設定 Google Cloud 識別資訊提供者
您可以使用 Cloud Identity、Google Workspace 或第三方身分識別資訊提供者 (例如 Okta 或 Azure AD) 管理使用者、群組和驗證作業。
本頁面說明如何使用 Cloud Identity 或 Google Workspace。
使用 Cloud Identity 或 Google Workspace 時,您會建立代管的使用者帳戶,以便控管對 Google Cloud 資源和 Google SecOps 的存取權。
您可以建立 IAM 政策,定義哪些使用者和群組可存取 Google SecOps 功能。這些 IAM 政策會使用 Google SecOps 提供的預先定義角色和權限,或是您建立的自訂角色來定義。
將 Google SecOps 執行個體連結至 Google Cloud服務時,請設定與 Google Cloud IdP 的連線。Google SecOps 執行個體會直接與 Cloud Identity 或 Google Workspace 整合,根據您設定的 IAM 政策驗證使用者,並強制執行存取權控管機制。
如要進一步瞭解如何建立 Cloud Identity 或 Google Workspace 帳戶,請參閱「使用者身分」。
授予角色以啟用 Google SecOps 登入功能
以下步驟說明如何使用 IAM 授予特定角色,讓使用者能夠登入 Google SecOps。使用先前建立的 Google SecOps 綁定 Google Cloud 專案執行設定。
將 Chronicle API Viewer (
roles/chronicle.viewer) 角色授予應具備 Google Security Operations 應用程式存取權的使用者或群組。以下範例會將 Chronicle API Viewer 角色授予特定群組:
gcloud projects add-iam-policy-binding PROJECT_ID \ --role roles/chronicle.viewer \ --member "group:GROUP_EMAIL"更改下列內容:
PROJECT_ID:在「為 Google Security Operations 設定 Google Cloud 專案」中設定的 Google Security Operations 繫結專案 ID。如要瞭解用於識別專案的欄位,請參閱「建立及管理專案」。GROUP_EMAIL:群組的電子郵件別名,例如analyst-t1@example.com。
如要將 Chronicle API Viewer 角色授予特定使用者,請執行下列指令:
gcloud projects add-iam-policy-binding PROJECT_ID \ --role roles/chronicle.viewer \ --member "principal:USER_EMAIL"將
USER_EMAIL替換為使用者的電子郵件地址,例如alice@example.com。如需授予其他成員 (例如群組或網域) 角色的示例,請參閱 gcloud projects add-iam-policy-binding 和 主體 ID 參考文件。
設定其他身分與存取權管理政策,以符合貴機構的存取和安全性規定。
後續步驟
完成本文中的步驟後,請執行下列操作:
按照這篇文章中的步驟,將 Google Security Operations 執行個體連結至 Google Cloud 服務。
如果您尚未設定稽核記錄,請繼續啟用 Google Security Operations 稽核記錄。
如果您要為 Google Security Operations 進行設定,請按照在 Google Security Operations 中佈建、驗證及對應使用者的說明,執行額外步驟。
如要設定功能存取權,請參閱「使用 IAM 設定功能存取權控管」和「IAM 中的 Google 安全作業權限」中的其他步驟。
還有其他問題嗎?向社群成員和 Google SecOps 專家尋求解答。