Guia do usuário do controle de acesso baseado em função (RBAC)

Compatível com:

O controle de acesso baseado em função (RBAC) permite que um administrador personalize o acesso aos recursos do Google Security Operations com base na função de um funcionário na sua organização.

Antes de começar

O RBAC lê as informações do grupo na resposta SAML com base nos seguintes nomes de atributos padrão, que não diferenciam maiúsculas de minúsculas:

  • group
  • idpgroup group
  • memberof

Se você usar um nome de atributo personalizado, primeiro informe-o às Operações de segurança do Google para que seja possível modificar as configurações do RBAC.

Modificar as configurações do RBAC

Para navegar até as páginas de perfil e de configurações do RBAC, clique em Configurações na barra de navegação.

Perfil

A página Perfil mostra as informações do perfil do usuário (ID do usuário, ID do grupo, funções atribuídas) e algumas informações adicionais sobre a organização (ID do cliente, número do projeto do Google Cloud, ID do projeto do Google Cloud).

ID de cliente

O ID de cliente está na seção Detalhes da organização da página Perfil.

Fuso horário

Para mudar o fuso horário associado ao seu perfil, clique em Editar ao lado de "Configurações de tempo". Selecione o fuso horário correto e clique em Salvar. Isso altera o horário exibido na maior parte da interface do usuário para corresponder ao fuso horário selecionado.

Usuários e grupos

Na página Usuários e grupos, o administrador pode configurar o RBAC.

  1. Clique no link Usuários e grupos no painel de navegação à esquerda. Uma lista de usuários e grupos é exibida na página Usuários e grupos com as colunas Usuário/Grupo, Tipo e Função atribuída.

  2. Clique em Atribuir nova para abrir a caixa de diálogo Atribuir função. Nessa caixa de diálogo, você pode realizar as seguintes tarefas:

    • Atribua um novo usuário ou usuários a uma função.
    • Atribuir um ou mais grupos a uma função.

    Os papéis disponíveis são:

    • Padrão
    • ViewerWithNoDetectAccess
    • Leitor
    • Editor
    • Administrador

    Depois de adicionar os IDs de usuário ou grupo e selecionar a função adequada no menu suspenso ATRIBUIR FUNÇÃO, clique em ATRIBUIR.

    Ao atribuir papéis, esteja ciente do seguinte:

    • Ao adicionar usuários ou grupos, verifique se eles existem no seu provedor de identidade (IdP). Ao excluir usuários ou grupos, mantenha pelo menos um usuário ou grupo com a função de administrador e que esteja no seu IdP. Caso contrário, você vai perder o acesso de administrador.
    • Os IDs de IdP de usuários e grupos diferenciam maiúsculas de minúsculas.
    • Não é possível alterar a função atribuída a um usuário ou grupo usando esta caixa de diálogo. Consulte as etapas a seguir para saber como mudar funções e excluir usuários e grupos.
    • As Operações de segurança do Google gerenciam o mapeamento entre usuários, grupos e papéis.
    • Tenha cuidado se o ID do usuário ou do grupo tiver caracteres especiais que, dependendo da origem do texto, podem usar a codificação UTF-8. Depois que você clicar em Atribuir, o Google recomenda que você verifique se a nova atividade foi salva corretamente.
  3. Para alterar a função de um usuário ou grupo, selecione uma nova função no menu suspenso correspondente ao usuário ou grupo na coluna Função atribuída.

  4. É possível mudar a função padrão atribuída a novos usuários e grupos no menu suspenso de funções no canto superior direito.

  5. Para excluir um usuário ou grupo, clique no ícone de lixeira que aparece no lado direito da linha do usuário ou grupo enquanto você mantém o ponteiro sobre ele.

    Se você excluir usuários e grupos que são administradores e os únicos administradores restantes não estiverem no IdP, você perderá o acesso de administrador.

Papéis e permissões

Papéis

Os papéis estão associados a um conjunto de permissões do produto. Ao atribuir uma função a um usuário, ele recebe as permissões associadas a essa função.

As Operações de segurança do Google incluem os seguintes papéis predefinidos:

  • Administrador: gerencia as políticas de controle de acesso baseado em função da sua empresa. Também pode editar ou acessar qualquer página de Operações de segurança do Google.
  • Editor: pode editar páginas do Google Security Operations, incluindo a capacidade de criar e editar regras para o mecanismo de detecção.
  • Leitor: pode acessar qualquer página das Operações de segurança do Google, mas não pode fazer alterações.
  • ViewerWithNoDetectAccess: pode acessar todas as páginas das Operações de segurança do Google que não incluem detecções (principalmente as páginas "Regras" e "Listas de referência").

Os aplicativos do RBAC incluem:

  • Criar e atribuir funções com base nas responsabilidades do cargo.
  • Crie e atribua funções com base em locações ou organizações.
  • Atribuir papéis temporários a analistas para investigar um problema.

Permissões

As permissões fornecem a autorização necessária para realizar uma única ação controlada no Google Security Operations, incluindo (consulte a interface do usuário para conferir a lista completa de permissões):

  • Ver regra
  • Modificar regra
  • Editar feedback
  • Editar lista de referências
  • Acessar permissões de controle de acesso baseado em função (RBAC)

Se um usuário não tiver permissões para uma ação, a funcionalidade associada será desativada. Por exemplo, se o usuário tiver a função de leitor, ele não poderá criar uma nova regra (o botão Nova está desativado no editor de regras), duplicar uma regra (a opção Duplicar está desativada) ou modificar uma regra existente.

Para conferir as funções e permissões disponíveis para usuários e grupos, faça o seguinte:

  1. Clique no link Funções no painel de navegação à esquerda.

  2. Selecione uma função na coluna "Funções" para conferir as permissões concedidas a ela. As permissões associadas a cada função não podem ser alteradas.

A função padrão para usuários e grupos recém-adicionados é "Leitor". Se você selecionar uma das outras funções, como "Editor", o controle Definir como padrão vai ficar disponível. Assim, você pode definir essa função como padrão.