Configura un proveedor de identidad de Google Cloud
Puedes usar Cloud Identity, Google Workspace o un proveedor de identidad de terceros (como Okta o Azure AD) para administrar usuarios, grupos y autenticación.
En esta página, se describe cómo usar Cloud Identity o Google Workspace. Para obtener información sobre cómo configurar un proveedor de identidad de terceros, consulta Cómo configurar un proveedor de identidad de terceros para Google Security Operations.
Cuando usas Cloud Identity o Google Workspace, creas cuentas de usuario administradas para controlar el acceso a los recursos de Google Cloud y a Google SecOps.
Creas políticas de IAM que definen qué usuarios y grupos tienen acceso a las funciones de SecOps de Google. Estas políticas de IAM se definen con roles y permisos predefinidos que proporciona Google SecOps o roles personalizados que creas.
Durante los pasos para vincular Google SecOps a los servicios de Google Cloud, configuras una conexión a la identidad de Google Cloud. Después de configurar esto, Google SecOps se integra directamente con Cloud Identity o Google Workspace para autenticar a los usuarios y permitir o denegar el acceso a las funciones según las políticas de IAM que crees.
Consulta Identidades para los usuarios si necesitas información detallada para crear cuentas de Cloud Identity o Google Workspace.
Otorga un rol para habilitar el acceso a Google SecOps
En los siguientes pasos, se describe cómo otorgar un rol específico con IAM para que un usuario pueda acceder a Google SecOps. Realiza la configuración con el proyecto de Google Cloud vinculado a Google SecOps que creaste antes.
En este ejemplo, se usa el comando gcloud. Para usar la consola de Google Cloud, consulta Otorga un solo rol.
Otorga el rol de Visualizador de la API de Chronicle (
roles/chronicle.viewer) a los usuarios o grupos que deban tener acceso a la aplicación de Operaciones de seguridad de Google.En el siguiente ejemplo, se otorga el rol de visor de la API de Chronicle a un grupo específico:
gcloud projects add-iam-policy-binding PROJECT_ID \ --role roles/chronicle.viewer \ --member "group:GROUP_EMAIL"Reemplaza lo siguiente:
PROJECT_ID: Con el ID del proyecto vinculado a Google Security Operations que configuraste en Configura un proyecto de Google Cloud para Google Security Operations. Consulta Crea y administra proyectos para obtener una descripción de los campos que identifican un proyecto.GROUP_EMAIL: Es el alias de correo electrónico del grupo, comoanalyst-t1@example.com.
Para otorgar el rol de visor de la API de Chronicle a un usuario específico, ejecuta el siguiente comando:
gcloud projects add-iam-policy-binding PROJECT_ID \ --role roles/chronicle.viewer \ --member "principal:USER_EMAIL"Reemplaza
USER_EMAILpor la dirección de correo electrónico del usuario, comoalice@example.com.Para ver ejemplos de cómo otorgar roles a otros miembros, como un grupo o un dominio, consulta gcloud projects add-iam-policy-binding y la documentación de referencia de Identificadores principales.
Configura políticas de IAM adicionales para satisfacer los requisitos de tu organización.
¿Qué sigue?
Después de completar los pasos de este documento, haz lo siguiente:
Sigue los pasos para vincular una instancia de Google Security Operations a los servicios de Google Cloud.
Si aún no configuraste el registro de auditoría, continúa con el proceso para habilitar el registro de auditoría de Google Security Operations.
Si estás configurando Google Security Operations, sigue los pasos adicionales que se indican en Aprovisiona, autentica y asigna usuarios en Google Security Operations.
Para configurar el acceso a las funciones, sigue los pasos adicionales que se indican en Cómo configurar el control de acceso a las funciones con IAM y Permisos de Operaciones de seguridad de Google en IAM.