角色型存取權控管 (RBAC) 使用手冊

支援的國家/地區:

管理員可以透過角色型存取控管 (RBAC),根據員工在機構中的角色,調整 Google Security Operations 功能的存取權。

事前準備

RBAC 會從 SAML 回應中讀取群組資訊,使用下列不區分大小寫的預設屬性名稱:

  • group
  • idpgroup group
  • memberof

如果使用自訂屬性名稱,請先提供給 Google Security Operations,才能修改 RBAC 設定。

修改 RBAC 設定

如要前往 RBAC 設定檔和設定頁面,請按一下導覽列中的「設定」

設定檔

「個人資料」頁面會顯示使用者個人資料中的資訊 (使用者 ID、群組 ID、指派的角色),以及機構的其他資訊 (客戶 ID、專案號碼、專案 ID)。 Google Cloud Google Cloud

客戶 ID

客戶 ID 位於「個人資料」頁面的「機構詳細資料」部分。

時區

如要變更與個人資料相關聯的時區,請按一下「時間設定」旁的「編輯」。選取適當的時區,然後按一下「儲存」。這樣一來,使用者介面顯示的時間就會配合所選時區。雖然

使用者與群組

管理員可以在「使用者和群組」頁面設定 RBAC。

  1. 按一下左側導覽窗格中的「使用者和群組」連結。「使用者和群組」頁面會顯示使用者和群組清單,以及「使用者/群組」、「類型」和「指派的角色」欄。

  2. 按一下「指派新角色」,開啟「指派角色」對話方塊。您可以在這個對話方塊中完成下列工作:

    • 將新使用者指派給角色。
    • 將新群組指派給角色。

    可用的角色如下:

    • 預設
    • ViewerWithNoDetectAccess
    • 檢視者
    • 編輯者
    • 管理員

    新增使用者或群組 ID,並從「指派角色」下拉式選單中選取適當角色後,按一下「指派」

    指派角色時,請注意下列事項:

    • 新增使用者或群組時,請確認他們已在身分識別提供者 (IdP) 中存在。刪除使用者或群組時,請務必保留至少一位具備管理員角色且位於 IdP 中的使用者或群組,否則您將失去管理員存取權。
    • 使用者和群組 IdP ID 須區分大小寫。
    • 您無法使用這個對話方塊變更現有使用者或群組的指派角色。請參閱下方的步驟,瞭解如何變更角色,以及刪除使用者和群組。
    • Google Security Operations 會管理使用者、群組和角色之間的對應關係。
    • 如果使用者或群組 ID 含有特殊字元,請務必謹慎處理,因為視文字來源而定,這些字元可能會使用 UTF-8 編碼。按一下「指派」後,Google 建議您確認新指派項目是否已正確儲存。

  3. 如要變更現有使用者或群組的角色,請在「已指派的角色」欄中,從對應使用者或群組的下拉式選單選取新角色。

  4. 如要變更指派給新使用者和群組的預設角色,請使用右上角的角色下拉式選單。

  5. 將指標懸停在使用者或群組資料列上時,最右側會顯示垃圾桶圖示,點選即可刪除使用者或群組。

    如果您刪除管理員使用者和群組,且剩餘管理員不在 IDP 中,您將失去管理員存取權。

    角色

角色會與一組產品權限建立關聯。指派角色給使用者後,使用者就會獲得與該角色相關的權限。

Google Security Operations 包含下列預先定義的角色:

  • 管理員:管理企業的角色型存取控管政策。也可以編輯或查看任何 Google Security Operations 頁面。
  • 編輯者:可編輯 Google Security Operations 頁面,包括建立及編輯偵測引擎規則。
  • 檢視者:可以查看任何 Google Security Operations 頁面,但無法進行任何變更。
  • ViewerWithNoDetectAccess:可查看所有不含偵測結果的 Google Security Operations 頁面 (主要是「規則」和「參考清單」頁面)。

RBAC 應用程式包括:

  • 根據工作職責建立及指派角色。
  • 根據租戶或機構建立及指派角色。
  • 指派臨時角色給分析師,以調查問題。

權限

權限可授權使用者在 Google Security Operations 中執行單一受控動作,包括 (如需完整權限清單,請參閱使用者介面):

  • 查看規則
  • 修改規則
  • 編輯意見回饋
  • 編輯參考清單
  • 查看 RBAC 權限

如果使用者沒有執行某項動作的權限,相關功能就會停用。舉例來說,如果使用者具有「檢視者」角色,就無法建立新規則 (規則編輯器中的「新增」按鈕會停用)、複製規則 (「複製」選項會停用),或修改現有規則。

如要查看使用者和群組可用的角色和權限,請完成下列步驟:

  1. 按一下左側導覽窗格中的「角色」連結。

  2. 從「角色」欄選取角色,即可查看該角色獲得的權限。每個角色相關聯的權限都無法變更。

新加入的使用者和群組預設角色為「檢視者」。如果選取其他角色 (例如「編輯者」),「設為預設」控制項就會顯示。這樣就能將該角色設為預設角色。

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。