設定 Google Cloud 識別資訊提供者

您可以透過 Cloud Identity、Google Workspace 或第三方身分識別提供者 (例如 Okta 或 Azure AD) 管理使用者、群組和驗證作業。

本頁說明如何使用 Cloud Identity 或 Google Workspace。

使用 Cloud Identity 或 Google Workspace 時，您會建立代管的使用者帳戶，控管資源和 Google SecOps 的存取權。 Google Cloud

您建立的 IAM 政策會定義哪些使用者和群組有權存取 Google SecOps 功能。這些 IAM 政策是使用 Google SecOps 提供的預先定義角色和權限，或是您建立的自訂角色定義。

將 Google SecOps 執行個體連結至服務時，請設定與 IdP 的連線。 Google Cloud Google Cloud Google SecOps 執行個體會直接與 Cloud Identity 或 Google Workspace 整合，根據您設定的 IAM 政策驗證使用者身分，並強制執行存取權控管。

如要詳細瞭解如何建立 Cloud Identity 或 Google Workspace 帳戶，請參閱「使用者身分」。

授予角色，以便登入 Google SecOps

請按照下列步驟，使用 IAM 授予特定角色，讓使用者登入 Google SecOps。使用您先前建立的 Google SecOps 繫結專案 Google Cloud 進行設定。

1. 將 Chronicle API 檢視者 (roles/chronicle.viewer) 角色授予應有權存取 Google Security Operations 應用程式的使用者或群組。

   • 下列範例會將 Chronicle API 檢視者角色授予特定群組：

     gcloud projects add-iam-policy-binding PROJECT_ID \
       --role roles/chronicle.viewer \
       --member "group:GROUP_EMAIL"
     

     更改下列內容：

     • PROJECT_ID：Google Security Operations 繫結專案的專案 ID，您已在「為 Google Security Operations 設定專案」中設定此專案。 Google Cloud 如需專案識別欄位的說明，請參閱「建立及管理專案」。
     • GROUP_EMAIL：群組的電子郵件別名，例如 analyst-t1@example.com。

   • 如要將 Chronicle API 檢視者角色授予特定使用者，請執行下列指令：

     gcloud projects add-iam-policy-binding PROJECT_ID \
       --role roles/chronicle.viewer \
       --member "principal:USER_EMAIL"
     

     將 USER_EMAIL 替換為使用者的電子郵件地址，例如 alice@example.com。

   • 如要瞭解如何將角色授予其他成員 (例如群組或網域)，請參閱 gcloud projects add-iam-policy-binding 和主體 ID 參考文件。

2. 設定額外的 IAM 政策，滿足貴機構的存取權和安全性需求。

後續步驟

完成本文中的步驟後，請執行下列操作：

• 按照步驟將 Google Security Operations 執行個體連結至 Google Cloud 服務。

• 如果尚未設定稽核記錄，請繼續啟用 Google Security Operations 稽核記錄。

• 如果您要設定 Google Security Operations，請按照「在 Google Security Operations 中佈建、驗證及對應使用者」一文中的額外步驟操作。

• 如要設定功能存取權，請按照「使用 IAM 設定功能存取控管機制」和「IAM 中的 Google Security Operations 權限」一文中的額外步驟操作。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。