控管 Security Operations 控制台頁面的功能存取權

Security Command Center Enterprise 方案包含 Google Security Operations 提供的特定功能。您可以使用Google Cloud 控制台和 Security Operations 控制台頁面,調查及修正安全漏洞、錯誤設定和威脅。

Security Command Center Enterprise 使用者需要 IAM 權限,才能在 Google Cloud 控制台和 Security Operations 控制台頁面存取 Security Command Center 功能。

Google Security Operations 提供一組預先定義的 IAM 角色,可讓您在 Security Operations 控制台頁面中存取 SIEM 相關功能SOAR 相關功能。您可以在專案層級授予 Google Security Operations 角色。

Security Command Center 預先定義了一組 IAM 角色,可讓您存取 Security Operations 控制台頁面中的功能,這些功能是 Security Command Center Enterprise 方案獨有的。其中包括:

如要查看 Security Operations 控制台頁面中提供的 Security Command Center 功能,使用者至少需要安全中心管理員檢視者 (roles/securitycenter.adminViewer) 角色。在機構層級授予 Security Command Center 角色。

規劃部署作業時,請參閱下列內容,找出需要存取功能的目標使用者:

授予功能存取權的步驟會因身分識別提供者設定而異。

  • 如果您使用 Google Workspace 或 Cloud Identity 做為身分識別提供者,可以直接將角色授予使用者或群組。如需相關範例,請參閱「設定身分識別提供者 Google Cloud 」。

  • 如果您使用員工身分聯盟連結至第三方身分提供者 (例如 Okta 或 Azure AD),請將角色授予員工身分集區中的身分,或是員工身分集區中的群組。

    如需如何將 SIEM 和 SOAR 相關功能授予員工身分集區的範例,請參閱「使用 IAM 設定功能存取控管機制」。

    請確認工作團隊集區包含權限,可存取 Security Operations 主控台頁面中 Security Command Center 的特定功能。以下是範例:

    • 如要將 Security Center 管理員檢視者角色授予工作人員身分集區中的所有使用者,請執行下列指令:

      gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --role roles/securitycenter.adminViewer \
    --member "principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/*" \
    --condition None

      更改下列內容:

      • ORGANIZATION_ID:機構的數值 ID。
      • WORKFORCE_POOL_ID:您為工作團隊身分集區 ID 定義的值。

    • 如要將 Security Center 管理員檢視者角色授予特定群組,請執行下列指令:

      gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --role roles/securitycenter.adminViewer \
    --member "principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/group/GROUP_ID" \
    --condition None

      GROUP_ID 替換為對應 google.groups 聲明中的群組。