이 페이지에서는 Identity and Access Management(IAM)를 사용하여 Security Command Center의 프로젝트 수준 활성화에서 리소스에 대한 액세스를 제어하는 방법을 설명합니다. 조직에 대해 Security Command Center가 활성화되지 않은 경우에만 이 페이지를 참조하세요.
다음 조건 중 하나가 적용되는 경우 이 페이지 대신 조직 수준 활성화를 위한 IAM을 참조하세요.
- Security Command Center가 프로젝트 수준이 아닌 조직 수준에서 활성화되었음
- Security Command Center 표준이 이미 조직 수준에서 활성화되었음. 또한 한 개 이상의 프로젝트에서 Security Command Center 프리미엄이 활성화되었습니다.
Security Command Center는 IAM 역할을 사용하여 Security Command Center 환경에서 애셋, 발견 항목, 보안 서비스로 수행할 수 있는 사용자를 제어할 수 있도록 합니다. 개인 및 애플리케이션에 역할을 부여하고, 각 역할은 특정 권한을 제공합니다.
권한
Security Command Center를 설정하거나 프로젝트의 구성을 변경하려면 다음 두 역할이 모두 필요합니다.
- 프로젝트 IAM 관리자(
roles/resourcemanager.projectIamAdmin
) - 보안 센터 관리자(
roles/securitycenter.admin
)
사용자에게 수정 권한이 필요하지 않으면 뷰어 역할을 부여하는 것이 좋습니다.
Security Command Center에서 모든 애셋 및 발견 항목을 보려면 사용자에게 보안 센터 관리자 뷰어(roles/securitycenter.adminViewer
) 역할이 필요합니다. 설정도 확인해야 하는 사용자는 보안 센터 설정 뷰어(roles/securitycenter.settingsViewer
) 역할이 필요합니다.
이러한 모든 역할을 리소스 계층 구조의 모든 수준에서 설정할 수 있지만 프로젝트 수준에서 설정하는 것이 좋습니다. 이 관행은 최소 권한의 원칙에 따른 것입니다.
역할 및 권한 관리에 대한 안내는 프로젝트, 폴더, 조직에 대한 액세스 관리를 참조하세요.
Security Command Center의 프로젝트 수준 활성화에 대한 상속된 액세스 권한
프로젝트는 해당 프로젝트가 포함된 폴더와 조직의 수준에서 설정된 역할 바인딩을 상속합니다. 예를 들어 주 구성원에게 조직 수준의 보안 센터 발견 항목 편집자 역할(roles/securitycenter.findingsEditor
)이 있으면 해당 주 구성원이 프로젝트 수준에서 동일한 역할을 갖습니다.
이 사용자는 Security Command Center가 활성화된 조직의 프로젝트에서 발견 항목을 보고 수정할 수 있습니다.
다음 그림은 조직 수준에서 부여된 역할이 있는 Security Command Center 리소스 계층 구조를 보여줍니다.
상속된 권한을 가진 사용자를 포함하여 프로젝트에 액세스할 수 있는 주 구성원 목록을 보려면 현재 액세스 권한 보기를 참조하세요.
Security Command Center의 IAM 역할
다음은 Security Command Center에 사용 가능한 IAM 역할 목록과 여기에 포함된 권한입니다. Security Command Center는 조직, 폴더 또는 프로젝트 수준에서 이러한 역할을 부여할 수 있도록 지원합니다.
Role | Permissions |
---|---|
Security Center Admin( Admin(super user) access to security center Lowest-level resources where you can grant this role:
|
|
Security Center Admin Editor( Admin Read-write access to security center Lowest-level resources where you can grant this role:
|
|
Security Center Admin Viewer( Admin Read access to security center Lowest-level resources where you can grant this role:
|
|
Security Center Asset Security Marks Writer( Write access to asset security marks Lowest-level resources where you can grant this role:
|
|
Security Center Assets Discovery Runner( Run asset discovery access to assets Lowest-level resources where you can grant this role:
|
|
Security Center Assets Viewer( Read access to assets Lowest-level resources where you can grant this role:
|
|
Security Center Attack Paths Reader( Read access to security center attack paths |
|
Security Center BigQuery Exports Editor( Read-Write access to security center BigQuery Exports |
|
Security Center BigQuery Exports Viewer( Read access to security center BigQuery Exports |
|
Security Center Compliance Reports Viewer Beta( Read access to security center compliance reports |
|
Security Center Compliance Snapshots Viewer Beta( Read access to security center compliance snapshots |
|
Security Center External Systems Editor( Write access to security center external systems |
|
Security Center Finding Security Marks Writer( Write access to finding security marks Lowest-level resources where you can grant this role:
|
|
Security Center Findings Bulk Mute Editor( Ability to mute findings in bulk |
|
Security Center Findings Editor( Read-write access to findings Lowest-level resources where you can grant this role:
|
|
Security Center Findings Mute Setter( Set mute access to findings |
|
Security Center Findings State Setter( Set state access to findings Lowest-level resources where you can grant this role:
|
|
Security Center Findings Viewer( Read access to findings Lowest-level resources where you can grant this role:
|
|
Security Center Findings Workflow State Setter Beta( Set workflow state access to findings Lowest-level resources where you can grant this role:
|
|
Security Center Mute Configurations Editor( Read-Write access to security center mute configurations |
|
Security Center Mute Configurations Viewer( Read access to security center mute configurations |
|
Security Center Notification Configurations Editor( Write access to notification configurations Lowest-level resources where you can grant this role:
|
|
Security Center Notification Configurations Viewer( Read access to notification configurations Lowest-level resources where you can grant this role:
|
|
Security Center Resource Value Configurations Editor( Read-Write access to security center resource value configurations |
|
Security Center Resource Value Configurations Viewer( Read access to security center resource value configurations |
|
Security Health Analytics Custom Modules Tester( Test access to Security Health Analytics Custom Modules |
|
Security Center Settings Admin( Admin(super user) access to security center settings Lowest-level resources where you can grant this role:
|
|
Security Center Settings Editor( Read-Write access to security center settings Lowest-level resources where you can grant this role:
|
|
Security Center Settings Viewer( Read access to security center settings Lowest-level resources where you can grant this role:
|
|
Security Center Simulations Reader( Read access to security center simulations |
|
Security Center Sources Admin( Admin access to sources Lowest-level resources where you can grant this role:
|
|
Security Center Sources Editor( Read-write access to sources Lowest-level resources where you can grant this role:
|
|
Security Center Sources Viewer( Read access to sources Lowest-level resources where you can grant this role:
|
|
Security Center Valued Resources Reader( Read access to security center valued resources |
|
Security Center Management Admin( Full access to manage Cloud Security Command Center services and custom modules configuration. |
|
Security Center Management Custom Modules Editor( Full access to manage Cloud Security Command Center custom modules. |
|
Security Center Management Custom Modules Viewer( Readonly access to Cloud Security Command Center custom modules. |
|
Security Center Management Custom ETD Modules Editor( Full access to manage Cloud Security Command Center ETD custom modules. |
|
Security Center Management ETD Custom Modules Viewer( Readonly access to Cloud Security Command Center ETD custom modules. |
|
Security Center Management Services Editor( Full access to manage Cloud Security Command Center services configuration. |
|
Security Center Management Services Viewer( Readonly access to Cloud Security Command Center services configuration. |
|
Security Center Management Settings Editor( Full access to manage Cloud Security Command Center settings |
|
Security Center Management Settings Viewer( Readonly access to Cloud Security Command Center settings |
|
Security Center Management SHA Custom Modules Editor( Full access to manage Cloud Security Command Center SHA custom modules. |
|
Security Center Management SHA Custom Modules Viewer( Readonly access to Cloud Security Command Center SHA custom modules. |
|
Security Center Management Viewer( Readonly access to Cloud Security Command Center services and custom modules configuration. |
|
서비스 에이전트 역할
서비스 에이전트를 사용하면 서비스가 리소스에 액세스할 수 있습니다.
Security Command Center를 활성화하면 서비스 계정 유형인 서비스 에이전트 2개가 생성됩니다.
service-project-PROJECT_NUMBER@security-center-api.iam.gserviceaccount.com
.이 서비스 에이전트에는
securitycenter.serviceAgent
IAM 역할이 필요합니다.service-project-PROJECT_NUMBER@gcp-sa-ktd-hpsa.iam.gserviceaccount.com
.이 서비스 에이전트에는
roles/containerthreatdetection.serviceAgent
IAM 역할이 필요합니다.
Security Command Center가 작동하려면 서비스 에이전트에 필요한 IAM 역할을 부여해야 합니다. Security Command Center의 활성화 프로세스 중에 역할을 부여하라는 메시지가 표시됩니다.
각 역할의 권한을 보려면 다음을 참조하세요.
역할을 부여하려면 roles/resourcemanager.projectIamAdmin
역할이 있어야 합니다.
roles/resourcemanager.organizationAdmin
역할이 없으면 조직 관리자가 다음 gcloud CLI 명령어를 사용하여 서비스 에이전트에 역할을 자동으로 부여할 수 있습니다.
gcloud organizations add-iam-policy-binding PROJECT_ID \ --member="SERVICE_ACCOUNT_NAME" \ --role="IAM_ROLE"
다음을 바꿉니다.
PROJECT_ID
: 프로젝트 IDSERVICE_AGENT_NAME
: 다음 서비스 에이전트 이름 중 하나:service-project-PROJECT_NUMBER@security-center-api.iam.gserviceaccount.com
service-project-PROJECT_NUMBER@gcp-sa-ktd-hpsa.iam.gserviceaccount.com
IAM_ROLE
: 지정된 서비스 에이전트에 해당하는 다음 필수 역할:roles/securitycenter.serviceAgent
roles/containerthreatdetection.serviceAgent
프로젝트 ID 및 프로젝트 번호를 찾으려면 프로젝트 식별을 참조하세요.
IAM 역할에 대한 자세한 내용은 역할 이해를 참조하세요.
Web Security Scanner
IAM 역할은 Web Security Scanner 사용 방법을 규정합니다. 아래 표에는 Web Security Scanner에서 사용할 수 있는 각 IAM 역할과 해당 역할에 사용할 수 있는 메서드가 나와 있습니다. 프로젝트 수준에서 이러한 역할을 부여합니다. 사용자에게 보안 스캔을 만들고 관리할 수 있는 기능을 제공하려면 프로젝트에 사용자를 추가하고 역할을 사용하여 권한을 부여합니다.
Web Security Scanner는 기본 역할과 사전 정의된 역할을 지원하며 Web Security Scanner 리소스에 대한 액세스 권한을 더욱 세부적으로 제공합니다.
기본 IAM 역할
다음은 기본 역할로 부여되는 Web Security Scanner 권한을 설명합니다.
역할 | 설명 |
---|---|
소유자 | 모든 Web Security Scanner 리소스에 대한 전체 액세스 권한입니다. |
편집자 | 모든 Web Security Scanner 리소스에 대한 전체 액세스 권한입니다. |
뷰어 | Web Security Scanner에 대한 액세스 권한이 없습니다. |
사전 정의된 IAM 역할
다음은 Web Security Scanner 역할에 의해 부여되는 Web Security Scanner 권한을 설명합니다.
Role | Permissions |
---|---|
Web Security Scanner Editor( Full access to all Web Security Scanner resources Lowest-level resources where you can grant this role:
|
|
Web Security Scanner Runner( Read access to Scan and ScanRun, plus the ability to start scans Lowest-level resources where you can grant this role:
|
|
Web Security Scanner Viewer( Read access to all Web Security Scanner resources Lowest-level resources where you can grant this role:
|
|
IAM 역할에 대한 자세한 내용은 역할 이해를 참조하세요.