控制对 Security Operations 控制台页面中功能的访问权限

Security Command Center Enterprise 层级包含 Google Security Operations 提供的某些功能。您将使用 Google Cloud 控制台和 Security Operations 控制台页面来调查和修复漏洞、错误配置和威胁。

Security Command Center Enterprise 用户需要获得 IAM 权限,才能在 Google Cloud 控制台和 Security Operations 控制台页面中使用 Security Command Center 功能。

Google Security Operations 具有一组预定义的 IAM 角色,可让您在 Security Operations 控制台页面中访问 SIEM 相关功能SOAR 相关功能。您可以在项目级层授予 Google Security Operations 角色。

Security Command Center 具有一组预定义的 IAM 角色,可让您访问 Security Operations 控制台页面中 Security Command Center Enterprise 层级特有的功能。包括:

如需查看 Security Operations 控制台页面中提供的 Security Command Center 功能,用户至少需要具有 Security Center Admin Viewer (roles/securitycenter.adminViewer) 角色。在组织级层授予 Security Command Center 角色。

在规划部署时,请查看以下内容,以确定哪些用户需要访问哪些功能:

授予功能访问权限的步骤因身份提供方配置而异。

  • 如果您使用 Google Workspace 或 Cloud Identity 作为身份提供方,可以直接向用户或群组授予角色。如需查看相关示例,请参阅配置 Google Cloud 身份提供方

  • 如果您使用员工身份联合来连接到第三方身份提供方(例如 Okta 或 Azure AD),则可以向员工身份池中的身份或员工身份池中的群组授予角色。

    如需查看如何向员工身份池授予 SIEM 相关功能和 SOAR 相关功能的示例,请参阅使用 IAM 配置功能访问权限控制

    确保工作组池包含在 Security Operations 控制台页面中访问 Security Command Center 特定功能的权限。以下是一些示例:

    • 如需向工作负载身份池中的所有用户授予 Security Center Admin Viewer 角色,请运行以下命令:

      gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --role roles/securitycenter.adminViewer \
    --member "principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/*" \
    --condition None

      替换以下内容:

      • ORGANIZATION_ID:组织的数字 ID。
      • WORKFORCE_POOL_ID:您为员工身份池 ID 定义的值。

    • 如需向特定群组授予 Security Center Admin Viewer 角色,请运行以下命令:

      gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --role roles/securitycenter.adminViewer \
    --member "principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/group/GROUP_ID" \
    --condition None

      替换 GROUP_ID:映射的 google.groups 声明中的群组。