Включение или отключение контроллера после завершения подключения

С помощью контроллера можно решить, какой уровень доступа предоставляется в разделе "Управление разрешениями".

• Включите предоставление доступа для чтения и записи к средам. Разрешения правого размера и исправление можно с помощью управления разрешениями.

• Отключите, чтобы предоставить доступ только для чтения к средам.

В этой статье описывается, как включить контроллер в Amazon Web Services (AWS), Microsoft Azure и Google Cloud Platform (GCP) после завершения подключения.

В этой статье также описывается отключение контроллера в Microsoft Azure и Google Cloud Platform (GCP). После включения контроллера в AWS его нельзя отключить.

Включение контроллера в AWS

1. В отдельном окне браузера войдите в консоль AWS учетной записи участника.

2. Перейдите на домашнюю страницу управления разрешениями, выберите Параметры (значок шестеренки), а затем вложенную подзадаку сборщиков данных.

3. На панели мониторинга сборщиков данных выберите AWS, а затем нажмите кнопку "Создать конфигурацию".

4. На странице Подключение службы "Управление разрешениями" — сведения об учетной записи участника AWS выберите Запустить шаблон.

   Откроется страница Создание стека AWS CloudFormation, на которой отобразится шаблон.

5. В поле CloudTrailBucketName введите имя.

   Вы можете скопировать и вставить имя CloudTrailBucketName со страницы Trails (Журналы) в AWS.

   Примечание.

   Облачный контейнер собирает все действия в одной учетной записи, которую отслеживает служба "Управление разрешениями". Введите имя облачного контейнера, чтобы предоставить службе "Управление разрешениями" доступ, необходимый для получения данных о действиях.

6. В поле EnableController в раскрывающемся списке выберите True, чтобы предоставить Управлению разрешениями доступ на чтение и запись — тогда любое исправление, которое вы делаете из платформы Управления разрешениями, будет выполняться автоматически.

7. Прокрутите страницу вниз и в поле Capabilities (Возможности) выберите I acknowledge that AWS CloudFormation might create IAM resources with custom names (Я подтверждаю, что AWS CloudFormation может создавать ресурсы IAM с пользовательскими именами). Затем выберите Create stack (Создать стек).

   Этот стек AWS CloudFormation создаст роль коллекции в учетной записи участника с необходимыми разрешениями (политиками) для сбора данных. Для этой роли задана политика доверия, которая разрешает роли OIDC, созданной в учетной записи OIDC AWS, для доступа к нему. Эти сущности перечислены на вкладке Resources (Ресурсы) в стеке CloudFormation.

8. Вернитесь в службу "Управление разрешениями" и на странице Подключение службы "Управление разрешениями" — сведения об учетной записи участника AWS нажмите кнопку Далее.

9. На странице "Подключение управления разрешениями" — сводка просмотрите добавленные сведения, а затем нажмите кнопку "Проверить сейчас и сохранить".

   Появится следующее сообщение: Конфигурация успешно создана.

Включение или отключение контроллера в Azure

Вы можете включить или отключить контроллер в Azure на уровне подписки группы управления.

1. На домашней странице Azure выберите группы управления.

2. Найдите группу, для которой требуется включить или отключить контроллер, а затем щелкните стрелку, чтобы развернуть меню группы и просмотреть подписки. Кроме того, можно выбрать номер общих подписок , указанный для вашей группы.

3. Выберите подписку, для которой требуется включить или отключить контроллер, а затем в меню навигации щелкните элемент управления доступом (IAM ).

4. В разделе Проверка доступа в поле Поиск введите Управление правами облачной инфраструктуры.

   Откроется страница Назначения Управления правами облачной инфраструктуры, в которой отображаются назначенные вам роли.

   • Если у вас есть разрешение только на чтение, в столбце Роль отображается Читатель.
   • Если у вас есть административное разрешение, в столбце роли отображается Администратор истатор доступа пользователей.

5. Чтобы добавить назначение административных ролей, вернитесь на страницу управления доступом (IAM), а затем выберите "Добавить назначение роли".

6. Добавление или удаление назначения ролей для Управления правами облачной инфраструктуры.

7. Перейдите на домашнюю страницу управления разрешениями, выберите Параметры (значок шестеренки), а затем вложенную подзадаку сборщиков данных.

8. На панели мониторинга сборщиков данных выберите Azure, а затем нажмите кнопку "Создать конфигурацию".

9. На странице "Подключение управления разрешениями" — сведения о подписке Azure введите идентификатор подписки, а затем нажмите кнопку "Далее".

10. На странице "Подключение управления разрешениями" — сводка , просмотрите разрешения контроллера, а затем нажмите кнопку "Проверить сейчас" и "Сохранить".

    Появится следующее сообщение: Конфигурация успешно создана.

Включение или отключение контроллера в GCP

1. Выполните Вход с проверкой подлинности, используя команду gcloud.

2. Следуйте инструкциям на экране, чтобы авторизовать доступ к учетной записи Google.

3. sh mciem-workload-identity-pool.sh Выполните команду для создания пула удостоверений рабочей нагрузки, поставщика и учетной записи службы.

4. sh mciem-member-projects.sh Выполните команду, чтобы предоставить разрешения на управление разрешениями для доступа к каждому из проектов-членов.

   • Если вы хотите управлять разрешениями через Управление разрешениями, выберите Y, чтобы включить контроллер.
   • Если вы хотите подключать проекты в режиме "только для чтения", выберите N, чтобы отключить контроллер.

5. При необходимости выполните выполнение mciem-enable-gcp-api.sh , чтобы включить все рекомендуемые API GCP.

6. Перейдите на домашнюю страницу управления разрешениями, выберите Параметры (значок шестеренки), а затем вложенную подзадаку сборщиков данных.

7. На панели мониторинга Сборщики данных выберите GCP и нажмите Создать конфигурацию.

8. На странице создания приложений Microsoft Entra OIDC для управления разрешениями нажмите кнопку "Далее".

9. На странице "Сведения о учетной записи GCP OIDC" и "Доступ к idP" введите номер проекта OIDC и идентификатор проекта OIDC, а затем нажмите кнопку "Далее".

10. На странице идентификаторов проектов GCP введите идентификаторы проектов управления разрешениями, а затем нажмите кнопку "Далее".

11. На странице "Подключение управления разрешениями— сводка" просмотрите добавленные сведения, а затем нажмите кнопку "Проверить сейчас и сохранить".

    Появится следующее сообщение: Конфигурация успешно создана.

Следующие шаги

• Сведения о том, как добавить учетную запись, подписку или проект после завершения подключения, см. в статье Добавление учетной записи, подписки или проекта после завершения подключения.