Guía del usuario de control de acceso basado en roles (RBAC)
El control de acceso basado en roles (RBAC) permite que el administrador personalice el acceso Funciones de Google Security Operations según el rol de un empleado en tu organización.
Antes de comenzar
El RBAC lee la información de grupo de la respuesta de SAML de los siguientes nombres de atributos predeterminados que no distinguen mayúsculas de minúsculas:
groupidpgroup groupmemberof
Si usas un nombre de atributo personalizado, primero debes proporcionarlo a Google Security Operations para poder modificar la configuración de la RBAC.
Modifica la configuración de RBAC
Para navegar a las páginas de perfil y configuración de RBAC, haz clic en Settings en la barra de navegación.
Perfil
En la página Perfil, se muestra la información del perfil del usuario (ID del usuario, ID de grupo, roles asignados) y algunos datos adicionales sobre su organización (ID de cliente, número de proyecto de Google Cloud, ID del proyecto de Google Cloud).
ID de cliente
Tu ID de cliente se encuentra en la sección Detalles de la organización de la página Perfil.
Zona horaria
Para cambiar la zona horaria asociada a su perfil, haga clic en Editar junto a Configuración de hora. Selecciona la zona horaria adecuada y haz clic en Guardar. Esto cambia la hora que se muestra en la mayor parte de la interfaz de usuario para que coincida con la zona horaria seleccionada.
Usuarios y grupos
La página Usuarios y grupos permite que un administrador configure el RBAC.
Haz clic en el botón Usuarios y Grupos de Google en el panel de navegación izquierdo. Se mostrará una lista de usuarios y grupos en la página Usuarios y grupos con las columnas Usuario/Grupo, Tipo y Rol asignado.
Haz clic en Asignar nuevo para abrir el diálogo Asignar rol. Desde este diálogo, puedes completar las siguientes tareas:
- Asignar uno o varios usuarios nuevos a un rol
- Asigna uno o varios grupos nuevos a un rol.
Los roles disponibles son los siguientes:
- Predeterminado
- ViewerWithNoDetectAccess
- Visualizador
- Editor
- Administrador
Una vez que hayas agregado los IDs de usuario o grupo y seleccionado el rol adecuado en el menú desplegable ASIGNAR ROL, haz clic en ASIGNAR.
Cuando asignes roles, ten en cuenta lo siguiente:
- Cuando agregues usuarios o grupos, asegúrate de que existan en tu proveedor de identidad (IdP). Cuando borres usuarios o grupos, asegúrate de retener al menos un usuario o grupo que tenga el rol de administrador y esté en tu IdP. de lo contrario, perderás el acceso de administrador.
- Los IDs de IdP de usuario y grupo distinguen mayúsculas de minúsculas.
- No puedes cambiar el rol asignado de un usuario o grupo existente usando este diálogo. Consulta los siguientes pasos para cambiar las funciones y borrar usuarios y grupos.
- Google Security Operations administra la asignación entre usuarios, grupos y roles.
- Ten cuidado si el ID de grupo o usuario contiene caracteres especiales que, según la fuente del texto, podrían usar la codificación UTF-8. Una vez que hagas clic en Asignar, Google te recomienda que verifiques que la nueva tarea se haya guardado correctamente.
Para cambiar el rol de un usuario o grupo existente, selecciona un rol nuevo en el menú desplegable correspondiente a ese usuario o grupo en la columna Rol asignado.
Para cambiar el rol predeterminado que se les asigna a los usuarios y grupos nuevos, ve al menú desplegable de roles en la esquina superior derecha.
Para borrar un usuario o un grupo, haz clic en el ícono de la papelera que aparece en el extremo derecho de la fila de usuarios o grupos cuando mantienes el puntero sobre ellos.
Si borras usuarios y grupos que son administradores, y los únicos administradores restantes no están en tu IdP, perderás el acceso de administrador.
Roles y permisos
Funciones
Los roles se asocian con un conjunto de permisos de productos. Cuando le asignas un rol a un usuario, le otorgas los permisos asociados con ese rol.
Operaciones de seguridad de Google incluye los siguientes roles predefinidos:
- Administrador: Administra las políticas de control de acceso basado en roles de tu empresa. También puede editar o ver cualquier página de Google Security Operations.
- Editor: Puede editar las páginas de Google Security Operations, incluida la capacidad de crear y editar reglas para Detection Engine.
- Visualizador: Puede ver cualquier página de Google Security Operations, pero no puede realizar cambios.
- ViewerWithNoDetectAccess: puede ver todas las páginas de Google Security Operations que no incluyen detecciones (principalmente las páginas Reglas y Listas de referencia).
Las aplicaciones de RBAC incluyen lo siguiente:
- Crear y asignar roles según las responsabilidades del trabajo.
- Crear y asignar roles según las tenancies o las organizaciones
- Asignar roles temporales a los analistas para investigar un problema.
Permisos
Los permisos proporcionan la autorización necesaria para realizar una única acción controlada en Google Security Operations, incluida la siguiente lista de permisos en la interfaz de usuario:
- Ver regla
- Modificar regla
- Editar comentario
- Editar lista de referencia
- Ver permisos de RBAC
Si un usuario no tiene permisos para realizar una acción, se inhabilita la funcionalidad asociada. Por ejemplo, si el usuario tiene el rol de visor, no puede crear una regla nueva (el botón Nueva está inhabilitado en el editor de reglas), duplicar una regla (la opción Duplicar está inhabilitada) ni modificar una regla existente.
Para ver los roles y permisos disponibles para los usuarios y grupos, completa lo siguiente:
Haz clic en el vínculo Roles que se encuentra en el panel de navegación izquierdo.
Selecciona un rol de la columna Roles para ver los permisos otorgados para ese rol. No se pueden cambiar los permisos asociados con cada rol.
El rol predeterminado para los usuarios y grupos recién agregados es Visualizador. Si seleccionas uno de los otros roles (por ejemplo, Editor), el control Establecer como predeterminado estará disponible. Esto te permite establecer ese rol como predeterminado en su lugar.