PProfessNet Academy
Google Cloud (GCP) — fundamenty/06advanced14 min

Jak ZEUS czyta GCP (Workload Identity, Asset Inventory, Security Command Center)

To kluczowa lekcja dla wdrażających ZEUS u klienta z Google Cloud. Pokazuje dokładnie, jak konektor uwierzytelnia się — bez kluczy — i jakie API odpytuje, wyłącznie do odczytu.

Tożsamość: Workload Identity (bez kluczy)

ZEUS celowo nie używa kluczy JSON kont usług. Zamiast tego uwierzytelnia się przez Workload Identity Federation: tożsamość ZEUS-a wymienia swój token na krótkotrwałe credentiale GCP. W środowisku klienta tworzymy konto usługi read-only i wiążemy je z poolem WIF:

# Konto usługi read-only dla ZEUS
gcloud iam service-accounts create zeus-reader \
  --display-name="ZEUS read-only"

# Nadanie ról odczytu na poziomie organizacji
gcloud organizations add-iam-policy-binding <org-id> \
  --member="serviceAccount:zeus-reader@<projekt>.iam.gserviceaccount.com" \
  --role="roles/cloudasset.viewer"
gcloud organizations add-iam-policy-binding <org-id> \
  --member="serviceAccount:zeus-reader@<projekt>.iam.gserviceaccount.com" \
  --role="roles/securitycenter.findingsViewer"

Wskazówka: brak klucza JSON to brak sekretu do wycieku. To najbezpiecz­ niejszy model dostępu third-party w GCP — i jednocześnie demonstracja dobrej praktyki, którą zalecamy klientom dla ich własnych integracji.

Role read-only

Konektor dostaje wyłącznie role odczytu na poziomie organizacji:

RolaPo co
roles/cloudasset.viewerinwentaryzacja przez Asset Inventory
roles/securitycenter.findingsViewerodczyt findings z SCC
roles/iam.securityReviewerodczyt polityk IAM
roles/viewer (opcjonalnie)szczegóły konfiguracji zasobów

Dwa główne źródła danych

1. Cloud Asset Inventory

Jednym zapytaniem na poziomie organizacji ZEUS pobiera pełny inwentarz: wszystkie zasoby, polityki IAM i Organization Policies w całej hierarchii (organizacja → foldery → projekty → zasoby).

gcloud asset search-all-resources \
  --scope=organizations/<org-id> \
  --asset-types="compute.googleapis.com/Instance"

2. Security Command Center

ZEUS zaciąga findings z SCC (misconfigi i zagrożenia), żeby nie dublować skanów Google'a, i wlewa je do wspólnej kolejki SecOps (patrz lekcja 05).

Co ZEUS robi z danymi

Strumienie z Asset Inventory i SCC spływają do tego samego modelu danych co Azure i AWS. Efekt to jeden dashboard postawy, jedna kolejka alertów (SCC + GuardDuty + Defender) i jeden zestaw dowodów compliance (NIS2, DORA, ISO 27001) — niezależnie od liczby chmur klienta.

Podsumowanie ścieżki

Od hierarchii organizacja/folder/projekt, przez IAM i konta usług, compute, storage, sieci, SCC i Workload Identity, po konektor — masz teraz komplet, by rozumieć, jak ZEUS "widzi" środowisko GCP klienta i poprowadzić bezsekretne wdrożenie czytnika read-only.