配置 Google Cloud 身份提供方

您可以使用 Cloud Identity、Google Workspace 或第三方身份提供方（例如 Okta 或 Azure AD）来管理用户、群组和身份验证。

本页介绍了如何使用 Cloud Identity 或 Google Workspace。如需了解如何配置第三方身份提供方，请参阅为 Google 安全运营配置第三方身份提供方。

使用 Cloud Identity 或 Google Workspace 时，您可以创建受管理的用户账号，以控制对 Google Cloud 资源和 Google SecOps 的访问权限。

您可以创建 IAM 政策，以定义哪些用户和群组有权访问 Google SecOps 功能。这些 IAM 政策是使用 Google SecOps 提供的预定义角色和权限或您创建的自定义角色定义的。

在将 Google SecOps 关联到 Google Cloud 服务的步骤中，您需要配置与 Google Cloud Identity 的连接。配置完成后，Google SecOps 会直接与 Cloud Identity 或 Google Workspace 集成，以便对用户进行身份验证，并根据您创建的 IAM 政策允许或拒绝对功能的访问。

如需详细了解如何创建 Cloud Identity 或 Google Workspace 账号，请参阅用户身份。

授予角色以启用登录 Google SecOps

以下步骤介绍了如何使用 IAM 授予特定角色，以便用户可以登录 Google SecOps。使用您之前创建的已与 Google SecOps 绑定的 Google Cloud 项目进行配置。

本示例使用 gcloud 命令。如需使用 Google Cloud 控制台，请参阅授予单个角色。

1. 向应有权访问 Google Security Operations 应用的用户或群组授予 Chronicle API Viewer (roles/chronicle.viewer) 角色。

   以下示例会向特定群组授予 Chronicle API Viewer 角色：

   gcloud projects add-iam-policy-binding PROJECT_ID \
     --role roles/chronicle.viewer \
     --member "group:GROUP_EMAIL"
   

   替换以下内容：

   • PROJECT_ID：填写您在为 Google 安全运营配置 Google Cloud 项目中配置的与 Google 安全运营相关联的项目的项目 ID。如需了解用于标识项目的字段，请参阅创建和管理项目。
   • GROUP_EMAIL：群组的电子邮件别名，例如 analyst-t1@example.com。

   如需向特定用户授予 Chronicle API Viewer 角色，请运行以下命令：

   gcloud projects add-iam-policy-binding PROJECT_ID \
     --role roles/chronicle.viewer \
     --member "principal:USER_EMAIL"
   

   替换 USER_EMAIL：用户的电子邮件地址，例如 alice@example.com。

   如需查看如何向其他成员（例如群组或网域）授予角色的示例，请参阅 gcloud projects add-iam-policy-binding 和主账号标识符参考文档。

2. 配置其他 IAM 政策，以满足贵组织的要求。

后续步骤

完成本文档中的步骤后，请执行以下操作：

• 执行相应步骤，将 Google Security Operations 实例关联到 Google Cloud 服务。

• 如果您尚未设置审核日志记录，请继续启用 Google Security Operations 审核日志记录。

• 如果您要为 Google Security Operations 进行配置，请按照在 Google Security Operations 中预配、验证和映射用户中的说明执行其他步骤。

• 如需配置对功能的访问权限，请执行使用 IAM 配置功能访问权限控制和 IAM 中的 Google 安全运营权限中的其他步骤