为参考列表配置数据 RBAC

支持:

本页面介绍了 数据基于角色的访问权限控制数据 RBAC )管理员和用户如何为参考列表分配范围。

参考列表是用于在 UDM 搜索和检测规则中匹配和过滤值的列表(例如 IP 地址)。通过为参考列表分配范围,您可以控制哪些用户和资源(例如规则和 UDM 搜索实例)可以访问和使用该列表。

如需了解数据 RBAC 的工作原理,请参阅数据 RBAC 概览

为参考列表添加范围

如需为参考列表添加范围,您必须有权访问要添加的所有范围。您无法添加无权访问的范围。

数据 RBAC 会以以下方式影响参考列表:

  • 在为参考列表分配范围 之前 启用数据 RBAC :系统会自动为所有现有参考列表分配全局范围。请根据您的数据访问权限控制要求,为每个参考列表分配范围。

  • 在为参考列表分配范围 之后 启用数据 RBAC :即使在启用数据 RBAC 之前,限定范围的参考列表也会根据其定义的范围对提取的数据进行操作。

限定范围的用户和全局用户具有不同的访问权限,具体如下:

  • 限定范围的用户可以使用分配给自己的全部或部分范围创建限定范围的参考列表。

  • 全局用户可以创建未限定范围的参考列表(所有用户都可以使用的参考列表)或限定范围的参考列表。

如需为参考列表添加范围,请执行以下操作:

  1. 登录 Google Security Operations

  2. 依次点击检测 > 列表

  3. 列表管理器 窗口中,选择要添加范围的列表。

  4. 详细信息 标签页的范围分配 菜单中,选择参考列表必须有权访问的所有范围。

  5. 点击保存修改

系统会将范围添加到参考列表中。

更新参考列表中的范围

如需更新参考列表中的范围,您必须有权访问要添加到参考列表中的所有数据范围。您无法添加无权访问的范围。

更新参考列表时,请注意以下事项:

  • 只有当使用参考列表的所有现有规则在更改后仍能正常运行时,才能从参考列表中移除范围。

    例如,如果范围为 B 的规则使用参考列表,则不允许将参考列表的范围从 A 和 B 更新为 A。同样,如果范围为 B 的规则使用参考列表,则不允许将参考列表从未限定范围更新为范围 A。

  • 限定范围的用户可以从参考列表中移除范围,这可能会导致其他限定范围的用户失去对参考列表的访问权限。

    例如,范围为 A 和 B 的用户可以从范围为 A 和 B 的参考列表中移除范围 B。更改后,该用户仍然可以使用参考列表,但仅具有范围 B 的其他用户将无法再查看或访问该参考列表。

  • 更新范围以添加更多范围可能会导致某些用户失去对参考列表的修改权限。

    例如,范围为 A 和 B 的用户可以向范围为 A 的参考列表中添加范围 B。更改后,该用户仍然可以修改参考列表,但仅具有范围 A 的其他用户将无法再修改该参考列表。

如需更新参考列表中的范围,请执行以下操作:

  1. 登录 Google Security Operations

  2. 依次点击检测 > 列表

  3. 列表管理器 窗口中,选择要添加范围的列表。

  4. 详细信息 标签页的范围分配 菜单中,选择参考列表应有权访问的所有范围。取消选择参考列表不应有权访问的范围。

  5. 点击保存修改

参考列表的范围分配已更新。

需要更多帮助?获得社区成员和 Google SecOps 专业人士的解答。