Configure um Google Cloud Fornecedor de identidade
Pode usar o Cloud ID, o Google Workspace ou um fornecedor de identidade de terceiros (como o Okta ou o Azure AD) para gerir utilizadores, grupos e autenticação.
Esta página descreve como usar o Cloud ID ou o Google Workspace.
Quando usa o Cloud ID ou o Google Workspace, cria contas de utilizador geridas para controlar o acesso aos recursos e ao Google SecOps. Google Cloud
Cria políticas de IAM que definem que utilizadores e grupos têm acesso às funcionalidades do Google SecOps. Estas políticas da IAM são definidas através de funções e autorizações predefinidas fornecidas pelo Google SecOps ou funções personalizadas que criar.
Como parte da associação de uma instância do Google SecOps a Google Cloud serviços, configure uma associação a um Google Cloud IdP. A instância do Google SecOps integra-se diretamente com o Cloud Identity ou o Google Workspace para autenticar os utilizadores e aplicar o controlo de acesso com base nas políticas de IAM configuradas.
Consulte Identidades para utilizadores para obter informações detalhadas sobre a criação de contas do Cloud ID ou Google Workspace.
Conceda uma função para ativar o início de sessão no Google SecOps
Os passos seguintes descrevem como conceder uma função específica através da IAM para que um utilizador possa iniciar sessão no Google SecOps. Faça a configuração através do projeto associado ao Google SecOps que criou anteriormente. Google Cloud
Conceda a função Visualizador da API Chronicle (
roles/chronicle.viewer) aos utilizadores ou grupos que devem ter acesso à aplicação Google Security Operations.O exemplo seguinte atribui a função de leitor da API Chronicle a um grupo específico:
gcloud projects add-iam-policy-binding PROJECT_ID \ --role roles/chronicle.viewer \ --member "group:GROUP_EMAIL"Substitua o seguinte:
PROJECT_ID: com o ID do projeto do projeto associado ao Google Security Operations que configurou em Configure um Google Cloud projeto para o Google Security Operations. Consulte o artigo Criar e gerir projetos para ver uma descrição dos campos que identificam um projeto.GROUP_EMAIL: o alias de email do grupo, comoanalyst-t1@example.com.
Para conceder a função de leitor da API Chronicle a um utilizador específico, execute o seguinte comando:
gcloud projects add-iam-policy-binding PROJECT_ID \ --role roles/chronicle.viewer \ --member "principal:USER_EMAIL"Substitua
USER_EMAILpelo endereço de email do utilizador, comoalice@example.com.Para ver exemplos de como conceder funções a outros membros, como um grupo ou um domínio, consulte a documentação de referência gcloud projects add-iam-policy-binding e Identificadores principais.
Configure políticas de IAM adicionais para cumprir os requisitos de acesso e segurança da sua organização.
O que se segue?
Depois de concluir os passos neste documento, faça o seguinte:
Execute os passos para associar uma instância do Google Security Operations a Google Cloud serviços.
Se ainda não configurou o registo de auditoria, continue com a ativação do registo de auditoria do Google Security Operations.
Se estiver a configurar o Google Security Operations, execute passos adicionais no artigo Aprovisione, autentique e mapeie utilizadores no Google Security Operations.
Para configurar o acesso às funcionalidades, execute passos adicionais em Configure o controlo de acesso a funcionalidades através da IAM e autorizações do Google Security Operations na IAM.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.