配置 Google Cloud 身份提供方

您可以使用 Cloud Identity、Google Workspace 或第三方身份提供方（例如 Okta 或 Azure AD）来管理用户、群组和身份验证。

本页面介绍了如何使用 Cloud Identity 或 Google Workspace。如需了解如何配置第三方身份提供方，请参阅为 Google Security Operations 配置第三方身份提供方。

使用 Cloud Identity 或 Google Workspace 时，您可以创建代管式用户帐号来控制对 Google Cloud 资源和 Google SecOps 的访问权限。

您可以创建 IAM 政策，以定义哪些用户和群组有权访问 Google SecOps 功能。这些 IAM 政策使用 Google SecOps 提供的预定义角色和权限或您创建的自定义角色进行定义。

在将 Google SecOps 与 Google Cloud 服务相关联的步骤中，您需要配置与 Google Cloud Identity 的连接。配置完成后，Google SecOps 直接与 Cloud Identity 或 Google Workspace 集成，以对用户进行身份验证，并根据您创建的 IAM 政策允许或拒绝对功能的访问权限。

如需详细了解如何创建 Cloud Identity 或 Google Workspace 帐号，请参阅用户的身份。

授予一个角色以启用 Google SecOps 登录功能

以下步骤介绍了如何使用 IAM 授予特定角色，以便用户可以登录 Google SecOps。使用您之前创建的与 Google SecOps 绑定的 Google Cloud 项目执行配置。

此示例使用 gcloud 命令。如需使用 Google Cloud 控制台，请参阅授予单个角色。

1. 向应该有权访问 Google Security Operations 应用的用户或群组授予 Chronicle API Viewer (roles/chronicle.viewer) 角色。

   以下示例会向特定群组授予 Chronicle API Viewer 角色：

   gcloud projects add-iam-policy-binding PROJECT_ID \
     --role roles/chronicle.viewer \
     --member "group:GROUP_EMAIL"
   

   请替换以下内容：

   • PROJECT_ID：替换为您在为 Google Security Operations 配置 Google Cloud 项目中配置的 Google Security Operations 绑定项目的 ID。请参阅创建和管理项目，了解用于标识项目的字段。
   • GROUP_EMAIL：群组的电子邮件别名，例如 analyst-t1@example.com。

   如需将 Chronicle API Viewer 角色授予特定用户，请运行以下命令：

   gcloud projects add-iam-policy-binding PROJECT_ID \
     --role roles/chronicle.viewer \
     --member "principal:USER_EMAIL"
   

   替换 USER_EMAIL：用户的用户电子邮件地址，例如 alice@example.com。

   如需查看如何向其他成员（例如群组或网域）授予角色的示例，请参阅 gcloud projects add-iam-policy-binding 和主账号标识符参考文档。

2. 配置其他 IAM 政策以满足您的组织要求。

后续步骤

完成本文档中的步骤后，请执行以下操作：

• 执行将 Google Security Operations 实例关联到 Google Cloud 服务的步骤。

• 如果您尚未设置审核日志记录，请继续启用 Google Security Operations 审核日志记录。

• 如果您要为 Google Security Operations 进行配置，请执行在 Google Security Operations 中预配、身份验证和映射用户中的其他步骤。

• 如需配置功能访问权限，请执行使用 IAM 配置功能访问权限控制和 IAM 中的 Google Security Operations 权限中的额外步骤