Google Cloud ID プロバイダを構成する

Cloud Identity、Google Workspace、またはサードパーティの ID プロバイダ(Okta や Azure AD など)を使用してユーザー、グループ、認証を管理できます。

このページでは、Cloud Identity または Google Workspace の使用方法について説明します。サードパーティの ID プロバイダの構成については、Google Security Operations 用にサードパーティ ID プロバイダを構成するをご覧ください。

Cloud Identity または Google Workspace を使用する場合は、管理対象ユーザー アカウントを作成して、Google Cloud リソースと Google SecOps へのアクセスを制御します。

Google SecOps 機能へのアクセス権を付与するユーザーとグループを定義する IAM ポリシーを作成します。これらの IAM ポリシーは、Google SecOps または作成したカスタムロールによって指定される事前定義のロールと権限を使用して定義します。

Google SecOps を Google Cloud サービスにリンクする手順を実施する際に、Google Cloud Identity への接続を構成します。これを構成すると、Google SecOps は Cloud Identity または Google Workspace と直接統合され、ユーザーを認証し、作成した IAM ポリシーに基づいて機能へのアクセスを許可または拒否します。

Cloud Identity アカウントまたは Google Workspace アカウント作成の詳細については、ユーザーの ID をご覧ください。

Google SecOps へのログインを有効にするためのロールを付与する

次の手順では、ユーザーが Google SecOps にログインできるように IAM を使用して特定のロールを付与する方法について説明します。先ほど作成した Google SecOps にバインドされた Google Cloud プロジェクトを使用して構成を行います。

この例では、gcloud コマンドを使用します。Google Cloud コンソールを使用するには、単一のロールを付与するをご覧ください

  1. Google Security Operations アプリケーションへのアクセス権を付与するユーザーまたはグループに Chronicle API 閲覧者(roles/chronicle.viewerロールを付与します。

    次の例では、Chronicle API 閲覧者のロールを特定のグループに付与します。

    gcloud projects add-iam-policy-binding PROJECT_ID \
  --role roles/chronicle.viewer \
  --member "group:GROUP_EMAIL"

    次のように置き換えます。

    Chronicle API 閲覧者のロールを特定のユーザーに付与するには、次のコマンドを実行します。

    gcloud projects add-iam-policy-binding PROJECT_ID \
  --role roles/chronicle.viewer \
  --member "principal:USER_EMAIL"

    USER_EMAIL は、ユーザーのメールアドレス(alice@example.com など)に置き換えます。

    グループやドメインなどの他のメンバーにロールを付与する方法の例については、gcloud projects add-iam-policy-bindingプリンシパル識別子のリファレンス ドキュメントをご覧ください。

  2. 組織の要件に合わせて IAM ポリシーを追加で構成します。

次のステップ

このドキュメントの手順を完了したら、次の操作を行います。