你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Microsoft Defender for Cloud 生成部署脚本,其中包含将 Google Cloud Platform (GCP) 帐户载入 Defender for Cloud 所需的所有资源。 但是,自 2024 年 5 月起,GCP 对在 2024 年 5 月之后创建的所有组织默认强制实施名为 “域受限共享 ”的策略。 该策略可防止向 GCP 组织外部的服务帐户分配标识和访问管理(IAM)权限。 此策略可能会导致 Defender for Cloud 生成的部署脚本失败。
本页指导你完成解决域受限共享策略的步骤,并确保 GCP 帐户正确连接到 Defender for Cloud。
先决条件
Microsoft Azure 订阅。 如果没有 Azure 订阅,可以免费注册。
在 Azure 订阅上设置 Microsoft Defender for Cloud。
相关 Azure 订阅的参与者级别权限。
修改组织级别的策略。
为 Defender for Cloud 启用服务帐户
Defender for Cloud 要求在 GCP 项目中启用以下服务帐户。
登录你的 GCP 项目。
导航到
IAM & Admin 组织策略 。选择 “域受限共享”。
选择 “管理策略”。
添加以下任一项:
- 将 Defender for Cloud 组织 ID
principalSet://iam.googleapis.com/organizations/517615557103添加到允许的主体列表中。 或 - 添加 Defender 组织客户 ID
C03um0klj。
- 将 Defender for Cloud 组织 ID
选择“保存”。
更改可能需要几分钟才能传播。 应用更改后, 运行 Defender for Cloud 生成的部署脚本。
相关内容
- 向工作负载所有者分配访问权限。
- 对多云连接器进行故障排除。
- 获取有关连接 GCP 项目的常见问题解答。