Configura un proveedor de identidad de Google Cloud

Puedes usar Cloud Identity, Google Workspace o una identidad de terceros (como Okta o Azure AD) para administrar los usuarios, los grupos y la autenticación.

En esta página, se describe cómo usar Cloud Identity o Google Workspace. Para obtener información sobre la configuración de un proveedor de identidad de terceros, consulta Configura un proveedor de identidad de terceros para Google Security Operations.

Cuando usas Cloud Identity o Google Workspace, creas cuentas de usuario administradas para controlar el acceso a los recursos de Google Cloud y a Google SecOps.

Creas políticas de IAM que definen qué usuarios y grupos tienen acceso a las funciones de Google SecOps. Estas políticas de IAM se definen con roles y permisos predefinidos que proporciona Google SecOps o roles personalizados que creas.

Durante los pasos para vincular Google SecOps a los servicios de Google Cloud, configuras una conexión a la identidad de Google Cloud. Una vez que se configura, Google SecOps se integra directamente con Cloud Identity o Google Workspace para autenticar a los usuarios y permitir o denegar el acceso a las funciones según las políticas de IAM que crees.

Consulta Identidades de los usuarios. para obtener información detallada sobre cómo crear cuentas de Cloud Identity o Google Workspace.

Otorga un rol para habilitar el acceso a Google SecOps

En los siguientes pasos, se describe cómo otorgar un rol específico con IAM para que un usuario pueda acceder a Google SecOps. Realiza la configuración con el proyecto de Google Cloud vinculado a Google SecOps que creaste antes.

En este ejemplo, se usa el comando gcloud. Para usar la consola de Google Cloud, consulta Otorga un solo rol.

  1. Otorga el Visualizador de la API de Chronicle (roles/chronicle.viewer) a usuarios o grupos que deberían tener acceso a la aplicación de Google Security Operations.

    En el siguiente ejemplo, se otorga el rol de visualizador de la API de Chronicle a un grupo específico:

    gcloud projects add-iam-policy-binding PROJECT_ID \
      --role roles/chronicle.viewer \
      --member "group:GROUP_EMAIL"
    

    Reemplaza lo siguiente:

    Para otorgar el rol de visor de la API de Chronicle a un usuario específico, ejecuta el siguiente comando:

    gcloud projects add-iam-policy-binding PROJECT_ID \
      --role roles/chronicle.viewer \
      --member "principal:USER_EMAIL"
    

    Reemplaza USER_EMAIL por la dirección de correo electrónico del usuario, como alice@example.com.

    Para ver ejemplos de cómo otorgar roles a otros miembros, como un grupo o un dominio, consulta gcloud projects add-iam-policy-binding y la documentación de referencia de Identificadores principales.

  2. Configura políticas de IAM adicionales para cumplir con los requisitos de tu organización.

¿Qué sigue?

Después de completar los pasos de este documento, haz lo siguiente: