Google Cloud ID を構成する

以下でサポートされています。

Cloud Identity、Google Workspace、またはサードパーティの ID プロバイダ(Okta や Azure AD など)を使用してユーザー、グループ、認証を管理できます。

このページでは、Cloud Identity または Google Workspace の使用方法について説明します。

Cloud Identity または Google Workspace を使用する場合は、管理対象ユーザー アカウントを作成して、 Google Cloud リソースと Google SecOps へのアクセスを制御します。

Google SecOps 機能へのアクセス権を付与するユーザーとグループを定義する IAM ポリシーを作成します。これらの IAM ポリシーは、Google SecOps または作成したカスタムロールによって指定される事前定義のロールと権限を使用して定義します。

Google SecOps インスタンスを Google Cloudサービスにリンクする際に、 Google Cloud IdP への接続を構成します。Google SecOps インスタンスは、Cloud Identity または Google Workspace と直接統合されてユーザー認証が行われ、構成した IAM ポリシーに基づいてアクセス制御が適用されます。

Cloud Identity アカウントまたは Google Workspace アカウント作成の詳細については、ユーザーの ID をご覧ください。

一般的なユースケース

Google SecOps では、さまざまなユースケースで SSO ブローカーとして Cloud Identity または Google Workspace を使用する必要があります。

厳格なセキュリティ標準に準拠

  • 目標: システムとクラウド アクセスに関する厳格な規制基準を満たす。
  • 価値: SSO を安全にブローカーすることで、FedRAMP High(またはそれ以上)のコンプライアンス要件への準拠を支援します。

エンタープライズ アクセス制御を管理する

  • 目標: 組織全体で機能とデータアクセスを一元的に制御します。
  • : IAM を使用して、Google SecOps でエンタープライズ レベルの RBAC を有効にします。

API のプログラムによるアクセスを自動化する

  • 目的: Chronicle API と安全にやり取りするためのセルフサービス メソッドを提供します。
  • 価値: 認証情報をプログラムで管理できるため、手動による管理のオーバーヘッドを削減できます。

Google SecOps へのログインを有効にするためのロールを付与する

次の手順では、ユーザーが Google SecOps にログインできるように IAM を使用して特定のロールを付与する方法について説明します。先ほど作成した Google SecOps にバインドされた Google Cloud プロジェクトを使用して構成を行います。

  1. Google Security Operations アプリケーションへのアクセス権を付与するユーザーまたはグループに Chronicle API 閲覧者(roles/chronicle.viewerロールを付与します。

    • 次の例では、特定のグループに Chronicle API 閲覧者のロールを付与します。

      gcloud projects add-iam-policy-binding PROJECT_ID \
        --role roles/chronicle.viewer \
        --member "group:GROUP_EMAIL"
      

      以下を置き換えます。

    • 特定のユーザーに Chronicle API 閲覧者のロールを付与するには、次のコマンドを実行します。

      gcloud projects add-iam-policy-binding PROJECT_ID \
        --role roles/chronicle.viewer \
        --member "user:USER_EMAIL"
      

      USER_EMAIL: ユーザーのメールアドレス(alice@example.com など)に置き換えます。

    • グループやドメインなどの他のメンバーにロールを付与する方法の例については、gcloud projects add-iam-policy-bindingプリンシパル ID のリファレンス ドキュメントをご覧ください。

  2. 組織のアクセス要件とセキュリティ要件を満たすように、追加の IAM ポリシーを構成します。

次のステップ

このドキュメントの手順を完了したら、以下のことを行います。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。