Esta página se ha traducido con Cloud Translation API.

Guía de usuario de control de acceso basado en roles (RBAC)

Disponible en:

SecOps de Google SIEM

El control de acceso basado en roles (RBAC) permite a los administradores adaptar el acceso a las funciones de Google Security Operations en función del rol de los empleados en la organización.

Antes de empezar

El control de acceso basado en roles lee la información de los grupos de la respuesta SAML de los siguientes nombres de atributos predeterminados que no distinguen entre mayúsculas y minúsculas:

group
idpgroup group
memberof

Si usas un nombre de atributo personalizado, primero debes proporcionárselo a Google Security Operations para poder modificar la configuración de RBAC.

Modificar la configuración de RBAC

Para ir a las páginas de perfil y configuración de RBAC, haga clic en Configuración en la barra de navegación.

Perfil

En la página Perfil se muestra la información del perfil del usuario (ID de usuario, ID de grupo y roles asignados) y algunos datos adicionales sobre su organización (ID de cliente, Google Cloud número de proyecto Google Cloud e ID de proyecto).

ID de cliente

Tu ID de cliente se encuentra en la sección Detalles de la organización de la página Perfil.

Zona horaria

Para cambiar la zona horaria asociada a tu perfil, haz clic en Editar junto a Configuración de hora. Selecciona la zona horaria adecuada y haz clic en Guardar. De esta forma, la hora que se muestra en la mayor parte de la interfaz de usuario se ajustará a la zona horaria seleccionada. Mientras

Usuarios y grupos

La página Usuarios y grupos permite a los administradores configurar el control de acceso basado en roles.

En el panel de navegación de la izquierda, haga clic en el enlace Usuarios y grupos. En la página Usuarios y grupos se muestra una lista de usuarios y grupos con las columnas Usuario/Grupo, Tipo y Rol asignado.
Haz clic en Asignar nuevo para abrir el cuadro de diálogo Asignar rol. En este cuadro de diálogo, puedes hacer lo siguiente:
- Asigna uno o varios usuarios a un rol.
- Asigna un grupo o grupos a un rol.
Las funciones disponibles son las siguientes:
- Predeterminado
- ViewerWithNoDetectAccess
- Lector
- Editor
- Administrador
Una vez que hayas añadido los IDs de usuario o de grupo y hayas seleccionado el rol adecuado en el menú desplegable ASIGNAR ROL, haz clic en ASIGNAR.

Cuando asignes roles, ten en cuenta lo siguiente:
- Cuando añadas usuarios o grupos, asegúrate de que existan en tu proveedor de identidades. Cuando elimine usuarios o grupos, asegúrese de conservar al menos un usuario o grupo que tenga el rol Administrador y que esté en su proveedor de identidades. De lo contrario, perderá el acceso de administrador.
- Los IDs de IdP de usuarios y grupos distinguen entre mayúsculas y minúsculas.
- No puedes cambiar el rol asignado a un usuario o grupo con este cuadro de diálogo. Sigue los pasos que se indican a continuación para cambiar roles y eliminar usuarios y grupos.
- Google Security Operations gestiona la asignación de usuarios, grupos y roles.
- Tenga cuidado si el ID de usuario o de grupo contiene caracteres especiales que, según la fuente de texto, pueden usar la codificación UTF-8. Una vez que haya hecho clic en Asignar, Google le recomienda que verifique que la nueva asignación se ha guardado correctamente.
Para cambiar el rol de un usuario o un grupo, selecciona un nuevo rol en el menú desplegable correspondiente a ese usuario o grupo en la columna Rol asignado.

Nota: Si el administrador ha cambiado el rol de un usuario, es posible que este tenga que actualizar el navegador para ver los cambios.
Puedes cambiar el rol predeterminado asignado a los nuevos usuarios y grupos en el menú desplegable de roles situado en la esquina superior derecha.
Para eliminar un usuario o un grupo, haz clic en el icono de papelera que aparece en el extremo derecho de la fila del usuario o del grupo cuando colocas el puntero sobre él.

Si eliminas usuarios y grupos que son administradores y los únicos administradores que quedan no están en tu proveedor de identidades, perderás el acceso de administrador.

Roles

Los roles están asociados a un conjunto de permisos de producto. Al asignar un rol a un usuario, se le conceden los permisos asociados a ese rol.

Google Security Operations incluye los siguientes roles predefinidos:

Administrador: gestiona las políticas de control de acceso basado en roles de tu empresa. También puede editar o ver cualquier página de Google Security Operations.
Editor: puede editar las páginas de Google Security Operations, incluida la posibilidad de crear y editar reglas para Detection Engine.
Lector: puede ver cualquier página de Google Security Operations, pero no puede hacer ningún cambio.
ViewerWithNoDetectAccess: puede ver todas las páginas de Google Security Operations que no incluyan detecciones (principalmente las páginas Reglas y Listas de referencia).

Entre las aplicaciones de RBAC se incluyen las siguientes:

Crea y asigna roles en función de las responsabilidades del puesto.
Crea y asigna roles en función de las tenencias o las organizaciones.
Asigna roles temporales a los analistas para que investiguen un problema.

Permisos

Los permisos proporcionan la autorización necesaria para llevar a cabo una sola acción controlada en Google Security Operations, como las siguientes (consulta la lista completa de permisos en la interfaz de usuario):

Ver regla
Modificar regla
Editar comentarios
Editar lista de referencias
Ver permisos de RBAC

Si un usuario no tiene permisos para realizar una acción, la función asociada se inhabilita. Por ejemplo, si el usuario tiene el rol Lector, no podrá crear una regla (el botón Nueva está inhabilitado en el editor de reglas), duplicar una regla (la opción Duplicar está inhabilitada) ni modificar una regla.

Para ver los roles y permisos disponibles para los usuarios y grupos, siga estos pasos:

En el panel de navegación de la izquierda, haga clic en el enlace Roles.
Selecciona un rol de la columna Roles para ver los permisos concedidos a ese rol. Los permisos asociados a cada rol no se pueden cambiar.

El rol predeterminado de los usuarios y grupos que se añaden es Lector. Si seleccionas otro rol (por ejemplo, Editor), el control Definir como predeterminado estará disponible. De esta forma, puedes convertir ese rol en el predeterminado.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.