Migra los permisos de SOAR a Google Cloud IAM

Se admite en los siguientes sistemas operativos:

Google SecOps SOAR

En este documento, se brinda orientación tanto a los clientes unificados de Google Security Operations como a los usuarios independientes de SOAR que necesitan migrar su entorno de los grupos de permisos existentes de SOAR a la Google Cloud administración de identidades y accesos (IAM) para el control de acceso. Para ver un video explicativo de este procedimiento, consulta el video de migración de IAM de SOAR.

El proceso de verificación de la consola de Google Cloud automatiza la transición de los permisos de SOAR aGoogle Cloud IAM realizando los siguientes pasos clave:

Lee las configuraciones de permisos existentes, incluidos los grupos de permisos personalizados y las asignaciones de usuarios.
Genera roles de IAM personalizados que replican los grupos de permisos existentes.
Asigna los usuarios y grupos existentes a los roles de IAM recién creados para garantizar que se conserven todos los privilegios de acceso.
Crea políticas de IAM para vincular a los usuarios y grupos a sus roles asignados.

Antes de comenzar

Antes de comenzar la migración, confirma que se cumplan los siguientes requisitos:

Asignación de grupos de IdP: Verifica que todos los usuarios estén asignados a grupos del proveedor de identidad (IdP) en la plataforma de Google SecOps. Para obtener información sobre la asignación de grupos del IdP, consulta Cómo asignar usuarios en la plataforma.
Permisos: Confirma que tienes los permisos necesarios:

Existen dos formas de migrar los permisos de SOAR:

Usa Google Cloud CLI
Usa Terraform

Migra permisos de SOAR con Google Cloud CLI

Para migrar tus permisos de SOAR a Google Cloud IAM, sigue estos pasos:

En la consola de Google Cloud , ve a la configuración de administración de Google SecOps.
Haz clic en la pestaña Migración de IAM de SOAR.
En la sección Migrate role bindings, copia los comandos de Google Cloud CLI.
En la barra de herramientas Google Cloud , haz clic en Activar Cloud Shell.
En la ventana de la terminal, pega los comandos de Google Cloud CLI y presiona Intro.
Asegúrate de que las secuencias de comandos se ejecuten correctamente.
Vuelve a la consola de Google Cloud y, en la sección Finished with this task, haz clic en Enable IAM.

Migra permisos de SOAR con Terraform

Para migrar tus permisos de SOAR a Google Cloud IAM con Terraform, sigue estos pasos:

En la consola de Google Cloud , ve a la configuración de administración de Google SecOps.
Haz clic en la pestaña Migración de IAM de SOAR.
En la sección Migrate role bindings, copia los comandos de Google Cloud CLI.
Ve a tu repositorio de Terraform y asigna los comandos de Google Cloud CLI a sus equivalentes de Terraform correspondientes. En la siguiente tabla, se asigna el comando de Google Cloud CLI para crear un rol personalizado con los comandos de Terraform.

Marca de gcloud	Argumento de Terraform	Notas
`ROLE_ID` (Posicional)	`role_id`	En Terraform, no incluyas el prefijo `projects/PROJECT_ID/roles/`. Solo usa la cadena de ID (por ejemplo, `myCustomRole`).
`--project`	`project`	Es el ID del proyecto en el que se define el rol personalizado.
`--title`	`title`	Es un título legible para el rol.
`--description`	`description`	Es un resumen del propósito y los permisos del rol.
`--permissions`	`permissions`	`gcloud` acepta una cadena separada por comas. Terraform requiere una lista de cadenas: `["perm.a", "perm.b"]`.
`--stage`	`stage`	Valores válidos: `ALPHA`, `BETA`, `GA`, `DEPRECATED`, `DISABLED`, `EAP`.

Ejemplo de asignación de Google Cloud CLI a Terraform

Comando de Google Cloud CLI:

gcloud iam roles create SOAR_Custom_managedUser_google.com --project="{customer project}" 
--title="SOAR Custom managedUser Role" 
--description="SOAR Custom role generated for IDP Mapping Group ManagedUser" 
--stage=GA 
--permissions=chronicle.cases.get

Comando de Terraform:

resource "google_project_iam_custom_role" "{terraform_name}" {
  role_id     = "SOAR_Custom_managedUser_google.com"
  title       = "SOAR Custom managedUser Role"
  project     = "{customer project}"
  stage       = "GA"
  permissions = [
    #This is an example!
    "chronicle.cases.get"
  ]
}

Vinculaciones de políticas de IAM (asignación de roles)

Cuando usas Google Cloud CLI projects add-iam-policy-binding, otorgas un rol específico a un miembro específico (usuario, cuenta de servicio o grupo). En la siguiente tabla, se correlacionan los comandos de Google Cloud CLI con los de Terraform. Asigna los comandos para asignar roles de IAM.

Marca de gcloud	Argumento de Terraform	Notas
`PROJECT_ID` (Posicional)	`project`	ID del proyecto de destino.
`--member`	`member`	Es la identidad principal (por ejemplo, `user:email`, `serviceAccount:email`, `group:email`).
`--role`	`role`	Es el ID del rol. Usa la ruta de acceso completa para los roles personalizados (`projects/ID/roles/NAME`) y el nombre corto para los roles estándar (`roles/NAME`).

Ejemplo de asignación de roles

Comando de Google Cloud CLI:

gcloud projects add-iam-policy-binding
 {customer project}
--member="user:alice@example.com" 
--role="projects/{customer project}/roles/SOAR_Custom_managedUser_google.com"

Comando de Terraform:

resource "google_project_iam_member" "{terraform_name}" {
  project = "{customer project}"
  role    = "projects/{customer project}/roles/SOAR_Custom_managedUser_google.com"
  member  = "user:alice@example.com"
}