Mengonfigurasi kontrol akses fitur menggunakan IAM

Chronicle terintegrasi dengan Identity and Access Management (IAM) Google Cloud untuk memberikan izin dan peran standar khusus Chronicle. Administrator Chronicle dapat mengontrol akses ke fitur Chronicle dengan membuat kebijakan IAM yang mengikat pengguna atau grup ke peran bawaan atau peran khusus IAM. Fitur ini tidak mengontrol akses ke data atau kolom UDM tertentu dalam data UDM.

Dokumen ini menjelaskan cara Chronicle terintegrasi dengan IAM, menjelaskan perbedaan dengan fitur Chronicle RBAC, menyediakan langkah-langkah untuk memigrasikan instance Chronicle ke IAM, memberikan contoh cara menetapkan izin menggunakan IAM, dan meringkas izin serta peran bawaan yang tersedia di IAM.

Untuk mengetahui deskripsi mendetail tentang izin yang digunakan untuk mengonfigurasi otorisasi di Chronicle dan log audit yang dihasilkannya, lihat Izin dan metode API menurut grup resource.

Beberapa instance Chronicle mungkin sedang dalam proses migrasi dari implementasi RBAC fitur asli. Dalam dokumen ini, nama Chronicle RBAC digunakan saat merujuk ke kontrol akses berbasis peran berbasis fitur yang tersedia sebelumnya yang dikonfigurasi menggunakan Chronicle, dan bukan IAM. IAM digunakan untuk menjelaskan kontrol akses berbasis peran berbasis fitur yang Anda konfigurasi menggunakan IAM.

Setiap izin Chronicle dikaitkan dengan resource dan metode Chronicle API. Saat pengguna atau grup diberi izin, pengguna tersebut dapat mengakses fitur di Chronicle dan mengirim permintaan menggunakan metode API terkait.

Cara Chronicle berintegrasi dengan IAM

Untuk menggunakan IAM, Chronicle harus terikat dengan project Google Cloud dan harus dikonfigurasi dengan federasi identitas tenaga kerja Google Cloud sebagai perantara dalam alur autentikasi. Untuk mengetahui informasi tentang alur autentikasi, lihat Mengintegrasikan Chronicle dengan penyedia identitas pihak ketiga.

Chronicle melakukan langkah-langkah berikut untuk memverifikasi dan mengontrol akses ke fitur:

1. Setelah login ke Chronicle, pengguna akan mengakses halaman aplikasi Chronicle. Atau, pengguna dapat mengirim permintaan API ke Chronicle.
2. Chronicle memverifikasi izin yang diberikan dalam kebijakan IAM yang ditentukan untuk pengguna tersebut.
3. IAM menampilkan informasi otorisasi. Jika pengguna mengakses halaman aplikasi, Chronicle akan memungkinkan akses hanya ke fitur yang diberi akses kepada pengguna.
4. Jika pengguna mengirim permintaan API, dan tidak memiliki izin untuk melakukan tindakan yang diminta, respons API akan menyertakan error. Jika tidak, respons standar akan ditampilkan.

Chronicle menyediakan sekumpulan peran yang telah ditetapkan dengan serangkaian izin yang mengontrol apakah pengguna dapat mengakses fitur tersebut atau tidak. Satu kebijakan IAM mengontrol akses ke fitur menggunakan antarmuka web dan API.

Administrator Chronicle membuat grup di penyedia identitas mereka, mengonfigurasi aplikasi SAML untuk meneruskan informasi keanggotaan grup dalam pernyataan, lalu mengaitkan pengguna dan grup ke peran standar di IAM atau peran khusus yang mereka buat.

Jika ada layanan Google Cloud lainnya dalam project Google Cloud yang terikat dengan Chronicle, dan Anda ingin membatasi pengguna dengan peran Project IAM Admin agar hanya mengubah resource Chronicle, pastikan untuk menambahkan kondisi IAM ke kebijakan izin. Lihat Menetapkan peran ke pengguna dan grup untuk mengetahui contoh cara melakukannya.

Administrator menyesuaikan akses ke fitur Chronicle berdasarkan peran karyawan di organisasi Anda.

Sebelum memulai

• Pastikan Anda sudah memahami Cloud Shell, perintah gcloud CLI, dan Konsol Google Cloud.
• Pahami IAM, termasuk konsep berikut:
  • Ringkasan IAM.
  • Ringkasan peran dan izin, peran standar vs. peran khusus, dan membuat peran khusus.
  • Kondisi IAM.
• Lakukan semua langkah di Bind Chronicle ke project Google Cloud untuk menyiapkan project yang terikat ke Chronicle.
• Lakukan semua langkah di Mengintegrasikan Chronicle dengan penyedia identitas pihak ketiga untuk menyiapkan autentikasi melalui penyedia identitas (IdP) pihak ketiga.
• Setelah mengikat project ke instance Chronicle dan mengonfigurasi instance dengan workforce identity federation, pastikan instance Chronicle Anda berperforma seperti yang diharapkan. Lihat Memverifikasi atau mengonfigurasi kontrol akses fitur Chronicle.

Merencanakan penerapan

Anda membuat kebijakan IAM yang mendukung persyaratan deployment organisasi Anda. Anda dapat menggunakan peran Chronicle yang telah ditetapkan atau peran khusus yang Anda buat.

Tinjau daftar peran dan izin bawaan Chronicle berdasarkan persyaratan organisasi Anda. Identifikasi anggota organisasi yang harus memiliki akses ke setiap fitur Chronicle. Jika organisasi Anda memerlukan kebijakan IAM yang berbeda dengan peran Chronicle yang telah ditentukan, buat peran khusus untuk mendukung persyaratan ini. Untuk mengetahui informasi tentang peran khusus IAM, baca artikel Membuat dan mengelola peran khusus.

Ringkasan peran dan izin Chronicle

Bagian berikut memberikan ringkasan umum

Untuk mengetahui informasi tentang metode dan izin Chronicle API, halaman UI tempat izin digunakan, dan informasi yang dicatat dalam Cloud Audit Logs saat API dipanggil, lihat Chronicle permissions di IAM.

Daftar terbaru izin Chronicle tercantum di referensi izin IAM. Di bagian Telusuri izin, telusuri istilah chronicle.

Daftar terbaru peran Chronicle yang telah ditetapkan sebelumnya ada di referensi peran dasar dan bawaan IAM. Di bagian Peran yang ditetapkan sebelumnya, pilih layanan Peran Chronicle API atau telusuri istilah chronicle.

Rekam peran bawaan di IAM

Chronicle menyediakan peran bawaan berikut seperti yang muncul di IAM.

Peran bawaan di IAM	Judul	Deskripsi
roles/chronicle.admin	Admin API Chronicle	Akses penuh ke aplikasi dan layanan API Chronicle, termasuk setelan global.
roles/chronicle.editor	Editor API Chronicle	Mengubah akses ke aplikasi Chronicle dan resource API.
roles/chronicle.viewer	Penampil API Chronicle	Akses hanya baca ke aplikasi Chronicle dan resource API
roles/chronicle.limitedViewer	Penampil Terbatas Chronicle API	Memberikan akses hanya baca ke aplikasi Chronicle dan resource API, tidak termasuk aturan mesin pendeteksi dan retrohunt.

Izin Chronicle di IAM

Izin Chronicle berkaitan dengan one-to-one dengan metode Chronicle API. Setiap izin Chronicle memungkinkan tindakan tertentu pada fitur Chronicle tertentu saat menggunakan aplikasi web atau API. Chronicle API yang digunakan dengan IAM berada di tahap peluncuran Alfa.

Nama izin Chronicle mengikuti format SERVICE.FEATURE.ACTION. Misalnya, nama izin chronicle.dashboards.edit terdiri dari hal berikut:

• chronicle: nama layanan Chronicle API.
• dashboards: nama fitur.
• edit: tindakan yang dapat dilakukan pada fitur.

Nama izin menjelaskan tindakan yang dapat Anda lakukan pada fitur di Chronicle. Semua izin Chronicle memiliki nama layanan chronicle.

Menetapkan peran untuk pengguna dan grup

Bagian berikut memberikan contoh kasus penggunaan untuk membuat kebijakan IAM. Istilah <project> digunakan untuk mewakili project ID project yang Anda ikat ke Chronicle.

Setelah Anda mengaktifkan Chronicle API, peran dan izin Chronicle yang telah ditetapkan akan tersedia di IAM, dan Anda dapat membuat kebijakan untuk mendukung persyaratan organisasi.

Jika Anda memiliki instance Chronicle yang baru dibuat, mulailah membuat kebijakan IAM untuk memenuhi persyaratan organisasi.

Jika ini adalah instance Chronicle yang sudah ada, lihat Memigrasikan Chronicle ke IAM untuk mendapatkan kontrol akses fitur untuk mengetahui informasi tentang cara memigrasikan instance ke IAM.

Contoh: Menetapkan peran Project IAM Admin dalam project khusus

Dalam contoh ini, project dikhususkan untuk instance Chronicle. Anda memberikan peran Project IAM Admin kepada pengguna agar mereka dapat memberikan dan mengubah binding peran IAM project. Pengguna dapat mengelola semua peran dan izin Chronicle dalam project dan melakukan tugas yang diberikan oleh peran Project IAM Admin.

Menetapkan peran menggunakan Konsol Google Cloud

Langkah-langkah berikut menjelaskan cara memberikan peran kepada pengguna menggunakan Konsol Google Cloud.

1. Buka Konsol Google Cloud.
2. Pilih project yang terikat dengan Chronicle.
3. Pilih IAM & Admin.
4. Pilih Grant Access. Jendela Grant Access to <project> akan muncul.
5. Di bagian Tambahkan Akun Utama, masukkan alamat email pengguna di kolom Akun utama baru.
6. Di bagian Tetapkan Peran, pada menu Pilih peran, pilih peran Admin IAM Project.
7. Klik Simpan.
8. Buka halaman IAM > Izin untuk memverifikasi bahwa pengguna telah diberi peran yang benar.

Menetapkan peran menggunakan Google Cloud CLI

Contoh perintah berikut menunjukkan cara memberikan peran chronicle.admin kepada pengguna.

gcloud projects add-iam-policy-binding PROJECT_ID  \
--member=principal://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/subject/USER_EMAIL \
--role=roles/chronicle.admin

Ganti kode berikut:

• PROJECT_ID: project ID dari project yang terikat Chronicle yang Anda buat di Mengikat instance Chronicle ke project Google Cloud. Baca artikel Membuat dan mengelola project untuk mengetahui deskripsi kolom yang mengidentifikasi project.
• WORKFORCE_POOL_ID: ID untuk kumpulan Tenaga Kerja yang dibuat untuk Penyedia Identitas Anda.
• USER_EMAIL: alamat email pengguna.

Contoh: Menetapkan peran Project IAM Admin di project bersama

Dalam contoh ini, project digunakan untuk beberapa aplikasi. Layanan ini terikat dengan instance Chronicle dan menjalankan layanan yang tidak terkait dengan Chronicle. Misalnya, resource Compute Engine yang digunakan untuk tujuan lain.

Dalam hal ini, Anda dapat memberikan peran Project IAM Admin kepada pengguna agar mereka dapat memberikan dan mengubah binding peran IAM project serta mengonfigurasi Chronicle. Anda juga akan menambahkan IAM ke binding peran untuk membatasi aksesnya hanya ke peran yang terkait dengan Chronicle dalam project. Pengguna ini hanya dapat memberikan peran yang ditentukan dalam kondisi IAM.

Untuk informasi selengkapnya tentang kondisi IAM, lihat Ringkasan Kondisi IAM dan Mengelola binding peran bersyarat.

Menetapkan peran menggunakan Konsol Google Cloud

Langkah-langkah berikut menjelaskan cara memberikan peran kepada pengguna menggunakan Konsol Google Cloud.

1. Buka Konsol Google Cloud.
2. Pilih project yang terikat dengan Chronicle.
3. Pilih IAM & Admin.
4. Pilih Grant Access. Jendela Grant Access to <project> akan muncul.
5. Pada dialog Grant Access to <project>, di bagian Add Principals, masukkan alamat email pengguna di kolom New Principals.
6. Di bagian Tetapkan Peran, pada menu Pilih peran, pilih peran Admin IAM Project.
7. Klik + Add IAM Condition.

8. Dalam dialog Add condition, masukkan informasi berikut:

   1. Masukkan Judul untuk kondisi tersebut.
   2. Pilih Editor Kondisi.
   3. Masukkan ketentuan berikut:

   api.getAttribute(iam.googleapis.com/modifiedGrantsByRole,[]).hasOnly([roles/chronicle.googleapis.com/limitedViewer, roles/chronicle.googleapis.com/viewer, roles/chronicle.googleapis.com/editor, roles/chronicle.googleapis.com/admin])
   

   1. Klik Simpan di dialog Tambahkan kondisi.
   2. Klik Save di dialog Grant Access to <project>.
   3. Buka halaman IAM > Izin untuk memverifikasi bahwa pengguna telah diberi peran yang benar.

Menetapkan peran menggunakan Google Cloud CLI

Contoh perintah berikut menunjukkan cara memberikan peran chronicle.admin kepada pengguna dan menerapkan kondisi IAM.

gcloud projects add-iam-policy-binding PROJECT_ID  \
--member=principal://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/subject/USER_EMAIL \
--role=roles/chronicle.admin\
--condition=^:^'expression=api.getAttribute(iam.googleapis.com/modifiedGrantsByRole,[]).hasOnly([roles/chronicle.googleapis.com/limitedViewer, roles/chronicle.googleapis.com/viewer, roles/chronicle.googleapis.com/editor, roles/chronicle.googleapis.com/admin])':'title=Chronicle Role Admin'

Ganti kode berikut:

• PROJECT_ID: project ID dari project yang terikat Chronicle yang Anda buat di Mengikat instance Chronicle ke project Google Cloud. Baca artikel Membuat dan mengelola project untuk mengetahui deskripsi kolom yang mengidentifikasi project.
• WORKFORCE_POOL_ID: ID untuk kumpulan Tenaga Kerja yang dibuat untuk Penyedia Identitas Anda.
• USER_EMAIL: alamat email pengguna.

Contoh: Menetapkan peran Chronicle API Editor kepada pengguna

Dalam situasi ini, Anda ingin memberi pengguna kemampuan untuk mengubah akses ke resource Chronicle API.

Menetapkan peran menggunakan Konsol Google Cloud

1. Buka Konsol Google Cloud.
2. Pilih project yang terikat dengan Chronicle.
3. Pilih IAM & Admin.
4. Pilih Grant Access. Dialog Grant Access to <project> akan terbuka.
5. Di bagian Tambahkan Akun Utama, di kolom Akun utama baru, masukkan alamat email pengguna.
6. Di bagian Tetapkan Peran, di Pilih menu peran, pilih peran Chronicle API Editor.
7. Klik Save di dialog Grant Access to <project>.
8. Buka halaman IAM > Izin untuk memverifikasi bahwa pengguna telah diberi peran yang benar.

Menetapkan peran menggunakan Google Cloud CLI

Contoh perintah berikut menunjukkan cara memberikan peran chronicle.editor kepada pengguna.

gcloud projects add-iam-policy-binding PROJECT_ID  \
--member=principal://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/subject/USER_EMAIL \
--role=roles/chronicle.editor

Ganti kode berikut:

• PROJECT_ID: project ID dari project yang terikat Chronicle yang Anda buat di Mengikat instance Chronicle ke project Google Cloud. Baca artikel Membuat dan mengelola project untuk mengetahui deskripsi kolom yang mengidentifikasi project.
• WORKFORCE_POOL_ID: ID untuk kumpulan Tenaga Kerja yang dibuat untuk Penyedia Identitas Anda.
• USER_EMAIL: alamat email pengguna.

Contoh: Membuat dan menetapkan peran khusus ke grup

Jika peran Chronicle yang telah ditetapkan tidak menyediakan grup izin yang sesuai dengan kasus penggunaan organisasi, Anda dapat membuat peran khusus dan menetapkan izin Chronicle ke peran khusus tersebut. Anda menetapkan peran khusus untuk pengguna atau grup. Untuk mengetahui informasi selengkapnya tentang peran khusus IAM, baca artikel Membuat dan mengelola peran khusus.

Langkah-langkah berikut memungkinkan Anda membuat peran khusus yang disebut LimitedAdmin.

1. Buat file YAML atau JSON yang menentukan peran khusus, yang disebut LimitedAdmin, dan izin yang diberikan ke peran ini. Berikut ini adalah contoh file YAML.

   title: "LimitedAdmin"
   description: "Admin role with some permissions removed"
   stage: "ALPHA"
   includedPermissions:
   - chronicle.collectors.create
   - chronicle.collectors.delete
   - chronicle.collectors.get
   - chronicle.collectors.list
   - chronicle.collectors.update
   - chronicle.dashboards.copy
   - chronicle.dashboards.create
   - chronicle.dashboards.delete
   - chronicle.dashboards.get
   - chronicle.dashboards.list
   - chronicle.extensionValidationReports.get
   - chronicle.extensionValidationReports.list
   - chronicle.forwarders.create
   - chronicle.forwarders.delete
   - chronicle.forwarders.generate
   - chronicle.forwarders.get
   - chronicle.forwarders.list
   - chronicle.forwarders.update
   - chronicle.instances.get
   - chronicle.instances.report
   - chronicle.legacies.legacyGetCuratedRulesTrends
   - chronicle.legacies.legacyGetRuleCounts
   - chronicle.legacies.legacyGetRulesTrends
   - chronicle.legacies.legacyUpdateFinding
   - chronicle.logTypeSchemas.list
   - chronicle.multitenantDirectories.get
   - chronicle.operations.cancel
   - chronicle.operations.delete
   - chronicle.operations.get
   - chronicle.operations.list
   - chronicle.operations.wait
   - chronicle.parserExtensions.activate
   - chronicle.parserExtensions.create
   - chronicle.parserExtensions.delete
   - chronicle.parserExtensions.generateKeyValueMappings
   - chronicle.parserExtensions.get
   - chronicle.parserExtensions.legacySubmitParserExtension
   - chronicle.parserExtensions.list
   - chronicle.parserExtensions.removeSyslog
   - chronicle.parsers.activate
   - chronicle.parsers.activateReleaseCandidate
   - chronicle.parsers.copyPrebuiltParser
   - chronicle.parsers.create
   - chronicle.parsers.deactivate
   - chronicle.parsers.delete
   - chronicle.parsers.get
   - chronicle.parsers.list
   - chronicle.parsers.runParser
   - chronicle.parsingErrors.list
   - chronicle.validationErrors.list
   - chronicle.validationReports.get
   - resourcemanager.projects.getIamPolicy
   

2. Buat peran khusus. Contoh perintah gcloud CLI berikut menunjukkan cara membuat peran khusus ini menggunakan file YAML yang Anda buat di langkah sebelumnya.

   gcloud iam roles create ROLE_NAME \
   --project=PROJECT_ID \
   --file=YAML_FILE_NAME
   

   Ganti kode berikut:

   • PROJECT_ID: project ID dari project yang terikat Chronicle yang Anda buat di Mengikat instance Chronicle ke project Google Cloud. Baca artikel Membuat dan mengelola project untuk mengetahui deskripsi kolom yang mengidentifikasi project.
   • YAML_FILE_NAME: nama file yang Anda buat di langkah sebelumnya.
   • ROLE_NAME: nama peran khusus seperti yang ditentukan dalam file YAML.

3. Menetapkan peran khusus menggunakan Google Cloud CLI

   Contoh perintah berikut menunjukkan cara memberikan peran khusus, limitedAdmin kepada sekelompok pengguna.

   gcloud projects add-iam-policy-binding PROJECT_ID \
   --member=principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/group/GROUP_ID \
   --role=projects/PROJECT_ID/roles/limitedAdmin
   

   Ganti kode berikut:

   • PROJECT_ID: project ID dari project yang terikat Chronicle yang Anda buat di Mengikat instance Chronicle ke project Google Cloud. Baca artikel Membuat dan mengelola project untuk mengetahui deskripsi kolom yang mengidentifikasi project.
   • WORKFORCE_POOL_ID: ID untuk kumpulan Tenaga Kerja yang dibuat untuk penyedia identitas Anda.

   • GROUP_ID: ID grup yang dibuat di penggabungan identitas tenaga kerja. Lihat Merepresentasikan pengguna kumpulan tenaga kerja di kebijakan IAM untuk mengetahui informasi tentang ID grup yang dibuat di penggabungan identitas tenaga kerja. Lihat Merepresentasikan pengguna kumpulan tenaga kerja di kebijakan IAM untuk mengetahui informasi tentang GROUP_ID.

     GROUP_ID.

Memverifikasi logging audit

Tindakan pengguna di Chronicle dan permintaan ke Chronicle API dicatat sebagai Cloud Audit Logs. Untuk memastikan bahwa log sedang ditulis, lakukan langkah-langkah berikut:

1. Login ke Chronicle sebagai pengguna dengan hak istimewa untuk mengakses fitur apa pun. Lihat Login ke Chronicle untuk mengetahui informasi selengkapnya.
2. Melakukan tindakan, seperti melakukan Penelusuran.
3. Di konsol Google Cloud, gunakan Logs Explorer untuk melihat log audit di project Cloud yang terikat Chronicle. Log audit Chronicle memiliki nama layanan berikut chronicle.googleapis.com.

Untuk mengetahui informasi lebih lanjut tentang cara melihat Cloud Audit Logs, lihat Informasi logging audit Chronicle.

Berikut adalah contoh log yang ditulis saat pengguna alice@example.com melihat daftar ekstensi parser di Chronicle.

{
  "protoPayload": {
    "@type": "type.googleapis.com/google.cloud.audit.AuditLog",
    "authenticationInfo": {
      "principalEmail": "alice@example.com"
    },
    "requestMetadata": {
      "callerIp": "private",
      "callerSuppliedUserAgent": "abc_client",
      "requestAttributes": {
        "time": "2023-03-27T21:09:43.897772385Z",
        "reason": "8uSywAYeWhxBRiBhdXRoIFVwVGljay0-REFUIGV4Y2abcdef",
        "auth": {}
      },
      "destinationAttributes": {}
    },
    "serviceName": "chronicle.googleapis.com",
    "methodName": "google.cloud.chronicle.v1main.ParserService.ListParserExtensions",
    "authorizationInfo": [
      {
        "resource": "projects/100000000000/locations/us/instances/aaaa0aa0-000A-00a0-0000-0000a0aa0a1/logTypes/-",
        "permission": "chronicle.parserExtensions.list",
        "granted": true,
        "resourceAttributes": {}
      }
    ],
    "resourceName": "projects/100000000000/locations/us/instances/aaaa0aa0-000A-00a0-0000-0000a0aa0a1/logTypes/-",
    "numResponseItems": "12",
    "request": {
      "@type": "type.googleapis.com/google.cloud.chronicle.v1main.ListParserExtensionsRequest",
      "parent": "projects/100000000000/locations/us/instances/aaaa0aa0-000A-00a0-0000-0000a0aa0a1/logTypes/-"
    },
    "response": {
      "@type": "type.googleapis.com/google.cloud.chronicle.v1main.ListParserExtensionsResponse"
    }
  },
  "insertId": "1h0b0e0a0",
  "resource": {
    "type": "audited_resource",
    "labels": {
      "project_id": "dev-sys-server001",
      "method": "google.cloud.chronicle.v1main.ParserService.ListParserExtensions",
      "service": "chronicle.googleapis.com"
    }
  },
  "timestamp": "2023-03-27T21:09:43.744940164Z",
  "severity": "INFO",
  "logName": "projects/dev-sys-server001/logs/cloudaudit.googleapis.com%2Fdata_access",
  "receiveTimestamp": "2023-03-27T21:09:44.863100753Z"
}

Memigrasikan Chronicle ke IAM untuk kontrol akses fitur

Gunakan informasi di bagian ini untuk memigrasikan instance Chronicle SIEM yang ada dari fitur kontrol akses berbasis peran Chronicle sebelumnya (Chronicle RBAC) ke IAM. Setelah bermigrasi ke IAM, Anda juga dapat mengaudit aktivitas pada instance Chronicle menggunakan Cloud Audit Logs.

Perbedaan antara Chronicle RBAC dan IAM

Meskipun nama peran bawaan IAM mirip dengan grup RBAC Chronicle, peran bawaan IAM tidak memberikan akses fitur yang identik dengan grup RBAC Chronicle. Izin yang ditetapkan untuk setiap peran bawaan IAM sedikit berbeda. Untuk mengetahui informasi selengkapnya, lihat Cara izin IAM dipetakan ke setiap peran Chronicle RBAC.

Anda dapat menggunakan peran bawaan Chronicle sebagaimana adanya, mengubah izin yang ditentukan dalam setiap peran yang telah ditetapkan, atau membuat peran khusus dan menetapkan serangkaian izin yang berbeda.

Setelah memigrasikan instance Chronicle, Anda dapat mengelola peran, izin, dan kebijakan IAM menggunakan IAM di Konsol Google Cloud. Halaman aplikasi Chronicle berikut diubah untuk mengarahkan pengguna ke konsol Google Cloud:

• Pengguna & Grup
• Peran

Di Chronicle RBAC, setiap izin dijelaskan oleh nama fitur dan tindakan. Izin IAM dijelaskan oleh nama dan metode resource. Tabel berikut menjelaskan perbedaannya dengan dua contoh, satu terkait dengan Dasbor dan yang kedua terkait dengan Feed.

• Contoh dasbor: Untuk mengontrol akses ke Dasbor, Chronicle RBAC menyediakan lima tindakan yang dapat Anda lakukan di dasbor. IAM menyediakan izin serupa dengan satu dashboards.list tambahan, yang memungkinkan dasbor yang tersedia untuk daftar pengguna.

• Contoh feed: Untuk mengontrol akses ke Feed, Chronicle RBAC menyediakan tujuh tindakan yang dapat Anda aktifkan atau nonaktifkan. Dengan IAM, terdapat empat komponen: feeds.delete, feeds.create, feeds.update, dan feeds.view.

Fitur	Izin di Chronicle RBAC	Izin IAM	Deskripsi tindakan pengguna
Dasbor	Edit	chronicle.dashboards.edit	Mengedit dasbor
Dasbor	Salin	chronicle.dashboards.copy	Salin dasbor
Dasbor	Buat	chronicle.dashboards.create	Membuat dasbor
Dasbor	Jadwalkan	chronicle.dashboards.schedule	Menjadwalkan laporan
Dasbor	Hapus	chronicle.dashboards.delete	Menghapus laporan
Dasbor	Tidak ada. Opsi ini hanya tersedia di IAM.	chronicle.dashboards.list	Mencantumkan dasbor yang tersedia
Feed	DeleteFeed	chronicle.feeds.delete	Menghapus feed.
Feed	CreateFeed	chronicle.feeds.create	Buat feed.
Feed	UpdateFeed	chronicle.feeds.update	Memperbarui feed.
Feed	EnableFeed	chronicle.feeds.update	Memperbarui feed.
Feed	DisableFeed	chronicle.feeds.update	Memperbarui feed.
Feed	ListFeeds	chronicle.feeds.view	Tampilkan satu atau beberapa feed.
Feed	GetFeed	chronicle.feeds.view	Tampilkan satu atau beberapa feed.

Langkah-langkah untuk memigrasikan instance Chronicle yang ada

Untuk mengaktifkan IAM pada instance Chronicle yang ada, lakukan langkah-langkah berikut:

1. Hubungi perwakilan Chronicle dan beri tahu mereka bahwa Anda ingin memigrasikan konfigurasi RBAC yang ada ke IAM. Berikan informasi berikut kepada perwakilan Chronicle:
   • Project ID yang terikat dengan instance Chronicle. Anda menentukannya saat membuat file ini saat mengikat Chronicle ke project Google Cloud.
   • Jalur frontend, yang merupakan bagian dari URL Chronicle.
   • ID kumpulan Tenaga Kerja. Anda menentukannya saat mengonfigurasi penggabungan identitas tenaga kerja.
2. Perwakilan Chronicle akan mengirimkan file yang berisi perintah gcloud CLI. Anda akan menjalankan perintah ini untuk memigrasikan kebijakan kontrol akses yang ada ke kebijakan IAM yang setara.
3. Buka konsol Google Cloud sebagai pengguna dengan peran iam.workforcePoolAdmin dan izin Project Editor, lalu akses project yang terikat Chronicle. Anda mengidentifikasi atau membuat pengguna ini saat Mengintegrasikan Chronicle dengan penyedia identitas pihak ketiga.
4. Luncurkan sesi Cloud Shell.
5. Jalankan perintah yang diberikan oleh perwakilan Chronicle untuk memigrasikan konfigurasi yang ada ke IAM. Tindakan ini akan membuat kebijakan IAM baru yang setara dengan konfigurasi kontrol akses Chronicle RBAC Anda.
6. Setelah menjalankan semua perintah, pastikan bahwa kebijakan IAM telah dimigrasikan dengan benar di halaman IAM > Izin.
7. Jika sudah puas dengan kebijakan IAM Anda, hubungi perwakilan Chronicle dan beri tahu mereka bahwa kebijakan IAM telah dimigrasikan.
8. Perwakilan Chronicle akan melakukan langkah-langkah untuk mengaktifkan IAM pada instance Chronicle, dan akan menghubungi Anda setelah proses ini selesai.
9. Pastikan Anda dapat mengakses Chronicle sebagai pengguna dengan peran Chronicle API Admin.
   1. Login ke Chronicle sebagai pengguna dengan peran standar Admin Chronicle API. Lihat Login ke Chronicle untuk mengetahui informasi selengkapnya.
   2. Buka halaman Menu Aplikasi > Setelan > Pengguna & Grup. Anda akan melihat pesan: *Untuk mengelola pengguna dan grup, buka Identity Access Management (IAM) di Google Cloud Console. Pelajari lebih lanjut cara mengelola pengguna dan grup*.
10. Verifikasi izin untuk peran pengguna lainnya.
    1. Login ke Chronicle sebagai pengguna dengan peran lain. Lihat Login ke Chronicle untuk mengetahui informasi selengkapnya.
    2. Pastikan fitur yang tersedia dalam aplikasi sesuai dengan izin yang ditetapkan dalam IAM.

Cara izin IAM dipetakan ke setiap peran Chronicle RBAC

Bagian berikut merangkum setiap peran Chronicle yang telah ditentukan sebelumnya di IAM dan izin yang terikat pada setiap peran. Laporan ini juga mengidentifikasi peran dan tindakan Chronicle RBAC yang serupa.

Penampil Terbatas Chronicle API

Peran ini memberikan akses hanya baca ke aplikasi Chronicle dan resource API, tidak termasuk aturan mesin deteksi dan retrohunt. Nama perannya adalah chronicle.limitedViewer.

Izin berikut tersedia di peran standar Chronicle API Limited Viewer di IAM.

Izin IAM	Izin yang setara dipetakan ke peran Chronicle RBAC berikut
chronicle.instances.get	Opsi ini hanya tersedia di IAM.
chronicle.dashboards.get	Opsi ini hanya tersedia di IAM.
chronicle.dashboards.list	Opsi ini hanya tersedia di IAM.
chronicle.multitenantDirectories.get	Opsi ini hanya tersedia di IAM.
chronicle.logs.list	Opsi ini hanya tersedia di IAM.

Penampil API Chronicle

Peran ini memberikan akses hanya baca ke aplikasi Chronicle dan resource API. Nama perannya adalah chronicle.viewer.

Izin berikut tersedia di peran standar Chronicle API Viewer di IAM.

Editor API Chronicle

Peran ini memungkinkan pengguna mengubah akses ke aplikasi Chronicle dan resource API. Nama perannya adalah chronicle.editor.

Izin berikut tersedia di peran standar Chronicle API Editor di IAM.

Admin API Chronicle

Peran ini memberikan akses penuh ke aplikasi Chronicle dan layanan API, termasuk setelan global. Nama perannya adalah chronicle.admin.

Izin berikut tersedia di peran standar Admin Chronicle API di IAM.