Google Cloud ID プロバイダを構成する

以下でサポートされています。

Cloud Identity、Google Workspace、またはサードパーティの ID プロバイダ(Okta や Azure AD など)を使用してユーザー、グループ、認証を管理できます。

このページでは、Cloud Identity または Google Workspace の使用方法について説明します。

Cloud Identity または Google Workspace を使用する場合は、管理対象ユーザー アカウントを作成して、 Google Cloud リソースと Google SecOps へのアクセスを制御します。

Google SecOps 機能へのアクセス権を付与するユーザーとグループを定義する IAM ポリシーを作成します。これらの IAM ポリシーは、Google SecOps または作成したカスタムロールによって指定される事前定義のロールと権限を使用して定義します。

Google SecOps インスタンスを Google Cloudサービスにリンクする手順の一環として、 Google Cloud IdP への接続を構成します。Google SecOps インスタンスは、Cloud Identity または Google Workspace と直接統合されてユーザー認証が行われ、構成した IAM ポリシーに基づいてアクセス制御が適用されます。

Cloud Identity アカウントまたは Google Workspace アカウント作成の詳細については、ユーザーの ID をご覧ください。

Google SecOps へのログインを有効にするためのロールを付与する

次の手順では、ユーザーが Google SecOps にログインできるように IAM を使用して特定のロールを付与する方法について説明します。先ほど作成した Google SecOps にバインドされた Google Cloud プロジェクトを使用して構成を行います。

  1. Google Security Operations アプリケーションへのアクセス権を付与するユーザーまたはグループに Chronicle API 閲覧者(roles/chronicle.viewerロールを付与します。

    • 次の例では、特定のグループに Chronicle API 閲覧者のロールを付与します。

      gcloud projects add-iam-policy-binding PROJECT_ID \
  --role roles/chronicle.viewer \
  --member "group:GROUP_EMAIL"

      以下を置き換えます。

    • 特定のユーザーに Chronicle API 閲覧者のロールを付与するには、次のコマンドを実行します。

      gcloud projects add-iam-policy-binding PROJECT_ID \
  --role roles/chronicle.viewer \
  --member "principal:USER_EMAIL"

      USER_EMAIL: ユーザーのメールアドレス(alice@example.com など)に置き換えます。

    • グループやドメインなどの他のメンバーにロールを付与する方法の例については、gcloud projects add-iam-policy-bindingプリンシパル ID のリファレンス ドキュメントをご覧ください。

  2. 組織のアクセス要件とセキュリティ要件を満たすように、追加の IAM ポリシーを構成します。

次のステップ

このドキュメントの手順を完了したら、以下のことを行います。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。