建立 GCP 服務帳戶之前,您需要在現有的 GCP 帳戶下啟用一些 Google API。
請按照以下步驟在您每個專案中啟用這些 API:
步驟
- 使用您現有的 GCP 帳戶登入 Google 雲端平台。此帳戶必須能夠存取所有包含您想用 Server & Workload Security保護 保護的虛擬機的 GCP 專案。
- 在頂部,選擇一個包含您想要添加到 Server & Workload Security保護 的虛擬機的專案。如果您有多個專案,您可以稍後選擇它們。例如:
Project01
- 點選上方的Google Cloud Platform以確保您在主畫面。
- 從左側的樹狀視圖中,選擇。
- 點選 + ENABLE APIS AND SERVICES。
- 在搜尋框中,輸入雲端資源管理 API,然後點選Cloud Resource Manager API框。
- 點選 ENABLE。
- 重複此程序的步驟 5 - 7,輸入 compute engine API 並點擊 Compute Engine API 框。
- 對於任何其他包含您想要添加到Server & Workload Security保護的虛擬機的項目,重複此程序的步驟1 - 9。
接下來需執行的動作
如需有關如何在 GCP 中啟用或關閉 API 的詳細資訊,請參閱 Google 的此頁面:
建立 GCP 服務帳戶
 |
注意服務帳戶是一種特殊類型的 Google 帳戶,與應用程式或虛擬機器 (VM) 相關聯,而不是與個別終端使用者相關聯。Server & Workload Security保護 會假設服務帳戶的身份來調用 Google API,因此使用者不會直接參與。
|
請按照以下步驟為Server & Workload Security保護建立服務帳戶:
步驟
- 在開始之前,請確保您已啟動 GCP API。請參閱 先決條件:啟用 Google API。
- 使用您現有的 GCP 帳戶登入 Google 雲端平台。
- 在頂部選擇一個專案。如果您有多個專案,您可以選擇任何一個。例如:
Project01。 - 點選上方的Google Cloud Platform以確保您在主畫面。
- 從左側的樹狀視圖中,選擇。
- 點選 + CREATE SERVICE ACCOUNT。
- 請輸入服務帳號名稱、ID 和描述。
例如:
- 服務帳號名稱:
GCP Server & Workload Security保護 - 服務帳號 ID:
gcp-deep-security@<your_project_ID>.iam.gserviceaccount.com - 服務帳戶描述:
用於將 Server & Workload Security保護 連接到 GCP 的 GCP 服務帳戶。
- 服務帳號名稱:
- 點選 Create。
- 在 Select a role 下拉清單中,選擇 角色,或點選 Type to filter 區域並輸入 compute viewer 來查找。
- 點選 CONTINUE。
您現在已分配了 Compute Viewer 角色。
- 點選 + CREATE KEY。
- 選擇JSON並點選CREATE。
密鑰已生成並放置在 JSON 文件中。 - 將金鑰(JSON 檔案)儲存到安全的地方。
- 請將 JSON 檔案放置在可供稍後上傳的位置資訊。如果您需要移動或分發該檔案,請確保使用安全的方法進行。
- 點選DONE。您現在已經建立了一個具有必要角色的 GCP 服務帳戶,以及一個 JSON 格式的服務帳戶金鑰。該服務帳戶是在所選專案 (Project01) 下建立的,但可以與其他專案關聯。詳情請參閱以下部分。
注意
需要 60 秒至 7 分鐘的時間,IAM 權限才能在系統中傳播。詳情請參閱 這篇 Google 文章。
將更多專案新增至 GCP 服務帳戶
如果您在 GCP 中有多個專案,您必須將它們與您剛剛建立的服務帳戶關聯。當您稍後將服務帳戶新增到 Server & Workload Security保護 時,所有您的專案(及其底層的虛擬機)將會在 Server & Workload Security保護 控制台中顯示。
|
注意如果您有許多專案,您可能會發現將它們分散到多個 GCP 帳戶中比將它們全部添加到一個帳戶中更容易,如下所述。關於多 GCP 帳戶設置的詳細資訊,請參閱 建立多個 GCP 服務帳戶。
|
按照以下步驟將其他專案與 1 個服務帳戶關聯:
步驟
- 在開始之前,請確保您已完成 先決條件:啟用 Google API 和 建立 GCP 服務帳戶 中的程序。
- 確定您剛剛建立的 GCP 服務帳戶的電子郵件,如下所示:
- 在 Google 雲端平台中,從頂部的下拉列表中選擇您創建 GCP 服務帳戶的專案(在我們的例子中,Project01)。
- 在左側,展開。
- 在主窗格中,查看 電子郵件 欄以找到 GCP 服務帳戶電子郵件。例如:gcp-deep-security@project01.iam.gserviceaccount.com 服務帳戶電子郵件包含其創建時所屬專案的名稱。
- 請記下此地址或將其複製到剪貼簿。
- 仍在 Google 雲端平台中,從頂部的下拉列表中選擇 另一個 專案。例如:
Project02。
- 點選上方的Google Cloud Platform以確保您在主畫面。
- 從左側的樹狀視圖中,點選。
- 點選主窗格頂部的 ADD。
- 在 New members 欄位中,貼上 Project01 GCP 服務帳戶電子郵件地址。例如:
gcp-deep-security@project01.iam.gserviceaccount.com秘訣
您也可以開始輸入電子郵件地址以自動填充該欄位。 - 在 Select a role 下拉選單中,選擇 角色,或點選 Type to filter 區域並輸入
compute viewer來查找它。
您已將具有 Compute Viewer 角色的服務帳戶新增至Project02。 - 點選 SAVE。
- 對於每個您想要與 GCP 服務帳戶關聯的專案,重複此程序中的步驟 1 到 9。
接下來需執行的動作
如需有關如何建立服務帳戶的詳細資訊,請參閱 Google 的以下頁面:https://cloud.google.com/compute/docs/access/create-enable-service-accounts-for-instances
您現在已準備好將剛剛建立的 GCP 帳戶新增到 Server & Workload Security保護。請前往 新增 Google 雲端平台帳戶。
建立多個 GCP 服務帳戶
通常,您會為 Server & Workload Security保護 建立單一的 GCP 服務帳戶,並將所有專案與其關聯。此配置簡單明瞭,適用於專案較少的小型組織。然而,如果您有大量專案,將它們全部放在同一個 GCP 服務帳戶下可能會使管理變得困難。在這種情況下,您可以將專案分配到多個
GCP 服務帳戶中。假設您的專案分佈在組織的財務和行銷部門,以下是設置方法:
步驟
- 為 Server & Workload Security保護 建立一個
Finance GCP Server & Workload Security保護GCP 服務帳戶。 - 將財務相關專案新增至
Finance GCP Server & Workload Security保護。 - 為 Server & Workload Security保護 建立一個
Marketing GCP Server & Workload Security保護GCP 服務帳戶。 - 將行銷相關專案新增至
行銷 GCP Server & Workload Security保護。詳細說明請參閱建立 Google 雲端平台服務帳戶和將更多專案新增至服務帳戶。 - 在建立 GCP 服務帳戶後,請按照說明將它們一一新增到 Server & Workload Security保護 中 新增 Google 雲端平台帳戶。