加入 Google Cloud Platform (GCP) 项目

项目
05/13/2024

本文介绍如何在 Microsoft Entra 权限管理中加入 Google Cloud Platform (GCP) 项目。

注意

你必须是权限管理管理员才能执行本文中的任务。

说明

对于 GCP，权限管理的范围限定为 GCP 项目。 GCP 项目是 GCP 中资源的逻辑集合，就像 Azure 中的订阅一样，但通过进一步配置，可以执行应用程序注册和 OIDC 配置等操作。

GCP 和 Azure 中有几个可操作的部分，应在加入前进行配置。

Microsoft Entra OIDC 应用
GCP 中的工作负载标识
使用的 OAuth2 机密客户端授权
具有收集权限的 GCP 服务帐号

加入 GCP 项目

如果权限管理启动时未显示“数据收集器”仪表板：
- 在权限管理主页中，选择“设置”（齿轮图标），然后选择“数据收集器”子选项卡。
在“数据收集器”选项卡中，选择“GCP”，然后选择“创建配置”。

1. 创建 Microsoft Entra OIDC 应用。

在“权限管理加入 - Microsoft Entra OIDC 应用创建”页面中，输入 OIDC Azure 应用名称。

此应用用于设置与 GCP 项目的 OpenID Connect (OIDC) 连接。 OIDC 是基于 OAuth 2.0 系列规范的交互式身份验证协议。生成的脚本会使用正确的配置在 Microsoft Entra 租户中创建此指定名称的应用。
若要创建应用注册，请复制脚本并在命令行应用中运行该脚本。
注意
1. 若要确认应用是否已创建，请在 Azure 中打开“应用注册”，然后在“所有应用程序”选项卡上找到你的应用。
2. 选择应用名称以打开“公开 API”页。 “概述”页面中显示的应用程序 ID URI 是与 GCP 帐户建立 OIDC 连接时使用的受众值。
3. 返回权限管理窗口，并在“权限管理加入 - Microsoft Entra OIDC 应用创建”中，选择“下一步”。

2. 设置 GCP OIDC 项目。

在“权限管理加入 - GCP OIDC 帐户详细信息和 IDP 访问”页面中，输入将在其中创建 OIDC 提供程序和池的 GCP 项目的“OIDC 项目编号”和“OIDC 项目 ID”。可根据需要更改角色名称。

注意

在“项目信息”面板上，可以在项目的 GCP 仪表板页面上找到 GCP 项目的项目编号和项目 ID。
可以根据自己的要求更改“OIDC 工作负载标识池 ID”、“OIDC 工作负载标识池提供程序 ID”和“OIDC 服务帐户名称”。

（可选）指定“G-Suite IDP 机密名称”和“G-Suite IDP 用户电子邮件”以启用 G-Suite 集成。
此时可下载并运行该脚本，也可在 Google Cloud Shell 中执行此操作。
成功运行安装脚本后，选择“下一步”。

从 3 个选项中选择一个来管理 GCP 项目。

选项 1：自动管理

通过自动管理选项可自动检测和监视项目，无需额外配置。要检测项目列表并加入集合，请执行以下步骤：

在项目、文件夹或组织级别，向在上一步中创建的服务帐户授予查看者和安全审阅者角色。

若要在任何项目上启用控制器模式，请将以下角色添加到特定项目：

角色管理员
安全管理员

在项目、文件夹或组织的每个范围的“管理授权”屏幕上，可找到在 Google Cloud Shell 中运行所需的命令。这也在 GCP 控制台中进行配置。

选择下一步。

选项 2：进入授权系统

你可指定只使用权限管理来管理和监视特定的 GCP 成员项目（每个收集器最多 100 个）。按照以下步骤配置这些要监视的 GCP 成员项目：

在“权限管理加入 - GCP 项目 ID”页面中，输入项目 ID。

最多可输入 100 个 GCP 项目 ID（用逗号分隔）。
此时可选择下载并运行该脚本，也可通过 Google Cloud Shell 执行此操作。

若要在任何项目上启用控制器模式，请将以下角色添加到特定项目：
- 角色管理员
- 安全管理员
选择“下一步”。

选项 3：选择授权系统

此选项会检测云基础结构权利管理应用程序可访问的所有项目。

在项目、文件夹或组织级别，向在上一步中创建的服务帐户授予查看者和安全审阅者角色。