为数据表配置数据 RBAC
本页介绍了数据基于角色的访问控制 (data RBAC) 管理员和用户如何向数据表分配作用域。数据表是多列数据结构,可让您将自己的数据输入 Google Security Operations。它们可以用作查询表,其中包含定义好的列,并且数据存储在行中。通过向数据表分配作用域,您可以控制哪些用户和资源可以访问和使用该表(例如规则和统一数据模型 [UDM] 搜索实例)。
访问权限因用户类型(受限与全局)而异:
受限用户可以使用分配给他们的所有或部分镜重创建受限数据表。
全局用户可以创建无范围的数据表(所有用户都可以使用的数据表)或有范围的数据表。所有用户都可以查看未设置范围的数据表,但只有全局用户可以向其写入数据。
从数据表的角度来看,这也可以这样理解:
具有已选范围的数据表可供具有匹配范围的特定用户或规则访问。不过,如需对有范围的表执行写入操作,用户或规则需要具有相同的匹配范围。
所有用户和读取操作规则都可以访问未设置范围的数据表。 不过,写入操作仅限于全局用户。
如需详细了解数据 RBAC 和镜重的工作原理,请参阅数据 RBAC 概览。
如需详细了解用户访问权限,请参阅数据表中用户的访问权限中的表格。
向数据表添加镜重
若要向数据表添加镜重,您必须拥有对要添加的所有镜重的访问权限。您无法添加您无权访问的镜重。
如需向未设置范围的数据表添加范围,或向已设置范围的数据表添加更多范围,请执行以下操作:
依次点击调查 > 数据表格。
在数据表窗口中,选择要向其添加镜重范围的数据表。
在顶部,选择范围分配列表。
选择数据表必须有权访问的所有镜重。
点击保存。这些镜重会添加到数据表中。
更新数据表中的镜重
如需更新数据表的范围,您必须有权访问要添加到数据表中的所有数据范围。您无法添加或移除您无权访问的镜重。
更新数据表时,请注意以下事项:
只有在更改后使用该数据表的所有现有规则仍能正常运行时,才允许从数据表中移除镜重。例如:
- 如果范围为 B 的规则使用数据表,则不允许将数据表从范围 A 和 B 更新为范围 A。
- 如果使用数据表的规则的范围为 B,则不允许将未指定范围的数据表更新为范围 A。
- 如果范围为 B 的规则使用了数据表,则不允许移除范围 B。
受限用户可以从数据表中移除范围,这可能会导致其他受限用户失去访问权限。
例如,具有 A 和 B 权限的用户可以从包含 A 和 B 权限的数据表中移除 B 权限。此更改生效后,该用户仍可以使用数据表格,但另一个仅具有范围 B 的用户将无法再查看或访问数据表格。
添加更多镜重范围可能会导致部分用户失去对数据表的修改权限。如需拥有读取和写入权限,您需要对所有镜重范围拥有访问权限。 即使您有权访问一个或几个数据集,也只能获得读取权限。
例如,具有范围 A 和 B 的用户可以将范围 B 添加到具有范围 A 的数据表中。此更改生效后,该用户仍然可以修改数据表,但仅拥有范围 A 的另一用户将无法再修改数据表。如需读取数据表,用户只需向数据表分配一个作用域即可。如需向数据表写入或修改数据表,用户需要拥有分配给数据表的所有镜重。
如需更新数据表中的镜重,请执行以下操作:
依次点击调查 > 数据表格。
在数据表窗口中,选择要更新的数据表。
在顶部,选择“范围分配”下拉菜单。
选择数据表应有权访问的所有镜重。取消选择数据表不应有权访问的镜重。
点击保存。更新数据表格的范围分配。
需要更多帮助?向社区成员和 Google SecOps 专业人士寻求解答。