Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

ID プロバイダを構成する Google Cloud

以下でサポートされています。

Google SecOps SIEM

Cloud Identity、Google Workspace、またはサードパーティの ID プロバイダ（Okta や Azure AD など）を使用してユーザー、グループ、認証を管理できます。

このページでは、Cloud Identity または Google Workspace の使用方法について説明します。

Cloud Identity または Google Workspace を使用する場合は、管理対象ユーザーアカウントを作成して、リソースと Google SecOps へのアクセスを制御します。 Google Cloud

Google SecOps 機能へのアクセス権を付与するユーザーとグループを定義する IAM ポリシーを作成します。これらの IAM ポリシーは、Google SecOps または作成したカスタムロールによって指定される事前定義のロールと権限を使用して定義します。

Google SecOps インスタンスを Google Cloud サービスにリンクする際に、ID プロバイダへの接続を構成します。 Google Cloud Google SecOps インスタンスは Cloud Identity または Google Workspace と直接統合され、構成した IAM ポリシーに基づいてユーザー認証とアクセス制御が適用されます。

Cloud Identity アカウントまたは Google Workspace アカウント作成の詳細については、ユーザーの ID をご覧ください。

一般的なユースケース

Google SecOps では、さまざまなユースケースで SSO ブローカーとして Cloud Identity または Google Workspace を使用する必要があります。

厳格なセキュリティ標準に準拠する

目標: システムとクラウドアクセスに関する厳格な規制基準を満たす。
価値: SSO を安全に仲介することで、FedRAMP High（またはそれ以上）のコンプライアンス要件に準拠できます。

エンタープライズアクセス制御を管理する

目標: 組織全体で機能とデータアクセスを一元的に制御する。
価値: IAM を使用して、Google SecOps でエンタープライズレベルの RBAC を有効にします。

API プログラムによるアクセスを自動化する

目標: Chronicle API と安全にやり取りするためのセルフサービス方式を提供する。
価値: ユーザーがプログラムで認証情報を管理できるようにすることで、手動による管理のオーバーヘッドを削減します。

Google SecOps へのログインを有効にするためのロールを付与する

次の手順では、ユーザーが Google SecOps にログインできるように IAM を使用して特定のロールを付与する方法について説明します。先ほど作成した Google SecOps にバインドされたプロジェクトを使用して Google Cloud 構成を行います。

Google Security Operations アプリケーションへのアクセス権を付与するユーザーまたはグループに Chronicle API 閲覧者（roles/chronicle.viewer）ロールを付与します。

注: 次の例では、gcloud コマンドを使用します。コンソールを使用するには、単一のロールを付与するをご覧ください。
重要: 次の例では、 Google SecOps 機能に対する認可は構成されません。 Google Cloud これは、機能のアクセス制御に IAM を使用して行います。
- 次の例では、特定のグループに Chronicle API 閲覧者のロールを付与します。
```
gcloud projects add-iam-policy-binding PROJECT_ID \
  --role roles/chronicle.viewer \
  --member "group:GROUP_EMAIL"
```
  以下を置き換えます。
  - PROJECT_ID: Google Security Operations 用に Google Cloud プロジェクトを構成するで構成した Google Security Operations にバインドされたプロジェクトのプロジェクト ID。プロジェクトを識別するフィールドの説明については、プロジェクトの作成と管理をご覧ください。
  - GROUP_EMAIL: グループのメールエイリアス（analyst-t1@example.com など）。
- 特定のユーザーに Chronicle API 閲覧者のロールを付与するには、次のコマンドを実行します。
```
gcloud projects add-iam-policy-binding PROJECT_ID \
  --role roles/chronicle.viewer \
  --member "user:USER_EMAIL"
```
  USER_EMAIL をユーザーのメールアドレス（alice@example.com など）に置き換えます。
- グループやドメインなどの他のメンバーにロールを付与する方法の例については、 gcloud projects add-iam-policy-binding とプリンシパル IDのリファレンスドキュメントをご覧ください。
組織のアクセス要件とセキュリティ要件を満たすように、追加の IAM ポリシーを構成します。

次のステップ

このドキュメントの手順を完了したら、以下のことを行います。

Google Security Operations インスタンスを Google Cloud サービスにリンクする手順を行います。
監査ロギングをまだ設定していない場合は、 Google Security Operations の監査ロギングを有効にして続行してください。
Google Security Operations を構成する場合は、 Google Security Operations でユーザーのプロビジョニング、認証、マッピングを行うの追加手順を行います。
機能へのアクセスを構成するには、IAM を使用した機能アクセス制御の構成とIAM での Google Security Operations の権限の追加手順を行います。

さらにサポートが必要な場合コミュニティメンバーや Google SecOps のプロフェッショナルから回答を得ることができます。