为数据表配置数据 RBAC

支持的语言:

本页面介绍基于数据的角色访问权限控制数据 RBAC)管理员和用户如何为数据表分配范围。数据表是多列数据结构,可让您将自己的数据输入到 Google Security Operations。它们可以充当包含已定义列且在行中存储了数据的对照表。通过为数据表分配范围,您可以控制哪些用户和资源可以访问和使用该数据表(例如,规则和统一数据模型 [UDM] 搜索实例)。

访问权限因用户类型(范围限定与全局)而异:

  • 具有限定范围的用户可以使用分配给他们的全部或部分范围创建限定范围的数据表。

  • 全局用户可以创建无范围的数据表(所有用户都可以使用的数据表)或有范围的数据表。所有用户都可以查看无范围的数据表,但只有全球用户可以向其中写入数据。

从数据表的角度来看,情况如下:

  • 具有所选范围的范围限定数据表可供具有匹配范围的特定用户或规则访问。不过,如需对范围限定的表执行写入操作,用户或规则需要具有相同的匹配范围。

  • 所有用户和读取操作规则都可以访问无范围的数据表。 不过,写入操作仅限于全球用户。

如需详细了解数据 RBAC 和范围的工作原理,请参阅数据 RBAC 概览

如需详细了解用户访问权限,请参阅数据表中用户的访问权限中的表格。

向数据表添加范围

如需向数据表添加范围,您必须有权访问您打算添加的所有范围。您无法添加自己无权访问的范围。

如需向无范围的数据表添加范围,或向有范围的数据表添加更多范围,请执行以下操作:

  1. 登录 Google SecOps

  2. 依次点击调查 > 数据表

  3. 数据表窗口中,选择要添加范围的数据表。

  4. 在顶部,选择范围分配列表。

  5. 选择数据表必须有权访问的所有范围。

  6. 点击保存。相应范围会添加到数据表中。

更新数据表中的范围

如需更新数据表的范围,您必须有权访问您打算添加到数据表中的所有数据范围。您无法添加或移除您无权访问的范围。

更新数据表时,需要注意以下事项:

  • 只有在更改后,使用相应数据表的所有现有规则仍能正常运行的情况下,才能从数据表中移除范围。 例如:

    • 如果范围为 B 的规则使用相应数据表,则不允许将数据表的范围从 A 和 B 更新为 A。
    • 如果范围限定为 B 的规则使用无范围限定的数据表,则不允许将该数据表的范围更新为 A。
    • 如果范围为 B 的规则使用了数据表,则不允许移除范围 B。

  • 范围受限的用户可以从数据表中移除范围,这可能会导致其他范围受限的用户失去访问权限。

    例如,如果用户拥有范围 A 和 B,则可以从具有范围 A 和 B 的数据表中移除范围 B。此更改生效后,用户仍可使用数据表,但仅具有范围 B 的其他用户将无法再查看或访问该数据表。

  • 添加更多范围可能会导致部分用户失去对数据表的修改权限。如需拥有读取和写入权限,您需要拥有对所有范围的访问权限。拥有对一个或少数几个文件的访问权限只会授予您读取权限。

    例如,如果用户拥有范围 A 和 B,则可以将范围 B 添加到具有范围 A 的数据表中。此更改生效后,该用户仍可修改数据表,但仅具有范围 A 的另一用户将无法再修改数据表。如需读取数据表,用户只需为数据表分配一个范围即可。 如需写入数据表或修改数据表,用户需要拥有分配给数据表的所有范围。

如需更新数据表中的范围,请执行以下操作:

  1. 登录 Google SecOps

  2. 依次点击调查 > 数据表

  3. 数据表窗口中,选择要更新的数据表。

  4. 在顶部,选择范围分配下拉菜单。

  5. 选择数据表应有权访问的所有范围。取消选择数据表不应有权访问的范围。

  6. 点击保存。更新数据表的范围分配。

需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。