Povolení nebo zakázání kontroleru po dokončení onboardingu

Pomocí kontroleru můžete rozhodnout, jakou úroveň přístupu se má udělit ve správě oprávnění.

• Povolte udělení přístupu ke čtení a zápisu pro vaše prostředí. Oprávnění správné velikosti a nápravu můžete provést prostřednictvím správy oprávnění.

• Zakažte udělení přístupu jen pro čtení k vašim prostředím.

Tento článek popisuje, jak po dokončení registrace povolit kontroler ve službách Amazon Web Services (AWS), Microsoft Azure a Google Cloud Platform (GCP).

Tento článek také popisuje, jak zakázat kontroler v Microsoft Azure a GCP (Google Cloud Platform). Jakmile povolíte kontroler v AWS, nemůžete ho zakázat.

Povolení kontroleru v AWS

Poznámka:

Pokud jste ho zakázali během onboardingu, můžete ho v AWS povolit. Jakmile povolíte kontroler v AWS, nemůžete ho zakázat.

1. V samostatném okně prohlížeče se přihlaste ke konzole AWS člena účtu.

2. Přejděte na domovskou stránku Správa oprávnění, vyberte Nastavení (ikona ozubeného kola) a pak vyberte podtabuť Kolekce dat.

3. Na řídicím panelu Kolektory dat vyberte AWS a pak vyberte Vytvořit konfiguraci.

4. Na stránce Podrobnosti o účtu člena AWS na stránce Správa oprávnění vyberte Spustit šablonu.

   Otevře se stránka pro vytvoření zásobníku AWS CloudFormation zobrazující šablonu.

5. Do pole CloudTrailBucketName zadejte název.

   Název CloudTrailBucketName můžete zkopírovat a vložit ze stránky Trails v AWS.

   Poznámka:

   Cloudový kbelík shromažďuje všechny aktivity v jednom účtu, který monitoruje správu oprávnění. Sem zadejte název kontejneru cloudu, který poskytuje správu oprávnění s přístupem potřebným ke shromažďování dat aktivit.

6. V poli EnableController v rozevíracím seznamu vyberte True, pokud chcete, aby správa oprávnění s přístupem pro čtení a zápis byla provedena automaticky, aby všechny nápravy, které chcete provést z platformy Správa oprávnění, bylo možné provést automaticky.

7. Posuňte se do dolní části stránky a v poli Schopnosti vyberte Možnost potvrdit, že AWS CloudFormation může vytvářet prostředky IAM s vlastními názvy. Pak vyberte Vytvořit zásobník.

   Tento zásobník AWS CloudFormation vytvoří v členském účtu roli kolekce s potřebnými oprávněními (zásadami) pro shromažďování dat. Pro tuto roli je nastavená zásada důvěryhodnosti, která umožňuje přístup k roli OIDC vytvořenou ve vašem účtu AWS OIDC. Tyto entity jsou uvedené na kartě Prostředky ve vašem zásobníku CloudFormation.

8. Vraťte se ke správě oprávnění a na stránce Podrobnosti o účtu člena AWS vyberte Další.

9. On Permissions Management Onboarding - Summary page, review the information you'you's added, then select Verify Now &Save.

   Zobrazí se následující zpráva: Konfigurace byla úspěšně vytvořena.

Povolení nebo zakázání kontroleru v Azure

Kontroler můžete povolit nebo zakázat v Azure na úrovni předplatného skupin pro správu.

1. Na domovské stránce Azure vyberte Skupiny pro správu.

2. Vyhledejte skupinu, pro kterou chcete řadič povolit nebo zakázat, a pak výběrem šipky rozbalte nabídku skupiny a zobrazte svá předplatná. Případně můžete vybrat číslo total subscriptions uvedené pro vaši skupinu.

3. Vyberte předplatné, pro které chcete řadič povolit nebo zakázat, a v navigační nabídce klikněte na Řízení přístupu (IAM ).

4. V části Kontrola přístupu zadejte do pole Najít správu nároků na cloudovou infrastrukturu.

   Zobrazí se stránka přiřazení správy nároků na cloudovou infrastrukturu s přiřazenými rolemi.

   • Pokud máte oprávnění jen pro čtení, zobrazí se ve sloupci Role čtenář.
   • Pokud máte oprávnění správce, zobrazí se ve sloupci Role uživatelský přístup Správa istrator.

5. Pokud chcete přidat přiřazení role pro správu, vraťte se na stránku Řízení přístupu (IAM) a pak vyberte Přidat přiřazení role.

6. Přidejte nebo odeberte přiřazení role pro správu nároků cloudové infrastruktury.

7. Přejděte na domovskou stránku Správa oprávnění, vyberte Nastavení (ikona ozubeného kola) a pak vyberte podtabuť Kolekce dat.

8. Na řídicím panelu Kolekce dat vyberte Azure a pak vyberte Vytvořit konfiguraci.

9. Na stránce Pro onboarding správy oprávnění – Podrobnosti předplatného Azure zadejte ID předplatného a pak vyberte Další.

10. On Permissions Management Onboarding - Summary page, review the controller permissions, then select Verify Now &Save.

    Zobrazí se následující zpráva: Konfigurace byla úspěšně vytvořena.

Povolení nebo zakázání kontroleru v GCP

1. Spusťte přihlašovací jméno ověřování gcloudu.

2. Postupujte podle pokynů zobrazených na obrazovce a povolte přístup k vašemu účtu Google.

3. Spuštěním sh mciem-workload-identity-pool.sh příkazu vytvořte fond identit úloh, zprostředkovatele a účet služby.

4. sh mciem-member-projects.sh Spusťte oprávnění ke správě oprávnění pro přístup ke každému z členských projektů.

   • Pokud chcete spravovat oprávnění prostřednictvím správy oprávnění, vyberte Y a povolte kontroler.
   • Pokud chcete projekty připojit v režimu jen pro čtení, vyberte N a zakažte kontroler.

5. Volitelně můžete povolit mciem-enable-gcp-api.sh všechna doporučená rozhraní API GCP.

6. Přejděte na domovskou stránku Správa oprávnění, vyberte Nastavení (ikona ozubeného kola) a pak vyberte podtabuť Kolekce dat.

7. Na řídicím panelu Kolektory dat vyberte GCP a pak vyberte Vytvořit konfiguraci.

8. On the Permissions Management Onboarding - Microsoft Entra OIDC App Creation page, select Next.

9. Na stránce Podrobnosti o účtu GCP OIDC a přístupové stránce Pro správu oprávnění zadejte číslo projektu OIDC a ID projektu OIDC a pak vyberte Další.

10. Na stránce Registrace správy oprávnění – ID projektu GCP zadejte ID projektu a pak vyberte Další.

11. Na stránce Onboarding Správa oprávnění – Souhrn zkontrolujte informace, které jste přidali, a pak vyberte Ověřit a uložit.

    Zobrazí se následující zpráva: Konfigurace byla úspěšně vytvořena.

Další kroky

• Informace o tom, jak po dokončení onboardingu přidat účet, předplatné nebo projekt, najdete v tématu Přidání účtu, předplatného nebo projektu po dokončení onboardingu.