基于角色的访问权限控制 (RBAC) 用户指南
借助基于角色的访问权限控制 (RBAC),管理员可以根据员工在组织中的角色定制对 Google Security Operations 功能的访问权限。
准备工作
RBAC 会从以下不区分大小写的默认属性名称中读取 SAML 响应的群组信息:
groupidpgroup groupmemberof
如果您使用自定义属性名称,则必须先将其提供给 Google 安全运营团队,然后才能修改 RBAC 设置。
修改 RBAC 设置
如需前往 RBAC 配置文件和设置页面,请点击导航栏中的设置。
个人资料
个人资料页面会显示用户个人资料中的信息(用户 ID、群组 ID、分配的角色),以及与其所属组织相关的一些其他信息(客户 ID、Google Cloud 项目编号、Google Cloud 项目 ID)。
客户 ID
您的客户 ID 位于资料页面的组织详情部分。
时区
点击“时间设置”旁边的修改,即可更改与您的个人资料关联的时区。选择适当的时区,然后点击保存。这会更改大多数界面上显示的时间,使其与所选时区一致。
用户和群组
用户和群组页面可让管理员配置 RBAC。
点击左侧导航窗格中的用户和群组链接。用户和群组页面上会显示用户和群组列表,其中包含 User/Group、Type 和 Assigned role 列。
点击分配新角色,打开分配角色对话框。在此对话框中,您可以完成以下任务:
- 将一个或多个新用户分配给角色。
- 将一个或多个新群组分配给角色。
可用角色包括:
- 默认
- ViewerWithNoDetectAccess
- Viewer
- Editor
- 管理员
添加用户或群组 ID 并从 ASSIGN ROLE 下拉菜单中选择适当的角色后,点击 ASSIGN。
分配角色时,请注意以下事项:
- 添加用户或群组时,请确保他们已在您的身份提供方 (IdP) 中。删除用户或群组时,请确保保留至少一个具有“管理员”角色且位于 IdP 中的用户或群组;否则,您将失去管理员访问权限。
- 用户和群组 IdP ID 区分大小写。
- 您无法使用此对话框更改现有用户或群组的分配角色。请参阅以下步骤,了解如何更改角色以及删除用户和群组。
- Google 安全运营团队管理用户和群组与角色之间的映射。
- 如果用户或群组 ID 包含可能使用 UTF-8 编码的特殊字符(取决于文本源),请谨慎使用。点击 Assign 后,Google 建议您验证新的作业是否已正确保存。
您可以通过在分配的角色列中选择与该用户或群组对应的新角色,来更改现有用户或群组的角色。
您可以从右上角的角色下拉菜单中更改已分配给新用户和群组的默认角色。
您可以通过以下方法来删除用户或群组:将光标悬停在用户或群组行上,然后点击该行最右侧出现的垃圾桶图标。
如果您删除了具有管理员权限的用户和群组,而剩下的唯一管理员不在您的 IDP 中,您将失去管理员访问权限。
角色与权限
角色
角色与一组产品权限相关联。向用户分配角色可授予用户与该角色关联的权限。
Google 安全运营包含以下预定义角色:
- Administrator - 为您的企业管理基于角色的访问权限控制政策。还可以修改或查看任何 Google 安全运营页面。
- Editor - 可以修改 Google Security Operations 页面,包括为检测引擎创建和修改规则的能力。
- Viewer - 可以查看任何 Google 安全运营页面,但不能进行任何更改。
- ViewerWithNoDetectAccess - 可以查看所有不包含检测项的 Google 安全操作页面(主要是“规则和参考列表”页面)。
RBAC 应用包括以下各项:
- 根据工作职责创建和分配角色。
- 根据租户或组织创建和分配角色。
- 为分析人员分配临时角色以调查问题。
权限
权限提供在 Google 安全运营中心中执行单个受控操作所需的授权,包括(请参阅用户界面以获取完整的权限列表):
- 查看规则
- 修改规则
- 修改反馈
- 修改参考列表
- 查看 RBAC 权限
如果用户没有操作的权限,关联的功能将被停用。例如,如果用户具有“Viewer 角色,则无法创建新规则(规则编辑器中的 New 按钮已停用),复制规则(Duplicate 选项处于停用状态),或者修改现有规则。
如需查看用户和群组可用的角色和权限,请完成以下操作:
点击左侧导航窗格中的角色链接。
从“角色”列中选择角色以查看授予该角色的权限。与每个角色关联的权限无法更改。
新添加的用户和群组的默认角色是 Viewer。如果您选择其他角色之一(例如 Editor),则 Set as default 控件将可用。这样,您就可以将该角色设置为默认角色。