設定資料表的資料 RBAC
本頁面說明資料角色型存取權控管 (資料 RBAC) 管理員和使用者如何為資料表指派範圍。資料表是多欄資料結構,可用於將自有資料輸入 Google Security Operations。資料表還能做為對照表使用,裡面的資料欄經過定義,資料則會儲存在資料列。將範圍指派給資料表後,您就能控管哪些使用者和資源可以存取及使用資料表 (例如規則和統一資料模型 (UDM) 搜尋執行個體)。
存取權限會因使用者類型 (範圍與全域) 而異:
有範圍限制的使用者可以運用獲派的所有範圍或部分範圍,建立有範圍限制的資料表。
全域使用者可以建立沒有範圍限制的資料表 (所有使用者都能使用的資料表),也可以建立有範圍限制的資料表。所有使用者都能查看未設範圍的資料表,但只有全域使用者可以寫入資料。
從資料表的角度來看,情況如下:
具有相符範圍的特定使用者或規則,可以存取已選取範圍的資料表。不過,如要對範圍內的資料表執行寫入作業,使用者或規則必須具有相同的相符範圍。
所有使用者和讀取作業規則都能存取未設範圍的資料表。 不過,只有全域使用者才能執行寫入作業。
如要進一步瞭解資料 RBAC 和範圍的運作方式,請參閱「 資料 RBAC 總覽」。
如要進一步瞭解使用者存取權限,請參閱「資料表中的使用者存取權限」一文中的表格。
為資料表新增範圍
如要將範圍新增至資料表,您必須有權存取所有要新增的範圍。您無法新增自己無權存取的範圍。
如要將範圍新增至無範圍的資料表,或在有範圍的資料表中新增更多範圍,請按照下列步驟操作:
依序按一下「調查」 >「資料表」。
在「資料表」視窗中,選取要新增範圍的資料表。
在頂端選取範圍指派清單。
選取資料表必須具備存取權的所有範圍。
按一下 [儲存]。範圍會新增至資料表。
更新資料表中的範圍
如要更新資料表的範圍,您必須有權存取要新增至資料表的所有資料範圍。您無法新增或移除自己無權存取的範圍。
更新資料表時,請注意下列事項:
只有在變更後,使用資料表的所有現有規則仍可正常運作時,才能從資料表中移除範圍。例如:
- 如果範圍 B 的規則使用資料表,則不允許將範圍 A 和 B 的資料表更新為範圍 A。
- 如果範圍 B 的規則使用資料表,則不允許將無範圍的資料表更新至範圍 A。
- 如果範圍 B 的規則使用資料表,則無法移除範圍 B。
有範圍的使用者可以從資料表移除範圍,這可能會導致其他有範圍的使用者失去存取權。
舉例來說,如果使用者擁有範圍 A 和 B,可以從範圍 A 和 B 的資料表中移除範圍 B。這項變更生效後,使用者仍可使用資料表,但只具備範圍 B 權限的其他使用者將無法再查看或存取資料表。
新增更多範圍可能會導致部分使用者失去資料表的編輯權限。如要取得讀取和寫入權限,您必須具備所有範圍的存取權。如果只能存取一或幾個檔案,您就只有讀取權限。
舉例來說,如果使用者具有範圍 A 和 B,可以將範圍 B 新增至具有範圍 A 的資料表。這項變更生效後,使用者仍可編輯資料表,但只具備範圍 A 權限的其他使用者將無法再編輯資料表。如要讀取資料表,使用者只需要指派給資料表的一個範圍。 如要寫入或修改資料表,使用者必須擁有指派給資料表的所有範圍。
如要在資料表中更新範圍,請執行下列操作:
依序按一下「調查」 >「資料表」。
在「資料表」視窗中,選取要更新的資料表。
在頂端選取範圍指派下拉式選單。
選取資料表應具備存取權的所有範圍。取消選取資料表不應存取的範圍。
按一下 [儲存]。資料表的範圍指派作業已更新。
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。