Configura un Google Cloud provider di identità
Puoi utilizzare Cloud Identity, Google Workspace o un provider di identità di terze parti (come Okta o Azure AD) per gestire utenti, gruppi e autenticazione.
Questa pagina descrive come utilizzare Cloud Identity o Google Workspace.
Quando utilizzi Cloud Identity o Google Workspace, crei account utente gestiti per controllare l'accesso alle risorse e a Google SecOps. Google Cloud
Crea criteri IAM che definiscono quali utenti e gruppi hanno accesso alle funzionalità di Google SecOps. Questi criteri IAM sono definiti utilizzando ruoli e autorizzazioni predefiniti forniti da Google SecOps o ruoli personalizzati che crei.
Nell'ambito del collegamento di un'istanza Google SecOps ai Google Cloud servizi, configura una connessione a un IdP Google Cloud . L'istanza di Google SecOps si integra direttamente con Cloud Identity o Google Workspace per autenticare gli utenti e applicarcontrollo dell'accessoso in base ai criteri IAM configurati.
Consulta Identità per gli utenti per informazioni dettagliate sulla creazione di account Cloud Identity o Google Workspace.
Concedere un ruolo per attivare l'accesso a Google SecOps
I seguenti passaggi descrivono come concedere un ruolo specifico utilizzando IAM in modo che un utente possa accedere a Google SecOps. Esegui la configurazione utilizzando il progetto Google Cloud vincolato a Google SecOps che hai creato in precedenza.
Concedi il ruolo Chronicle API Viewer (
roles/chronicle.viewer) agli utenti o ai gruppi che devono avere accesso all'applicazione Google Security Operations.Il seguente esempio concede il ruolo Visualizzatore API Chronicle a un gruppo specifico:
gcloud projects add-iam-policy-binding PROJECT_ID \ --role roles/chronicle.viewer \ --member "group:GROUP_EMAIL"Sostituisci quanto segue:
PROJECT_ID: con l'ID progetto del progetto Google Security Operations che hai configurato in Configurare un progetto Google Cloud per Google Security Operations. Consulta la pagina Creazione e gestione dei progetti per una descrizione dei campi che identificano un progetto.GROUP_EMAIL: l'alias email del gruppo, ad esempioanalyst-t1@example.com.
Per concedere il ruolo Visualizzatore API Chronicle a un utente specifico, esegui questo comando:
gcloud projects add-iam-policy-binding PROJECT_ID \ --role roles/chronicle.viewer \ --member "principal:USER_EMAIL"Sostituisci
USER_EMAIL: l'indirizzo email dell'utente, ad esempioalice@example.com.Per esempi di come concedere ruoli ad altri membri, ad esempio un gruppo o un dominio, consulta la documentazione di riferimento gcloud projects add-iam-policy-binding e Identificatori principal.
Configura criteri IAM aggiuntivi per soddisfare i requisiti di accesso e sicurezza della tua organizzazione.
Passaggi successivi
Dopo aver completato i passaggi descritti in questo documento, esegui le seguenti operazioni:
Segui i passaggi per collegare un'istanza Google Security Operations ai Google Cloud servizi.
Se non hai ancora configurato la registrazione degli audit, continua con l'attivazione della registrazione degli audit di Google Security Operations.
Se esegui la configurazione per Google Security Operations, segui i passaggi aggiuntivi descritti in Provisioning, autenticazione e mappatura degli utenti in Google Security Operations.
Per configurare l'accesso alle funzionalità, esegui passaggi aggiuntivi in Configurare il controllo dell'accesso dell'accesso alle funzionalità utilizzando IAM e Autorizzazioni di Google Security Operations in IAM.
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.