配置 Google Cloud 身份提供方

支持的环境:

您可以使用 Cloud Identity、Google Workspace 或第三方身份提供方(例如 Okta 或 Azure AD)管理用户、群组和身份验证。

本页介绍了如何使用 Cloud Identity 或 Google Workspace。

使用 Cloud Identity 或 Google Workspace 时,您可以创建受管理的用户账号 以控制对 Google Cloud 资源和 Google SecOps 的访问权限。

您可以创建 IAM 政策,以定义哪些用户和群组有权访问 Google SecOps 功能。这些 IAM 政策使用 Google SecOps 提供的预定义角色和权限或您创建的自定义角色进行定义。

在将 Google SecOps 实例关联到 Google Cloud 服务时,请配置与 Google Cloud 身份提供方的连接。Google SecOps 实例直接与 Cloud Identity 或 Google Workspace 集成,以根据您配置的 IAM 政策对用户进行身份验证并强制执行访问权限控制。

如需详细了解如何创建 Cloud Identity 或 Google Workspace 账号,请参阅用户身份

常见使用场景

Google SecOps 需要使用 Cloud Identity 或 Google Workspace 作为 SSO 代理,以满足各种使用场景。

遵守严格的安全标准

  • 目标:满足系统和云访问的严格监管标准。
  • 价值:通过安全地代理 SSO,帮助满足 FedRAMP High(或更高)合规性要求 。

管理企业访问权限控制

  • 目标:在整个组织内集中控制功能和数据访问权限。
  • 价值:通过 使用 IAM 在 Google SecOps 中启用企业级 RBAC。

自动执行 API 程序化访问

  • 目标:提供自助服务方法,以便安全地与 Chronicle API 进行交互。
  • 价值:通过让客户以程序化方式管理其凭据,减少手动管理开销。

授予角色以启用登录 Google SecOps

以下步骤介绍了如何使用 IAM 授予特定角色,以便用户可以登录 Google SecOps。请使用您之前创建的 Google SecOps 绑定 Google Cloud 项目执行配置。

  1. 向应有权访问 Google Security Operations 应用的用户或群组授予 Chronicle API Viewer (roles/chronicle.viewer) 角色。

    • 以下示例会向特定群组授予 Chronicle API Viewer 角色:

      gcloud projects add-iam-policy-binding PROJECT_ID \
  --role roles/chronicle.viewer \
  --member "group:GROUP_EMAIL"

      替换以下内容:

    • 如需向特定用户授予 Chronicle API Viewer 角色,请运行以下命令:

      gcloud projects add-iam-policy-binding PROJECT_ID \
  --role roles/chronicle.viewer \
  --member "user:USER_EMAIL"

      替换 USER_EMAIL:用户的用户电子邮件地址,例如 alice@example.com

    • 如需查看如何向其他成员(例如群组或网域)授予角色的示例,请参阅 gcloud projects add-iam-policy-bindingPrincipal identifiers 参考文档。

  2. 配置其他 IAM 政策,以满足您的 组织访问权限和安全要求。

后续步骤

完成本文档中的步骤后,请执行以下操作:

需要更多帮助?获得社区成员和 Google SecOps 专业人士的解答。