Aktivieren oder Deaktivieren des Controllers nach Abschluss des Onboardings
Mit dem Controller können Sie bestimmen, welche Zugriffsebene in der Berechtigungsverwaltung gewährt werden soll.
Aktivieren, um Lese- und Schreibzugriff auf Ihre Umgebungen zu gewähren. Sie können über die Berechtigungsverwaltung Berechtigungen korrekt dimensionieren und Korrekturen vornehmen.
Deaktivieren, um schreibgeschützten Zugriff auf Ihre Umgebungen zu gewähren.
In diesem Artikel erfahren Sie, wie Sie nach Abschluss der Integration den Controller in Amazon Web Services (AWS), Microsoft Azure und Google Cloud Platform (GCP) aktivieren.
In diesem Artikel erfahren Sie außerdem, wie Sie den Controller in Microsoft Azure und Google Cloud Platform (GCP) deaktivieren. Der Controller kann nach der Aktivierung in AWS nicht deaktiviert werden.
Aktivieren des Controllers in AWS
Hinweis
Sie können den Controller in AWS aktivieren, wenn Sie ihn während des Onboardings deaktiviert haben. Der Controller kann nach der Aktivierung in AWS nicht deaktiviert werden.
Melden Sie sich in einem separaten Browserfenster bei der AWS-Konsole des Mitgliedskontos an.
Wählen Sie auf der Permissions Management-Startseite die Option Einstellungen (Zahnradsymbol) und anschließend die Unterregisterkarte Datensammler aus.
Wählen Sie auf dem Dashboard Datensammler die Option AWS und anschließend Konfiguration erstellen aus.
Wählen Sie auf der Seite Permissions Management Onboarding – AWS Member Account Details (Permissions Management-Onboarding: Details zum AWS-Mitgliedskonto) die Option Launch Template (Vorlage starten) aus.
Die Seite AWS CloudFormation create stack (AWS CloudFormation: Stapel erstellen) wird geöffnet, und die Vorlage wird angezeigt.
Geben Sie im Feld CloudTrailBucketName einen Namen ein.
Sie können den Namen für CloudTrailBucketName in AWS auf der Seite Trails (Spuren) kopieren und einfügen.
Hinweis
Ein Cloudbucket erfasst alle Aktivitäten in einem einzelnen Konto, das von Permissions Management überwacht wird. Geben Sie hier den Namen eines Cloudbuckets ein, um Permissions Management den nötigen Zugriff für die Sammlung von Aktivitätsdaten zu gewähren.
Wählen Sie im Feld EnableController die Option True aus der Dropdownliste aus, um Permissions Management Lese- und Schreibzugriff zu gewähren, sodass alle Korrekturen, die Sie über die Permissions Management-Plattform vornehmen möchten, automatisch durchgeführt werden können.
Scrollen Sie auf der Seite ganz nach unten, und wählen Sie im Feld Capabilities (Funktionen) die Option I acknowledge that AWS CloudFormation might create IAM resources with custom names (Ich bestätige, dass von AWS CloudFormation möglicherweise IAM-Ressourcen mit benutzerdefinierten Namen erstellt werden.) aus. Wählen Sie anschließend Create Stack (Stapel erstellen) aus.
Dieser AWS CloudFormation-Stapel erstellt eine Sammlungsrolle im Mitgliedskonto mit den erforderlichen Berechtigungen (Richtlinien) für die Datensammlung. Für diese Rolle wird eine Vertrauensstellungsrichtlinie festgelegt, damit die in Ihrem AWS-OIDC-Konto erstellte OIDC-Rolle darauf zugreifen kann. Diese Entitäten werden auf der Registerkarte Resources (Ressourcen) Ihres CloudFormation-Stapels aufgeführt.
Kehren Sie zu Permissions Management zurück, und wählen Sie auf der Seite Permissions Management Onboarding – AWS Member Account Details (Permissions Management-Onboarding: Details zum AWS-Mitgliedskonto) die Option Next (Weiter) aus.
Überprüfen Sie auf der Seite Berechtigungs-Management-Onboarding – Zusammenfassung Ihre Angaben, und wählen Sie anschließend Jetzt überprüfen und speichern aus.
Die folgende Meldung wird angezeigt: Successfully created configuration. (Die Konfiguration wurde erfolgreich erstellt.)
Aktivieren oder Deaktivieren des Controllers in Azure
Sie können den Controller in Azure auf Abonnementebene Ihrer Verwaltungsgruppe(n) aktivieren oder deaktivieren.
Wählen Sie auf der Azure-Startseite die Option Verwaltungsgruppen aus.
Suchen Sie die Gruppe, für die Sie den Controller aktivieren oder deaktivieren möchten, und wählen Sie dann den Pfeil aus, um das Gruppenmenü zu erweitern und Ihre Abonnements anzuzeigen. Alternativ können Sie die Abonnements insgesamt auswählen, die für Ihre Gruppe aufgeführt ist.
Wählen Sie das Abonnement aus, für das Sie den Controller aktivieren oder deaktivieren möchten, und klicken Sie dann im Navigationsmenü auf Zugriffssteuerung (IAM).
Geben Sie im Abschnitt Zugriff überprüfen im Feld Suchen den Suchbegriff Cloud Infrastructure Entitlement Management (Berechtigungsverwaltung für die Cloudinfrastruktur) ein.
Daraufhin wird die Seite Cloud Infrastructure Entitlement Management assignments (CIEM-Zuweisungen) mit den Ihnen zugewiesenen Rollen angezeigt.
- Wenn Sie nur über Leseberechtigungen verfügen, wird in der Spalte Rolle die Rolle Leser angezeigt.
- Wenn Sie über Administratorberechtigungen verfügen, wird in der Spalte Rolle die Rolle Benutzerzugriffsadministrator angezeigt.
Wenn Sie die Administratorrollenzuweisung hinzufügen möchten, kehren Sie zur Seite Zugriffssteuerung (IAM) zurück, und wählen Sie Rollenzuweisung hinzufügen aus.
Fügen Sie die Rollenzuweisung für CIEM (Cloud Infrastructure Entitlement Management, Berechtigungsverwaltung für die Cloudinfrastruktur) hinzu, oder entfernen Sie sie.
Wählen Sie auf der Permissions Management-Startseite die Option Einstellungen (Zahnradsymbol) und anschließend die Unterregisterkarte Datensammler aus.
Wählen Sie auf dem Dashboard Datensammler die Option Azure und anschließend Konfiguration erstellen aus.
Geben Sie auf der Seite Permissions Management-Onboarding: Azure-Abonnementdetails die Abonnement-ID ein, und wählen Sie anschließend Weiter aus.
Überprüfen Sie auf der Seite Berechtigungs-Management-Onboarding – Zusammenfassung die Controller-Berechtigungen, und wählen Sie anschließend Jetzt überprüfen und speichern aus.
Die folgende Meldung wird angezeigt: Successfully Created Configuration. (Die Konfiguration wurde erfolgreich erstellt.)
Aktivieren oder Deaktivieren des Controllers in GCP
Führen Sie gcloud auth login aus.
Befolgen Sie die Anweisungen auf dem Bildschirm, um den Zugriff auf Ihr Google-Konto zu autorisieren.
Führen Sie
sh mciem-workload-identity-pool.sh
aus, um den Workloadidentitätspool, den Anbieter und das Dienstkonto zu erstellen.Führen Sie
sh mciem-member-projects.sh
aus, um Permissions Management Zugriffsberechtigungen für die einzelnen Mitgliedsprojekte zu erteilen.- Wenn Sie Berechtigungen über Permissions Management verwalten möchten, wählen Sie Y (Ja) aus, um den Controller zu aktivieren.
- Wenn Sie Ihre Projekte im schreibgeschützten Modus integrieren möchten, wählen Sie N (Nein) aus, um den Controller zu deaktivieren.
Führen Sie optional
mciem-enable-gcp-api.sh
aus, um alle empfohlenen GCP-APIs zu aktivieren.Wählen Sie auf der Permissions Management-Startseite die Option Einstellungen (Zahnradsymbol) und anschließend die Unterregisterkarte Datensammler aus.
Wählen Sie auf dem Dashboard Data Collectors (Datensammler) die Option GCP und anschließend Create Configuration (Konfiguration erstellen) aus.
Wählen Sie auf der Seite Permissions Management-Onboarding – Microsoft Entra OIDC App Creation (Permissions Management-Onboarding: Erstellung einer Microsoft Entra-OIDC-App) die Option Next (Weiter) aus.
Geben Sie unter Berechtigungs-Management-Onboarding – GCP OIDC-Kontodetails und IDP-Zugriff die OIDC-Projektnummer und die OIDC-Projekt-ID ein, und wählen Sie anschließend Weiter aus.
Geben Sie auf der Seite Permissions Management-Onboarding: GCP-Projekt-IDs die Projekt-IDs ein, und wählen Sie anschließend Weiter aus.
Überprüfen Sie auf der Seite Berechtigungs-Management-Onboarding – Zusammenfassung Ihre Angaben, und wählen Sie anschließend Jetzt überprüfen und speichern aus.
Die folgende Meldung wird angezeigt: Successfully Created Configuration. (Die Konfiguration wurde erfolgreich erstellt.)
Nächste Schritte
- Informationen zum Hinzufügen eines Kontos/Abonnements/Projekts nach Abschluss der Integration finden Sie unter Hinzufügen eines Kontos/Abonnements/Projekts nach Abschluss des Onboardings.