הגדרת Google Cloud זהות

נתמך ב:

אתם יכולים להשתמש ב-Cloud Identity, ב-Google Workspace או בספק זהויות של צד שלישי (כמו Okta או Azure AD) כדי לנהל משתמשים, קבוצות ואימות.

בדף הזה מוסבר איך להשתמש ב-Cloud Identity או ב-Google Workspace.

כשמשתמשים ב-Cloud Identity או ב-Google Workspace, יוצרים חשבונות משתמשים מנוהלים כדי לשלוט בגישה ל Google Cloud משאבים ול-Google SecOps.

אתם יוצרים מדיניות IAM שמגדירה לאילו משתמשים וקבוצות יש גישה לתכונות של Google SecOps. כללי המדיניות האלה ב-IAM מוגדרים באמצעות תפקידים והרשאות מוגדרים מראש שסופקו על ידי Google SecOps, או באמצעות תפקידים בהתאמה אישית שאתם יוצרים.

במסגרת קישור מופע של Google SecOps לשירותי Google Cloud, צריך להגדיר חיבור לספק זהויות (IdP) Google Cloud . מופע Google SecOps משתלב ישירות עם Cloud Identity או Google Workspace כדי לאמת משתמשים ולאכוף בקרת גישה על סמך מדיניות IAM שהגדרתם.

מידע מפורט על יצירת חשבונות Cloud Identity או Google Workspace מופיע במאמר זהויות למשתמשים.

תרחישים נפוצים לדוגמה

כדי להשתמש ב-Google SecOps, צריך להשתמש ב-Cloud Identity או ב-Google Workspace כברוקר SSO למגוון תרחישי שימוש.

עמידה בתקני אבטחה מחמירים

  • המטרה: עמידה בתקנים רגולטוריים מחמירים לגישה למערכת ולענן.
  • ערך: עוזר לעמוד בדרישות התאימות של FedRAMP High (או גבוהות יותר) באמצעות תיווך מאובטח של כניסה יחידה (SSO).

ניהול בקרת גישה בארגון

  • המטרה: שליטה מרכזית בגישה לתכונות ולנתונים בכל הארגון.
  • Value: מאפשרת RBAC ברמת הארגון ב-Google SecOps באמצעות IAM.

אוטומציה של גישה פרוגרמטית ל-API

  • המטרה: לספק שיטות בשירות עצמי לאינטראקציה מאובטחת עם ממשקי ה-API של Chronicle.
  • ערך: הפחתת התקורה האדמיניסטרטיבית הידנית על ידי מתן אפשרות ללקוחות לנהל את פרטי הכניסה שלהם באופן פרוגרמטי.

הקצאת תפקיד כדי לאפשר כניסה ל-Google SecOps

בשלבים הבאים מוסבר איך להעניק תפקיד ספציפי באמצעות IAM כדי שמשתמש יוכל להיכנס ל-Google SecOps. מבצעים את ההגדרה באמצעות פרויקט Google Cloud Google SecOps שיצרתם קודם.

  1. מקצים את התפקיד צפייה ב-Chronicle API‏ (roles/chronicle.viewer) למשתמשים או לקבוצות שצריכים לקבל גישה לאפליקציית Google Security Operations.

    • בדוגמה הבאה, התפקיד 'צפייה ב-Chronicle API' מוקצה לקבוצה ספציפית:

      gcloud projects add-iam-policy-binding PROJECT_ID \
        --role roles/chronicle.viewer \
        --member "group:GROUP_EMAIL"
      

      מחליפים את מה שכתוב בשדות הבאים:

    • כדי להעניק למשתמש ספציפי את התפקיד Chronicle API Viewer, מריצים את הפקודה הבאה:

      gcloud projects add-iam-policy-binding PROJECT_ID \
        --role roles/chronicle.viewer \
        --member "user:USER_EMAIL"
      

      מחליפים את USER_EMAIL בכתובת האימייל של המשתמש, למשל alice@example.com.

    • דוגמאות להקצאת תפקידים לחברים אחרים, כמו קבוצה או דומיין, אפשר למצוא במסמכי העזר בנושא gcloud projects add-iam-policy-binding ומזהים של חשבונות משתמשים.

  2. הגדרת מדיניות IAM נוספת כדי לעמוד בדרישות הגישה והאבטחה של הארגון.

המאמרים הבאים

אחרי שמבצעים את השלבים במאמר הזה, צריך לבצע את הפעולות הבאות:

הבעיה עדיין לא נפתרה? קבלת תשובות מחברי הקהילה וממומחי Google SecOps.