为参考列表配置数据 RBAC

支持的语言:

本页面介绍基于数据的角色访问权限控制数据 RBAC)管理员和用户如何为参考列表分配范围。参考列表是一个值列表(例如 IP 地址),用于在 UDM 搜索和检测规则中匹配和过滤数据。通过为参考列表分配范围,您可以控制哪些用户和资源(例如规则和 UDM 搜索实例)可以访问和使用该列表。

如需了解数据 RBAC 的运作方式,请参阅数据 RBAC 概览

向参考列表添加范围

如需向参考列表添加范围,您必须有权访问您打算添加的所有范围。您无法添加自己无权访问的范围。

范围限定用户和全局用户拥有不同的访问权限,具体区别如下:

  • 限定范围内的用户可以创建限定范围的参考列表,其中包含分配给他们的全部或部分范围。

  • 全局用户可以创建未限定范围的参考列表(所有用户都可以使用的参考列表),也可以创建限定范围的参考列表。

如需向参考列表添加范围,请执行以下操作:

  1. 登录 Google Security Operations

  2. 依次点击检测 > 列表

  3. 列表管理器窗口中,选择要添加范围的列表。

  4. 详细信息标签页的范围分配菜单中,选择参考列表必须有权访问的所有范围。

  5. 点击保存修改

相应范围会添加到参考列表中。

更新参考列表中的范围

如需更新参考列表中的范围,您必须有权访问您打算添加到参考列表中的所有数据范围。您无法添加自己无权访问的范围。

更新参考列表时,需要注意以下事项:

  • 只有在所有使用相应引用列表的现有规则在更改后仍能正常运作的情况下,才能从引用列表中移除范围。

    例如,如果范围为 B 的规则使用了某个参考列表,则不允许将该参考列表的范围从 A 和 B 更新为 A。同样,如果范围为 B 的规则使用某个参考列表,则不允许将该参考列表的范围从无范围更新为范围 A。

  • 有范围的用户可以从参考列表中移除范围,这可能会导致其他有范围的用户无法再访问该参考列表。

    例如,具有范围 A 和 B 的用户可以从具有范围 A 和 B 的引用列表中移除范围 B。更改后,用户仍可使用参考列表,但仅具有范围 B 的其他用户无法再查看或访问参考列表。

  • 更新范围以添加更多范围可能会导致部分用户失去对参考列表的修改权限。

    例如,具有范围 A 和 B 的用户可以将范围 B 添加到具有范围 A 的引用列表中。更改后,用户仍可修改参考列表,但仅具有范围 A 的其他用户无法再修改参考列表。

如需更新参考列表中的范围,请执行以下操作:

  1. 登录 Google Security Operations

  2. 依次点击检测 > 列表

  3. 列表管理器窗口中,选择要添加范围的列表。

  4. 详细信息标签页的范围分配菜单中,选择参考列表应有权访问的所有范围。取消选择参考列表不应有权访问的范围。

  5. 点击保存修改

更新了参考列表的范围分配。

需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。