Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Configurare un Google Cloud provider di identità

Supportato in:

Google secops SIEM

Puoi utilizzare Cloud Identity, Google Workspace o un provider di identità di terze parti (come Okta o Azure AD) per gestire utenti, gruppi e autenticazione.

Questa pagina descrive come utilizzare Cloud Identity o Google Workspace.

Quando utilizzi Cloud Identity o Google Workspace, crei account utente gestiti per controllare l'accesso alle Google Cloud risorse e a Google SecOps.

Crei criteri IAM che definiscono quali utenti e gruppi hanno accesso alle funzionalità di Google SecOps. Questi criteri IAM vengono definiti utilizzando ruoli e autorizzazioni predefiniti forniti da Google SecOps o ruoli personalizzati creati da te.

Nell'ambito del collegamento di un'istanza Google SecOps ai Google Cloud servizi, configura una connessione a un Google Cloud IdP. L'istanza Google SecOps si integra direttamente con Cloud Identity o Google Workspace per autenticare gli utenti e applicare il controllo dell'accesso in base ai criteri IAM configurati.

Per informazioni dettagliate sulla creazione di account Cloud Identity o Google Workspace, consulta Identità per gli utenti.

Casi d'uso comuni

Google SecOps richiede l'utilizzo di Cloud Identity o Google Workspace come broker SSO per una serie di casi d'uso.

Rispettare standard di sicurezza rigorosi

Obiettivo: soddisfare standard normativi rigorosi per l'accesso al sistema e al cloud.
Valore: aiuta a soddisfare i requisiti di conformità FedRAMP High (o superiori) tramite il brokering sicuro dell'SSO.

Gestire il controllo dell'accesso aziendale

Obiettivo: controllare centralmente l'accesso a funzionalità e dati in tutta l'organizzazione.
Valore: consente l'RBAC a livello aziendale in Google SecOps utilizzando IAM.

Automatizzare l'accesso programmatico alle API

Obiettivo: fornire metodi self-service per interagire in modo sicuro con le API Chronicle.
Valore: riduce il sovraccarico amministrativo manuale consentendo ai clienti di gestire le proprie credenziali in modo programmatico.

Concedere un ruolo per consentire l'accesso a Google SecOps

I seguenti passaggi descrivono come concedere un ruolo specifico utilizzando IAM in modo che un utente possa accedere a Google SecOps. Esegui la configurazione utilizzando il progetto associato a Google SecOps Google Cloud che hai creato in precedenza.

Concedi il ruolo Visualizzatore API Chronicle (roles/chronicle.viewer) agli utenti o ai gruppi che devono avere accesso all'applicazione Google Security Operations.

Nota: i seguenti esempi utilizzano il comando gcloud. Per utilizzare la Google Cloud console, consulta Concedere un singolo ruolo.
Importante: i seguenti esempi non configurano l'autorizzazione alle funzionalità di Google SecOps. Questa operazione viene eseguita utilizzando IAM per il controllo dell'accesso alle funzionalità.
- Il seguente esempio concede il ruolo Visualizzatore API Chronicle a un gruppo specifico:
```
gcloud projects add-iam-policy-binding PROJECT_ID \
  --role roles/chronicle.viewer \
  --member "group:GROUP_EMAIL"
```
  Sostituisci quanto segue:
  - PROJECT_ID: con l'ID progetto del progetto associato a Google Security Operations che hai configurato in Configurare un Google Cloud progetto per Google Security Operations. Per una descrizione dei campi che identificano un progetto, consulta Creare e gestire progetti.
  - GROUP_EMAIL: l'alias email del gruppo, ad esempio analyst-t1@example.com.
- Per concedere il ruolo Visualizzatore API Chronicle a un utente specifico, esegui il seguente comando:
```
gcloud projects add-iam-policy-binding PROJECT_ID \
  --role roles/chronicle.viewer \
  --member "user:USER_EMAIL"
```
  Sostituisci USER_EMAIL: l'indirizzo email utente dell'utente, ad esempio alice@example.com.
- Per esempi su come concedere ruoli ad altri membri, come un gruppo o dominio, consulta gcloud projects add-iam-policy-binding e la documentazione di riferimento su Principal identifiers.
Configura altri criteri IAM per soddisfare i requisiti di accesso e sicurezza della tua organizzazione.

Passaggi successivi

Dopo aver completato i passaggi descritti in questo documento:

Esegui i passaggi per collegare un'istanza Google Security Operations ai Google Cloud servizi.
Se non hai ancora configurato la registrazione degli audit, continua con l'attivazione della registrazione degli audit di Google Security Operations.
Se stai eseguendo la configurazione per Google Security Operations, esegui altri passaggi in Eseguire il provisioning, autenticare e mappare gli utenti in Google Security Operations.
Per configurare l'accesso alle funzionalità, esegui altri passaggi in Configurare il controllo dell'accesso alle funzionalità utilizzando IAM e autorizzazioni di Google Security Operations in IAM.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.