配置 Google Cloud 身份提供方

您可以使用 Cloud Identity、Google Workspace 或第三方身份 提供商（例如 Okta 或 Azure AD）来管理用户、群组和身份验证。

本页面介绍了如何使用 Cloud Identity 或 Google Workspace。 如需了解如何配置第三方身份提供方， 请参阅为 Google Security Operations 配置第三方身份提供方。

使用 Cloud Identity 或 Google Workspace 时，您需要创建受管理的用户账号 来控制对 Google Cloud 资源和 Google SecOps 的访问权限。

您可以创建 IAM 政策来定义哪些用户和群组具有访问权限 Google SecOps 功能。这些 IAM 政策 使用 Google SecOps 提供的预定义角色和权限定义 或自定义角色

在将 Google SecOps 与 Google Cloud 服务相关联的步骤中， 您需要配置与 Google Cloud 身份的连接。配置完成后 Google SecOps 直接与 Cloud Identity 或 Google Workspace 集成 验证用户身份，并根据 IAM 允许或拒绝对功能的访问权限 创建的政策

请参阅用户身份 详细了解如何创建 Cloud Identity 或 Google Workspace 账号。

授予一个角色以启用 Google SecOps 登录功能

以下步骤介绍了如何使用 IAM 授予特定角色 以便用户登录 Google SecOps。使用以下内容执行配置： 您之前创建的与 Google SecOps 绑定的 Google Cloud 项目。

此示例使用 gcloud 命令。如需使用 Google Cloud 控制台，请执行以下操作： 请参阅授予单个角色。

1. 授予 Chronicle API Viewer (roles/chronicle.viewer) 角色分配给应该有权访问 Google Security Operations 应用的用户或群组。

   以下示例会向特定群组授予 Chronicle API Viewer 角色：

   gcloud projects add-iam-policy-binding PROJECT_ID \
     --role roles/chronicle.viewer \
     --member "group:GROUP_EMAIL"
   

   替换以下内容：

   • PROJECT_ID：使用 Google Security Operations 绑定的项目的 ID 您在为 Google Security Operations 配置 Google Cloud 项目中配置的。 请参阅创建和管理项目，了解用于标识项目的字段。
   • GROUP_EMAIL：群组的电子邮件别名，例如 analyst-t1@example.com。

   如需将 Chronicle API Viewer 角色授予特定用户，请运行以下命令：

   gcloud projects add-iam-policy-binding PROJECT_ID \
     --role roles/chronicle.viewer \
     --member "principal:USER_EMAIL"
   

   替换 USER_EMAIL：用户的用户电子邮件地址，例如 alice@example.com。

   有关如何向其他成员（例如群组或网域）授予角色的示例，请参阅 gcloud projects add-iam-policy-binding 和主账号标识符参考文档。

2. 配置其他 IAM 政策以满足您的组织要求。

后续步骤

完成本文档中的步骤后，请执行以下操作：

• 执行将 Google Security Operations 实例关联到 Google Cloud 服务的步骤。

• 如果您尚未设置审核日志记录，请继续 启用 Google Security Operations 审核日志记录。

• 如果您要为 Google Security Operations 进行配置，请在 在 Google Security Operations 中预配、身份验证和映射用户。

• 如需配置功能访问权限，请执行使用 IAM 配置功能访问权限控制和 IAM 中的 Google Security Operations 权限中的额外步骤