为参考列表配置数据 RBAC

本页面介绍基于数据的角色访问权限控制（数据 RBAC）管理员和用户如何为参考列表分配范围。参考列表是一个值列表（例如 IP 地址），用于在 UDM 搜索和检测规则中匹配和过滤数据。通过为参考列表分配范围，您可以控制哪些用户和资源（例如规则和 UDM 搜索实例）可以访问和使用该列表。

如需了解数据 RBAC 的运作方式，请参阅数据 RBAC 概览。

向参考列表添加范围

如需向参考列表添加范围，您必须有权访问您打算添加的所有范围。您无法添加自己无权访问的范围。

数据 RBAC 会以以下方式影响参考列表：

• 在为参考列表分配范围之前启用数据 RBAC：所有现有参考列表都会自动分配全局范围。根据数据访问权限控制要求，为每个参考列表分配相应范围。

• 在为参考列表分配范围后，数据 RBAC 随即启用：范围限定的参考列表会根据其定义的范围对提取的数据进行操作，即使在启用数据 RBAC 之前也是如此。

范围限定用户和全局用户拥有不同的访问权限，具体区别如下：

• 限定范围内的用户可以创建限定范围的参考列表，其中包含分配给他们的全部或部分范围。

• 全局用户可以创建未限定范围的参考列表（所有用户都可以使用的参考列表），也可以创建限定范围的参考列表。

如需向参考列表添加范围，请执行以下操作：

1. 登录 Google Security Operations。

2. 依次点击检测 > 列表。

3. 在列表管理器窗口中，选择要添加范围的列表。

4. 在详细信息标签页的范围分配菜单中，选择参考列表必须有权访问的所有范围。

5. 点击保存修改。

相应范围会添加到参考列表中。

更新参考列表中的范围

如需更新参考列表中的范围，您必须有权访问您打算添加到参考列表中的所有数据范围。您无法添加自己无权访问的范围。

更新参考列表时，需要注意以下事项：

• 只有在所有使用相应引用列表的现有规则在更改后仍能正常运作的情况下，才能从引用列表中移除范围。

  例如，如果范围为 B 的规则使用了某个参考列表，则不允许将该参考列表的范围从 A 和 B 更新为 A。同样，如果范围为 B 的规则使用某个参考列表，则不允许将该参考列表的范围从无范围更新为范围 A。

• 有范围的用户可以从参考列表中移除范围，这可能会导致其他有范围的用户无法再访问该参考列表。

  例如，具有范围 A 和 B 的用户可以从具有范围 A 和 B 的引用列表中移除范围 B。更改后，用户仍可使用参考列表，但仅具有范围 B 的其他用户无法再查看或访问参考列表。

• 更新范围以添加更多范围可能会导致部分用户失去对参考列表的修改权限。

  例如，具有范围 A 和 B 的用户可以将范围 B 添加到具有范围 A 的引用列表中。更改后，用户仍可修改参考列表，但仅具有范围 A 的其他用户无法再修改参考列表。

如需更新参考列表中的范围，请执行以下操作：

1. 登录 Google Security Operations。

2. 依次点击检测 > 列表。

3. 在列表管理器窗口中，选择要添加范围的列表。

4. 在详细信息标签页的范围分配菜单中，选择参考列表应有权访问的所有范围。取消选择参考列表不应有权访问的范围。

5. 点击保存修改。

更新了参考列表的范围分配。

需要更多帮助？从社区成员和 Google SecOps 专业人士那里获得解答。