基于角色的访问控制 (RBAC) 用户指南

通过基于角色的访问权限控制 (RBAC),管理员可以定制 根据员工在组织中的角色提供 Google Security Operations 功能。

准备工作

RBAC 从以下不区分大小写的默认属性名称中读取 SAML 响应中的群组信息:

  • group
  • idpgroup group
  • memberof

如果您使用自定义属性名称,必须先将其提供给您的 Google Security Operations,以便您能够修改 RBAC 设置。

修改 RBAC 设置

如需转到 RBAC 个人资料和设置页面,请点击导航栏中的设置

个人资料

个人资料页面会显示用户个人资料中的信息(用户 ID、群组 ID、分配的角色)以及有关其组织的一些其他信息(客户 ID、Google Cloud 项目编号、Google Cloud 项目 ID)。

客户 ID

您的客户 ID 位于个人资料页面的 Organization Details(单位详细信息)部分。

时区

您可以点击“时间设置”旁边的修改,更改与您的个人资料相关联的时区。选择相应的时区,然后点击保存。这会更改大部分界面上显示的时间,使其与所选时区保持一致。

用户和群组

用户和群组页面可让管理员配置 RBAC。

  1. 点击左侧导航窗格中的用户和群组链接。用户和群组页面上会显示用户和群组列表,其中包含以下列:用户/群组类型已分配的角色

  2. 点击分配新角色以打开分配角色对话框。在此对话框中,您可以完成以下任务:

    • 将一个或多个新用户分配给角色。
    • 将一个或多个新群组分配给角色。

    可用角色包括:

    • 默认
    • ViewerWithNoDetectAccess
    • Viewer
    • Editor
    • 管理员

    添加用户或群组 ID 并从 ASSIGN ROLE 下拉菜单中选择适当的角色后,点击 ASSIGN

    分配角色时,请注意以下事项:

    • 添加用户或群组时,请确保相应用户或群组存在于您的身份提供方 (IdP) 中。删除用户或群组时,请确保您至少保留一个拥有“管理员”角色且位于 IdP 中的用户或群组;否则,您将失去管理员权限。
    • 用户和群组 IdP ID 区分大小写。
    • 您无法使用此对话框更改已为现有用户或群组分配的角色。请参阅以下步骤,了解如何更改角色以及删除用户和群组。
    • Google Security Operations 可管理用户与群组及角色之间的映射。
    • 如果用户或群组 ID 包含可能使用 UTF-8 编码的特殊字符(取决于文本源),请谨慎使用。点击布置作业后,Google 建议您确认新作业是否已正确保存。

  3. 您可以更改现有用户或群组的角色,方法是在已分配的角色列中,从与该用户或群组对应的下拉菜单中选择新角色。

  4. 您可以从右上角的角色下拉菜单中更改已分配给新用户和群组的默认角色。

  5. 您可以删除某个用户或群组,方法是将鼠标指针悬停在该用户或群组行的最右侧,然后点击显示的垃圾桶图标。

    如果您删除具有管理员身份的用户和群组,且仅剩下的管理员不在您的 IDP 中,则您将失去管理员访问权限。

角色与权限

角色

角色与一组产品权限相关联。向用户分配角色可授予用户与该角色关联的权限。

Google Security Operations 包含以下预定义角色:

  • Administrator - 为您的企业管理基于角色的访问权限控制政策。还可以修改或查看任何 Google Security Operations 页面。
  • 编辑者 - 可以修改 Google Security Operations 页面,包括创建和修改检测引擎规则的功能。
  • Viewer - 可以查看任何 Google Security Operations 页面,但无法进行任何更改。
  • ViewerWithNoDetectAccess - 可以查看不包含检测结果的所有 Google Security Operations 页面(主要是“规则”页面和“参考列表”页面)。

RBAC 应用包括以下各项:

  • 根据工作职责创建和分配角色。
  • 根据租户或组织创建和分配角色。
  • 为分析人员分配临时角色以调查问题。

权限

权限提供了在 Google Security Operations 中执行某项受控操作所需的授权,包括(如需查看权限的完整列表,请参阅界面):

  • 查看规则
  • 修改规则
  • 修改反馈
  • 修改参考列表
  • 查看 RBAC 权限

如果用户没有操作的权限,关联的功能将被停用。例如,如果用户拥有“Viewer 角色,则他们无法创建新规则(规则编辑器中的新建按钮处于停用状态)、复制规则(复制选项处于停用状态)或修改现有规则。

如需查看用户和群组可用的角色和权限,请完成以下操作:

  1. 点击左侧导航窗格中的角色链接。

  2. 从“角色”列中选择角色以查看授予该角色的权限。与每个角色关联的权限无法更改。

新添加的用户和群组的默认角色是 Viewer。如果您选择了其他某个角色(例如“编辑者”),则会显示设为默认控件。这样,您就可以将该角色设置为默认角色。