En tant que propriétaire ou administrateur d'organisation VMware Aria Hub, vous pouvez exécuter le workflow de compte Google Cloud Platform qui vous aide à télécharger une clé de compte de service à partir de Google Cloud Platform, puis à la charger dans VMware Aria Hub et à démarrer la surveillance des événements.

Conditions préalables

  • Vérifiez que vous pouvez vous connecter à votre console Google Cloud Platform en tant qu'utilisateur disposant des autorisations au niveau de l'organisation suivantes, afin de pouvoir ajouter des rôles et des liaisons de membres IAM dans votre console GCP.
    • Propriétaire
    • Administrateur de rôle
    • Administrateur d'organisation

    Pour obtenir des informations fournies par Google sur les rôles, reportez-vous aux sections Propriétaire, Administrateur de rôle et Administrateur d'organisation.

  • Vérifiez que vous avez accès au projet GCP pour lequel vous créez ce compte .
  • Localisez et enregistrez l'ID de projet GCP afin de pouvoir l'utiliser lors de la configuration de la connexion à ce compte.
  • Si vous associez le compte à un projet VMware Aria Hub, vérifiez que vous avez créé le projet. Pour obtenir des instructions, reportez-vous à la section Ajouter des projets.

Procédure

  1. Dans VMware Aria Hub, sélectionnez Configurer > Comptes.
  2. Cliquez sur Nouveau compte, puis sur Google Cloud Platform.

    La section Informations sur le compte nécessite un nom et un ID de projet GCP.
    1. Dans la section Informations sur le compte, entrez un nom de compte utile et votre ID de projet GCP.
    2. Si vous utilisez des projets, sélectionnez le projet VMware Aria que vous associez au projet GCP.
    3. Vous pouvez utiliser Environnement pour ajouter des métadonnées descriptives aux abonnements qui sont utilisés par certaines fonctionnalités dans VMware Aria Hub.
      Par exemple, si vous ajoutez et sélectionnez des environnements tels que prod, dev et test, vous pouvez ensuite appliquer des stratégies de gouvernance à un environnement particulier. Vous pouvez ensuite effectuer une recherche en fonction de l'environnement et même appliquer une stratégie aux ressources de votre environnement de production, mais pas de développement ou de test.
    4. Entrez le nom et l'adresse e-mail du propriétaire.
    5. Cliquez sur Suivant.
  3. Connectez le compte à l'aide d'une clé de compte de service GCP.
    Les étapes indiquées dans l'interface utilisateur sont répétées dans cette procédure pour vous faciliter la tâche.
    La section Connexion au compte de service fournit des instructions sur les rôles d'utilisateur requis, puis fournit les étapes de création et de téléchargement de la clé de service.
    1. Vérifiez que vous disposez des autorisations décrites au début de cet article .
    2. Ouvrez Google Cloud Shell ou n'importe quel shell avec l'interface de ligne de commande Google Cloud.
    3. Exécutez le script fourni.
      Le script crée une clé de compte de service dans le répertoire sélectionné. Le nom de fichier de la clé est vmw-secure-state-sa-key.json.
    4. Pour télécharger la clé de compte de service, exécutez le script fourni.
    5. Pour charger la clé de compte de service GCP téléchargée dans VMware Aria Hub, cliquez sur Parcourir.
    6. Cliquez sur Suivant.
  4. Dans la section Intégration de compte, activez la surveillance des événements.

    Pour configurer le flux d'événements qui fournit des mises à jour sur les résultats de sécurité pour ce compte de cloud, vous devez configurer GCP afin de pouvoir exécuter un script de connexion. Reportez-vous aux conditions préalables mentionnées au début de cette procédure.

    Le script de connexion configure une journalisation Google Cloud et un flux d'événement basé sur Pub/Sub à l'aide des rôles et autorisations suivants.

    • Le compte de service géré par Google pour ce projet, {project-number}@cloudservices.gservicesaccount.com, se voit accorder les rôles et autorisations suivants.
      Rôle GCP Autorisations
      Configuration de journaux
      • Créer un récepteur de journalisation cloud
      • Publier dans une rubrique Pub/Sub
      Administrateur de sécurité
      • Créer un récepteur de journalisation cloud
      • Publier dans une rubrique Pub/Sub
    • Le rôle Créateur de jetons de compte de service est accordé au compte de service Pub/Sub {project-number}@gcp-sa-pubsub-iam- gserviceaccount.com.

    Pour obtenir des informations fournies par Google sur les rôles, reportez-vous aux sections Comptes de service gérés par Google, Rôle d'enregistreur de configuration des journaux, Rôle d'administrateur de sécurité et Configurer Pub/Sub avec le rôle créateur de jetons.


    La section Intégration de compte fournit le script de configuration pour créer les rôles et les autorisations qui connectent le flux d'événements.
    1. Vérifiez que vous disposez des autorisations de surveillance des événements décrites au début de cet article .
    2. Ouvrez Google Cloud Shell ou n'importe quel shell avec l'interface de ligne de commande Google Cloud.
    3. Exécutez la commande fournie pour exécuter le script de configuration .
  5. Sur la page Comptes, vérifiez que le compte de source de données existe, que l'état est OK et que l'état de surveillance des événements est Connecté.

Que faire ensuite

La collecte peut prendre jusqu'à 30 minutes avant que les données ne s'affichent. Pour surveiller le processus, sélectionnez Exploration > Inventaire.

  • La collecte peut prendre jusqu'à 30 minutes avant que les données ne s'affichent. Pour surveiller le processus, sélectionnez Exploration > Inventaire.
  • Si vous devez apporter des modifications à un compte GCP, sélectionnez Configurer > Comptes, développez les détails du compte cible, puis modifiez les propriétés de compte individuel.