引入或迁移 Google Security Operations 实例
Google 安全运营可关联到客户提供的 Google Cloud 项目,以便与 Google Cloud 服务(例如 Identity and Access Management、Cloud Monitoring 和 Cloud Audit Logs)更紧密地集成。客户可以使用 IAM 和员工身份联合,通过其现有的身份提供方进行身份验证。
以下文档将引导您完成引入新的 Google Security Operations 实例或迁移现有 Google Security Operations 实例的过程。
- 为 Google 安全运营配置 Google Cloud 项目
- 为 Google 安全运营配置第三方身份提供方
- 将 Google Security Operations 与 Google Cloud 服务相关联
- 使用 IAM 配置功能访问权限控制
- 配置数据访问控制
- 完成 Google Cloud 设置核对清单
所需的角色
以下部分介绍了上一部分中所述的新手入门流程的每个阶段所需的权限。
为 Google 安全运营配置 Google Cloud 项目
若要完成为 Google 安全运营配置 Google Cloud 项目中的步骤,您需要拥有以下 IAM 权限。
如果您在组织级别拥有 Project Creator (resourcemanager.projects.create) 权限,则无需其他权限即可创建项目并启用 Chronicle API。
如果您没有此权限,则需要在项目级层具有以下权限:
- Chronicle Service Admin (
roles/chroniclesm.admin) - Editor (
roles/editor) - Project IAM Admin (
roles/resourcemanager.projectIamAdmin) - Service Usage Admin (
roles/serviceusage.serviceUsageAdmin)
配置身份提供方
您可以使用 Cloud Identity、Google Workspace 或第三方身份提供方(例如 Okta 或 Azure AD)来管理用户、群组和身份验证。
配置 Cloud Identity 或 Google Workspace 的权限
如果您使用的是 Cloud Identity,则必须拥有管理对项目、文件夹和组织的访问权限中所述的角色和权限。
如果您使用的是 Google Workspace,则必须拥有 Cloud Identity 管理员账号,并且能够登录管理控制台。
如需详细了解如何将 Cloud Identity 或 Google Workspace 用作身份提供方,请参阅配置 Google Cloud 身份提供方。
配置第三方身份提供商的权限
如果您使用第三方身份提供方,则需要配置员工身份联合和员工身份池。
若要完成为 Google 安全运营配置第三方身份提供商中的步骤,您需要拥有以下 IAM 权限。
对您之前创建的已与 Google Security Operations 相关联的项目的 Project Editor 权限。
组织级层的 IAM Workforce Pool Admin (
roles/iam.workforcePoolAdmin) 权限。以以下命令为例,设置
roles/iam.workforcePoolAdmin角色:gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member "user:USER_EMAIL" \ --role roles/iam.workforcePoolAdmin替换以下内容:
ORGANIZATION_ID:组织的数字 ID。USER_EMAIL:管理员用户的电子邮件地址。
组织级的 Organization Viewer (
resourcemanager.organizations.get) 权限。
如需了解详情,请参阅配置第三方身份提供方。
将 Google Security Operations 实例关联到 Google Cloud 服务
若要完成将 Google Security Operations 关联到 Google Cloud 服务中的步骤,您需要拥有为 Google Security Operations 配置 Google Cloud 项目部分中定义的相同权限。
如果您计划迁移现有 Google SecOps 实例,则需要拥有访问 Google SecOps 的权限。如需查看预定义角色的列表,请参阅 IAM 中的 Google SecOps 预定义角色
使用 IAM 配置功能访问权限控制
如需完成使用 IAM 配置功能访问权限控制中的步骤,您需要在项目级拥有以下 IAM 权限,才能授予和修改项目的 IAM 角色绑定:
如需查看示例,请参阅向用户和群组分配角色。
如果您计划将现有 Google Security Operations 实例迁移到 IAM,则需要拥有配置第三方身份提供程序 Google Security Operations 部分中定义的相同权限。
配置数据访问权限控制
若要为用户配置数据 RBAC,您需要拥有 Chronicle API Admin (roles/chronicle.admin) 和 Role Viewer (roles/iam.roleViewer) 角色。如需向用户分配这些镜重,您需要具有 Project IAM Admin (roles/resourcemanager.projectIamAdmin) 或 Security Admin (roles/iam.securityAdmin) 角色。
如果您没有所需的角色,请在 IAM 中分配角色。
Google Security Operations 高级功能要求
下表列出了 Google 安全运营高级功能及其对客户提供的 Google Cloud 项目和 Google 员工身份联合的依赖项。
| 能力 | Google Cloud 基础 | 是否需要 Google Cloud 项目? | 是否需要 IAM 集成? |
|---|---|---|---|
| Cloud Audit Logs:管理员活动 | Cloud Audit Logs | 是 | 是 |
| Cloud Audit Logs:数据访问 | Cloud Audit Logs | 是 | 是 |
| Cloud Billing:在线订阅或随用随付 | Cloud Billing | 是 | 否 |
| Chronicle API:使用第三方 IdP 进行一般访问、铸造和管理凭据 | Google Cloud API | 是 | 是 |
| Chronicle API:使用 Cloud Identity 进行一般访问、创建和管理凭据 | Google Cloud API、Cloud Identity | 是 | 是 |
| 合规控制措施:CMEK | Cloud Key Management Service 或 Cloud External Key Manager | 是 | 否 |
| 合规控制措施:FedRAMP High 或更高级别 | Assured Workloads | 是 | 是 |
| 合规控制措施:组织政策服务 | 组织政策服务 | 是 | 否 |
| 合规控制措施:VPC Service Controls | VPC Service Controls | 是 | 否 |
| 联系人管理:法律信息披露 | 重要联系人 | 是 | 否 |
| 运行状况监控:提取流水线中断 | Cloud Monitoring | 是 | 否 |
| 提取:Webhook、Pub/Sub、Azure Event Hub、Amazon Kinesis Data Firehose | Identity and Access Management | 是 | 否 |
| 基于角色的访问权限控制:数据 | Identity and Access Management | 是 | 是 |
| 基于角色的访问权限控制:功能或资源 | Identity and Access Management | 是 | 是 |
| 支持访问权限:提交支持请求、跟踪 | Cloud Customer Care | 是 | 否 |
| 统一的 SecOps 身份验证 | Google 员工身份联合 | 否 | 是 |