Se usó la API de Cloud Translation para traducir esta página.

Configura un Google Cloud proveedor de identidad

Compatible con:

Google SecOps SIEM

Puedes usar Cloud Identity, Google Workspace o un proveedor de identidad de terceros (como Okta o Azure AD) para administrar usuarios, grupos y la autenticación.

En esta página, se describe cómo usar Cloud Identity o Google Workspace.

Cuando usas Cloud Identity o Google Workspace, creas cuentas de usuario administradas para controlar el acceso a los recursos de Google Cloud y a Google SecOps.

Creas políticas de IAM que definen qué usuarios y grupos tienen acceso a las funciones de Google SecOps. Estas políticas de IAM se definen con roles y permisos predefinidos que proporciona Google SecOps o con roles personalizados que creas.

Como parte de la vinculación de una instancia de Google SecOps a los servicios de Google Cloud, configura una conexión a un IdP de Google Cloud . La instancia de Google SecOps se integra directamente con Cloud Identity o Google Workspace para autenticar a los usuarios y aplicar el control de acceso según las políticas de IAM configuradas.

Consulta Identidades para usuarios para obtener información detallada sobre cómo crear cuentas de Cloud Identity o Google Workspace.

Otorga un rol para habilitar el acceso a Google SecOps

En los siguientes pasos, se describe cómo otorgar un rol específico con IAM para que un usuario pueda acceder a Google SecOps. Realiza la configuración con el proyecto Google Cloud vinculado a Google SecOps que creaste antes.

Otorga el rol de Visualizador de la API de Chronicle (roles/chronicle.viewer) a los usuarios o grupos que deben tener acceso a la aplicación de Google Security Operations.

Nota: En los siguientes ejemplos, se usa el comando gcloud. Para usar la Google Cloud consola, consulta Cómo otorgar un solo rol.
Importante: En los siguientes ejemplos, no se configura la autorización para las funciones de Google SecOps. Esto se hace con IAM para el control de acceso a funciones.
- En el siguiente ejemplo, se otorga el rol de visualizador de la API de Chronicle a un grupo específico:
```
gcloud projects add-iam-policy-binding PROJECT_ID \
  --role roles/chronicle.viewer \
  --member "group:GROUP_EMAIL"
```
  Reemplaza lo siguiente:
  - PROJECT_ID: Con el ID del proyecto vinculado a Google Security Operations que configuraste en Configura un proyecto para Google Security Operations. Google Cloud Consulta Crea y administra proyectos para obtener una descripción de los campos que identifican un proyecto.
  - GROUP_EMAIL: Es el alias de correo electrónico del grupo, como analyst-t1@example.com.
- Para otorgar el rol de visualizador de la API de Chronicle a un usuario específico, ejecuta el siguiente comando:
```
gcloud projects add-iam-policy-binding PROJECT_ID \
  --role roles/chronicle.viewer \
  --member "principal:USER_EMAIL"
```
  Reemplaza USER_EMAIL por la dirección de correo electrónico del usuario, como alice@example.com.
- Para ver ejemplos de cómo otorgar roles a otros miembros, como un grupo o un dominio, consulta la documentación de referencia de gcloud projects add-iam-policy-binding y Identificadores de principales.
Configura políticas de IAM adicionales para cumplir con los requisitos de seguridad y acceso de tu organización.

¿Qué sigue?

Después de completar los pasos de este documento, haz lo siguiente:

Sigue los pasos para vincular una instancia de Google Security Operations a Google Cloud servicios.
Si aún no configuraste el registro de auditoría, continúa con los pasos para habilitar el registro de auditoría de Google Security Operations.
Si configuras Google Security Operations, realiza los pasos adicionales que se indican en Provision, authenticate, and map users in Google Security Operations.
Para configurar el acceso a las funciones, realiza pasos adicionales en Configura el control de acceso a funciones con IAM y Permisos de Google Security Operations en IAM.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.