配置 Google Cloud 身份提供方
您可以使用 Cloud Identity、Google Workspace 或第三方身份 提供商(例如 Okta 或 Azure AD)来管理用户、群组和身份验证。
本页面介绍了如何使用 Cloud Identity 或 Google Workspace。 如需了解如何配置第三方身份提供方, 请参阅为 Google Security Operations 配置第三方身份提供方。
使用 Cloud Identity 或 Google Workspace 时,您需要创建受管理的用户账号 来控制对 Google Cloud 资源和 Google SecOps 的访问权限。
您可以创建 IAM 政策来定义哪些用户和群组具有访问权限 Google SecOps 功能。这些 IAM 政策 使用 Google SecOps 提供的预定义角色和权限定义 或自定义角色
在将 Google SecOps 与 Google Cloud 服务相关联的步骤中, 您需要配置与 Google Cloud 身份的连接。配置完成后 Google SecOps 直接与 Cloud Identity 或 Google Workspace 集成 验证用户身份,并根据 IAM 允许或拒绝对功能的访问权限 创建的政策
请参阅用户身份 详细了解如何创建 Cloud Identity 或 Google Workspace 账号。
授予一个角色以启用 Google SecOps 登录功能
以下步骤介绍了如何使用 IAM 授予特定角色 以便用户登录 Google SecOps。使用以下内容执行配置: 您之前创建的与 Google SecOps 绑定的 Google Cloud 项目。
此示例使用 gcloud
命令。如需使用 Google Cloud 控制台,请执行以下操作:
请参阅授予单个角色。
授予 Chronicle API Viewer (
roles/chronicle.viewer
) 角色分配给应该有权访问 Google Security Operations 应用的用户或群组。以下示例会向特定群组授予 Chronicle API Viewer 角色:
gcloud projects add-iam-policy-binding PROJECT_ID \ --role roles/chronicle.viewer \ --member "group:GROUP_EMAIL"
替换以下内容:
PROJECT_ID
:使用 Google Security Operations 绑定的项目的 ID 您在为 Google Security Operations 配置 Google Cloud 项目中配置的。 请参阅创建和管理项目,了解用于标识项目的字段。GROUP_EMAIL
:群组的电子邮件别名,例如analyst-t1@example.com
。
如需将 Chronicle API Viewer 角色授予特定用户,请运行以下命令:
gcloud projects add-iam-policy-binding PROJECT_ID \ --role roles/chronicle.viewer \ --member "principal:USER_EMAIL"
替换
USER_EMAIL
:用户的用户电子邮件地址,例如alice@example.com
。有关如何向其他成员(例如群组或网域)授予角色的示例,请参阅 gcloud projects add-iam-policy-binding 和主账号标识符参考文档。
配置其他 IAM 政策以满足您的组织要求。
后续步骤
完成本文档中的步骤后,请执行以下操作:
如果您尚未设置审核日志记录,请继续 启用 Google Security Operations 审核日志记录。
如果您要为 Google Security Operations 进行配置,请在 在 Google Security Operations 中预配、身份验证和映射用户。
如需配置功能访问权限,请执行使用 IAM 配置功能访问权限控制和 IAM 中的 Google Security Operations 权限中的额外步骤