Se usó la API de Cloud Translation para traducir esta página.

Guía del usuario del control de acceso basado en roles (RBAC)

Compatible con:

Google SecOps SIEM

El control de acceso basado en roles (RBAC) permite que un administrador adapte el acceso a las funciones de Google Security Operations según el rol de un empleado en tu organización.

Antes de comenzar

RBAC lee la información del grupo de la respuesta de SAML de los siguientes nombres de atributos predeterminados que no distinguen mayúsculas de minúsculas:

group
idpgroup group
memberof

Si usas un nombre de atributo personalizado, primero debes proporcionárselo a Google Security Operations para poder modificar la configuración de RBAC.

Modifica la configuración de RBAC

Para navegar a las páginas de configuración y perfil de RBAC, haz clic en Configuración en la barra de navegación.

Perfil

En la página Perfil, se muestra la información del perfil del usuario (ID de usuario, ID de grupo, roles asignados) y algunos datos adicionales sobre su organización (ID de cliente, Google Cloud número de proyecto, Google Cloud ID de proyecto).

ID de cliente

Tu ID de cliente se encuentra en la sección Detalles de la organización de la página Perfil.

Zona horaria

Para cambiar la zona horaria asociada a tu perfil, haz clic en Editar junto a Configuración de hora. Selecciona la zona horaria adecuada y haz clic en Guardar. Esto cambia la hora que se muestra en la mayor parte de la interfaz de usuario para que coincida con la zona horaria seleccionada. Si bien

Usuarios y grupos

La página Usuarios y grupos permite que un administrador configure el RBAC.

Haz clic en el vínculo Usuarios y grupos en el panel de navegación izquierdo. En la página Usuarios y grupos, se muestra una lista de usuarios y grupos con las columnas Usuario/Grupo, Tipo y Rol asignado.
Haz clic en Asignar nuevo para abrir el cuadro de diálogo Asignar rol. En este diálogo, puedes completar las siguientes tareas:
- Asigna un usuario o usuarios nuevos a un rol.
- Asigna un grupo o grupos nuevos a un rol.
Los roles disponibles son los siguientes:
- Predeterminado
- ViewerWithNoDetectAccess
- Lector
- Editor
- Administrador
Una vez que hayas agregado los IDs de usuario o de grupo y seleccionado el rol adecuado en el menú desplegable ASIGNAR ROL, haz clic en ASIGNAR.

Cuando asignes roles, ten en cuenta lo siguiente:
- Cuando agregues usuarios o grupos, asegúrate de que existan en tu proveedor de identidad (IdP). Cuando borres usuarios o grupos, asegúrate de conservar al menos un usuario o grupo que tenga el rol de administrador y esté en tu IdP. De lo contrario, perderás el acceso de administrador.
- Los IDs de IdP de usuarios y grupos distinguen entre mayúsculas y minúsculas.
- No puedes cambiar el rol asignado de un usuario o grupo existente con este diálogo. Consulta los siguientes pasos para cambiar roles y borrar usuarios y grupos.
- Las Operaciones de seguridad de Google administran la asignación entre usuarios, grupos y roles.
- Ten cuidado si el ID de usuario o grupo contiene caracteres especiales que, según la fuente de texto, podrían usar la codificación UTF-8. Una vez que hagas clic en Asignar, Google recomienda que verifiques que la nueva asignación se haya guardado correctamente.
Para cambiar el rol de un usuario o grupo existente, selecciona un rol nuevo en el menú desplegable correspondiente a ese usuario o grupo en la columna Rol asignado.

Nota: Si el administrador cambió el rol de un usuario, es posible que este deba actualizar el navegador para ver los cambios.
Puedes cambiar el rol predeterminado asignado a los usuarios y grupos nuevos en el menú desplegable de roles que se encuentra en la esquina superior derecha.
Para borrar un usuario o un grupo, haz clic en el ícono de la papelera que aparece en el extremo derecho de la fila del usuario o grupo cuando mantienes el puntero sobre él.

Si borras usuarios y grupos que son administradores, y los únicos administradores restantes no están en tu IdP, perderás el acceso de administrador.

Funciones

Los roles se asocian con un conjunto de permisos de productos. Asignar un rol a un usuario le otorga los permisos asociados con ese rol.

Google Security Operations incluye los siguientes roles predefinidos:

Administrador: Administra las políticas de control de acceso basado en roles de tu empresa. También puede editar o ver cualquier página de Operaciones de seguridad de Google.
Editor: Puede editar las páginas de Google Security Operations, incluida la capacidad de crear y editar reglas para el motor de detección.
Visualizador: Puede ver cualquier página de Google Security Operations, pero no puede realizar cambios.
ViewerWithNoDetectAccess: Puede ver todas las páginas de Google Security Operations que no incluyen detecciones (principalmente las páginas de reglas y listas de referencia).

Las aplicaciones de RBAC incluyen lo siguiente:

Crea y asigna roles según las responsabilidades del trabajo.
Crear y asignar roles según las organizaciones o los arrendamientos
Asigna roles temporales a los analistas para investigar un problema.

Permisos

Los permisos proporcionan la autorización necesaria para realizar una sola acción controlada en Google Security Operations, lo que incluye lo siguiente (consulta la interfaz de usuario para ver la lista completa de permisos):

Ver regla
Modificar regla
Editar comentarios
Cómo editar la lista de referencias
Cómo ver los permisos de RBAC

Si un usuario no tiene permisos para realizar una acción, se inhabilita la función asociada. Por ejemplo, si el usuario tiene el rol de visualizador, no podrá crear una regla nueva (el botón Nuevo está inhabilitado en el editor de reglas), duplicar una regla (la opción Duplicar está inhabilitada) ni modificar una regla existente.

Para ver los roles y permisos disponibles para usuarios y grupos, completa los siguientes pasos:

Haz clic en el vínculo Roles en el panel de navegación izquierdo.
Selecciona un rol en la columna Roles para ver los permisos otorgados para ese rol. Los permisos asociados a cada rol no se pueden cambiar.

El rol predeterminado para los usuarios y grupos agregados recientemente es el de visualizador. Si seleccionas uno de los otros roles (por ejemplo, Editor), estará disponible el control Establecer como predeterminado. Esto te permite establecer ese rol como predeterminado.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.