Configurar um provedor de identidade do Google Cloud
É possível usar o Cloud Identity, o Google Workspace ou um sistema de externo (como o Okta ou o Azure AD) para gerenciar usuários, grupos e autenticação.
Esta página descreve como usar o Cloud Identity ou o Google Workspace. Para informações sobre como configurar um provedor de identidade terceirizado, consulte Configurar um provedor de identidade terceirizado para as Operações de segurança do Google.
Ao usar o Cloud Identity ou o Google Workspace, você cria contas de usuário gerenciadas para controlar o acesso aos recursos do Google Cloud e ao Google SecOps.
Você cria políticas do IAM que definem quais usuários e grupos têm acesso aos recursos do Google SecOps. Essas políticas do IAM são definidas usando permissões e papéis predefinidos fornecidos pelo Google SecOps ou personalizados que você cria.
Durante as etapas para vincular o Google SecOps aos serviços do Google Cloud, você configura uma conexão com o Google Cloud Identity. Depois de fazer isso, O Google SecOps tem integração direta com o Cloud Identity ou o Google Workspace para autenticar usuários e permitir ou negar acesso a recursos com base no as políticas criadas por você.
Consulte Identidades para usuários. para informações detalhadas sobre a criação de contas do Cloud Identity ou do Google Workspace.
Conceder uma função para ativar o login no Google SecOps
As etapas a seguir descrevem como conceder um papel específico usando o IAM para que os usuários possam fazer login no Google SecOps. Faça a configuração usando ao projeto do Google Cloud vinculado ao Google SecOps que você criou anteriormente.
Este exemplo usa o comando gcloud
. Para usar o console do Google Cloud,
consulte Conceder um único papel.
Conceda o papel de Leitor da API Chronicle (
roles/chronicle.viewer
) a usuários ou grupos que precisam ter acesso ao aplicativo Google Security Operations.O exemplo a seguir concede o papel de leitor da API Chronicle a um grupo específico:
gcloud projects add-iam-policy-binding PROJECT_ID \ --role roles/chronicle.viewer \ --member "group:GROUP_EMAIL"
Substitua:
PROJECT_ID
: pelo ID do projeto vinculado às Operações de segurança do Google. que você configurou em Configurar um projeto do Google Cloud para as Operações de segurança do Google. Consulte Como criar e gerenciar projetos para ver uma descrição dos campos que identificam um projeto.GROUP_EMAIL
: o alias de e-mail do grupo, comoanalyst-t1@example.com
.
Para conceder o papel de leitor da API Chronicle a um usuário específico, execute o seguinte comando:
gcloud projects add-iam-policy-binding PROJECT_ID \ --role roles/chronicle.viewer \ --member "principal:USER_EMAIL"
Substitua
USER_EMAIL
: o endereço de e-mail do usuário, comoalice@example.com
.Para conferir exemplos de como conceder papéis a outros membros, como um grupo ou domínio, consulte a documentação de referência gcloud projects add-iam-policy-binding e Identificadores principais.
Configure outras políticas do IAM para atender aos requisitos da sua organização.
A seguir
Depois de concluir as etapas deste documento, faça o seguinte:
Siga as etapas para vincular uma instância do Google Security Operations aos serviços do Google Cloud.
Se você ainda não tiver configurado o registro de auditoria, continue com a ativação do registro de auditoria do Google Security Operations.
Se você estiver configurando para o Google Security Operations, siga as etapas adicionais em Provisionar, autenticar e mapear usuários no Google Security Operations.
Para configurar o acesso aos recursos, siga mais etapas em Configurar o controle de acesso a recursos usando o IAM e as permissões das Operações de segurança do Google no IAM