为参考列表配置数据 RBAC
本页介绍了数据基于角色的访问控制 (data RBAC) 管理员和用户如何向参考列表分配镜重范围。引用列表是用于在 UDM 搜索和检测规则中匹配和过滤数据的值(例如 IP 地址)的列表。通过向参考列表分配镜重,您可以控制哪些用户和资源(例如规则和 UDM 搜索实例)可以访问和使用该列表。
如需了解数据 RBAC 的运作方式,请参阅数据 RBAC 概览。
将镜重添加到参考列表
如需向参考列表添加镜重,您必须拥有要添加的所有镜重权限。您无法添加您无权访问的镜重。
受限用户和全局用户具有不同的访问权限,具体如下所示:
受限范围的用户可以创建包含分配给他们的所有或部分镜的受限范围参考列表。
全局用户可以创建未限定范围的参考列表(所有用户都可以使用的参考列表)或限定范围的参考列表。
如需向参考列表添加镜重,请执行以下操作:
依次点击检测 > 列表。
在列表管理器窗口中,选择要向其添加镜重范围的列表。
在详细信息标签页的范围分配菜单中,选择引用列表必须有权访问的所有范围。
点击保存修改内容。
这些镜重会添加到参考列表中。
更新参考列表中的镜重
如需更新参考列表中的镜重范围,您必须有权访问您打算添加到参考列表中的所有数据镜重范围。您无法添加您无权访问的镜重。
更新参考列表时,请注意以下事项:
仅当使用引用列表的所有现有规则在更改后仍能正常运行时,才允许从引用列表中移除镜重。
例如,如果使用了引用列表的规则的范围为 B,则不允许将引用列表从范围 A 和 B 更新为范围 A。同样,如果某个范围为 B 的规则使用了参考列表,则不允许将参考列表从无范围更新为范围 A。
受限用户可以从参考列表中移除镜重,这可能会导致其他受限用户失去对参考列表的访问权限。
例如,具有范围 A 和 B 的用户可以从包含范围 A 和 B 的参考列表中移除范围 B。进行此更改后,该用户仍可使用参考列表,但仅具有范围 B 的另一用户将无法再查看或访问该参考列表。
更新镜重以添加更多镜重可能会导致部分用户失去对参考列表的修改权限。
例如,具有 A 和 B 镜的用户可以将 B 镜添加到具有 A 镜的参考列表中。进行此更改后,该用户仍然可以修改参考列表,但另一个仅具有范围 A 的用户将无法再修改参考列表。
如需更新参考列表中的镜重范围,请执行以下操作:
依次点击检测 > 列表。
在列表管理器窗口中,选择要向其添加镜重范围的列表。
在详细信息标签页的范围分配菜单中,选择参考列表应有权访问的所有范围。取消选择参考列表不应有权访问的镜重。
点击保存修改内容。
更新了参考列表的范围分配。
需要更多帮助?向社区成员和 Google SecOps 专业人士寻求解答。