Guía del usuario del control de acceso basado en roles (RBAC)

Se admite en los siguientes países:

El control de acceso basado en roles (RBAC) permite que un administrador personalice el acceso a las funciones de Google Security Operations según el rol de un empleado en tu organización.

Antes de comenzar

La AC lee la información del grupo de la respuesta de SAML a partir de los siguientes nombres de atributos predeterminados que no distinguen mayúsculas de minúsculas:

  • group
  • idpgroup group
  • memberof

Si usas un nombre de atributo personalizado, primero debes proporcionarlo a Google Security Operations para poder modificar la configuración de la RBAC.

Modifica la configuración de RBAC

Para navegar a las páginas de configuración y perfil de RBAC, haz clic en Configuración en la barra de navegación.

Perfil

En la página Perfil, se muestra la información del perfil del usuario (ID de usuario, ID de grupo, roles asignados) y algunos datos adicionales sobre su organización (ID de cliente, número de proyecto de Google Cloud, ID del proyecto de Google Cloud).

ID de cliente

Tu ID de cliente se encuentra en la sección Detalles de la organización de la página Perfil.

Zona horaria

Para cambiar la zona horaria asociada con tu perfil, haz clic en Editar junto a Configuración de hora. Selecciona la zona horaria adecuada y haz clic en Guardar. Esto cambia la hora que se muestra en la mayor parte de la interfaz de usuario para que coincida con la zona horaria seleccionada.

Usuarios y grupos

La página Usuarios y grupos permite que un administrador configure el RBAC.

  1. Haz clic en el vínculo Usuarios y grupos en el panel de navegación izquierdo. En la página Usuarios y grupos, se muestra una lista de usuarios y grupos con las columnas Usuario o grupo, Tipo y Rol asignado.

  2. Haz clic en Asignar nuevo para abrir el diálogo Asignar rol. En este diálogo, puedes completar las siguientes tareas:

    • Asignar un usuario o usuarios nuevos a un rol
    • Asigna un grupo o grupos nuevos a un rol.

    Los roles disponibles son los siguientes:

    • Predeterminado
    • ViewerWithNoDetectAccess
    • Visualizador
    • Editor
    • Administrador

    Una vez que hayas agregado los IDs de usuario o grupo y seleccionado el rol adecuado en el menú desplegable ASIGNAR ROL, haz clic en ASIGNAR.

    Cuando asignes roles, ten en cuenta lo siguiente:

    • Cuando agregues usuarios o grupos, asegúrate de que existan en tu proveedor de identidad (IdP). Cuando borres usuarios o grupos, asegúrate de conservar al menos uno que tenga el rol de administrador y que esté en tu IdP. De lo contrario, perderás el acceso de administrador.
    • Los IDs de los proveedores de identidad de usuarios y grupos distinguen mayúsculas de minúsculas.
    • No puedes cambiar el rol asignado de un usuario o grupo existente con este diálogo. Consulta los pasos que se indican a continuación para cambiar los roles y borrar usuarios y grupos.
    • Google Security Operations administra la asignación entre usuarios, grupos y roles.
    • Ten cuidado si el ID de usuario o grupo contiene caracteres especiales que, según la fuente de texto, podrían usar codificación UTF-8. Una vez que hagas clic en Asignar, Google te recomienda que verifiques que la nueva tarea se haya guardado correctamente.

  3. Para cambiar el rol de un usuario o grupo existente, selecciona un rol nuevo en el menú desplegable correspondiente a ese usuario o grupo en la columna Rol asignado.

  4. Puedes cambiar el rol predeterminado asignado a los usuarios y grupos nuevos desde el menú desplegable de roles en la esquina superior derecha.

  5. Para borrar un usuario o un grupo, haz clic en el ícono de la papelera que aparece en el extremo derecho de la fila del usuario o grupo mientras colocas el puntero sobre él.

    Si borras usuarios y grupos que son administradores, y los únicos administradores restantes no están en tu IdP, perderás el acceso de administrador.

Roles y permisos

Funciones

Los roles están asociados con un conjunto de permisos de productos. Si asignas un rol a un usuario, se le otorgarán los permisos asociados con ese rol.

Operaciones de seguridad de Google incluye los siguientes roles predefinidos:

  • Administrador: Administra las políticas de control de acceso basado en roles de tu empresa. También puede editar o ver cualquier página de Google Security Operations.
  • Editor: Puede editar las páginas de Google Security Operations, incluida la capacidad de crear y editar reglas para el motor de detección.
  • Visualizador: Puede ver cualquier página de Operaciones de seguridad de Google, pero no puede realizar cambios.
  • ViewerWithNoDetectAccess: Puede ver todas las páginas de Operaciones de seguridad de Google que no incluyen detecciones (principalmente, las páginas de reglas y listas de referencias).

Las aplicaciones de RBAC incluyen lo siguiente:

  • Crea y asigna roles según las responsabilidades del puesto.
  • Crea y asigna roles según las tenancies o las organizaciones.
  • Asignar roles temporales a los analistas para investigar un problema

Permisos

Los permisos proporcionan la autorización necesaria para realizar una sola acción controlada en Operaciones de seguridad de Google, incluidos los siguientes (consulta la interfaz de usuario para ver la lista completa de permisos):

  • Ver regla
  • Modificar regla
  • Editar comentarios
  • Edita la lista de referencias
  • Cómo ver los permisos de RBAC

Si un usuario no tiene permisos para una acción, se inhabilita la funcionalidad asociada. Por ejemplo, si el usuario tiene el rol de visualizador, no puede crear una regla nueva (el botón Nueva está inhabilitado en el editor de reglas), duplicar una regla (la opción Duplicar está inhabilitada) ni modificar una regla existente.

Para ver los roles y permisos disponibles para los usuarios y grupos, completa lo siguiente:

  1. Haz clic en el vínculo Roles en el panel de navegación izquierdo.

  2. Selecciona un rol de la columna Roles para ver los permisos otorgados para ese rol. No se pueden cambiar los permisos asociados con cada rol.

El rol predeterminado para los usuarios y grupos agregados recientemente es de visualizador. Si seleccionas uno de los otros roles (por ejemplo, Editor), el control Establecer como predeterminado estará disponible. Esto te permite establecer ese rol como predeterminado.