Configurer l'identité Google Cloud
Vous pouvez utiliser Cloud Identity, Google Workspace ou un fournisseur d'identité tiers (tel qu'Okta ou Azure AD) pour gérer les utilisateurs, les groupes et les authentifications.
Cette page explique comment utiliser Cloud Identity ou Google Workspace.
Lorsque vous utilisez Cloud Identity ou Google Workspace, vous créez des comptes utilisateur gérés pour contrôler l'accès aux ressources Google Cloud et à Google SecOps.
Vous créez des stratégies IAM qui définissent les utilisateurs et les groupes ayant accès aux fonctionnalités Google SecOps. Ces règles IAM sont définies à l'aide de rôles et d'autorisations prédéfinis fournis par Google SecOps ou de rôles personnalisés que vous créez.
Lorsque vous associez une instance Google SecOps à des services Google Cloud, configurez une connexion à un fournisseur d'identité Google Cloud . L'instance Google SecOps s'intègre directement à Cloud Identity ou Google Workspace pour authentifier les utilisateurs et appliquer le contrôle des accès en fonction des règles IAM que vous avez configurées.
Pour en savoir plus sur la création de comptes Cloud Identity ou Google Workspace, consultez Identités pour les utilisateurs.
Cas d'utilisation courants
Google SecOps nécessite l'utilisation de Cloud Identity ou de Google Workspace comme broker SSO pour un large éventail de cas d'utilisation.
Respecter des normes de sécurité strictes
- Objectif : respecter des normes réglementaires strictes pour l'accès au système et au cloud.
- Valeur : permet de respecter les exigences de conformité FedRAMP (niveau d'impact élevé ou supérieur) en assurant l'intermédiation sécurisée du SSO.
Gérer le contrôle des accès pour les entreprises
- Objectif : contrôler l'accès aux fonctionnalités et aux données de manière centralisée dans toute l'organisation.
- Valeur : permet d'activer le RBAC de niveau Enterprise dans Google SecOps à l'aide d'IAM.
Automatiser l'accès programmatique à l'API
- Objectif : Fournir des méthodes en libre-service pour interagir de manière sécurisée avec les API Chronicle.
- Valeur : réduit les frais administratifs manuels en permettant aux clients de gérer leurs identifiants de manière programmatique.
Attribuer un rôle pour permettre la connexion à Google SecOps
Les étapes suivantes décrivent comment accorder un rôle spécifique à l'aide d'IAM afin qu'un utilisateur puisse se connecter à Google SecOps. Effectuez la configuration à l'aide du projet Google Cloud Google SecOps que vous avez créé précédemment.
Attribuez le rôle Lecteur de l'API Chronicle (
roles/chronicle.viewer) aux utilisateurs ou groupes qui doivent avoir accès à l'application Google Security Operations.L'exemple suivant attribue le rôle Lecteur de l'API Chronicle à un groupe spécifique :
gcloud projects add-iam-policy-binding PROJECT_ID \ --role roles/chronicle.viewer \ --member "group:GROUP_EMAIL"Remplacez les éléments suivants :
PROJECT_ID: ID du projet Google Security Operations que vous avez configuré dans Configurer un projet Google Cloud pour Google Security Operations. Pour obtenir une description des champs permettant d'identifier un projet, consultez Créer et gérer des projets.GROUP_EMAIL: alias d'adresse e-mail du groupe, tel queanalyst-t1@example.com.
Pour attribuer le rôle Lecteur de l'API Chronicle à un utilisateur spécifique, exécutez la commande suivante :
gcloud projects add-iam-policy-binding PROJECT_ID \ --role roles/chronicle.viewer \ --member "user:USER_EMAIL"Remplacez
USER_EMAILpar l'adresse e-mail de l'utilisateur, par exemplealice@example.com.Pour obtenir des exemples d'attribution de rôles à d'autres membres, tels qu'un groupe ou un domaine, consultez la documentation de référence gcloud projects add-iam-policy-binding et Identifiants de comptes principaux.
Configurez des stratégies IAM supplémentaires pour répondre aux exigences d'accès et de sécurité de votre organisation.
Étapes suivantes
Une fois les étapes de ce document effectuées, procédez comme suit :
Suivez la procédure pour associer une instance Google Security Operations aux services Google Cloud .
Si vous n'avez pas encore configuré la journalisation d'audit, activez la journalisation d'audit Google Security Operations.
Si vous configurez Google Security Operations, effectuez des étapes supplémentaires dans Provisionner, authentifier et mapper des utilisateurs dans Google Security Operations.
Pour configurer l'accès aux fonctionnalités, suivez les étapes supplémentaires décrites dans Configurer le contrôle des accès aux fonctionnalités à l'aide d'IAM et Autorisations Google Security Operations dans IAM.
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.