Configurar a identidade Google Cloud

Compatível com:

Use o Cloud Identity, o Google Workspace ou um provedor de identidade externo (como o Okta ou o Azure AD) para gerenciar usuários, grupos e autenticação.

Esta página descreve como usar o Cloud Identity ou o Google Workspace.

Ao usar o Cloud Identity ou o Google Workspace, você cria contas de usuário gerenciadas para controlar o acesso aos Google Cloud recursos e ao Google SecOps.

Você cria políticas do IAM que definem quais usuários e grupos têm acesso aos recursos do Google SecOps. Essas políticas do IAM são definidas usando papéis e permissões predefinidos fornecidos pelo Google SecOps ou papéis personalizados criados por você.

Como parte da vinculação de uma instância do Google SecOps aos Google Cloud serviços, configure uma conexão com um Google Cloud IdP. A instância do Google SecOps é integrada diretamente ao Cloud Identity ou ao Google Workspace para autenticar usuários e aplicar o controle de acesso com base nas políticas do IAM configuradas.

Consulte Identidades para usuários para informações detalhadas sobre como criar contas do Cloud Identity ou do Google Workspace.

Casos de uso comuns

O Google SecOps exige o uso do Cloud Identity ou do Google Workspace como o agente de SSO para um conjunto variado de casos de uso.

Atender a padrões de segurança rigorosos

  • Objetivo: atender a padrões regulatórios rigorosos para acesso ao sistema e à nuvem.
  • Valor: ajuda a atender aos requisitos de compliance do FedRAMP de nível alto (ou superior) ao intermediar o SSO de forma segura.

Gerenciar o controle de acesso empresarial

  • Objetivo: controlar o acesso a recursos e dados de forma centralizada em toda a organização.
  • Valor: permite o RBAC empresarial no Google SecOps usando o IAM.

Automatizar o acesso programático à API

  • Objetivo: fornecer métodos de autoatendimento para interagir com segurança com as APIs do Chronicle.
  • Valor: reduz a sobrecarga administrativa manual, permitindo que os clientes gerenciem as credenciais de forma programática.

Conceder um papel para ativar o login no Google SecOps

As etapas a seguir descrevem como conceder um papel específico usando o IAM para que um usuário possa fazer login no Google SecOps. Realize a configuração usando o projeto vinculado ao Google SecOps Google Cloud que você criou anteriormente.

  1. Conceda o papel de leitor da API Chronicle (roles/chronicle.viewer) a usuários ou grupos que precisam ter acesso ao aplicativo Google Security Operations.

    • O exemplo a seguir concede o papel de leitor da API Chronicle a um grupo específico:

      gcloud projects add-iam-policy-binding PROJECT_ID \
        --role roles/chronicle.viewer \
        --member "group:GROUP_EMAIL"
      

      Substitua:

    • Para conceder o papel de leitor da API Chronicle a um usuário específico, execute o seguinte comando:

      gcloud projects add-iam-policy-binding PROJECT_ID \
        --role roles/chronicle.viewer \
        --member "user:USER_EMAIL"
      

      Substitua USER_EMAIL: pelo endereço de e-mail do usuário, como alice@example.com.

    • Para exemplos de como conceder papéis a outros membros, como um grupo ou domínio, consulte gcloud projects add-iam-policy-binding e Documentação de referência de identificadores principais.

  2. Configure outras políticas do IAM para atender aos requisitos de acesso e segurança da sua organização.

A seguir

Depois de concluir as etapas neste documento, faça o seguinte:

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.