共用方式為

將 Google Cloud Platform (GCP) 專案上線

  • 發行項

本文描述如何在 Microsoft Entra 權限管理中將 Google Cloud Platform (GCP) 專案上線。

注意

您必須是權限管理系統管理員,才能執行本文中的工作。

說明

針對 GCP,權限管理的範圍是 [GCP 專案]。 GCP 專案是 GCP 中資源的邏輯集合,例如 Azure 中的訂用帳戶,儘管您可執行進一步的設定,例如應用程式註冊和 OIDC 設定。

在 GCP 和 Azure 之間有數個移動中元件,其應該在上線之前進行設定。

  • Microsoft Entra OIDC 應用程式
  • GCP 中的工作負載身分識別
  • 使用的 OAuth2 機密用戶端授與
  • 具有收集權限的 GCP 服務帳戶

將 GCP 專案上線

  1. 如果授權管理啟動時未顯示 [資料收集器] 儀表板:

    • 在 Permissions Management 首頁中,選取 [設定] (齒輪圖示),然後選取 [資料收集器] 子索引標籤。

  2. 在 [資料收集器] 索引標籤 上,選取 [GCP],然後選取 [建立設定]

1.建立 Microsoft Entra OIDC 應用程式。

  1. 在 [權限管理上線 - Microsoft Entra OIDC 應用程式建立] 頁面上,輸入 OIDC Azure 應用程式名稱

    此應用程式用來設定 OpenID Connect (OIDC) 與 GCP 專案的連線。 OIDC 是以 OAuth 2.0 系列規格為基礎的互通驗證通訊協定。 產生的指令碼會在具有正確設定的 Microsoft Entra 租用戶中,建立此指定名稱的應用程式。

  2. 若要建立應用程式註冊,請複製指令碼,並在您的命令列應用程式中執行此指令碼。

    注意

    1. 若要驗證是否已建立應用程式,請在 Azure 中開啟 [應用程式註冊],然後在 [所有應用程式] 索引標籤上,找出您的應用程式。
    2. 選取應用程式名稱以開啟 [公開 API] 頁面。 [概觀] 頁面中顯示的 [應用程式識別碼 URI] 是與 GCP 帳戶建立 OIDC 連線時所使用的受眾值
    3. 返回 [權限管理] 視窗,然後在 [權限管理上線 - Microsoft Entra OIDC 應用程式建立] 上選取 [下一步]

2.設定 GCP OIDC 專案。

  1. 在 [權限管理上線 - GCP OIDC 帳戶詳細資料和 IDP 存取] 頁面中,輸入 GCP 專案的 [OIDC 專案編號]和 [OIDC 專案識別碼],而 OIDC 提供者和集區將會此專案中建立。 您可以根據需求變更角色。

    注意

    在 [專案資訊] 面板中,您可以在專案的 GCP [儀表板] 頁面上,找到 GCP 專案的專案編號專案識別碼

  2. 您可以變更 OIDC 工作負載身分識別集區識別碼OIDC 工作負載身分識別集區提供者識別碼OIDC 服務帳戶名稱,以符合您的需求。

    選擇性地指定 G-Suite IDP 秘密名稱G-Suite IDP 使用者電子郵件,以啟用 G-Suite 整合。

  3. 您可以在此時下載並執行指令碼,也可以在 Google Cloud Shell 中執行指令碼。

  4. 成功執行安裝指令碼之後,選取 [下一步]

從三個選項中進行選擇以管理 GCP 專案。

選項 1:自動管理

自動管理選項可讓您自動偵測及監視專案,而不需額外的設定。 偵測專案清單並上線以進行收集的步驟:

  1. 將 [檢視者] 和 [安全性檢閱者] 角色授與在上一個步驟中於專案、資料夾或組織層級建立的服務帳戶。

若要針對任何專案啟用控制器模式 [開啟],請將這些角色新增至特定專案:

  • 角色管理員
  • 安全性系統管理員

咬在 Google Cloud Shell 中執行的必要命令會列在專案、資料夾或組織之每個範圍的 [管理授權] 畫面中。 這也會在 GCP 主控台中設定。

  1. 選取 [下一步]。

選項 2:進入授權系統

您能夠僅指定特定 GCP 成員專案,以使用權限管理進行管理和監視 (每個收集器最多 100 個)。 請遵循下列步驟來設定要監視的 GCP 成員專案:

  1. 在 [權限管理上線 - GCP 專案識別碼] 頁面中,輸入專案編號

    您最多可輸入以逗號分隔的 100 GCP 專案識別碼。

  2. 此時您可以選擇下載並執行指令碼,或者可以透過 Google Cloud Shell 來執行指令碼。

    若要針對任何專案啟用控制器模式 [開啟],請將這些角色新增至特定專案:

    • 角色管理員
    • 安全性系統管理員

  3. 選取 [下一步]。

選項 3:選取授權系統

此選項會偵測雲端基礎結構權利管理應用程式可存取的所有專案。

  1. 將 [檢視者] 和 [安全性檢閱者] 角色授與在上一個步驟中於專案、資料夾或組織層級建立的服務帳戶。

若要針對任何專案啟用控制器模式 [開啟],請將這些角色新增至特定專案:

  • 角色管理員
  • 安全性系統管理員

咬在 Google Cloud Shell 中執行的必要命令會列在專案、資料夾或組織之每個範圍的 [管理授權] 畫面中。 這也會在 GCP 主控台中設定。

  1. 選取 [下一步]。

3.檢閱並儲存。

  1. 在 [權限管理上線 - 摘要] 頁面中,檢閱您已新增的資訊,然後選取 [立即驗證和儲存]

    下列訊息即會出現:已成功建立設定

    在 [資料收集器] 索引標籤上,[最近上傳已開始] 資料行顯示 [收集中]。 [最近轉換已開始] 資料行顯示 [處理中]

    權限管理 UI 中的 [狀態] 資料行會顯示您位於資料收集的哪個步驟:

    • 擱置:權限管理尚未開始偵測或上線。
    • 探索:權限管理正在偵測授權系統。
    • 進行中:權限管理已偵測完授權系統,且授權系統正在上線。
    • 上線:資料收集已完成,且所有偵測到的授權系統都已上線至權限管理。

4.檢視資料。

  1. 若要檢視資料,請選取 [授權系統] 索引標籤。

    資料表中的 [狀態] 資料行會顯示 [正在收集資料]

    在大部分情況下,資料收集程序需要一些時間,並以大約 4-5 小時的間隔發生。 時間範圍取決於您擁有的授權系統大小,以及可供收集的資料量。

下一步