Configura RBAC heredado

Compatible con:

El control de acceso basado en roles (RBAC) permite que un administrador adapte el acceso a las funciones de Google Security Operations según el rol de un empleado en tu organización.

Antes de comenzar

RBAC lee la información del grupo de la respuesta de SAML de los siguientes nombres de atributos predeterminados que no distinguen mayúsculas de minúsculas:

  • group
  • idpgroup group
  • memberof

Si usas un nombre de atributo personalizado, primero debes proporcionárselo a Google Security Operations para que puedas modificar la configuración de RBAC.

Modifica la configuración de RBAC

Para navegar a las páginas de configuración y perfil de RBAC, haz clic en Configuración en la barra de navegación.

Perfil

En la página Perfil, se muestra la información del perfil del usuario (ID de usuario, ID de grupo, roles asignados) y otra información adicional sobre su organización (ID de cliente, Google Cloud número de proyecto, Google Cloud ID de proyecto).

ID de cliente

Tu ID de cliente se encuentra en la sección Detalles de la organización de la página Perfil.

Actualiza la zona horaria

Puedes actualizar la zona horaria de la siguiente manera:

  1. Busca la sección Configuración de hora en tu perfil y haz clic en Editar.

  2. Selecciona la zona horaria adecuada para tu ubicación.

Usuarios y grupos

La página Usuarios y grupos permite que un administrador configure RBAC.

  1. Haz clic en el vínculo Usuarios y grupos en el panel de navegación izquierdo. En la página Usuarios y grupos, se muestra una lista de usuarios y grupos con las columnas Usuario/Grupo, Tipo y Rol asignado.

  2. Haz clic en Asignar nuevo para abrir el diálogo Asignar rol. Desde este diálogo, puedes completar las siguientes tareas:

    • Asigna un usuario o usuarios nuevos a un rol.
    • Asigna un grupo o grupos nuevos a un rol.

    Los roles disponibles son los siguientes:

    • Predeterminado
    • ViewerWithNoDetectAccess
    • Visualizador
    • Editor
    • Administrador

    Una vez que hayas agregado tus IDs de usuario o grupo y seleccionado el rol adecuado en el menú desplegable ASIGNAR ROL, haz clic en ASIGNAR.

    Cuando asignes roles, ten en cuenta lo siguiente:

    • Cuando agregues usuarios o grupos, asegúrate de que existan en tu proveedor de identidad (IdP). Cuando borres usuarios o grupos, asegúrate de conservar al menos un usuario o grupo que tenga el rol de administrador y que esté en tu IdP; de lo contrario, perderás el acceso de administrador.
    • Los IDs de IdP de usuarios y grupos distinguen mayúsculas de minúsculas.
    • No puedes cambiar el rol asignado de un usuario o grupo existente con este diálogo. Consulta los pasos que siguen para cambiar roles y borrar usuarios y grupos.
    • Google Security Operations administra la asignación entre usuarios y grupos, y roles.
    • Ten cuidado si el ID de usuario o grupo contiene caracteres especiales que, según la fuente de texto, podrían usar la codificación UTF-8. Una vez que hagas clic en Asignar, Google recomienda que verifiques que la nueva asignación se haya guardado correctamente.
  3. Para cambiar el rol de un usuario o grupo existente, selecciona un rol nuevo en el menú desplegable correspondiente a ese usuario o grupo en la columna Rol asignado.

  4. Puedes cambiar el rol predeterminado asignado a los usuarios y grupos nuevos desde el menú desplegable de roles en la esquina superior derecha.

  5. Para borrar un usuario o un grupo, haz clic en el ícono de papelera que aparece en el extremo derecho de la fila del usuario o grupo mientras mantienes el puntero sobre él.

    Si borras usuarios y grupos que son administradores, y los únicos administradores restantes no están en tu IDP, perderás el acceso de administrador.

    Funciones

Los roles están asociados con un conjunto de permisos del producto. Si le asignas un rol a un usuario, le otorgas los permisos asociados con ese rol.

Google Security Operations incluye los siguientes roles predefinidos:

  • Administrador: Administra las políticas de control de acceso basado en roles para tu empresa. También puede editar o ver cualquier página de Google Security Operations.
  • Editor: Puede editar páginas de Google Security Operations, incluida la capacidad de crear y editar reglas para el motor de detección.
  • Visualizador: Puede ver cualquier página de Google Security Operations, pero no puede realizar ningún cambio.
  • ViewerWithNoDetectAccess: Puede ver todas las páginas de Google Security Operations que no incluyen detecciones (principalmente las páginas Reglas y Listas de referencia).

Las aplicaciones RBAC incluyen lo siguiente:

  • Crea y asigna roles según las responsabilidades laborales.
  • Crea y asigna roles según las organizaciones o los arrendamientos.
  • Asigna roles temporales a los analistas para investigar un problema.

Permisos

Los permisos proporcionan la autorización necesaria para realizar una sola acción controlada en Google Security Operations, incluidos los siguientes (consulta la interfaz de usuario para obtener la lista completa de permisos):

  • Ver regla
  • Modificar regla
  • Editar el comentario
  • Editar la lista de referencias
  • Ver permisos RBAC

Si un usuario no tiene permisos para una acción, la función asociada se inhabilita. Por ejemplo, si el usuario tiene el rol de visualizador, no puede crear una regla nueva (el botón Nuevo está inhabilitado en el editor de reglas), duplicar una regla (la opción Duplicar está inhabilitada) ni modificar una regla existente.

Para ver los roles y permisos disponibles para los usuarios y grupos, completa los siguientes pasos:

  1. Haz clic en el vínculo Roles en el panel de navegación izquierdo.

  2. Selecciona un rol de la columna Roles para ver los permisos otorgados para ese rol. Los permisos asociados con cada rol no se pueden cambiar.

El rol predeterminado para los usuarios y grupos recién agregados es visualizador. Si seleccionas uno de los otros roles (por ejemplo, Editor), el control Establecer como predeterminado estará disponible. Esto te permite establecer ese rol como predeterminado.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.