数据 RBAC 概览
数据 RBAC(数据 RBAC)是一种使用 设置单独的用户角色,以限制用户对组织内数据的访问权限。 借助数据 RBAC,管理员可以定义范围并分配范围 以帮助确保用户只能访问执行工作所需的数据 函数。
本页面简要介绍了数据 RBAC,并帮助您了解标签 和作用域协同工作以定义数据访问权限。
数据 RBAC 与特征 RBAC 之间的区别
数据 RBAC 和特征 RBAC 都是在 不同的系统,但侧重的方面有所不同。
特征 RBAC 控制对 系统。它根据用户的 角色。例如,初级分析师可能只能查看信息中心 但不能创建或修改检测规则,而高级分析人员可能 拥有创建和管理检测规则的权限。如需详细了解 功能 RBAC,请参阅使用 IAM 配置功能访问权限控制。
数据 RBAC 控制对系统中特定数据或信息的访问权限。它 控制用户能否根据其角色查看、修改或删除数据。对于 例如,在客户关系管理 (CRM) 系统中, 代表可能有权访问客户联系人数据, 而财务经理可能有权访问财务数据 而不是客户联系数据
数据 RBAC 和特征 RBAC 通常一起使用,以提供全面的 访问权限控制系统例如,某用户可能有权访问 特征 (RBAC) 以及该特征对特定特征的访问权限 数据可能会受限于其角色(数据 RBAC)。
制定实施计划
如需规划您的实现,请查看 Google SecOps 列表 预定义的 Google SecOps 角色和权限 是否符合您的组织要求制定策略来界定 并为传入的数据添加标签。识别 您组织中的哪些成员必须有权访问与 这些范围。如果贵组织需要的 IAM 政策不同于 预定义的 Google SecOps 角色、创建自定义角色 以满足这些要求。
用户角色
用户可以拥有范围的数据访问权限(限定范围的用户),也可以拥有全局数据访问权限 (全局用户)。
分区用户可以访问的数据有限,具体取决于分配的范围。这些 范围将其公开范围和操作限制为特定数据。使用 下表详细说明了与范围化访问关联的权限。
没有为全局用户分配范围,并且对所有数据拥有不受限制的访问权限 Google SecOps 中的成员身份。与全局关联 详情请参阅下表。
数据 RBAC 管理员可以创建范围并将其分配给用户以进行控制
Google SecOps 中的数据访问机制。要将用户限制为
范围,您必须为其分配 Chronicle API Restricted Data Access
(roles/chronicle.restrictedDataAccess) 角色以及
预定义角色或自定义角色Chronicle API Restricted Data Access 角色
将用户标识为限定了范围的用户。您无需为 Chronicle
为需要访问全球数据的用户授予“受限数据访问”角色。
可向用户分配以下角色:
| 权限类型 | 角色 | 权限 |
|---|---|---|
| 预定义的全球访问权限 | 全局用户可被授予任何预定义的 IAM 角色。 | |
| 预定义的范围只读权限 | Chronicle API Restricted Data Access (roles/chronicle.restrictedDataAccess) 和 Chronicle API Restricted Data Access Viewer (roles/chronicle.restrictedDataAccessViewer)
|
Chronicle API 受限数据访问权限查看者 |
| 自定义范围的访问权限 | Chronicle API 受限数据访问权限 (roles/chronicle.restrictedDataAccess) 和自定义角色
|
功能中的自定义权限 |
| 自定义全球访问权限 | chronicle.globalDataAccessScopes.permit 权限和自定义角色
|
功能中的全局权限 |
以下是表中显示的每种访问权限类型的说明:
预定义的全球访问权限:用户通常必须要 需要访问所有数据您可以将一个或多个角色分配给 授予用户访问权限
预定义的范围只读权限:此访问权限适用于需要只读权限的用户 access.Chronicle API Restricted Data Access 角色可将用户标识为 范围的用户。Chronicle API Restricted Data Access Viewer 角色可提供视图 访问用户的功能。
自定义范围的访问权限:Chronicle API Restricted Data Access 角色可将用户标识为 范围的用户。自定义角色用于指定用户可以使用的功能。 添加到 Chronicle API Restricted Data Access 角色的范围指定了 用户可在这些功能中访问的数据
自定义全局访问权限:此访问权限适用于需要不受限制的用户
为其分配的所有功能的权限。要授予自定义的全局访问权限
用户,您必须指定 chronicle.globalDataAccessScopes.permit 权限
以及分配给用户的自定义角色的数据。
使用范围和标签进行访问权限控制
Google SecOps 可让您使用范围控制用户的数据访问权限。 范围是使用标签来定义的,标签用于定义用户 可以访问的所有文件在注入期间,系统会将元数据分配给数据 以命名空间(可选)、提取元数据(可选)、 和日志类型(必填)。这些是应用于数据的默认标签 提取过程中此外,您也可以创建自定义标签。 您可以使用默认标签和自定义标签来定义范围和数据 范围将定义的访问权限级别
通过允许和拒绝标签实现数据可见性
每个范围包含一个或多个“允许访问”标签(可选), 拒绝访问标签。允许访问标签可向用户授予 与标签相关联。拒绝访问权限标签会拒绝用户访问 都与标签相关联拒绝访问权限标签会覆盖允许访问权限 标签来限制用户访问权限。
在范围定义中,允许同一类型的访问标签(例如, 日志类型)使用 OR 运算符合并,而不同类型的标签 (例如,日志类型和自定义标签)使用 AND 运算符合并。 拒绝访问权限标签使用 OR 运算符合并。多次拒绝访问时 标签应用于某个范围内,如果这些标签与其中任一项匹配,则访问遭拒 标签。
以一个 Cloud Logging 系统为例,该系统使用 以下标签类型:
日志类型:访问、系统、防火墙
命名空间:App1、App2、数据库
严重级别:严重、警告
假设有一个名为“受限日志”的范围,该范围具有以下访问权限:
| 标签类型 | 允许使用的值 | 拒绝的值 |
|---|---|---|
| 日志类型 | 访问、防火墙 | 系统 |
| 命名空间 | App1 | App2、数据库 |
| 严重程度 | 警告 | 严重 |
范围定义如下所示:
允许: (Log type: "Access" OR "Firewall") AND (Namespace: "App1") AND (Severity: "Warning")
拒绝:Log type: "System" OR Namespace: App2 OR Namespace: Database OR Severity: "Critical"
与范围匹配的日志示例:
- 从 App1 访问日志,严重级别为:警告
- 来自 App1 的防火墙日志(严重级别为:警告)
与范围不匹配的日志示例:
- App1 中的系统日志,严重级别为:警告
- 从数据库访问日志(严重级别为:警告)
- 来自 App2 的防火墙日志(严重级别为:严重)
丰富活动中的数据公开范围
丰富事件是指通过额外 背景信息和信息。丰富活动 只有在其基本事件可在该范围内访问时,才可以在范围内访问 并且任何扩充标签都不包含范围的任何拒绝标签。
例如,假设有一个原始日志,该日志表明通过 IP 地址进行的登录尝试失败了
地址,并且具有丰富的标签 user_risk: high(表示高风险用户)。
范围具有拒绝标签 user_risk: high 的用户无法看到失败项
。
数据 RBAC 对 Google Security Operations 功能的影响
配置数据 RBAC 后,用户会开始在 Google Security Operations 功能。具体影响取决于该功能的集成方式 与底层数据相关联。如需了解数据 RBAC 对各项功能的影响,请参阅 数据 RBAC Google Security Operations 功能的影响。