Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Configurer un Google Cloud fournisseur d'identité

Compatible avec :

Google secops SIEM

Vous pouvez utiliser Cloud Identity, Google Workspace ou un fournisseur d'identité tiers (tel qu'Okta ou Azure AD) pour gérer les utilisateurs, les groupes et les authentifications.

Cette page explique comment utiliser Cloud Identity ou Google Workspace.

Lorsque vous utilisez Cloud Identity ou Google Workspace, vous créez des comptes utilisateur gérés pour contrôler l'accès aux Google Cloud ressources et à Google SecOps.

Vous créez des stratégies IAM qui définissent les utilisateurs et les groupes ayant accès aux fonctionnalités de Google SecOps. Ces stratégies IAM sont définies à l'aide de rôles et d'autorisations prédéfinis fournis par Google SecOps ou de rôles personnalisés que vous créez.

Lorsque vous associez une instance Google SecOps à Google Cloud des services, configurez une connexion à un Google Cloud fournisseur d'identité. L'instance Google SecOps s'intègre directement à Cloud Identity ou Google Workspace pour authentifier les utilisateurs et appliquer le contrôle des accès en fonction des stratégies IAM que vous avez configurées.

Pour en savoir plus sur la création de comptes Cloud Identity ou Google Workspace, consultez Identités des utilisateurs.

Cas d'utilisation courants

Google SecOps nécessite l'utilisation de Cloud Identity ou de Google Workspace comme broker d'authentification unique pour un large éventail de cas d'utilisation.

Respecter des normes de sécurité strictes

Objectif : respecter des normes réglementaires strictes pour l'accès au système et au cloud.
Avantage : permet de se conformer aux exigences de conformité FedRAMP High (ou supérieures) en assurant un brokering sécurisé de l'authentification unique.

Gérer le contrôle des accès à l'entreprise

Objectif : contrôler de manière centralisée l'accès aux fonctionnalités et aux données dans l'ensemble de l'organisation.
Avantage : permet d'activer le RBAC au niveau de l'entreprise dans Google SecOps à l'aide d' IAM.

Automatiser l'accès programmatique à l'API

Objectif : fournir des méthodes en libre-service pour interagir de manière sécurisée avec les API Chronicle.
Avantage : réduit la charge administrative manuelle en permettant aux clients de gérer leurs identifiants de manière programmatique.

Attribuer un rôle pour activer la connexion à Google SecOps

Les étapes suivantes décrivent comment attribuer un rôle spécifique à l'aide d'IAM afin qu'un utilisateur puisse se connecter à Google SecOps. Effectuez la configuration à l'aide de le projet lié à Google SecOps Google Cloud que vous avez créé précédemment.

Attribuez le rôle de lecteur de l'API Chronicle (roles/chronicle.viewer) aux utilisateurs ou aux groupes qui doivent avoir accès à l'application Google Security Operations.

Remarque : Les exemples suivants utilisent la commande gcloud. Pour utiliser la Google Cloud console, consultez Attribuer un seul rôle.
Important : Les exemples suivants ne configurent pas l'autorisation d'accès aux fonctionnalités de Google SecOps. Cela se fait à l'aide d'IAM pour le contrôle des accès aux fonctionnalités.
- L'exemple suivant attribue le rôle de lecteur de l'API Chronicle à un groupe spécifique :
```
gcloud projects add-iam-policy-binding PROJECT_ID \
  --role roles/chronicle.viewer \
  --member "group:GROUP_EMAIL"
```
  Remplacez les éléments suivants :
  - PROJECT_ID : par l'ID de projet du projet lié à Google Security Operations que vous avez configuré dans Configurer un Google Cloud projet pour Google Security Operations. Pour obtenir une description des champs qui identifient un projet, consultez Créer et gérer des projets.
  - GROUP_EMAIL : par l'alias d'adresse e-mail du groupe, par exemple analyst-t1@example.com.
- Pour attribuer le rôle de lecteur de l'API Chronicle à un utilisateur spécifique, exécutez la commande suivante :
```
gcloud projects add-iam-policy-binding PROJECT_ID \
  --role roles/chronicle.viewer \
  --member "user:USER_EMAIL"
```
  Remplacez USER_EMAIL par l'adresse e-mail de l'utilisateur, par exemple alice@example.com.
- Pour obtenir des exemples d'attribution de rôles à d'autres membres, tels qu'un groupe ou un domaine, consultez gcloud projects add-iam-policy-binding et la documentation de référence sur les identifiants de principal.
Configurez des stratégies IAM supplémentaires pour répondre aux exigences d'accès et de sécurité de votre organisation.

Étape suivante

Une fois les étapes de ce document terminées, procédez comme suit :

Suivez les étapes pour associer une instance Google Security Operations à des Google Cloud services.
Si vous n'avez pas encore configuré la journalisation d'audit, continuez avec l'activation de la journalisation d'audit de Google Security Operations.
Si vous configurez Google Security Operations, suivez les étapes supplémentaires décrites dans Provisionner, authentifier et mapper des utilisateurs dans Google Security Operations.
Pour configurer l'accès aux fonctionnalités, suivez les étapes supplémentaires décrites dans Configurer le contrôle des accès aux fonctionnalités à l'aide d'IAM et Autorisations Google Security Operations dans IAM.

Vous avez encore besoin d'aide ? Obtenez des réponses auprès des membres de la communauté et des professionnels Google SecOps.