Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

מדריך למשתמש בנושא בקרת גישה מבוססת-תפקידים (RBAC)

נתמך ב:

Google secops SIEM

בקרת גישה מבוססת-תפקידים (RBAC) מאפשרת לאדמין להתאים את הגישה לתכונות של Google Security Operations על סמך התפקיד של העובד בארגון.

לפני שמתחילים

ה-RBAC קורא את פרטי הקבוצה מתגובת SAML משמות המאפיינים הבאים שמוגדרים כברירת מחדל, ללא הבחנה בין אותיות רישיות לאותיות קטנות:

group
idpgroup group
memberof

אם אתם משתמשים בשם של מאפיין בהתאמה אישית, אתם צריכים לספק אותו קודם ל-Google Security Operations כדי שתוכלו לשנות את הגדרות ה-RBAC.

שינוי הגדרות RBAC

כדי לעבור לדפים של פרופיל RBAC וההגדרות שלו, לוחצים על הגדרות בסרגל הניווט.

פרופיל

בדף פרופיל מוצג המידע מהפרופיל של המשתמש (מזהה משתמש, מזהה קבוצה, תפקידים שהוקצו) ומידע נוסף על הארגון שלו (מספר לקוח, Google Cloud מספר פרויקט, Google Cloud מזהה פרויקט).

מספר לקוח

מספר הלקוח מופיע בקטע פרטי הארגון בדף פרופיל.

עדכון אזור הזמן

כך מעדכנים את אזור הזמן:

מאתרים את הקטע הגדרות זמן בפרופיל ולוחצים על עריכה.
בוחרים את אזור הזמן שמתאים למיקום שלכם.

משתמשים וקבוצות

בדף משתמשים וקבוצות, האדמין יכול להגדיר RBAC.

בחלונית הניווט הימנית, לוחצים על הקישור משתמשים וקבוצות. רשימה של משתמשים וקבוצות מוצגת בדף משתמשים וקבוצות עם העמודות: משתמש/קבוצה, סוג ותפקיד שהוקצה.
לוחצים על הקצאת תפקיד חדש כדי לפתוח את תיבת הדו-שיח הקצאת תפקיד. בתיבת הדו-שיח הזו אפשר לבצע את המשימות הבאות:
- מקצים תפקיד למשתמש חדש או למשתמשים חדשים.
- מקצים תפקיד לקבוצה חדשה או לקבוצות חדשות.
התפקידים הזמינים הם:
- ברירת מחדל
- ViewerWithNoDetectAccess
- צפייה
- עריכה
- מנהל מערכת
אחרי שמוסיפים את מזהי המשתמשים או הקבוצות ובוחרים את התפקיד המתאים מהתפריט הנפתח הקצאת תפקיד, לוחצים על הקצאה.

כשמקצים תפקידים, חשוב לשים לב לנקודות הבאות:
- כשמוסיפים משתמשים או קבוצות, צריך לוודא שהם קיימים בספק הזהויות (IdP). כשמוחקים משתמשים או קבוצות, חשוב לוודא שמשאירים לפחות משתמש או קבוצה עם תפקיד אדמין שנמצאים ב-IdP. אחרת, תאבדו את גישת האדמין.
- מזהי IdP של משתמשים וקבוצות הם תלויי-רישיות.
- אי אפשר לשנות את התפקיד שהוקצה למשתמש או לקבוצה קיימים באמצעות תיבת הדו-שיח הזו. בהמשך מוסבר איך לשנות תפקידים ולמחוק משתמשים וקבוצות.
- ‫Google Security Operations מנהל את המיפוי בין משתמשים, קבוצות ותפקידים.
- צריך להיזהר אם מזהה המשתמש או הקבוצה מכיל תווים מיוחדים, שבהתאם למקור הטקסט, יכול להיות שנעשה בהם שימוש בקידוד UTF-8. אחרי שלוחצים על הקצאה, מומלץ לוודא שההקצאה החדשה נשמרה בצורה תקינה.
כדי לשנות את התפקיד של משתמש או קבוצה קיימים, בוחרים תפקיד חדש מהתפריט הנפתח שמתאים למשתמש או לקבוצה בעמודה תפקיד שהוקצה.

הערה: אם האדמין שינה את התפקיד של משתמש, יכול להיות שהמשתמש יצטרך לרענן את הדפדפן כדי לראות את השינויים.
אפשר לשנות את תפקיד ברירת המחדל שמוקצה למשתמשים ולקבוצות חדשים באמצעות התפריט הנפתח של התפקידים בפינה השמאלית העליונה.
כדי למחוק משתמש או קבוצה, מעבירים את מצביע העכבר מעל השורה של המשתמש או הקבוצה ולוחצים על סמל פח האשפה שמופיע בצד שמאל.

אם תמחקו משתמשים וקבוצות שהם אדמינים, והאדמינים היחידים שיישארו לא נמצאים ב-IDP שלכם, תאבדו את הגישה של האדמין.

תפקידים

תפקידים משויכים לקבוצה של הרשאות למוצרים. הקצאת תפקיד למשתמש מעניקה לו את ההרשאות שמשויכות לתפקיד הזה.

‫Google Security Operations כולל את התפקידים המוגדרים מראש הבאים:

אדמין – מנהל את מדיניות בקרת הגישה לפי תפקידים בארגון. אפשר גם לערוך או להציג כל דף ב-Google Security Operations.
עורך – יכול לערוך דפים ב-Google Security Operations, כולל האפשרות ליצור ולערוך כללים במנוע הזיהוי.
צופה – יכול לצפות בכל דף ב-Google Security Operations, אבל לא יכול לבצע שינויים.
ViewerWithNoDetectAccess – יכול לצפות בכל הדפים של Google Security Operations שלא כוללים זיהויים (בעיקר הדפים Rules ו-Reference Lists).

דוגמאות לשימושים ב-RBAC:

ליצור ולהקצות תפקידים על סמך תחומי האחריות של העובדים.
ליצור ולהקצות תפקידים על סמך דיירות או ארגונים.
הקצאת תפקידים זמניים לאנליסטים כדי לבדוק בעיה.

הרשאות

ההרשאות מספקות את האישור שנדרש לביצוע פעולה מבוקרת אחת ב-Google Security Operations, כולל (לרשימה המלאה של ההרשאות, אפשר לעיין בממשק המשתמש):

צפייה בפרטי הכלל
שינוי הכלל
עריכת המשוב
עריכה של רשימת ההפניות
צפייה בהרשאות RBAC

אם למשתמש אין הרשאות לבצע פעולה מסוימת, התכונה שקשורה לפעולה הזו מושבתת. לדוגמה, אם למשתמש יש תפקיד של צפייה, הוא לא יכול ליצור כלל חדש (הלחצן חדש מושבת בכלי לעריכת כללים), לשכפל כלל (האפשרות שכפול מושבתת) או לשנות כלל קיים.

כדי לראות את התפקידים וההרשאות שזמינים למשתמשים ולקבוצות, מבצעים את הפעולות הבאות:

לוחצים על הקישור תפקידים בחלונית הניווט הימנית.
בוחרים תפקיד מהעמודה Roles (תפקידים) כדי לראות את ההרשאות שניתנו לתפקיד הזה. אי אפשר לשנות את ההרשאות שמשויכות לכל תפקיד.

תפקיד ברירת המחדל של משתמשים וקבוצות שנוספו לאחרונה הוא 'צפייה'. אם בוחרים באחד מהתפקידים האחרים (לדוגמה, 'עם הרשאת עריכה'), האפשרות הגדרה כברירת מחדל הופכת לזמינה. כך תוכלו להגדיר את התפקיד הזה כברירת מחדל.

הבעיה עדיין לא נפתרה? קבלת תשובות מחברי הקהילה וממומחי Google SecOps.