Guía del usuario de control de acceso basado en roles (RBAC)

Compatible con:

El control de acceso basado en roles (RBAC) permite que un administrador personalice el acceso a las funciones de Google Security Operations según el rol de un empleado en tu organización.

Antes de comenzar

El RBAC lee la información de grupo de la respuesta de SAML de los siguientes nombres de atributos predeterminados que no distinguen mayúsculas de minúsculas:

  • group
  • idpgroup group
  • memberof

Si usas un nombre de atributo personalizado, primero debes proporcionarlo a tu equipo de operaciones de seguridad de Google para que puedas modificar la configuración de RBAC.

Modifica la configuración de RBAC

Para navegar a las páginas de configuración y perfil de RBAC, haz clic en Configuración en la barra de navegación.

Perfil

En la página Perfil, se muestra la información del perfil del usuario (ID de usuario, ID de grupo, roles asignados) y algunos datos adicionales sobre su organización (ID de cliente, número de proyecto de Google Cloud, ID de proyecto de Google Cloud).

ID de cliente

Tu ID de cliente se encuentra en la sección Detalles de la organización de la página Perfil.

Zona horaria

Para cambiar la zona horaria asociada con tu perfil, haz clic en Editar junto a Configuración de hora. Selecciona la zona horaria adecuada y haz clic en Guardar. Esto cambia la hora que se muestra en la mayor parte de la interfaz de usuario para que coincida con la zona horaria seleccionada.

Usuarios y grupos

La página Usuarios y grupos permite que un administrador configure el RBAC.

  1. Haz clic en el vínculo Usuarios y grupos en el panel de navegación izquierdo. Aparecerá una lista de usuarios y grupos en la página Usuarios y grupos con las columnas Usuario/Grupo, Tipo y Rol asignado.

  2. Haz clic en Asignar nuevo para abrir el diálogo Asignar rol. Desde este diálogo, puedes completar las siguientes tareas:

    • Asignar un usuario o usuarios nuevos a un rol
    • Asigna uno o varios grupos nuevos a un rol.

    Los roles disponibles son los siguientes:

    • Predeterminado
    • ViewerWithNoDetectAccess
    • Visualizador
    • Editor
    • Administrador

    Una vez que hayas agregado los IDs de usuario o grupo y seleccionado el rol adecuado en el menú desplegable ASIGNAR ROL, haz clic en ASIGNAR.

    Cuando asignes roles, ten en cuenta lo siguiente:

    • Cuando agregues usuarios o grupos, asegúrate de que existan en tu proveedor de identidad (IdP). Cuando borres usuarios o grupos, asegúrate de conservar al menos uno que tenga el rol de administrador y que esté en tu IdP. De lo contrario, perderás el acceso de administrador.
    • Los ID de IdP de usuario y grupo distinguen mayúsculas de minúsculas.
    • No puedes cambiar el rol asignado de un usuario o grupo existente usando este diálogo. Consulta los pasos que se indican a continuación para cambiar roles y borrar usuarios y grupos.
    • Google Security Operations administra la asignación entre usuarios, grupos y roles.
    • Ten cuidado si el ID de usuario o grupo contiene caracteres especiales que, según la fuente de texto, podrían usar codificación UTF-8. Una vez que hagas clic en Asignar, Google te recomienda que verifiques que la nueva tarea se haya guardado correctamente.
  3. Para cambiar el rol de un usuario o grupo existente, selecciona una función nueva en el menú desplegable correspondiente a ese usuario o grupo en la columna Rol asignado.

  4. Para cambiar el rol predeterminado que se les asigna a los usuarios y grupos nuevos, ve al menú desplegable de roles en la esquina superior derecha.

  5. Para borrar un usuario o un grupo, haz clic en el ícono de la papelera que aparece en el extremo derecho de la fila de usuarios o grupos cuando mantienes el puntero sobre ellos.

    Si borras usuarios y grupos que son administradores, y los únicos administradores restantes no están en tu IdP, perderás el acceso de administrador.

Roles y permisos

Funciones

Los roles están asociados con un conjunto de permisos de productos. Si asignas un rol a un usuario, se le otorgarán los permisos asociados con ese rol.

Google Security Operations incluye los siguientes roles predefinidos:

  • Administrador: Administra las políticas de control de acceso basado en roles de tu empresa. También puede editar o ver cualquier página de Google Security Operations.
  • Editor: Puede editar las páginas de Google Security Operations, incluida la capacidad de crear y editar reglas para Detection Engine.
  • Visualizador: Puede ver cualquier página de Operaciones de seguridad de Google, pero no puede realizar cambios.
  • ViewerWithNoDetectAccess: Puede ver todas las páginas de Operaciones de seguridad de Google que no incluyen detecciones (principalmente las páginas de reglas y listas de referencias).

Las aplicaciones de RBAC incluyen lo siguiente:

  • Crea y asigna roles según las responsabilidades del puesto.
  • Crea y asigna roles en función de inquilinos u organizaciones.
  • Asignar roles temporales a los analistas para investigar un problema.

Permisos

Los permisos proporcionan la autorización necesaria para realizar una sola acción controlada en Operaciones de seguridad de Google, incluidos los siguientes (consulta la interfaz de usuario para ver la lista completa de permisos):

  • Ver regla
  • Modificar regla
  • Editar comentarios
  • Edita la lista de referencias
  • Ver permisos de RBAC

Si un usuario no tiene permisos para una acción, se inhabilita la funcionalidad asociada. Por ejemplo, si el usuario tiene el rol de visor, no puede crear una regla nueva (el botón Nueva está inhabilitado en el editor de reglas), duplicar una regla (la opción Duplicar está inhabilitada) ni modificar una regla existente.

Si deseas ver los roles y permisos disponibles para los usuarios y grupos, completa los siguientes pasos:

  1. Haz clic en el vínculo Roles que se encuentra en el panel de navegación izquierdo.

  2. Selecciona un rol de la columna Roles para ver los permisos otorgados para ese rol. No se pueden cambiar los permisos asociados con cada rol.

El rol predeterminado para los usuarios y grupos recién agregados es Visualizador. Si seleccionas uno de los otros roles (por ejemplo, Editor), el control Establecer como predeterminado estará disponible. Esto te permite establecer ese rol como predeterminado en su lugar.