Google Cloud ID 공급업체 구성

Cloud ID, Google Workspace, 서드 파티 ID 공급업체(예: Okta 또는 Azure AD)를 사용하여 사용자, 그룹, 인증을 관리할 수 있습니다.

이 페이지에서는 Cloud ID 또는 Google Workspace를 사용하는 방법을 설명합니다. 서드 파티 ID 공급업체 구성 방법에 대한 자세한 내용은 Google Security Operations의 서드 파티 ID 공급업체 구성을 참조하세요.

Cloud ID 또는 Google Workspace를 사용할 때는 관리형 사용자 계정을 만들어 Google Cloud 리소스와 Google SecOps에 대한 액세스 권한을 제어합니다.

Google SecOps 기능에 액세스할 수 있는 사용자와 그룹을 정의하는 IAM 정책을 만듭니다. 이러한 IAM 정책은 Google SecOps에서 제공하는 사전 정의된 역할과 권한 또는 개발자가 만든 커스텀 역할을 통해 정의됩니다.

Google SecOps를 Google Cloud 서비스에 연결하는 동안에 Google Cloud ID에 대한 연결을 구성합니다. 구성이 완료되면 Google SecOps가 Cloud ID 또는 Google Workspace와 직접 통합되어 사용자를 인증하고 개발자가 만든 IAM 정책에 따라 기능에 대한 액세스 권한을 허용하거나 거부합니다.

Cloud ID 또는 Google Workspace 계정을 만드는 방법에 대한 자세한 내용은 사용자의 ID를 참조하세요.

Google SecOps에 로그인을 사용 설정하도록 역할 부여

다음 단계에서는 사용자가 Google SecOps에 로그인할 수 있도록 IAM을 사용하여 특정 역할을 부여하는 방법을 설명합니다. 앞에서 만든 Google SecOps에 바인딩된 Google Cloud 프로젝트를 사용하여 구성을 수행합니다.

이 예시에서는 gcloud 명령어를 사용합니다. Google Cloud 콘솔을 사용하려면 단일 역할 부여를 참조하세요.

  1. Google Security Operations 애플리케이션에 대해 액세스 권한을 가져야 하는 사용자 또는 그룹에 Chronicle API 뷰어(roles/chronicle.viewer) 역할을 부여합니다.

    다음 예시에서는 특정 그룹에 Chronicle API 뷰어 역할을 부여합니다.

    gcloud projects add-iam-policy-binding PROJECT_ID \
      --role roles/chronicle.viewer \
      --member "group:GROUP_EMAIL"
    

    다음을 바꿉니다.

    특정 사용자에게 Chronicle API 뷰어 역할을 부여하려면 다음 명령어를 실행합니다.

    gcloud projects add-iam-policy-binding PROJECT_ID \
      --role roles/chronicle.viewer \
      --member "principal:USER_EMAIL"
    

    USER_EMAIL:을 사용자의 사용자 이메일 주소(예: alice@example.com)로 바꿉니다.

    그룹 또는 도메인과 같은 다른 구성원에게 역할을 부여하는 방법의 예시는 gcloud projects add-iam-policy-binding주 구성원 식별자 참고 문서를 참조하세요.

  2. 조직 요구사항을 충족하도록 추가 IAM 정책을 구성합니다.

다음 단계

이 문서의 단계를 완료한 후 다음을 수행합니다.