控制对 Security Operations 控制台页面中功能的访问权限

Security Command Center 企业方案层级包含 Google Security Operations 提供的某些功能。您可以使用Google Cloud 控制台和 Security Operations 控制台页面来调查和修复漏洞、错误配置及威胁。

Security Command Center 企业方案用户需要 IAM 权限才能在 Google Cloud 控制台和 Security Operations 控制台页面中访问 Security Command Center 功能。

Google Security Operations 具有一组预定义 IAM 角色，可让您在 Security Operations 控制台页面中访问 SIEM 相关功能和 SOAR 相关功能。您可以在项目级层授予 Google Security Operations 角色。

Security Command Center 具有一组预定义 IAM 角色，可让您在 Security Operations 控制台页面中访问 Security Command Center 企业方案层级特有的功能。包括：

• Security Center Admin Editor Viewer (roles/securitycenter.adminEditor)
• Security Center Admin Viewer (roles/securitycenter.adminViewer)

如需查看 Security Operations 控制台页面中提供的 Security Command Center 功能，用户至少需要具有 Security Center Admin Viewer (roles/securitycenter.adminViewer) 角色。在组织级层授予 Security Command Center 角色。

在规划部署时，请查看以下内容，以确定哪些用户需要访问哪些功能：

• 如需为用户授予对 Google Cloud 控制台中的功能和发现结果的访问权限，请参阅使用 IAM 进行访问权限控制。

• 如需为用户授予对 Security Operations 控制台页面中与 SIEM 相关的威胁检测和调查功能的访问权限，请参阅使用 IAM 配置功能访问权限控制。

• 如需为用户授予对 Security Operations 控制台页面中与 SOAR 相关的响应功能的访问权限，请参阅在 Security Operations 控制台的 SOAR 端映射 IAM 角色。 您还可以在 SOAR 设置下将与 SOAR 相关的 IAM 角色映射到 SOC 角色、权限组和环境。

• 如需使用 Google SecOps IAM 权限创建自定义 IAM 角色，请参阅创建自定义角色并将其分配给群组。

• 如需访问 Security Command Center 企业方案提供的功能（例如安全状况概览页面），请在激活 Security Command Center 企业方案的组织中为用户授予所需的 IAM 角色。

授予功能访问权限的步骤因身份提供方配置而异。

• 如果您使用 Google Workspace 或 Cloud Identity 作为身份提供方，可以直接向用户或群组授予角色。如需查看如何执行此操作的示例，请参阅配置 Google Cloud 身份提供方。

• 如果您使用员工身份联合连接到第三方身份提供方（例如 Okta 或 Azure AD），则可以向员工身份池中的身份或员工身份池中的群组授予角色。

  如需查看如何向员工身份池授予 SIEM 相关功能和 SOAR 相关功能的示例，请参阅使用 IAM 配置功能访问权限控制。

  确保员工池拥有在 Security Operations 控制台页面中访问 Security Command Center 特有的功能的权限。示例如下：

  • 如需向员工身份池中的所有用户授予 Security Center Admin Viewer 角色，请运行以下命令：

    gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
        --role roles/securitycenter.adminViewer \
        --member "principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/*" \
        --condition None
    

    替换以下内容：

    • ORGANIZATION_ID：组织的数字 ID。
    • WORKFORCE_POOL_ID：您为员工身份池 ID 定义的值。

  • 如需向特定群组授予 Security Center Admin Viewer 角色，请运行以下命令：

    gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
        --role roles/securitycenter.adminViewer \
        --member "principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/group/GROUP_ID" \
        --condition None
    

    替换 GROUP_ID：映射的 google.groups 声明中的群组。