בקרת גישה באמצעות IAM

סקירה כללית

ב-Cyber Insurance Hub נעשה שימוש בניהול זהויות והרשאות גישה (IAM) כדי לנהל את הגישה למשאבי המודל. כדי להעניק גישה למשאב של מודל, מקצים תפקיד אחד או יותר ב-IAM למשתמש, לקבוצה או לחשבון שירות. ההרשאות של Cyber Insurance Hub משולבות בתפקידי IAM.

מידע נוסף על תפקידים ב-IAM זמין במאמר אינדקס של תפקידים והרשאות ב-IAM.

תפקידים ב-Cyber Insurance Hub

ב-Cyber Insurance Hub יש תפקידים מוגדרים מראש שמעניקים כמה הרשאות למשאבים ספציפיים ב-Cyber Insurance Hub.

בטבלה הבאה מפורטים התפקידים המוגדרים מראש ב-Cyber Insurance Hub, התיאור שלהם וההרשאות שהם כוללים. מקצים את התפקידים האלה ברמת הארגון.

תפקיד כותרת תיאור הרשאות
riskmanager.admin אדמין של Risk Manager כל ההרשאות של Cyber Insurance Hub riskmanager.serviceaccount.create
riskmanager.reports.get
riskmanager.reports.list
riskmanager.reports.create
riskmanager.reports.delete
riskmanager.reports.review
riskmanager.reports.share
riskmanager.operations.get
riskmanager.operations.list
riskmanager.operations.delete
riskmanager.policies.get
riskmanager.policies.list
riskmanager.settings.get
riskmanager.settings.update
riskmanager.controlScoreBreakdowns.get
riskmanager.controlScoreBreakdowns.list
riskmanager.editor עורך/ת ב-Risk Manager גישה לעריכת משאבים ב-Cyber Insurance Hub (כולל כל ההרשאות חוץ מהאפשרות לשתף דוח או לבדוק אותו) riskmanager.serviceaccount.create
riskmanager.reports.get
riskmanager.reports.list
riskmanager.reports.create
riskmanager.reports.delete
riskmanager.operations.get
riskmanager.operations.list
riskmanager.operations.delete
riskmanager.policies.get
riskmanager.policies.list
riskmanager.settings.get
riskmanager.settings.update
riskmanager.controlScoreBreakdowns.get
riskmanager.controlScoreBreakdowns.list
riskmanager.viewer בעל הרשאת צפייה ב-Risk Manager גישה להצגת משאבים ב-Cyber Insurance Hub riskmanager.reports.get
riskmanager.reports.list
riskmanager.operations.get
riskmanager.operations.list
riskmanager.policies.get
riskmanager.policies.list
riskmanager.settings.get
riskmanager.controlScoreBreakdowns.get
riskmanager.controlScoreBreakdowns.list
riskmanager.reviewer Risk Manager Report Reviewer גישה לבדיקה או לאישור של דוחות ב-Cyber Insurance Hub riskmanager.reports.get
riskmanager.reports.list
riskmanager.reports.review
riskmanager.operations.get
riskmanager.operations.list

התפקיד של סוכן שירות ב-Risk Manager

כשנרשמים ל-Cyber Insurance Hub, נוצר בשבילכם סוכן שירות בפורמט organizations-ORGANIZATION_ID@gcp-sa-riskmanager.iam.gserviceaccount.com. סוכן השירות הזה צריך את התפקיד riskmanager.serviceAgentברמת הארגון. ההרשאה הזו מאפשרת לסוכן של שירות Cyber Insurance Hub לאחזר את הנתונים הנדרשים משירותים אחרים Google Cloud כדי ליצור דוחות של Cyber Insurance Hub.

התפקיד Risk Manager Service Agent ‏(roles/riskmanager.serviceAgent) כולל את ההרשאות הבאות:

תפקיד כותרת תיאור הרשאות
roles/riskmanager.serviceAgent סוכן שירות של Risk Manager נדרשת גישה לאחזור נתונים משירותים אחרים של Google Cloud כדי ליצור דוחות של Cyber Insurance Hub.
  • resourcemanager.organizations.get

בנוסף, כל ההרשאות של התפקידים הבאים כלולות:

  • cloudasset.viewer
  • securitycenter.assetsViewer
  • securitycenter.findingsViewer
  • securitycenter.settingsViewer

כדי לקבל את ההרשאות שדרושות בשביל להקצות את התפקיד 'סוכן שירות של Risk Manager', אתם צריכים לבקש מהאדמין להקצות לכם את תפקיד ה-IAM ‏Organization Administrator (אדמין ארגוני) ‏(roles/resourcemanager.organizationAdmin) בארגון. כדי לקרוא הסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.

התפקיד המוגדר מראש הזה כולל את ההרשאות שנדרשות כדי להעניק את התפקיד Risk Manager Service Agent (סוכן שירות של Risk Manager). כדי לראות בדיוק אילו הרשאות נדרשות, אפשר להרחיב את הקטע ההרשאות הנדרשות:

ההרשאות הנדרשות

כדי להעניק את התפקיד 'סוכן שירות של המרכז לניהול סיכונים', נדרשות ההרשאות הבאות:

  • resourcemanager.organizations.getIamPolicy
  • resourcemanager.organizations.setIamPolicy

יכול להיות שתקבלו את ההרשאות האלה באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש אחרים.

אתם יכולים להעניק לסוכן השירות את התפקיד Risk Manager Service Agent (סוכן שירות של Risk Manager) כשאתם מגדירים את Cyber Insurance Hub בפעם הראשונה. אפשר גם להקצות לסוכן שירות את התפקיד 'סוכן שירות של Risk Manager' באמצעות הפקודה הבאה ב-CLI:

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="serviceAccount:organizations-ORGANIZATION_ID@gcp-sa-riskmanager.iam.gserviceaccount.com" \
  --role="roles/riskmanager.serviceAgent"

מחליפים את ORGANIZATION_ID במזהה המספרי של הארגון.

תפקידים בהתאמה אישית ב-Cyber Insurance Hub

בנוסף לתפקידים מוגדרים מראש, Cyber Insurance Hub תומך ביכולת ליצור תפקידי IAM בהתאמה אישית. אתם יכולים ליצור תפקיד IAM בהתאמה אישית ולהקצות לו הרשאה אחת או יותר. לאחר מכן תוכלו להעניק את התפקיד החדש לשותפי העריכה. אתם יכולים להשתמש בתפקידים בהתאמה אישית כדי ליצור מודל בקרת גישה שמתאים בדיוק לצרכים שלכם, בנוסף לתפקידים המוגדרים מראש שזמינים ב-Google.

במסמך הזה לא מוסבר איך ליצור תפקיד בהתאמה אישית. במאמר יצירה וניהול של תפקידים בהתאמה אישית בחומרי העזר של IAM מוסבר איך יוצרים תפקיד בהתאמה אישית, כולל הוראות מפורטות.