Configurar a identidade Google Cloud
Use o Cloud Identity, o Google Workspace ou um provedor de identidade externo (como o Okta ou o Azure AD) para gerenciar usuários, grupos e autenticação.
Esta página descreve como usar o Cloud Identity ou o Google Workspace.
Ao usar o Cloud Identity ou o Google Workspace, você cria contas de usuário gerenciadas para controlar o acesso aos Google Cloud recursos e ao Google SecOps.
Você cria políticas do IAM que definem quais usuários e grupos têm acesso aos recursos do Google SecOps. Essas políticas do IAM são definidas usando papéis e permissões predefinidos fornecidos pelo Google SecOps ou papéis personalizados criados por você.
Como parte da vinculação de uma instância do Google SecOps aos Google Cloud serviços, configure uma conexão com um Google Cloud IdP. A instância do Google SecOps é integrada diretamente ao Cloud Identity ou ao Google Workspace para autenticar usuários e aplicar o controle de acesso com base nas políticas do IAM configuradas.
Consulte Identidades para usuários para informações detalhadas sobre como criar contas do Cloud Identity ou do Google Workspace.
Casos de uso comuns
O Google SecOps exige o uso do Cloud Identity ou do Google Workspace como o agente de SSO para um conjunto variado de casos de uso.
Atender a padrões de segurança rigorosos
- Objetivo: atender a padrões regulatórios rigorosos para acesso ao sistema e à nuvem.
- Valor: ajuda a atender aos requisitos de compliance do FedRAMP de nível alto (ou superior) ao intermediar o SSO de forma segura.
Gerenciar o controle de acesso empresarial
- Objetivo: controlar o acesso a recursos e dados de forma centralizada em toda a organização.
- Valor: permite o RBAC empresarial no Google SecOps usando o IAM.
Automatizar o acesso programático à API
- Objetivo: fornecer métodos de autoatendimento para interagir com segurança com as APIs do Chronicle.
- Valor: reduz a sobrecarga administrativa manual, permitindo que os clientes gerenciem as credenciais de forma programática.
Conceder um papel para ativar o login no Google SecOps
As etapas a seguir descrevem como conceder um papel específico usando o IAM para que um usuário possa fazer login no Google SecOps. Realize a configuração usando o projeto vinculado ao Google SecOps Google Cloud que você criou anteriormente.
Conceda o papel de leitor da API Chronicle (
roles/chronicle.viewer) a usuários ou grupos que precisam ter acesso ao aplicativo Google Security Operations.O exemplo a seguir concede o papel de leitor da API Chronicle a um grupo específico:
gcloud projects add-iam-policy-binding PROJECT_ID \ --role roles/chronicle.viewer \ --member "group:GROUP_EMAIL"Substitua:
PROJECT_ID: pelo ID do projeto vinculado ao Google Security Operations que você configurou em Configurar um Google Cloud projeto para o Google Security Operations. Consulte Criar e gerenciar projetos para uma descrição dos campos que identificam um projeto.GROUP_EMAIL: o alias de e-mail do grupo, comoanalyst-t1@example.com.
Para conceder o papel de leitor da API Chronicle a um usuário específico, execute o seguinte comando:
gcloud projects add-iam-policy-binding PROJECT_ID \ --role roles/chronicle.viewer \ --member "user:USER_EMAIL"Substitua
USER_EMAIL: pelo endereço de e-mail do usuário, comoalice@example.com.Para exemplos de como conceder papéis a outros membros, como um grupo ou domínio, consulte gcloud projects add-iam-policy-binding e Documentação de referência de identificadores principais.
Configure outras políticas do IAM para atender aos requisitos de acesso e segurança da sua organização.
A seguir
Depois de concluir as etapas neste documento, faça o seguinte:
Siga as etapas para vincular uma instância do Google Security Operations aos Google Cloud serviços.
Se você ainda não configurou a geração de registros de auditoria, continue com a ativação da geração de registros de auditoria do Google Security Operations.
Se você estiver configurando o Google Security Operations, siga as etapas adicionais em Provisionar, autenticar e mapear usuários no Google Security Operations.
Para configurar o acesso aos recursos, siga as etapas adicionais em Configurar o controle de acesso a recursos usando o IAM e permissões do Google Security Operations no IAM.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.