設定 Google Cloud 識別資訊提供者
您可以透過 Cloud Identity、Google Workspace 或第三方身分識別提供者 (例如 Okta 或 Azure AD) 管理使用者、群組和驗證作業。
本頁說明如何使用 Cloud Identity 或 Google Workspace。
使用 Cloud Identity 或 Google Workspace 時,您會建立代管的使用者帳戶,控管資源和 Google SecOps 的存取權。 Google Cloud
您建立的 IAM 政策會定義哪些使用者和群組有權存取 Google SecOps 功能。這些 IAM 政策是使用 Google SecOps 提供的預先定義角色和權限,或是您建立的自訂角色定義。
將 Google SecOps 執行個體連結至服務時,請設定與 IdP 的連線。 Google Cloud Google Cloud Google SecOps 執行個體會直接與 Cloud Identity 或 Google Workspace 整合,根據您設定的 IAM 政策驗證使用者身分,並強制執行存取權控管。
如要詳細瞭解如何建立 Cloud Identity 或 Google Workspace 帳戶,請參閱「使用者身分」。
授予角色,以便登入 Google SecOps
請按照下列步驟,使用 IAM 授予特定角色,讓使用者登入 Google SecOps。使用您先前建立的 Google SecOps 繫結專案 Google Cloud 進行設定。
將 Chronicle API 檢視者 (
roles/chronicle.viewer) 角色授予應有權存取 Google Security Operations 應用程式的使用者或群組。下列範例會將 Chronicle API 檢視者角色授予特定群組:
gcloud projects add-iam-policy-binding PROJECT_ID \ --role roles/chronicle.viewer \ --member "group:GROUP_EMAIL"更改下列內容:
PROJECT_ID:Google Security Operations 繫結專案的專案 ID,您已在「為 Google Security Operations 設定專案」中設定此專案。 Google Cloud 如需專案識別欄位的說明,請參閱「建立及管理專案」。GROUP_EMAIL:群組的電子郵件別名,例如analyst-t1@example.com。
如要將 Chronicle API 檢視者角色授予特定使用者,請執行下列指令:
gcloud projects add-iam-policy-binding PROJECT_ID \ --role roles/chronicle.viewer \ --member "principal:USER_EMAIL"將
USER_EMAIL替換為使用者的電子郵件地址,例如alice@example.com。如要瞭解如何將角色授予其他成員 (例如群組或網域),請參閱 gcloud projects add-iam-policy-binding 和主體 ID 參考文件。
設定額外的 IAM 政策,滿足貴機構的存取權和安全性需求。
後續步驟
完成本文中的步驟後,請執行下列操作:
如果尚未設定稽核記錄,請繼續啟用 Google Security Operations 稽核記錄。
如果您要設定 Google Security Operations,請按照「在 Google Security Operations 中佈建、驗證及對應使用者」一文中的額外步驟操作。
如要設定功能存取權,請按照「使用 IAM 設定功能存取控管機制」和「IAM 中的 Google Security Operations 權限」一文中的額外步驟操作。
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。