共用方式為

完成上線后啟用或停用控制器

  • 發行項

透過控制器,您可以決定要在許可權管理中授與哪些層級的存取權。

  • 啟用以授予您環境的讀寫權限。 您可以調整許可權大小,並透過許可權管理進行補救。

  • 不提供對您的環境的唯讀存取權。

本文說明如何在上架完成後,在 Amazon Web Services(AWS)、Microsoft Azure 和 Google Cloud Platform (GCP) 中啟用控制器。

本文也說明如何在 Microsoft Azure 和 Google Cloud Platform(GCP)中停用控制器。 在 AWS 中啟用控制器之後,就無法停用它。

在 AWS 中啟用控制器

注意

如果您在上架期間將其停用,您可以在 AWS 中啟用控制器。 在 AWS 中啟用控制器之後,就無法停用它。

  1. 在不同的瀏覽器視窗中,登入成員帳戶的AWS控制台。

  2. 移至 [許可權管理] 首頁,選取 [[設定] (齒輪圖示),然後選取 [數據收集器] 子索引卷標。

  3. 在 [數據收集器 儀錶板] 上,選取 AWS,然後選取 [建立組態]。

  4. [權限管理啟用 - AWS 成員帳戶詳情] 頁面,選取 [啟動範本]

    AWS CloudFormation 建立堆疊 頁面隨即開啟,並顯示範本。

  5. 在 [CloudTrailBucketName] 方塊中,輸入名稱。

    您可以從 AWS 中的 Trails 頁面複製並貼上 CloudTrailBucketName 名稱。

    注意

    雲端儲存桶 會收集許可權管理所監控的單一帳戶中的所有活動。 在這裡輸入雲端桶(Cloud Bucket)的名稱,以提供權限管理收集活動資料所需的存取權。

  6. 在 [EnableController] 方塊中,從下拉式清單中選擇 [True],以賦予許可權管理系統讀取和寫入的許可權,讓您能夠自動執行任何您想從許可權管理平台進行的補救措施。

  7. 捲動至頁面底部,然後在 [功能] 方塊中,選取 [我確認 AWS CloudFormation 可能會建立具有自定義名稱的 IAM 資源。 然後選擇 [建立堆疊]

    此 AWS CloudFormation 堆疊會在成員帳戶中建立集合角色,其中包含數據收集的必要許可權(原則)。 在此角色上設定信任政策,以允許在 AWS OIDC 帳戶中建立的 OIDC 角色存取它。 這些實體會列在 CloudFormation 堆疊的 [Resources] 索引標籤中。

  8. 返回到 [許可權管理],然後在 [許可權管理 上線 - AWS 成員帳戶詳細數據] 頁面上,選取 下一步

  9. 許可權管理啟動 – 摘要 頁面上,檢閱您新增的信息,然後選取 立即驗證 & 儲存

    下列訊息隨即出現:已成功建立的組態。

在 Azure 中啟用或停用控制器

您可以在管理群組的訂用帳戶層級啟用或停用 Azure 中的控制器。

  1. 從 [Azure 首頁] 頁面中,選取 [管理群組]

  2. 找出您要啟用或停用控制器的群組,然後選取箭號展開群組功能表並檢視您的訂用帳戶。 或者,您可以選取群組列出的 總訂閱數 號碼。

  3. 選取您要啟用或停用控制器的訂用帳戶,然後點擊導覽功能表中的 [存取控制 (IAM)]。

  4. 在 [檢查存取權] 區段中的 [尋找] 方塊中,輸入 Cloud Infrastructure Entitlement Management

    雲端基礎結構權限管理任務 頁面已顯示,其中包含指派給您的角色。

    • 如果您有唯讀權限,角色 欄位會顯示 讀者
    • 如果您有系統管理權限,則 [角色] 資料行會顯示 [使用者存取系統管理員]

  5. 若要新增系統管理角色指派,請返回 [訪問控制 (IAM)] 頁面,然後選取 [[新增角色指派]

  6. 新增或移除雲端基礎結構權利管理的角色指派。

  7. 移至 [許可權管理] 首頁,選取 [[設定] (齒輪圖示),然後選取 [數據收集器] 子索引卷標。

  8. 在 [數據收集器] 儀錶板上,選取 [Azure],然後選取 [建立設定]。

  9. 在 [許可權管理上線 - Azure 訂用帳戶詳細數據 頁面上,輸入 訂用帳戶標識碼,然後選取 [下一步]

  10. 在 [許可權管理上線 – 摘要] 頁面上,檢閱控制器許可權,然後選取 [立即驗證 ] 並 [儲存 &]。

    下列訊息隨即出現:[已成功建立的組態]。

在 GCP 中啟用或停用控制器

  1. 執行 gcloud 驗證登入操作

  2. 請依照畫面上顯示的指示,授權存取您的 Google 帳戶。

  3. 執行 sh mciem-workload-identity-pool.sh,以建立工作負載身分識別集區、提供者和服務帳戶。

  4. 執行 sh mciem-member-projects.sh,授與權限管理存取每個成員專案的權限。

    • 如果您想透過權限管理進行權限設定,請選取 Y,再選擇 啟用控制器
    • 如果您想要將項目設定為唯讀模式,請選取 N 以停用 控制器

  5. 選擇性地執行 mciem-enable-gcp-api.sh,以啟用所有建議的 GCP API。

  6. 移至 [許可權管理] 首頁,選取 [[設定] (齒輪圖示),然後選取 [數據收集器] 子索引卷標。

  7. 在 [數據收集器] 儀錶板上,選取 [GCP],然後選取 [建立組態]。

  8. 在 [許可權管理上線 - Microsoft Entra OIDC 應用程式建立] 頁面上,選取 [下一步]。

  9. 在 [許可權管理上線 - GCP OIDC 帳戶詳細數據 & IDP 存取] 頁面上,輸入 OIDC 專案編號,並 OIDC 專案標識符,然後 選取 [下一步]

  10. 在 [許可權管理上線 - GCP 專案標識碼 頁面上,輸入 [項目標識符],然後選取 [下一步]

  11. 在 [許可權管理上線 – 摘要] 頁面上,檢閱您新增的資訊,然後選取 [立即確認 & 儲存]。

    下列訊息隨即出現:[已成功建立的組態]。

後續步驟