ロールベースのアクセス制御(RBAC)ユーザーガイド

以下でサポートされています。

管理者はロールベースのアクセス制御(RBAC)を使用すると、組織の従業員のロールに基づいて Google Security Operations の機能へのアクセス権を調整できます。

始める前に

RBAC は、大文字と小文字を区別しない次のデフォルトの属性名から SAML レスポンスのグループ情報を読み取ります。

  • group
  • idpgroup group
  • memberof

カスタム属性名を使用する場合は、RBAC の設定を変更できるように、まず Google Security Operations に属性名を指定する必要があります。

RBAC 設定を変更する

RBAC プロファイルと設定ページに移動するには、ナビゲーション バーの [設定] をクリックします。

プロフィール

[プロファイル] ページには、ユーザーのプロファイルから情報(ユーザー ID、グループ ID、割り当てられたロール)と、組織に関する追加情報(顧客 ID、 Google Cloud プロジェクト番号、 Google Cloud プロジェクト ID)が表示されます。

お客様 ID

お客様 ID は、[プロフィール] ページの [組織の詳細] セクションにあります。

タイムゾーン

プロファイルに関連付けられたタイムゾーンを変更するには、[時刻設定] の横にある [編集] をクリックします。適切なタイムゾーンを選択し、[保存] をクリックします。これにより、ほとんどのユーザー インターフェースに表示される時間が、選択したタイムゾーンに合わせて変更されます。

ユーザーとグループ

[ユーザーとグループ] ページで、管理者は RBAC を構成できます。

  1. 左側のナビゲーション パネルで [ユーザーとグループ] リンクをクリックします。ユーザーとグループの一覧は、[ユーザーとグループ] ページに列(User/GroupTypeAssigned role)とともに表示されます。

  2. [新しく割り当て] をクリックして、[ロールを割り当て] ダイアログを開きます。このウィンドウから、次のタスクを実行できます。

    • 1 人以上の新しいユーザーをロールに割り当てます。
    • ロールに 1 つ以上の新しいグループを割り当てます。

    使用可能なロールは、次の通りです。

    • デフォルト
    • ViewerWithNoDetectAccess
    • 閲覧者
    • 編集者
    • 管理者

    ユーザー ID またはグループ ID を追加し、[ロールを割り当て] プルダウン メニューから適切なロールを選択したら、[割り当て] をクリックします。

    ロールを割り当てる際は、次の点に注意してください。

    • ユーザーまたはグループを追加する場合は、そのユーザーまたはグループが ID プロバイダ(IdP)に存在することを確認してください。ユーザーまたはグループを削除する場合は、管理者ロールを持つユーザーまたはグループを 1 つ以上保持していること、それが IdP 内に存在することを確認してください。そうしないと、管理者のアクセス権を失います。
    • ユーザーとグループの IdP ID では、大文字と小文字が区別されます。
    • このダイアログを使用して、既存のユーザーまたはグループに割り当てられているロールを変更することはできません。ロールの変更方法と、ユーザーとグループの削除方法については、次の手順をご覧ください。
    • Google Security Operations は、ユーザーとグループとロールの間のマッピングを管理します。
    • ユーザー ID やグループ ID に特殊文字が含まれる場合は、テキストソースによっては UTF-8 エンコードが使用される可能性があるという注意を使用します。[割り当て] をクリックした後は、新しい割り当てが正しく保存されたことを確認することをおすすめします。

  3. 既存のユーザーまたはグループのロールを変更するには、[ロールの割り当て] 列のそのユーザーまたはグループに対応するプルダウン メニューから新しいロールを選択します。

  4. 新しいユーザーとグループに割り当てるデフォルトのロールは、右上の角のロールのプルダウン メニューから変更できます。

  5. ユーザーやグループを削除するには、ユーザーまたはグループの行の右端にカーソルを合わせたときに表示されるゴミ箱アイコンをクリックします。

    管理者であるユーザーとグループを削除し、残りの管理者が IDP 内にいない場合、管理者権限を失います。

ロールと権限

ロール

ロールは、一連のプロダクト権限に関連付けられます。ユーザーにロールを割り当てると、そのロールに関連付けられた権限がユーザーに付与されます。

Google Security Operations には、次の事前定義ロールが含まれています。

  • 管理者 - 組織のロールベースのアクセス制御ポリシーを管理します。Google Security Operations のページを編集または表示することもできます。
  • 編集者 - 検出エンジンのルールの作成や編集などを含めて、Google Security Operations ページを編集できます。
  • 閲覧者 - 任意の Google Security Operations のページを表示できますが、変更はできません。
  • ViewerWithNoDetectAccess - 検出結果を含まないすべての Google Security Operations ページ(主に [ルール] ページと [リファレンス リスト] ページ)を表示できます。

RBAC アプリケーションには次のものがあります。

  • 職責に基づいてロールを作成して割り当てる。
  • 借用先または組織に基づいてロールを作成して割り当てる。
  • 問題を調査するために、アナリストに一時的なロールを割り当てる。

権限

権限によって、次のものを含む、単一の制御されたアクションを Google Security Operations で実行するために必要な承認が提供されます(権限の完全なリストについては、ユーザー インターフェースをご覧ください)。

  • ルールを表示
  • ルールを変更する
  • フィードバックを編集する
  • 参照リストを編集する
  • RBAC 権限を表示する

ユーザーがアクションに対する権限を付与されていない場合、関連する機能は無効になります。たとえば、閲覧者のロールを持つユーザーは新しいルールを作成できない(ルールエディタで [新規] ボタンが無効になっている)ため、ルールを複製する([複製] オプションが無効になっています)か、既存のルールを変更します。

ユーザーとグループが利用できるロールと権限を表示するには、次の操作を行います。

  1. 左側のナビゲーション パネルで [ロール] リンクをクリックします。

  2. [ロール] 列からロールを選択し、そのロールに付与されている権限を表示します。各ロールに関連付けられた権限は変更できません。

新しく追加されたユーザーとグループのデフォルトのロールは閲覧者です。他のロールのいずれか(編集者など)を選択すると、Set as default の制御が使用可能になります。これにより、そのロールをデフォルトに設定できます。