Включение или отключение контроллера после завершения подключения

С помощью контроллера можно решить, какой уровень доступа предоставляется в разделе "Управление разрешениями".

• Предоставьте доступ для чтения и записи к вашим средам. Вы можете оптимизировать разрешения и исправлять проблемы с помощью управления разрешениями.

• Отключите опцию, чтобы предоставить доступ только для чтения к вашим средам.

В этой статье описывается, как включить контроллер в Amazon Web Services (AWS), Microsoft Azure и Google Cloud Platform (GCP) после завершения подключения.

В этой статье также описывается отключение контроллера в Microsoft Azure и Google Cloud Platform (GCP). После включения контроллера в AWS его нельзя отключить.

Включение контроллера в AWS

Заметка

Вы можете включить контроллер в AWS, если вы отключили его во время подключения. После включения контроллера в AWS его нельзя отключить.

1. В отдельном окне браузера войдите в консоль AWS учетной записи участника.

2. Перейдите на домашнюю страницу управления разрешениями, выберите Настройки (значок шестеренки), а затем выберите вкладку Сборщики данных.

3. На панели мониторинга сборщиков данных выберите AWS, а затем выберите Создать конфигурацию.

4. На странице Управление разрешениями - сведения об учетной записи участника AWS выберите Launch Template.

   Откроется страница создания стека AWS CloudFormation, на которой отображается шаблон.

5. В поле CloudTrailBucketName введите имя.

   Вы можете скопировать и вставить имя CloudTrailBucketName на странице следов в AWS.

   Заметка

   В облачном хранилище собираются все действия в одной учетной записи, которые контролируются управлением разрешениями. Введите имя облачного контейнера, чтобы предоставить управление разрешениями с доступом, необходимым для сбора данных о действиях.

6. В поле EnableController в раскрывающемся списке выберите True, чтобы предоставить Управлению разрешениями доступ на чтение и запись, чтобы любые исправления, которые вы хотите выполнить на платформе Управления разрешениями, выполнялись автоматически.

7. Прокрутите страницу до самого низа и в разделе Capabilities выберите я признаю, что AWS CloudFormation может создавать ресурсы IAM с пользовательскими именами. Затем выберите Создать стек.

   Этот стек AWS CloudFormation создает роль сбора в учетной записи участника с необходимыми разрешениями (политиками) для сбора данных. Политика доверия устанавливается для этой роли, чтобы разрешить роль OIDC, созданную в вашей учетной записи AWS OIDC, для доступа к ней. Эти сущности перечислены на вкладке ресурсов стека CloudFormation.

8. Вернитесь к управлению разрешениями и на странице "Сведения о учетной записи участника AWS" "Управление разрешениями" и на странице " Сведения о учетной записи участника AWS" выберите Далее.

9. На странице «Подключение управления разрешениями» — сводка просмотрите добавленные сведения, а затем выберите Проверить сейчас & Сохранить.

   Появится следующее сообщение: успешно созданная конфигурация.

Включение или отключение контроллера в Azure

Вы можете включить или отключить контроллер в Azure на уровне подписки группы управления.

1. На домашней странице Azure выберите группы управления.

2. Найдите группу, для которой требуется включить или отключить контроллер, а затем щелкните стрелку, чтобы развернуть меню группы и просмотреть подписки. Вы также можете выбрать число, указанное в поле "Общее количество подписок" для вашей группы.

3. Выберите подписку, для которой вы хотите включить или отключить контроллер, а затем в меню навигации щелкните управление доступом (IAM).

4. В разделе Контроль доступа в поле Поиск введите Управление правами облачной инфраструктуры.

   Откроется страница распределения прав доступа облачной инфраструктуры , где отображаются роли, назначенные вам.

   • Если у вас есть разрешение только для чтения, столбец роли отображает читателя.
   • Если у вас есть административное разрешение, в столбце роли отображается администратор доступа пользователей.

5. Чтобы добавить назначение административных ролей, вернитесь на страницу управления доступом (IAM), а затем выберите Добавить назначение ролей.

6. Добавьте или удалите назначение ролей для управления правами облачной инфраструктуры.

7. Перейдите на страницу Управления разрешениями, выберите Параметры (значок шестеренки), а затем выберите подвкладку Сборщики данных.

8. На панели управления сборщиков данных выберите Azure, а затем выберите Создать конфигурацию.

9. На странице сведений о подписке управления разрешениями ( сведения о подписке Azure) введите идентификатор подписки , а затем нажмите кнопку Далее.

10. На странице "Подключение управления разрешениями" — сводка просмотрите разрешения контроллера, а затем выберите Проверить & Сохранить.

    Появится следующее сообщение: Конфигурация успешно создана.

Включение или отключение контроллера в GCP

1. Выполните команду gcloud auth login.

2. Следуйте инструкциям, отображаемым на экране, чтобы авторизовать доступ к учетной записи Google.

3. Выполните команду sh mciem-workload-identity-pool.sh, чтобы создать пул удостоверений рабочей нагрузки, поставщика и учетную запись службы.

4. Выполните sh mciem-member-projects.sh, чтобы предоставить разрешения на управление разрешениями для доступа к каждому из проектов-участников.

   • Если вы хотите управлять разрешениями с помощью управления разрешениями, выберите Y, чтобы включитьконтроллера.
   • Если вы хотите подключить проекты в режиме только для чтения, выберите N, чтобы отключитьконтроллера.

5. При необходимости выполните mciem-enable-gcp-api.sh, чтобы включить все рекомендуемые API GCP.

6. Перейдите на домашнюю страницу управления разрешениями, выберите Параметры (значок шестеренки), затем выберите подвкладку Сборщики данных.

7. На панели управления сборщиков данных выберите GCP, а затем выберите Создать конфигурацию.

8. На странице Подключение управления разрешениями — создание приложений Microsoft Entra OIDC выберите Далее.

9. На странице управления разрешениями — сведения о учетной записи GCP OIDC & IDP Access введите номер проекта OIDC и идентификатор проекта OIDC, а затем выберите Далее.

10. На странице управления разрешениями Onboarding - идентификаторы проекта GCP введите идентификаторы проекта , а затем нажмите Далее.

11. На странице "Подключение управления разрешениями – сводка" просмотрите добавленные сведения, а затем выберите Проверить сейчас & Сохранить.

    Появится следующее сообщение: Конфигурация успешно создана.

Дальнейшие действия

• Сведения о том, как добавить учетную запись или подписку или проект после завершения подключения, см. в разделе Добавление учетной записи или подписки или проекта после завершения подключения.