Cette page explique comment utiliser Identity and Access Management (IAM) pour contrôler l'accès aux ressources lors d'une activation de Security Command Center au niveau du projet. Consultez cette page uniquement si Security Command Center n'est pas activé pour votre organisation.
Consultez IAM pour les activations au niveau de l'organisation (et non cette page) si l'une des conditions suivantes s'applique:
- Security Command Center est activé au niveau de l'organisation et non au niveau du projet.
- Security Command Center Standard est déjà activé au niveau de l'organisation. De plus, vous avez activé Security Command Center Premium sur un ou plusieurs projets.
Security Command Center utilise les rôles IAM pour vous permettre de contrôler qui peut faire quoi avec les éléments, les résultats et les sources de sécurité au sein de votre environnement Security Command Center. Vous attribuez des rôles à des personnes physiques et à des applications, et chaque rôle donne des autorisations spécifiques.
Autorisations
Pour configurer Security Command Center ou modifier la configuration de votre projet, vous avez besoin des deux rôles suivants:
- Administrateur de projet IAM (
roles/resourcemanager.projectIamAdmin
) - Administrateur du centre de sécurité (
roles/securitycenter.admin
)
Si un utilisateur ne nécessite pas de droits de modification, pensez à lui accorder des rôles de lecteur.
Pour afficher tous les éléments et résultats dans Security Command Center, les utilisateurs doivent disposer du rôle Lecteur administrateur du centre de sécurité (roles/securitycenter.adminViewer
). Les utilisateurs qui ont également besoin d'afficher les paramètres doivent disposer du rôle Lecteur de paramètres du centre de sécurité (roles/securitycenter.settingsViewer
).
Bien que vous puissiez définir tous ces rôles à n'importe quel niveau de la hiérarchie des ressources, nous vous recommandons de les définir au niveau du projet. Cette pratique est conforme au principe du moindre privilège.
Pour obtenir des instructions sur la gestion des rôles et des autorisations, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.
Accès hérité aux activations de Security Command Center au niveau du projet
Un projet hérite de toutes les liaisons de rôle définies au niveau des dossiers et de l'organisation qui le contiennent. Par exemple, si un compte principal dispose du rôle Éditeur des résultats de Security Command Center (roles/securitycenter.findingsEditor
) au niveau de l'organisation, il dispose du même rôle au niveau du projet.
Ce principal peut afficher et modifier les résultats de n'importe quel projet de cette organisation pour lequel Security Command Center est actif.
La figure suivante illustre une hiérarchie de ressources Security Command Center avec des rôles accordés au niveau de l'organisation.
Pour afficher la liste des comptes principaux qui ont accès à votre projet, y compris ceux qui ont hérité d'autorisations, consultez Afficher l'accès actuel.
Rôles IAM dans Security Command Center
Vous trouverez ci-dessous la liste des rôles IAM disponibles pour Security Command Center, ainsi que les autorisations qu'ils comprennent. Security Command Center permet d'accorder ces rôles au niveau de l'organisation, du dossier ou du projet.
Role | Permissions |
---|---|
Security Center Admin( Admin(super user) access to security center Lowest-level resources where you can grant this role:
|
|
Security Center Admin Editor( Admin Read-write access to security center Lowest-level resources where you can grant this role:
|
|
Security Center Admin Viewer( Admin Read access to security center Lowest-level resources where you can grant this role:
|
|
Security Center Asset Security Marks Writer( Write access to asset security marks Lowest-level resources where you can grant this role:
|
|
Security Center Assets Discovery Runner( Run asset discovery access to assets Lowest-level resources where you can grant this role:
|
|
Security Center Assets Viewer( Read access to assets Lowest-level resources where you can grant this role:
|
|
Security Center Attack Paths Reader( Read access to security center attack paths |
|
Security Center BigQuery Exports Editor( Read-Write access to security center BigQuery Exports |
|
Security Center BigQuery Exports Viewer( Read access to security center BigQuery Exports |
|
Security Center Compliance Reports Viewer Beta( Read access to security center compliance reports |
|
Security Center Compliance Snapshots Viewer Beta( Read access to security center compliance snapshots |
|
Security Center External Systems Editor( Write access to security center external systems |
|
Security Center Finding Security Marks Writer( Write access to finding security marks Lowest-level resources where you can grant this role:
|
|
Security Center Findings Bulk Mute Editor( Ability to mute findings in bulk |
|
Security Center Findings Editor( Read-write access to findings Lowest-level resources where you can grant this role:
|
|
Security Center Findings Mute Setter( Set mute access to findings |
|
Security Center Findings State Setter( Set state access to findings Lowest-level resources where you can grant this role:
|
|
Security Center Findings Viewer( Read access to findings Lowest-level resources where you can grant this role:
|
|
Security Center Findings Workflow State Setter Beta( Set workflow state access to findings Lowest-level resources where you can grant this role:
|
|
Security Center Mute Configurations Editor( Read-Write access to security center mute configurations |
|
Security Center Mute Configurations Viewer( Read access to security center mute configurations |
|
Security Center Notification Configurations Editor( Write access to notification configurations Lowest-level resources where you can grant this role:
|
|
Security Center Notification Configurations Viewer( Read access to notification configurations Lowest-level resources where you can grant this role:
|
|
Security Center Resource Value Configurations Editor( Read-Write access to security center resource value configurations |
|
Security Center Resource Value Configurations Viewer( Read access to security center resource value configurations |
|
Security Health Analytics Custom Modules Tester( Test access to Security Health Analytics Custom Modules |
|
Security Center Settings Admin( Admin(super user) access to security center settings Lowest-level resources where you can grant this role:
|
|
Security Center Settings Editor( Read-Write access to security center settings Lowest-level resources where you can grant this role:
|
|
Security Center Settings Viewer( Read access to security center settings Lowest-level resources where you can grant this role:
|
|
Security Center Simulations Reader( Read access to security center simulations |
|
Security Center Sources Admin( Admin access to sources Lowest-level resources where you can grant this role:
|
|
Security Center Sources Editor( Read-write access to sources Lowest-level resources where you can grant this role:
|
|
Security Center Sources Viewer( Read access to sources Lowest-level resources where you can grant this role:
|
|
Security Center Valued Resources Reader( Read access to security center valued resources |
|
Security Center Management Admin( Full access to manage Cloud Security Command Center services and custom modules configuration. |
|
Security Center Management Custom Modules Editor( Full access to manage Cloud Security Command Center custom modules. |
|
Security Center Management Custom Modules Viewer( Readonly access to Cloud Security Command Center custom modules. |
|
Security Center Management Custom ETD Modules Editor( Full access to manage Cloud Security Command Center ETD custom modules. |
|
Security Center Management ETD Custom Modules Viewer( Readonly access to Cloud Security Command Center ETD custom modules. |
|
Security Center Management Services Editor( Full access to manage Cloud Security Command Center services configuration. |
|
Security Center Management Services Viewer( Readonly access to Cloud Security Command Center services configuration. |
|
Security Center Management Settings Editor( Full access to manage Cloud Security Command Center settings |
|
Security Center Management Settings Viewer( Readonly access to Cloud Security Command Center settings |
|
Security Center Management SHA Custom Modules Editor( Full access to manage Cloud Security Command Center SHA custom modules. |
|
Security Center Management SHA Custom Modules Viewer( Readonly access to Cloud Security Command Center SHA custom modules. |
|
Security Center Management Viewer( Readonly access to Cloud Security Command Center services and custom modules configuration. |
|
Rôles d'agent de service
Un agent de service permet à un service d'accéder à vos ressources.
Après avoir activé Security Command Center, deux agents de service, qui sont un type de compte de service, sont créés pour vous:
service-project-PROJECT_NUMBER@security-center-api.iam.gserviceaccount.com
.Cet agent de service nécessite le rôle IAM
securitycenter.serviceAgent
.service-project-PROJECT_NUMBER@gcp-sa-ktd-hpsa.iam.gserviceaccount.com
.Cet agent de service nécessite le rôle IAM
roles/containerthreatdetection.serviceAgent
.
Pour que Security Command Center fonctionne, les agents de service doivent disposer des rôles IAM requis. Vous êtes invité à attribuer les rôles lors du processus d'activation de Security Command Center.
Pour afficher les autorisations de chaque rôle, consultez les documents suivants:
Pour attribuer les rôles, vous devez disposer du rôle roles/resourcemanager.projectIamAdmin
.
Si vous ne disposez pas du rôle roles/resourcemanager.organizationAdmin
, l'administrateur de votre organisation peut attribuer les rôles aux agents de service à votre place à l'aide de la commande gcloud CLI suivante:
gcloud organizations add-iam-policy-binding PROJECT_ID \ --member="SERVICE_ACCOUNT_NAME" \ --role="IAM_ROLE"
Remplacez les éléments suivants :
PROJECT_ID
: ID de votre projetSERVICE_AGENT_NAME
: l'un des noms d'agent de service suivants :service-project-PROJECT_NUMBER@security-center-api.iam.gserviceaccount.com
service-project-PROJECT_NUMBER@gcp-sa-ktd-hpsa.iam.gserviceaccount.com
IAM_ROLE
: rôle obligatoire suivant qui correspond à l'agent de service spécifié :roles/securitycenter.serviceAgent
roles/containerthreatdetection.serviceAgent
Pour trouver votre ID et votre numéro de projet, consultez la section Identifier des projets.
Pour en savoir plus sur les rôles IAM, consultez la page Comprendre les rôles.
Web Security Scanner
Les rôles IAM vous expliquent comment utiliser Web Security Scanner. Les tableaux ci-dessous présentent chaque rôle IAM disponible pour Web Security Scanner, ainsi que les méthodes associées. Accordez ces rôles au niveau du projet. Pour donner aux utilisateurs la possibilité de créer et de gérer des analyses de sécurité, ajoutez des utilisateurs à votre projet et accordez-leur des autorisations à l'aide de rôles IAM.
Web Security Scanner accepte les rôles de base et les rôles prédéfinis qui offrent un accès plus précis aux ressources de Web Security Scanner.
Rôles IAM de base
La section suivante décrit les autorisations Web Scanner accordées par les rôles de base.
Rôle | Description |
---|---|
Propriétaire | Accès complet à toutes les ressources Web Security Scanner |
Éditeur | Accès complet à toutes les ressources Web Security Scanner |
Lecteur | Aucun accès à Web Security Scanner |
Rôles IAM prédéfinis
La section suivante décrit les autorisations de Web Security Scanner accordées par les rôles Web Security Scanner.
Role | Permissions |
---|---|
Web Security Scanner Editor( Full access to all Web Security Scanner resources Lowest-level resources where you can grant this role:
|
|
Web Security Scanner Runner( Read access to Scan and ScanRun, plus the ability to start scans Lowest-level resources where you can grant this role:
|
|
Web Security Scanner Viewer( Read access to all Web Security Scanner resources Lowest-level resources where you can grant this role:
|
|
Pour en savoir plus sur les rôles IAM, consultez la page Comprendre les rôles.