基于角色的访问权限控制 (RBAC) 用户指南

支持的语言:

借助基于角色的访问权限控制 (RBAC),管理员可以根据员工在组织中的角色定制对 Google Security Operations 功能的访问权限。

准备工作

RBAC 会从 SAML 响应中读取群组信息,并使用以下不区分大小写的默认属性名称:

  • group
  • idpgroup group
  • memberof

如果您使用自定义属性名称,则必须先将其提供给 Google Security Operations,以便您修改 RBAC 设置。

修改 RBAC 设置

如需导航到 RBAC 配置文件和设置页面,请点击导航栏中的设置

个人资料

个人资料页面会显示用户个人资料中的信息(用户 ID、群组 ID、分配的角色)以及有关其组织的一些其他信息(客户 ID、 Google Cloud 项目编号、 Google Cloud 项目 ID)。

客户 ID

您的客户 ID 位于个人资料页面的组织详情部分。

时区

您可以点击“时间设置”旁边的修改来更改与您的个人资料相关联的时区。选择合适的时区,然后点击保存。这样,系统就会将大多数界面上显示的时间更改为与所选时区一致。虽然

用户和群组

用户和群组页面可让管理员配置 RBAC。

  1. 点击左侧导航窗格中的用户和群组链接。用户和群组页面上会显示用户和群组列表,其中包含用户/群组类型分配的角色列。

  2. 点击 Assign new,打开 Assign role 对话框。在此对话框中,您可以完成以下任务:

    • 将一个或多个新用户分配给角色。
    • 将一个或多个新群组分配给角色。

    可用角色包括:

    • 默认
    • ViewerWithNoDetectAccess
    • Viewer
    • Editor
    • 管理员

    添加用户或群组 ID 并从 ASSIGN ROLE 下拉菜单中选择适当的角色后,点击 ASSIGN

    分配角色时,请注意以下事项:

    • 添加用户或群组时,请确保他们存在于您的身份提供方 (IdP) 中。删除用户或群组时,请确保至少保留一个拥有管理员角色且位于 IdP 中的用户或群组;否则,您将失去管理员访问权限。
    • 用户和群组 IdP ID 区分大小写。
    • 您无法使用此对话框更改现有用户或群组的分配角色。请参阅以下步骤,了解如何更改角色以及删除用户和群组。
    • Google Security Operations 管理用户和群组与角色之间的映射。
    • 如果用户或群组 ID 包含可能使用 UTF-8 编码的特殊字符(取决于文本源),请谨慎使用。点击分配后,Google 建议您验证新的分配是否已正确保存。

  3. 您可以通过在分配的角色列中选择与该用户或群组对应的新角色,来更改现有用户或群组的角色。

  4. 您可以从右上角的角色下拉菜单中更改已分配给新用户和群组的默认角色。

  5. 您可以通过以下方法来删除用户或群组:将指针悬停在用户或群组行上,然后点击该行最右侧出现的垃圾桶图标。

    如果您删除作为管理员的用户和群组,而剩下的管理员不在您的 IDP 中,您将失去管理员访问权限。

    角色

角色与一组产品权限相关联。向用户分配角色可授予用户与该角色关联的权限。

Google Security Operations 包含以下预定义角色:

  • Administrator - 为您的企业管理基于角色的访问权限控制政策。还可以修改或查看任何 Google Security Operations 页面。
  • Editor - 可以修改 Google Security Operations 页面,包括为检测引擎创建和修改规则的能力。
  • Viewer - 可以查看任何 Google Security Operations 页面,但不能进行任何更改。
  • ViewerWithNoDetectAccess - 可以查看所有不包含检测项的 Google Security Operations 页面(主要是“规则和参考列表”页面)。

RBAC 应用包括以下各项:

  • 根据工作职责创建和分配角色。
  • 根据租户或组织创建和分配角色。
  • 为分析人员分配临时角色以调查问题。

权限

权限提供在 Google Security Operations 中执行单个受控操作所需的授权,包括(请参阅用户界面以获取完整的权限列表):

  • 查看规则
  • 修改规则
  • 修改反馈
  • 修改参考列表
  • 查看 RBAC 权限

如果用户没有操作的权限,关联的功能将被停用。例如,如果用户具有“Viewer 角色,则无法创建新规则(规则编辑器中的 New 按钮已停用),复制规则(复制选项处于停用状态),或者修改现有规则。

如需查看用户和群组可用的角色和权限,请完成以下操作:

  1. 点击左侧导航窗格中的角色链接。

  2. 从“角色”列中选择角色以查看授予该角色的权限。与每个角色关联的权限无法更改。

新添加的用户和群组的默认角色是 Viewer。如果您选择其他角色之一(例如 Editor),则 Set as default 控件将可用。这样,您就可以将该角色设置为默认角色。

需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。