Configurer l'identité Google Cloud

Compatible avec :

Vous pouvez utiliser Cloud Identity, Google Workspace ou un fournisseur d'identité tiers (tel qu'Okta ou Azure AD) pour gérer les utilisateurs, les groupes et les authentifications.

Cette page explique comment utiliser Cloud Identity ou Google Workspace.

Lorsque vous utilisez Cloud Identity ou Google Workspace, vous créez des comptes utilisateur gérés pour contrôler l'accès aux ressources Google Cloud et à Google SecOps.

Vous créez des stratégies IAM qui définissent les utilisateurs et les groupes ayant accès aux fonctionnalités Google SecOps. Ces règles IAM sont définies à l'aide de rôles et d'autorisations prédéfinis fournis par Google SecOps ou de rôles personnalisés que vous créez.

Lorsque vous associez une instance Google SecOps à des services Google Cloud, configurez une connexion à un fournisseur d'identité Google Cloud . L'instance Google SecOps s'intègre directement à Cloud Identity ou Google Workspace pour authentifier les utilisateurs et appliquer le contrôle des accès en fonction des règles IAM que vous avez configurées.

Pour en savoir plus sur la création de comptes Cloud Identity ou Google Workspace, consultez Identités pour les utilisateurs.

Cas d'utilisation courants

Google SecOps nécessite l'utilisation de Cloud Identity ou de Google Workspace comme broker SSO pour un large éventail de cas d'utilisation.

Respecter des normes de sécurité strictes

  • Objectif : respecter des normes réglementaires strictes pour l'accès au système et au cloud.
  • Valeur : permet de respecter les exigences de conformité FedRAMP (niveau d'impact élevé ou supérieur) en assurant l'intermédiation sécurisée du SSO.

Gérer le contrôle des accès pour les entreprises

  • Objectif : contrôler l'accès aux fonctionnalités et aux données de manière centralisée dans toute l'organisation.
  • Valeur : permet d'activer le RBAC de niveau Enterprise dans Google SecOps à l'aide d'IAM.

Automatiser l'accès programmatique à l'API

  • Objectif : Fournir des méthodes en libre-service pour interagir de manière sécurisée avec les API Chronicle.
  • Valeur : réduit les frais administratifs manuels en permettant aux clients de gérer leurs identifiants de manière programmatique.

Attribuer un rôle pour permettre la connexion à Google SecOps

Les étapes suivantes décrivent comment accorder un rôle spécifique à l'aide d'IAM afin qu'un utilisateur puisse se connecter à Google SecOps. Effectuez la configuration à l'aide du projet Google Cloud Google SecOps que vous avez créé précédemment.

  1. Attribuez le rôle Lecteur de l'API Chronicle (roles/chronicle.viewer) aux utilisateurs ou groupes qui doivent avoir accès à l'application Google Security Operations.

    • L'exemple suivant attribue le rôle Lecteur de l'API Chronicle à un groupe spécifique :

      gcloud projects add-iam-policy-binding PROJECT_ID \
        --role roles/chronicle.viewer \
        --member "group:GROUP_EMAIL"
      

      Remplacez les éléments suivants :

    • Pour attribuer le rôle Lecteur de l'API Chronicle à un utilisateur spécifique, exécutez la commande suivante :

      gcloud projects add-iam-policy-binding PROJECT_ID \
        --role roles/chronicle.viewer \
        --member "user:USER_EMAIL"
      

      Remplacez USER_EMAIL par l'adresse e-mail de l'utilisateur, par exemple alice@example.com.

    • Pour obtenir des exemples d'attribution de rôles à d'autres membres, tels qu'un groupe ou un domaine, consultez la documentation de référence gcloud projects add-iam-policy-binding et Identifiants de comptes principaux.

  2. Configurez des stratégies IAM supplémentaires pour répondre aux exigences d'accès et de sécurité de votre organisation.

Étapes suivantes

Une fois les étapes de ce document effectuées, procédez comme suit :

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.