Google Cloud-Identitätsanbieter konfigurieren
Sie können Cloud Identity, Google Workspace oder die Identität eines Drittanbieters verwenden (z. B. Okta oder Azure AD), um Nutzer, Gruppen und die Authentifizierung zu verwalten.
Auf dieser Seite wird die Verwendung von Cloud Identity oder Google Workspace beschrieben. Informationen zum Konfigurieren eines externen Identitätsanbieters Weitere Informationen finden Sie unter Externen Identitätsanbieter für Google Security Operations konfigurieren.
Wenn Sie Cloud Identity oder Google Workspace verwenden, erstellen Sie verwaltete Nutzerkonten um den Zugriff auf Google Cloud-Ressourcen und Google SecOps zu steuern.
Sie erstellen IAM-Richtlinien, die festlegen, welche Nutzer und Gruppen Zugriff haben Google SecOps-Features. Diese IAM-Richtlinien werden mithilfe vordefinierter Rollen und Berechtigungen von Google SecOps definiert oder benutzerdefinierten Rollen erstellen.
Bei den Schritten zum Verknüpfen von Google SecOps mit Google Cloud-Diensten eine Verbindung zu Google Cloud Identity konfigurieren. Nach der Konfiguration Google SecOps lässt sich direkt in Cloud Identity oder Google Workspace einbinden zum Authentifizieren von Nutzern und zum Zulassen oder Ablehnen des Zugriffs auf Features basierend auf von Ihnen erstellten Richtlinien.
Siehe Identitäten für Nutzer finden Sie ausführliche Informationen zum Erstellen von Cloud Identity- oder Google Workspace-Konten.
Rolle für die Anmeldung in Google SecOps gewähren
In den folgenden Schritten wird beschrieben, wie Sie mithilfe von IAM eine bestimmte Rolle zuweisen damit sich ein Nutzer in Google SecOps anmelden kann. Führen Sie die Konfiguration mit das an Google SecOps gebundene Google Cloud-Projekt, das Sie zuvor erstellt haben.
In diesem Beispiel wird der Befehl gcloud
verwendet. So verwenden Sie die Google Cloud Console:
Siehe Eine einzelne Rolle zuweisen.
Chronicle API Viewer (
roles/chronicle.viewer
) gewähren Rolle für Nutzer oder Gruppen zu, die Zugriff auf die Google Security Operations-Anwendung haben sollen.Im folgenden Beispiel wird einer bestimmten Gruppe die Rolle „Chonicle API Viewer“ zugewiesen:
gcloud projects add-iam-policy-binding PROJECT_ID \ --role roles/chronicle.viewer \ --member "group:GROUP_EMAIL"
Ersetzen Sie Folgendes:
PROJECT_ID
: durch die Projekt-ID des an Google Security Operations gebundenen Projekts Sie unter Google Cloud-Projekt für Google Security Operations konfigurieren konfiguriert haben. Unter Projekte erstellen und verwalten finden Sie eine Beschreibung der Felder, die ein Projekt identifizieren.GROUP_EMAIL
: der E-Mail-Alias für die Gruppe, z. B.analyst-t1@example.com
.
Führen Sie den folgenden Befehl aus, um einem bestimmten Nutzer die Rolle „Chronicle API Viewer“ zu gewähren:
gcloud projects add-iam-policy-binding PROJECT_ID \ --role roles/chronicle.viewer \ --member "principal:USER_EMAIL"
Ersetzen Sie
USER_EMAIL
durch die E-Mail-Adresse des Nutzers, z. B.alice@example.com
.Beispiele für das Zuweisen von Rollen an andere Mitglieder, z. B. einer Gruppe oder Domain, finden Sie unter Referenzdokumentation zu gcloud projects add-iam-policy-binding und Hauptkennungen
Konfigurieren Sie zusätzliche IAM-Richtlinien, um die Anforderungen Ihrer Organisation zu erfüllen.
Nächste Schritte
Führen Sie nach Abschluss der Schritte in diesem Dokument die folgenden Schritte aus:
Führen Sie die Schritte zum Verknüpfen einer Google Security Operations-Instanz mit Google Cloud-Diensten aus.
Wenn Sie Audit-Logging noch nicht eingerichtet haben, fahren Sie mit Audit-Logging von Google Security Operations aktivieren
Wenn Sie für Google Security Operations konfigurieren, führen Sie zusätzliche Schritte in Nutzer in Google Security Operations bereitstellen, authentifizieren und zuordnen
Zum Konfigurieren des Zugriffs auf Features führen Sie zusätzliche Schritte unter Zugriffssteuerung für Features mit IAM konfigurieren und Google Security Operations-Berechtigungen in IAM aus