設定 Google Cloud 識別資訊提供者
您可以透過 Cloud Identity、Google Workspace 或第三方身分識別提供者 (例如 Okta 或 Azure AD) 管理使用者、群組和驗證作業。
本頁說明如何使用 Cloud Identity 或 Google Workspace。
使用 Cloud Identity 或 Google Workspace 時,您會建立代管的使用者帳戶,控管資源和 Google SecOps 的存取權。 Google Cloud
您建立的 IAM 政策會定義哪些使用者和群組有權存取 Google SecOps 功能。這些 IAM 政策是使用 Google SecOps 提供的預先定義角色和權限,或是您建立的自訂角色定義。
將 Google SecOps 執行個體連結至 Google Cloud 服務時,請設定與 IdP 的連線。 Google Cloud Google SecOps 執行個體會直接與 Cloud Identity 或 Google Workspace 整合,根據您設定的 IAM 政策驗證使用者身分,並強制執行存取權控管。
如要詳細瞭解如何建立 Cloud Identity 或 Google Workspace 帳戶,請參閱「使用者身分」。
常見用途
Google SecOps 必須使用 Cloud Identity 或 Google Workspace 做為單一登入 (SSO) 中介服務,才能支援各種用途。
遵守嚴格的安全標準
- 目標:符合系統和雲端存取權的嚴格法規標準。
- 價值:安全地中介處理 SSO,協助符合 FedRAMP 高等風險 (或更高) 法規遵循要求。
管理企業存取控管
- 目標:集中控管整個機構的功能和資料存取權。
- 價值:透過 IAM 在 Google SecOps 中啟用企業級 RBAC。
自動執行 API 程式輔助存取
- 目標:提供自助式方法,安全地與 Chronicle API 互動。
- 價值:讓客戶以程式輔助方式管理憑證,減少手動管理負擔。
授予角色,啟用 Google SecOps 登入功能
請按照下列步驟使用 IAM 授予特定角色,讓使用者登入 Google SecOps。使用您先前建立的 Google SecOps 繫結專案 Google Cloud 進行設定。
將「Chronicle API 檢視者」(
roles/chronicle.viewer) 角色授予應有權存取 Google Security Operations 應用程式的使用者或群組。下列範例會將 Chronicle API 檢視者角色授予特定群組:
gcloud projects add-iam-policy-binding PROJECT_ID \ --role roles/chronicle.viewer \ --member "group:GROUP_EMAIL"更改下列內容:
PROJECT_ID:Google Security Operations 繫結專案的專案 ID,您已在「為 Google Security Operations 設定專案 Google Cloud 」中設定。如需專案識別欄位的說明,請參閱「建立及管理專案」。GROUP_EMAIL:群組的電子郵件別名,例如analyst-t1@example.com。
如要將 Chronicle API 檢視者角色授予特定使用者,請執行下列指令:
gcloud projects add-iam-policy-binding PROJECT_ID \ --role roles/chronicle.viewer \ --member "user:USER_EMAIL"將
USER_EMAIL替換為使用者的電子郵件地址,例如alice@example.com。如要瞭解如何將角色授予其他成員 (例如群組或網域),請參閱 gcloud projects add-iam-policy-binding 和「主體 ID」參考文件。
設定其他 IAM 政策,滿足貴機構的存取權和安全性需求。
後續步驟
完成本文的步驟後,請執行下列操作:
如果尚未設定稽核記錄,請繼續啟用 Google Security Operations 稽核記錄。
如果您要設定 Google Security Operations,請按照「在 Google Security Operations 中佈建、驗證及對應使用者」一文中的額外步驟操作。
如要設定功能存取權,請按照「使用 IAM 設定功能存取控管機制」和「IAM 中的 Google Security Operations 權限」一文中的額外步驟操作。
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。